ISSN 1977-0642

Amtsblatt

der Europäischen Union

L 151

European flag  

Ausgabe in deutscher Sprache

Rechtsvorschriften

62. Jahrgang
7. Juni 2019


Inhalt

 

I   Gesetzgebungsakte

Seite

 

 

VERORDNUNGEN

 

*

Verordnung (EU) 2019/880 des Europäischen Parlaments und des Rates vom 17. April 2019 über das Verbringen und die Einfuhr von Kulturgütern

1

 

*

Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) ( 1 )

15

 

 

RICHTLINIEN

 

*

Richtlinie (EU) 2019/882 des Europäischen Parlaments und des Rates vom 17. April 2019 über die Barrierefreiheitsanforderungen für Produkte und Dienstleistungen ( 1 )

70

 

*

Richtlinie (EU) 2019/883 des europäischen parlaments und des rates vom 17. April 2019 über Hafenauffangeinrichtungen für die Entladung von Abfällen von Schiffen, zur Änderung der Richtlinie 2010/65/EU und zur Aufhebung der Richtlinie 2000/59/EG ( 1 )

116

 

*

Richtlinie (EU) 2019/884 des Europäischen Parlaments und des Rates vom 17. April 2019 zur Änderung des Rahmenbeschlusses 2009/315/JI des Rates im Hinblick auf den Austausch von Informationen über Drittstaatsangehörige und auf das Europäische Strafregisterinformationssystem (ECRIS), sowie zur Ersetzung des Beschlusses 2009/316/JI des Rates

143

 


 

(1)   Text von Bedeutung für den EWR

DE

Bei Rechtsakten, deren Titel in magerer Schrift gedruckt sind, handelt es sich um Rechtsakte der laufenden Verwaltung im Bereich der Agrarpolitik, die normalerweise nur eine begrenzte Geltungsdauer haben.

Rechtsakte, deren Titel in fetter Schrift gedruckt sind und denen ein Sternchen vorangestellt ist, sind sonstige Rechtsakte.


I Gesetzgebungsakte

VERORDNUNGEN

7.6.2019   

DE

Amtsblatt der Europäischen Union

L 151/1


VERORDNUNG (EU) 2019/880 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 17. April 2019

über das Verbringen und die Einfuhr von Kulturgütern

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 207 Absatz 2,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

gemäß dem ordentlichen Gesetzgebungsverfahren (1),

in Erwägung nachstehender Gründe:

(1)

Im Licht der Schlussfolgerungen des Rates vom 12. Februar 2016 zur Bekämpfung der Terrorismusfinanzierung, der Mitteilung der Kommission an das Europäische Parlament und den Rat vom 2. Februar 2016 über einen Aktionsplan für ein intensiveres Vorgehen gegen Terrorismusfinanzierung und der Richtlinie (EU) 2017/541 des Europäischen Parlaments und des Rates (2) sollten gemeinsame Vorschriften für den Handel mit Drittländern erlassen werden, um so einen wirksamen Schutz vor dem illegalen Handel mit Kulturgütern, ihrem Verlust oder ihrer Zerstörung, die Erhaltung des kulturellen Erbes der Menschheit und die Verhinderung von Terrorismusfinanzierung und Geldwäsche durch den Verkauf von geraubten Kulturgütern an Abnehmer in der Union sicherzustellen.

(2)

Die Ausbeutung von Völkern und Gebieten kann zum illegalen Handel mit Kulturgütern führen, insbesondere, wenn ein solcher illegaler Handel vor dem Hintergrund eines bewaffneten Konflikts erfolgt. Mit Blick darauf sollte in dieser Verordnung regionalen und lokalen Merkmalen von Völkern und Gebieten und nicht dem Marktwert der Kulturgüter Rechnung getragen werden.

(3)

Kulturgüter sind Teil des Kulturerbes und häufig von wesentlicher kultureller, künstlerischer, historischer und wissenschaftlicher Bedeutung. Das kulturelle Erbe ist eines der wesentlichen Elemente der Zivilisation, hat unter anderem symbolischen Wert und gehört zum kulturellen Gedächtnis der Menschheit. Es bereichert das kulturelle Leben aller Völker und eint die Menschen im Wissen um dieses gemeinsame Gedächtnis und durch die gemeinsame Entwicklung der Zivilisation. Es sollte daher vor unrechtmäßiger Aneignung und Plünderung geschützt werden. Archäologische Stätten werden seit jeher geplündert, aber inzwischen hat dieses Phänomen gewerbsmäßige Ausmaße angenommen und ist zusammen mit dem Handel mit illegal ausgegrabenen Kulturgütern ein schwerwiegendes Verbrechen, durch das den direkt und indirekt Betroffenen erhebliches Leid zugefügt wird. Der illegale Handel mit Kulturgütern trägt in vielen Fällen zu einer aufgezwungenen kulturellen Homogenisierung oder zum aufgezwungenen Verlust von kultureller Identität bei, während die Plünderung von Kulturgütern unter anderem zur Desintegration von Kulturen führt. Solange der Handel mit Kulturgütern aus illegalen Ausgrabungen lukrativ und gewinnbringend bleibt und keine nennenswerten Risiken birgt, wird es auch Raubgrabungen und Plünderungen geben. Aufgrund der wirtschaftlichen und künstlerischen Bedeutung der Kulturgüter ist die Nachfrage auf dem internationalen Markt hoch. Die Tatsache, dass es auf internationaler Ebene keine durchgreifenden rechtlichen Maßnahmen gibt und dass diejenigen Maßnahmen, die es gibt, nicht wirksam durchgesetzt werden, führt dazu, dass diese Güter in die Schattenwirtschaft überführt werden. Die Union sollte dementsprechend die Verbringung von aus Drittländern illegal ausgeführten Kulturgütern in das Zollgebiet der Union verbieten. mit besonderem Augenmerk auf Kulturgütern aus Drittländern, die von bewaffneten Konflikten betroffen sind, vor allem wenn diese Kulturgüter durch terroristische oder andere kriminelle Organisationen illegal gehandelt wurden. Dieses allgemeine Verbot hat zwar keine systematischen Kontrollen zur Folge, doch sollte es den Mitgliedstaaten gestattet sein, bei Vorliegen von Informationen über verdächtige Sendungen einzugreifen und alle geeigneten Maßnahmen zu treffen, um unzulässig ausgeführte Kulturgüter abzufangen.

(4)

Angesichts der unterschiedlichen Vorschriften, die in den Mitgliedstaaten für die Einfuhr von Kulturgütern in das Zollgebiet der Union gelten, sollten Maßnahmen getroffen werden, um insbesondere sicherzustellen, dass bestimmte Einfuhren von Kulturgütern in das Zollgebiet der Union einheitlichen Kontrollen auf der Grundlage bestehender Prozesse, Verfahren und Verwaltungsinstrumente unterzogen werden, durch die eine einheitliche Durchführung der Verordnung (EU) Nr. 952/2013 des Europäischen Parlaments und des Rates (3) erreicht werden soll.

(5)

Der Schutz von Kulturgütern, die als nationales Kulturgut der Mitgliedstaaten gelten, wird bereits von der Verordnung (EG) Nr. 116/2009 des Rates (4) und der Richtlinie 2014/60/EU des Europäischen Parlaments und des Rates (5) abgedeckt. Daher sollte die vorliegende Verordnung nicht für Kulturgüter gelten, die im Zollgebiet der Union geschaffen oder entdeckt wurden. Die durch die vorliegende Verordnung eingeführten gemeinsamen Vorschriften sollten für die zollrechtliche Behandlung von Nicht-Unions-Kulturgütern, die in das Zollgebiet der Union verbracht werden, gelten. Für die Zwecke der vorliegenden Verordnung sollte das relevante Zollgebiet das Zollgebiet der Union zum Zeitpunkt der Einfuhr sein.

(6)

Die einzuführenden Kontrollmaßnahmen, die Freizonen und sogenannte Freihäfen betreffen, sollten hinsichtlich der betroffenen Zollverfahren einen möglichst breiten Anwendungsbereich haben, damit eine Umgehung dieser Verordnung durch Ausnutzung dieser Freizonen, die für eine anhaltende Ausbreitung des illegalen Handels genutzt werden können, verhindert wird. Deshalb sollten diese Kontrollmaßnahmen nicht nur Kulturgüter betreffen, die zum zollrechtlich freien Verkehr überlassen werden, sondern auch Kulturgüter, die in ein besonderes Zollverfahren übergeführt werden. Allerdings sollte der Anwendungsbereich nicht über das Ziel, eine Verbringung unzulässig ausgeführter Kulturgüter in das Zollgebiet der Union zu verhindern, hinausgehen. Während die systematischen Kontrollmaßnahmen die Überlassung zum zollrechtlich freien Verkehr und einige der besonderen Zollverfahren, in die Güter beim Eingang in das Zollgebiet der Union übergeführt werden können, betreffen, sollte das Versandfahren ausgeschlossen sein.

(7)

Viele Drittländer und die meisten Mitgliedstaaten sind mit den Begriffsbestimmungen vertraut, die in dem am 14. November 1970 in Paris unterzeichneten Unesco-Übereinkommen über die Maßnahmen zum Verbot und zur Verhütung der unzulässigen Einfuhr, Ausfuhr und Übereignung von Kulturgut (im Folgenden „Unesco-Übereinkommen von 1970“) dessen Vertragspartei zahlreiche Mitgliedstaaten sind, und in dem am 24. Juni 1995 in Rom unterzeichneten UNIDROIT-Übereinkommen über gestohlene oder unrechtmäßig ausgeführte Kulturgüterverwendet werden. Aus diesem Grunde beruhen die in dieser Verordnung verwendeten Begriffsbestimmungen auf den dort verwendeten Begriffsbestimmungen.

(8)

Die Rechtmäßigkeit der Ausfuhr von Kulturgütern sollte vor allem auf der Grundlage der Rechts- und Verwaltungsvorschriften der Länder geprüft werden, in denen diese Kulturgüter geschaffen oder entdeckt wurden. Um allerdings den legalen Handel nicht unangemessen zu beeinträchtigen, sollte einer Person, die die Kulturgüter in das Zollgebiet der Union einführen möchte, in bestimmten Fällen ausnahmsweise gestattet werden, stattdessen nachzuweisen, dass die Kulturgüter aus dem anderen Drittland, in dem sie sich vor ihrer Absendung in die Union befanden, rechtmäßig ausgeführt wurden. Diese Ausnahme sollte in Fällen gelten, in denen das Land, in denen die Kulturgüter geschaffen oder entdeckt wurden, nicht verlässlich bestimmt werden kann oder die Ausfuhr der betreffenden Kulturgüter vor dem Inkrafttreten des Unesco-Übereinkommens von 1970 am 24. April 1972 erfolgte. Um die Umgehung dieser Verordnung zu verhindern, indem unzulässig ausgeführte Kulturgüter vor ihrer Einfuhr in die Union einfach in ein anderes Drittland geschickt werden, sollten diese Ausnahmen gelten, wenn sich die Kulturgüter für einen Zeitraum von mehr als fünf Jahren zu anderen Zwecken als die vorübergehende Verwendung, Durchfuhr, Wiederausfuhr oder Umladung in einem Drittland befanden. Werden diese Bedingungen von mehr als einem Land erfüllt, sollte das letzte dieser Länder, in dem sich die Kulturgüter vor ihrem Verbringen in das Zollgebiet der Union befanden, relevant sein.

(9)

Artikel 5 des Unesco-Übereinkommens von 1970 fordert die Vertragsstaaten auf, eine oder mehrere nationale Dienststellen einzurichten, um Kulturgüter vor unzulässiger Einfuhr, Ausfuhr und Übereignung zu schützen. Diese nationalen Dienststellen sollten mit qualifiziertem und zahlenmäßig ausreichendem Personal ausgestattet sein, um diesen Schutz gemäß dem Übereinkommen sicherzustellen und die erforderliche aktive Zusammenarbeit zwischen den zuständigen Behörden der Mitgliedstaaten, die Vertragsparteien dieses Übereinkommens sind, im Bereich der Sicherheit und der Bekämpfung der unzulässigen Einfuhr von Kulturgütern, insbesondere aus Ländern, die von bewaffneten Konflikten betroffen sind, zu ermöglichen.

(10)

Um den grenzüberschreitenden Handel mit Kulturgütern über die Außengrenzen der Union nicht unverhältnismäßig zu beeinträchtigen, sollte diese Verordnung nur für Kulturgüter oberhalb einer bestimmten Altersgrenze gelten, die in dieser Verordnung festgelegt ist. Zudem erscheint es angebracht, einen Mindestwert festzulegen, um Kulturgüter von geringerem Wert von den Bedingungen und Verfahren für die Einfuhr von Kulturgütern in das Zollgebiet der Union auszuschließen. Durch diese Schwellenwerte wird sichergestellt, dass sich die in dieser Verordnung vorgesehenen Maßnahmen auf diejenigen Kulturgüter konzentrieren, auf die es Plünderer in Konfliktgebieten aller Wahrscheinlichkeit nach abgesehen haben dürften, ohne andere Güter auszuschließen, deren Kontrolle mit Blick auf den Schutz des kulturellen Erbes notwendig ist.

(11)

Der illegale Handel mit geplünderten Kulturgütern wurde im Rahmen der supranationalen Bewertung der Risiken der Geldwäsche und der Terrorismusfinanzierung für den Binnenmarkt als mögliche Quelle für Terrorismusfinanzierung und Geldwäsche ermittelt.

(12)

Da bestimmte Kategorien von Kulturgütern, namentlich archäologische Gegenstände und Teile von Denkmälern, für Plünderungen und Zerstörungen besonders anfällig sind, erscheint es notwendig, eine Regelung verstärkter Kontrollen vorzusehen, bevor die Güter in das Zollgebiet der Union verbracht werden dürfen. Eine solche Regelung sollte vorsehen, dass vor der Überlassung dieser Güter zum zollrechtlich freien Verkehr in die Union oder ihrer Überführung in ein besonderes Zollverfahren mit Ausnahme des Versandverfahrens eine von der zuständigen Behörde eines Mitgliedstaats erteilte Einfuhrgenehmigung vorzulegen ist. Personen, die eine solche Genehmigung beantragen, sollten die rechtmäßige Ausfuhr aus dem Land, in dem die Kulturgüter geschaffen oder entdeckt wurden, anhand geeigneter Unterlagen und Nachweise, wie etwa Ausfuhrbescheinigungen Eigentumsnachweise, Rechnungen, Kaufverträge, Versicherungsunterlagen, Beförderungspapiere und Sachverständigengutachten, belegen können. Die zuständigen Behörden der Mitgliedstaaten sollten auf der Grundlage von vollständigen und korrekten Anträgen unverzüglich über die Erteilung einer Lizenz entscheiden. Sämtliche Einfuhrgenehmigungen sollten in einer elektronischen Datenbank gespeichert werden.

(13)

Eine „Ikone“ ist eine Darstellung einer Persönlichkeit der Religion oder eines religiösen Ereignisses. Sie kann auf verschiedenen Trägermaterialien und in verschiedenen Größen angefertigt sein, entweder als Teil eines Denkmals oder in tragbarer Form. Wenn sie einst, entweder frei stehend oder als Teil der architektonischen Ausstattung, beispielsweise einer Ikonostase oder eines Ikonenständers, z. B. zum Innenraum einer Kirche, eines Klosters oder einer Kapelle gehörte, ist sie ein grundlegendes und untrennbares Element der göttlichen Verehrung und des liturgischen Lebens und sollte als fester Bestandteil eines religiösen Denkmals, das nicht mehr vollständig ist, betrachtet werden. Auch in Fällen, in denen das spezifische Denkmal, zu dem die Ikone gehörte, unbekannt ist, es jedoch Anhaltspunkte dafür gibt, dass sie einst fester Bestandteil eines Denkmals war, insbesondere wenn Spuren oder Elemente vorhanden sind, die darauf hinweisen, dass sie einst Teil einer Ikonostase oder eines Ikonenständers gewesen ist, sollte die Ikone auch weiterhin unter die Kategorie „Teile künstlerischer oder geschichtlicher Denkmäler oder archäologischer Stätten, die nicht mehr vollständig sind“ im Anhang fallen.

(14)

Angesichts des besonderen Charakters der Kulturgüter spielen die Zollbehörden eine äußerst wichtige Rolle und sie sollten erforderlichenfalls in der Lage sein, zusätzliche Informationen von den Anmeldern anzufordern und die Kulturgüter im Wege einer Beschau zu untersuchen.

(15)

Bei Kategorien von Kulturgütern, für deren Einfuhr keine Einfuhrgenehmigung benötigt wird, sollten die Personen, die solche Güter in das Zollgebiet der Union einführen möchten, mittels einer Erklärung deren rechtmäßige Ausfuhr aus dem Drittland bestätigen und die Verantwortung dafür übernehmen sowie mit Blick auf eine Identifizierung durch die Zollbehörden ausreichende Informationen über diese Kulturgüter bereitstellen. Zur Vereinfachung des Verfahrens und aus Gründen der Rechtssicherheit sollten die Informationen über die Kulturgüter mithilfe eines Standarddokuments bereitgestellt werden. Für die Beschreibung der Kulturgüter kann der von der Unesco empfohlene Objektidentifizierungsstandard verwendet werden. Der Besitzer der Güter sollte diese Einzelheiten in einem elektronischen System registrieren, um die Identifizierung durch die Zollbehörden zu erleichtern, Risikoanalysen und gezielte Kontrollen zu ermöglichen und die Rückverfolgbarkeit der Kulturgüter auf dem Binnenmarkt sicherzustellen.

(16)

Im Rahmen des EU Single Window — Umfeld für den Zoll sollte die Kommission dafür zuständig sein, ein zentrales elektronisches System für die Einreichung von Anträgen auf Einfuhrgenehmigung und die Einreichung von Erklärungen der Einführer und für den Austausch von Informationen zwischen den Behörden der Mitgliedstaaten, insbesondere über Einfuhrgenehmigungen und Erklärungen der Einführer, einzurichten.

(17)

Die Datenverarbeitung gemäß dieser Verordnung sollte auch die Verarbeitung personenbezogener Daten umfassen können, und diese Verarbeitung sollte im Einklang mit dem Unionsrecht erfolgen. Die Mitgliedstaaten und die Kommission sollten personenbezogene Daten nur für die Zwecke dieser Verordnung oder in wohlbegründeten Fällen für die Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, was den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit einschließt, verarbeiten. Für jede Sammlung, Weitergabe, Übertragung, Kommunikation und sonstige Verarbeitung personenbezogener Daten innerhalb des Anwendungsbereichs dieser Verordnung sollten die Anforderungen der Verordnungen (EU) 2016/679 (6) und (EU) 2018/1725 (7) des Europäischen Parlaments und des Rates gelten. Die Verarbeitung personenbezogener Daten für die Zwecke dieser Verordnung sollte auch im Einklang mit dem Recht auf Achtung des Privat- und Familienlebens gemäß Artikel 8 der Konvention zum Schutz der Menschenrechte und Grundfreiheiten des Europarats und dem Recht auf Achtung des Privat- und Familienlebens und dem Recht auf Schutz personenbezogener Daten gemäß Artikel 7 bzw. 8 der Charta der Grundrechte der Europäischen Union erfolgen.

(18)

Für Kulturgüter, die nicht im Zollgebiet der Union geschaffen oder entdeckt, jedoch als Unionswaren ausgeführt wurden, sollte keine Einfuhrgenehmigung oder Erklärung des Einführers erforderlich sein, wenn sie in dieses Gebiet als Rückwaren im Sinne der Verordnung (EU) Nr. 952/2013 wieder eingeführt werden.

(19)

Für die vorübergehende Verwendung von Kulturgütern zu Zwecken der Bildung, der Wissenschaft, der Konservierung, der Restaurierung, der Ausstellung, der Digitalisierung, der darstellenden Künste, der Forschung akademischer Einrichtungen oder der Zusammenarbeit zwischen Museen oder ähnlichen Einrichtungen sollte keine Einfuhrgenehmigung oder Erklärung des Einführers erforderlich sein.

(20)

Die Lagerung von Kulturgütern aus Ländern, die von bewaffneten Konflikten oder Naturkatastrophen betroffen sind, mit dem ausschließlichen Ziel, ihre sichere Aufbewahrung und ihren Erhalt durch eine Behörde oder unter der Aufsicht einer Behörde zu gewährleisten, sollte nicht der Vorlage einer Einfuhrgenehmigung oder einer Erklärung des Einführers unterliegen.

(21)

Um die Präsentation von Kulturgütern auf kommerziellen Kunstmessen zu erleichtern, sollte keine Einfuhrgenehmigung erforderlich sein, wenn sich die Kulturgüter in vorübergehender Verwendung im Sinne des Artikels 250 der Verordnung (EU) Nr. 952/2013 befinden und statt der Einfuhrgenehmigung eine Erklärung des Einführers vorgelegt wurde. Allerdings sollte eine die Vorlage einer Einfuhrgenehmigung erforderlich sein, wenn solche Kulturgüter im Anschluss an die Kunstmesse in der Union verbleiben sollen.

(22)

Um einheitliche Bedingungen für die Durchführung dieser Verordnung zu gewährleisten, sollten der Kommission Durchführungsbefugnisse für die Annahme detaillierter Regelungen übertragen werden, und zwar für als Rückwaren wieder eingeführte Kulturgüter, oder die vorübergehende Verwendung von Kulturgütern im Zollgebiet der Union und deren sichere Verwahrung, die Muster für Einfuhrgenehmigungsanträge und Einfuhrgenehmigungsformulare, die Muster der Erklärung des Einführers und die begleitenden Dokumente sowie weitere Verfahrensvorschriften für deren Vorlage und Bearbeitung. Außerdem sollten der Kommission Durchführungsbefugnisse übertragen werden, damit sie Vorkehrungen für die Einrichtung eines elektronischen Systems für die Einreichung von Anträgen auf Erteilung einer Einfuhrgenehmigung und die Abgabe der Erklärung des Einführers sowie für die Speicherung von Informationen und den Austausch von Informationen zwischen den Mitgliedstaaten treffen kann. Diese Befugnisse sollten im Einklang mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (8) ausgeübt werden.

(23)

Um eine wirksame Koordinierung sicherzustellen und Doppelarbeit zu vermeiden, wenn Schulungen, Maßnahmen zum Kapazitätsaufbau und Sensibilisierungskampagnen organisiert werden, und um gegebenenfalls einschlägige Forschungsarbeiten und die Ausarbeitung von Normstandards in Auftrag zu geben, sollten die Kommission und die Mitgliedstaaten mit internationalen Organisationen und Einrichtungen zusammenarbeiten, etwa Unesco, Interpol, Europol, der Weltzollorganisation, der Internationalen Studienzentrale für die Erhaltung und Restaurierung von Kulturgut und dem Internationalen Museumsrat (ICOM).

(24)

Es sollten sachdienliche Informationen über die Handelsströme von Kulturgütern auf elektronischem Wege zusammengetragen und zwischen den Mitgliedstaaten und der Kommission ausgetauscht werden, um die effiziente Durchführung dieser Verordnung zu unterstützen und die Grundlage für ihre künftige Bewertung zu schaffen. Im Interesse der Transparenz und der öffentlichen Kontrolle sollten möglichst viele Informationen veröffentlicht werden. Handelsströme von Kulturgütern können nicht allein anhand ihres Wertes oder Gewichts wirksam überwacht werden. Es ist von grundlegender Bedeutung, Informationen über die Anzahl der angemeldeten Gegenstände auf elektronischem Wege zusammenzutragen. Da in der Kombinierten Nomenklatur keine zusätzliche Maßeinheit für Kulturgüter aufgeführt ist, ist es notwendig zu verlangen, dass die Anzahl der Gegenstände angemeldet wird.

(25)

Mit der Strategie und dem Aktionsplan der EU für das Zollrisikomanagement sollen — unter anderem — die Kapazitäten der Zollbehörden ausgebaut und die Reaktionsfähigkeit bei Risiken im Bereich Kulturgüter verbessert werden. Der in der Verordnung (EU) Nr. 952/2013 festgelegte gemeinsame Rahmen für das Risikomanagement sollte Anwendung finden und es sollten sachdienliche Informationen zwischen den Zollbehörden ausgetauscht werden.

(26)

Um das Fachwissen der internationalen Organisationen und Einrichtungen, die im Kulturbereich tätig sind, und ihre Erfahrungen im Zusammenhang mit dem illegalen Handel mit Kulturgütern nutzbringend einzusetzen, sollten im gemeinsamen Rahmen für das Risikomanagement die Empfehlungen und Leitlinien dieser Organisationen und Einrichtungen berücksichtigt werden, wenn die mit Kulturgütern verbundenen Risiken ermittelt werden. Bei der Ermittlung der Drittländer, deren kulturelles Erbe am stärksten gefährdet ist, und der Gegenstände, die von dort häufiger im Rahmen des illegalen Handels ausgeführt werden, sollten insbesondere die von ICOM veröffentlichten Roten Listen als Leitlinien dienen.

(27)

Es ist notwendig, Sensibilisierungskampagnen durchzuführen, die sich an die Käufer von Kulturgütern richten und die mit dem illegalen Handel verbundenen Risiken betreffen, und die Marktakteure bezüglich der Auslegung und der Anwendung dieser Verordnung zu unterstützen. Die Mitgliedstaaten sollten die einschlägigen nationalen Kontaktstellen und andere Informationsdienste bei der Verbreitung dieser Informationen einbeziehen.

(28)

Die Kommission sollte dafür sorgen, dass Kleinstunternehmen sowie kleine und mittlere Unternehmen („KMU“) von geeigneter technischer Unterstützung profitieren, und sie sollte die Bereitstellung von Information an diese erleichtern, damit diese Verordnung wirksam durchgeführt wird. In der Union niedergelassene KMU, die Kulturgüter einführen, sollten daher von den bestehenden und künftigen Unionsprogrammen zur Förderung der Wettbewerbsfähigkeit von kleineren und mittleren Unternehmen profitieren.

(29)

Um die Einhaltung der Vorschriften zu fördern und vor deren Umgehung abzuschrecken, sollten die Mitgliedstaaten bei Nichtbeachtung der Bestimmungen dieser Verordnung wirksame, verhältnismäßige und abschreckende Sanktionen einführen und der Kommission diese Sanktionen mitteilen. Die von den Mitgliedstaaten gegen Verstöße gegen diese Verordnung eingeführten Sanktionen sollten in der gesamten Union eine vergleichbare abschreckende Wirkung entfalten.

(30)

Die Mitgliedstaaten sollten sicherstellen, dass sich die Zollbehörden und die zuständigen Behörden auf Maßnahmen nach Artikel 198 der Verordnung (EU) Nr. 952/2013 einigen. Die Einzelheiten dieser Maßnahmen sollten dem nationalen Recht unterliegen.

(31)

Die Kommission sollte unverzüglich Durchführungsbestimmungen zu dieser Verordnung annehmen, insbesondere in Bezug auf die geeigneten elektronischen Standardformulare, die zur Beantragung einer Einfuhrgenehmigung oder zur Vorbereitung einer Erklärung des Einführers zu verwenden sind, und anschließend das elektronische System in möglichst kurzer Zeit einrichten. Der Geltungsbeginn der Bestimmungen über die Einfuhrgenehmigung und die Erklärung des Einführers sollte entsprechend verschoben werden.

(32)

Gemäß dem Grundsatz der Verhältnismäßigkeit ist es zur Erreichung der grundlegenden Ziele dieser Verordnung erforderlich und angemessen, Vorschriften über das Verbringen, sowie über die Voraussetzungen und das Verfahren für die Einfuhr, von Kulturgütern in das Zollgebiet der Union festzulegen. Die vorliegende Verordnung geht im Einklang mit Artikel 5 Absatz 4 des Vertrags über die Europäische Union nicht über das für die Verwirklichung dieser Ziele erforderliche Maß hinaus —

HABEN FOLGENDE VERORDNUNG ERLASSEN:

Artikel 1

Gegenstand und Anwendungsbereich

(1)   Diese Verordnung enthält die Voraussetzungen für das Verbringen von Kulturgütern sowie die Voraussetzungen und Verfahren für ihre Einfuhr zum Schutze des kulturellen Erbes der Menschheit und der Verhinderung des illegalen Handels mit Kulturgütern, insbesondere wenn dieser illegale Handel zur Terrorismusfinanzierung beitragen kann.

(2)   Diese Verordnung gilt nicht für Kulturgüter, die im Zollgebiet der Union geschaffen oder entdeckt wurden.

Artikel 2

Begriffsbestimmungen

Für die Zwecke dieser Verordnung bezeichnet der Ausdruck

1.

„Kulturgüter“ alle im Anhang aufgeführten Gegenstände, die für Archäologie, Vorgeschichte, Geschichte, Literatur, Kunst oder Wissenschaft von Bedeutung sind;

2.

„Verbringen von Kulturgütern“ den Eingang von Kulturgütern in das Zollgebiet der Union, die der zollamtlichen Überwachung oder Zollkontrollen im Zollgebiet der Union gemäß der Verordnung (EU) Nr. 952/2013 unterliegen;

3.

„Einfuhr von Kulturgütern“

a)

die Überlassung von Kulturgütern zum zollrechtlich freien Verkehr gemäß Artikel 201 der Verordnung (EU) Nr. 952/2013 oder

b)

die Überführung von Kulturgütern in eines der folgenden besonderen Verfahren gemäß Artikel 210 der Verordnung (EU) Nr. 952/2013:

i)

die Lagerung, die das Zolllager und Freizonen umfasst,

ii)

die Verwendung, die die vorübergehende Verwendung und die Endverwendung umfasst,

iii)

die aktive Veredelung;

4.

„Besitzer der Waren“ den Besitzer der Waren gemäß Artikel 5 Nummer 34 der Verordnung (EU) Nr. 952/2013;

5.

„zuständige Behörden“ die von den Mitgliedstaaten benannten Behörden, die für die Erteilung der Einfuhrgenehmigungen zuständig sind.

Artikel 3

Verbringen und Einfuhr von Kulturgütern

(1)   Das Verbringen von in Teil A des Anhangs genannten Kulturgütern ist verboten, wenn sie aus dem Hoheitsgebiet eines Landes, in dem sie geschaffen oder entdeckt worden sind, unter Verstoß gegen dessen Rechts- und Verwaltungsvorschriften entfernt wurden.

Die Zollbehörden und die zuständigen Behörden ergreifen alle geeigneten Maßnahmen, wenn versucht wird, Kulturgüter gemäß Unterabsatz 1 zu verbringen.

(2)   Die Einfuhr von in den Teilen B und C des Anhangs aufgeführten Kulturgütern ist nur zulässig nach Vorlage entweder

a)

einer Einfuhrgenehmigung gemäß Artikel 4 oder

b)

einer Erklärung des Einführers gemäß Artikel 5.

(3)   Die in Absatz 2 des vorliegenden Artikels genannte Einfuhrgenehmigung oder Erklärung des Einführers ist den Zollbehörden gemäß Artikel 163 der Verordnung (EU) Nr. 952/2013 vorzulegen. Werden die Kulturgüter in das Freizonenverfahren übergeführt, so hat der Besitzer der Waren die Einfuhrgenehmigung oder die Erklärung des Einführers bei der Gestellung der Güter gemäß Artikel 245 Absatz 1 Buchstaben a und b der Verordnung (EU) Nr. 952/2013 vorzulegen.

(4)   Absatz 2 des vorliegenden Artikels gilt nicht für

a)

als Rückwaren wieder eingeführte Kulturgüter im Sinne des Artikels 203 der Verordnung (EU) Nr. 952/2013;

b)

die Einfuhr von Kulturgütern zum alleinigen Zweck, ihre sichere Verwahrung durch eine Behörde oder unter der Aufsicht einer Behörde zu gewährleisten und in der Absicht, diese Kulturgüter zurückzugeben, sobald die Situation dies zulässt;

c)

die vorübergehende Verwendung von Kulturgütern im Sinne des Artikels 250 der Verordnung (EU) Nr. 952/2013 im Zollgebiet der Union zum Zwecke der Bildung, der Wissenschaft, der Konservierung, der Restaurierung, der Ausstellung, der Digitalisierung, der darstellenden Künste, der Forschung akademischer Einrichtungen oder der Zusammenarbeit zwischen Museen oder ähnlichen Einrichtungen.

(5)   Eine Einfuhrgenehmigung ist nicht erforderlich für Kulturgüter in vorübergehender Verwendung im Sinne des Artikels 250 der Verordnung (EU) Nr. 952/2013, wenn diese Kulturgüter auf kommerziellen Kunstmessen präsentiert werden sollen. In diesen Fällen ist eine Erklärung des Einführers gemäß dem Verfahren des Artikels 5 der vorliegenden Verordnung vorzulegen.

Werden diese Kulturgüter jedoch anschließend in ein anderes in Artikel 2 Absatz 3 der vorliegenden Verordnung genanntes Zollverfahren übergeführt, so ist eine gemäß Artikel 4 der vorliegenden Verordnung erteilte Einfuhrgenehmigung erforderlich.

(6)   Die Kommission legt im Wege von Durchführungsrechtsakten die Einzelheiten für als Rückwaren wieder eingeführte Kulturgüter für die Einfuhr von Kulturgütern zum Zwecke ihrer sicheren Verwahrung und für die vorübergehende Verwendung von Kulturgütern gemäß den Absätzen 4 und 5 des vorliegenden Artikels fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 13 Absatz 2 genannten Prüfverfahren erlassen.

(7)   Absatz 2 des vorliegenden Artikels gilt unbeschadet anderer Maßnahmen, die die Union im Einklang mit Artikel 215 des Vertrags über die Arbeitsweise der Europäischen Union verabschiedet.

(8)   Bei Vorlage einer Zollanmeldung für die Einfuhr von in den Teilen B und C des Anhangs aufgeführten Kulturgütern ist die Anzahl der Gegenstände unter Verwendung der im Anhang festgelegten besonderen Maßeinheiten anzugeben. Werden die Kulturgüter in das Freizonenverfahren übergeführt, so hat Besitzer der Waren die Anzahl der Gegenstände bei der Gestellung der Güter gemäß Artikel 245 Absatz 1 Buchstaben a und b der Verordnung (EU) Nr. 952/2013 anzugeben.

Artikel 4

Einfuhrgenehmigung

(1)   Für die Einfuhr von in Teil B des Anhangs aufgeführten Kulturgütern, die keine Kulturgüter gemäß Artikel 3 Absätze 4 und 5 sind, ist eine Einfuhrgenehmigung erforderlich. Diese Einfuhrgenehmigung wird von der zuständigen Behörde des Mitgliedstaats erteilt, in dem die Kulturgüter zum ersten Mal in eines der in Artikel 2 Nummer 3 genannten Zollverfahren übergeführt werden.

(2)   Einfuhrgenehmigungen, die von den zuständigen Behörden eines Mitgliedstaats gemäß dem vorliegenden Artikel erteilt werden, gelten in der gesamten Union.

(3)   Eine gemäß diesem Artikel erteilte Einfuhrgenehmigung gilt nicht als Nachweis einer rechtmäßigen Herkunft der betreffenden Kulturgüter oder eines rechtmäßigen Eigentums an diesen.

(4)   Der Besitzer der Waren beantragt bei der zuständigen Behörde des Mitgliedstaats gemäß Absatz 1 des vorliegenden Artikels eine Einfuhrgenehmigung über das elektronische System gemäß Artikel 8. Dem Antrag sind alle Unterlagen und Informationen beizufügen, die belegen, dass die jeweiligen Kulturgüter aus dem Land, in dem sie geschaffen oder entdeckt worden waren, im Einklang mit den Rechts- und Verwaltungsvorschriften dieses Landes ausgeführt wurden oder dass es zu dem Zeitpunkt, zu dem sie aus seinem Hoheitsgebiet verbracht wurden, solche Rechts- und Verwaltungsvorschriften nicht gab.

Abweichend von Unterabsatz 1 können in folgenden Fällen dem Antrag stattdessen Unterlagen und Informationen beigefügt werden, die belegen, dass die Kulturgüter im Einklang mit den Rechts- und Verwaltungsvorschriften des letzten Landes ausgeführt wurden, in dem sie sich für einen Zeitraum von mehr als fünf Jahren und für andere Zwecke als vorübergehende Verwendung, Durchfuhr, Wiederausfuhr oder Umladung befanden:

a)

Das Land, in dem die Kulturgüter geschaffen oder entdeckt wurden, kann nicht verlässlich bestimmt werden, oder

b)

die Kulturgüter wurden aus dem Land, in dem sie geschaffen oder entdeckt wurden, vor dem 24. April 1972 entfernt.

(5)   Der Nachweis, dass die betreffenden Kulturgüter im Einklang mit Absatz 4 ausgeführt wurden, ist in Form von Ausfuhrbescheinigungen oder Ausfuhrgenehmigungen zu erbringen, sofern im betreffenden Land solche Dokumente für die Ausfuhr von Kulturgütern zum Zeitpunkt der Ausfuhr vorgesehen sind.

(6)   Die zuständige Behörde prüft die Vollständigkeit des Antrags. Sie fordert den Antragsteller auf, alle fehlenden oder zusätzlichen Informationen oder Unterlagen innerhalb von 21 Tagen nach Eingang des Antrags vorzulegen.

(7)   Innerhalb von 90 Tagen nach Eingang des vollständigen Antrags prüft die zuständige diesen und entscheidet über die Erteilung der Einfuhrgenehmigung oder über die Ablehnung des Antrags.

Die zuständige Behörde lehnt den Antrag ab, wenn

a)

sie Informationen oder hinreichende Gründe für die Annahme hat, dass die Kulturgüter unter Verstoß gegen die Rechts- und Verwaltungsvorschriften des Landes, auf dessen Hoheitsgebiet sie geschaffen oder entdeckt wurden, von dort entfernt wurden;

b)

die gemäß Absatz 4 erforderlichen Nachweise nicht vorgelegt wurden;

c)

sie Informationen oder hinreichende Gründe für die Annahme hat, dass der Besitzer der Waren diese nicht rechtmäßig erworben hat, oder

d)

sie darüber unterrichtet wurde, dass für diese Kulturgüter anhängige Rückgabeforderungen seitens der Behörden des Landes bestehen, in sie geschaffen oder entdeckt wurden.

(8)   Bei Ablehnung des Antrags wird die Verwaltungsentscheidung gemäß Absatz 7 mit einer Begründung und mit Informationen über Rechtsbehelfe versehen und dem betreffenden Antragsteller unverzüglich übermittelt.

(9)   Wird eine Einfuhrgenehmigung für Kulturgüter beantragt, für die ein gleichartiger Antrag bereits früher abgelehnt worden ist, so hat der Antragsteller die mit dem Antrag befasste zuständige Behörde über die frühere Ablehnung zu unterrichten.

(10)   Lehnt ein Mitgliedstaat einen Antrag ab, so werden diese Ablehnung und die Gründe, auf denen sie beruht, den anderen Mitgliedstaaten und der Kommission über das elektronische System gemäß Artikel 8 mitgeteilt.

(11)   Die Mitgliedstaaten bestimmt unverzüglich die zuständigen Behörden, die für die Erteilung von Einfuhrgenehmigungen gemäß diesem Artikel zuständig sind. Die Mitgliedstaaten unterrichten die Kommission über die Einzelheiten zu den zuständigen Behörden und alle diesbezüglichen Änderungen.

Die Kommission veröffentlicht die Einzelheiten zu den zuständigen Behörden sowie alle Änderungen im Amtsblatt der Europäischen Union Reihe C.

(12)   Die Kommission legt im Wege von Durchführungsrechtsakten das Muster und das Format für den Antrag auf die Einfuhrgenehmigung fest und gibt die möglichen Unterlagen für den Nachweis der rechtmäßigen Herkunft der betreffenden Kulturgüter und die Verfahrensvorschriften für die Einreichung und die Bearbeitung eines solchen Antrags an. Bei der Festlegung dieser Elemente strebt die Kommission eine einheitliche Anwendung der Einfuhrgenehmigungsverfahren durch die zuständigen Behörden an. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 13 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 5

Erklärung des Einführers

(1)   Für die Einfuhr der in Teil C des Anhangs aufgeführten Kulturgüter ist eine Erklärung des Einführers erforderlich, die der Besitzer der Waren über das elektronische System gemäß Artikel 8 vorlegt.

(2)   Die Erklärung des Einführers besteht aus

a)

einer vom Besitzer der Waren unterzeichneten Erklärung, aus der hervorgeht, dass die Kulturgüter aus dem Land, in dem sie geschaffen oder entdeckt wurden im Einklang mit dessen zum Zeitpunkt der Entfernung aus dem Hoheitsgebiet geltenden Rechts- und Verwaltungsvorschriften ausgeführt wurden, und

b)

einem Standarddokument, in dem die betreffenden Kulturgüter so detailliert beschrieben sind, dass sie von den Behörden identifiziert und Risikoanalysen und gezielte Kontrollen durchgeführt werden können.

Abweichend von Unterabsatz 1 Buchstabe a kann in folgenden Fällen die Erklärung stattdessen beinhalten, dass die Kulturgüter im Einklang mit den Rechts- und Verwaltungsvorschriften des letzten Landes ausgeführt wurden, in dem sie sich für einen Zeitraum von mehr als fünf Jahren und für andere Zwecke als vorübergehende Verwendung, Durchfuhr, Wiederausfuhr oder Umladung befanden:

a)

Das Land, in dem die Kulturgüter geschaffen oder entdeckt wurden, kann nicht verlässlich bestimmt werden, oder

b)

die Kulturgüter wurden aus dem Land, in dem sie geschaffen oder entdeckt wurden, vor dem 24. April 1972 entfernt.

(3)   Die Kommission legt im Wege von Durchführungsrechtsakten das Standardmuster und das Format für die Erklärung des Einführers sowie die Verfahrensvorschriften für ihre Vorlage fest und gibt die möglichen Unterlagen für den Nachweis der rechtmäßigen Herkunft der betreffenden Kulturgüter an, die sich im Besitz des Besitzers der Waren befinden sollten, sowie die Vorschriften über die Bearbeitung der Erklärung des Einführers. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 13 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 6

Zuständige Zollstellen

Die Mitgliedstaaten können die Anzahl der Zollstellen, die für die Bearbeitung der Einfuhr von unter diese Verordnung fallende Kulturgüter zuständig sind, begrenzen. Wenden die Mitgliedstaaten diese Begrenzung an, so teilen sie der Kommission die Einzelheiten zu diesen Zollstellen sowie alle diesbezüglichen Änderungen mit.

Die Kommission veröffentlicht die Einzelheiten zu den zuständigen Zollstellen sowie alle Änderungen im Amtsblatt der Europäischen Union Reihe C.

Artikel 7

Verwaltungszusammenarbeit

Zur Durchführung dieser Verordnung gewährleisten die Mitgliedstaaten die Zusammenarbeit zwischen ihren Zollbehörden und mit den zuständigen Behörden gemäß Artikel 4.

Artikel 8

Verwendung eines elektronischen Systems

(1)   Die Speicherung und der Austausch von Informationen zwischen den Behörden der Mitgliedstaaten, insbesondere zu Einfuhrgenehmigungen und zu Erklärungen des Einführers, erfolgt mithilfe eines zentralen elektronischen Systems.

Fällt das elektronische System vorübergehend aus, so können vorübergehend andere Mittel für die Speicherung und den Austausch von Informationen genutzt werden.

(2)   Die Kommission legt im Wege von Durchführungsrechtsakten Folgendes fest:

a)

die Maßnahmen bezüglich Einführung, Anwendung und Pflege des elektronischen Systems gemäß Absatz 1;

b)

die Einzelheiten für die Bereitstellung, Verarbeitung, Speicherung und den Austausch von Informationen zwischen den Behörden der Mitgliedstaaten mithilfe des elektronischen Systems oder anderer Mittel gemäß Absatz 1.

Diese Durchführungsrechtsakte werden bis zum 28. Juni 2021 gemäß dem in Artikel 13 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 9

Einrichtung eines elektronischen Systems

Die Kommission richtet das in Artikel 8 genannte elektronische System ein. Das elektronische System ist spätestens vier Jahre nach Inkrafttreten des ersten der Durchführungsrechtsakte gemäß Artikel 8 Absatz 2 einsatzbereit.

Artikel 10

Schutz personenbezogener Daten und Datenspeicherfristen

(1)   Die Zollbehörden und die zuständigen Behörden der Mitgliedstaaten sind die Verantwortlichen für die personenbezogenen Daten, die sie gemäß den Artikeln 4, 5 und 8 erhalten haben.

(2)   Die Verarbeitung personenbezogener Daten auf der Grundlage dieser Verordnung darf nur für die in Artikel 1 Absatz 1 bestimmten Zwecke erfolgen.

(3)   Die gemäß den Artikeln 4, 5 und 8 erhaltenen personenbezogenen Daten dürfen nur von ordnungsgemäß bevollmächtigten Mitarbeitern der Behörden abgerufen werden und müssen angemessen gegen unbefugten Zugriff und unbefugte Weitergabe geschützt werden. Die Daten dürfen nicht ohne ausdrückliche schriftliche Genehmigung der Behörde, die die Informationen ursprünglich erhalten hat, offengelegt oder weitergegeben werden. Diese Genehmigung ist jedoch nicht erforderlich, wenn die Behörden gehalten sind, diese Informationen nach in dem betreffenden Mitgliedstaat geltenden Rechtsvorschriften, insbesondere im Zusammenhang mit Gerichtsverfahren, offenzulegen oder weiterzugeben.

(4)   Die Behörden speichern personenbezogene Daten, die sie gemäß den Artikeln 4, 5 und 8 erhalten haben, für einen Zeitraum von 20 Jahren ab dem Zeitpunkt des Erhalts der Daten. Am Ende dieses Zeitraums werden diese personenbezogenen Daten gelöscht.

Artikel 11

Sanktionen

Die Mitgliedstaaten legen die Vorschriften für Sanktionen fest, die bei Verstößen gegen diese Verordnung Anwendung finden und sie ergreifen alle erforderlichen Maßnahmen, um sicherzustellen, dass sie umgesetzt werden. Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.

Bis zum 28. Dezember 2020 setzen die Mitgliedstaaten die Kommission über die Vorschriften für Sanktionen und die damit zusammenhängenden Maßnahmen in Kenntnis, die auf ein nach Artikel 3 Absatz 1 verbotswidriges Verbringen von Kulturgütern anwendbar sind,

Bis zum 28. Juni 2025 setzen die Mitgliedstaaten die Kommission über die Vorschriften für Sanktionen und die damit zusammenhängenden Maßnahmen im Falle anderer Verstöße gegen diese Verordnung, insbesondere im Falle falscher Erklärungen oder der Vorlage falscher Informationen, sowie über die entsprechenden Maßnahmen, in Kenntnis,

Die Mitgliedstaaten teilen der Kommission unverzüglich alle nachfolgenden Änderungen dieser Vorschriften mit.

Artikel 12

Zusammenarbeit mit Drittländern

Die Kommission kann für in ihren Tätigkeitsbereich fallende Angelegenheiten, und soweit dies für die Erfüllung ihrer Aufgaben im Rahmen dieser Verordnung erforderlich ist, in Zusammenarbeit mit den Mitgliedstaaten Schulungen und Maßnahmen zum Kapazitätsaufbau für Drittländer organisieren.

Artikel 13

Ausschussverfahren

(1)   Die Kommission wird von dem mit Artikel 8 der Verordnung (EG) Nr. 116/2009 des Rates eingesetzten Ausschuss unterstützt. Dabei handelt es sich um einen Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

(2)   Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.

Artikel 14

Berichterstattung und Bewertung

(1)   Die Mitgliedstaaten stellen der Kommission Informationen über die Umsetzung dieser Verordnung zur Verfügung.

Die Kommission übermittelt den Mitgliedstaaten zu diesem Zweck entsprechende Fragebogen. Die Mitgliedstaaten haben nach Eingang der Fragebogen sechs Monate Zeit, um der Kommission die angeforderten Informationen zu übermitteln.

(2)   Innerhalb von drei Jahren nach dem Tag, an dem diese Verordnung in Ihrer Gesamtheit anwendbar wird, und danach alle fünf Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Durchführung dieser Verordnung vor. Dieser Bericht ist öffentlich zugänglich und enthält einschlägige statistische Informationen sowohl auf Unionsebene als auch auf nationaler Ebene wie etwa die Anzahl der erteilten Einfuhrgenehmigungen, der abgelehnten Anträge und der vorgelegten Erklärungen der Einführer. Er enthält eine Prüfung der praktischen Durchführung, einschließlich der Auswirkungen auf die Wirtschaftsbeteiligten der Union, insbesondere KMU.

(3)   Bis zum 28. Juni 2020 und danach alle zwölf Monate, bis das elektronische System gemäß Artikel 9 eingerichtet worden ist, legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Fortschritte bei der Annahme der Durchführungsrechtsakte gemäß Artikel 8 Absatz 2 und bei der Einrichtung des elektronischen Systems gemäß Artikel 9 vor.

Artikel 15

Inkrafttreten

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Artikel 16

Geltung

(1)   Diese Verordnung gilt ab dem Tag ihres Inkrafttretens.

(2)   Ungeachtet des Absatzes 1

a)

gilt Artikel 3 Absatz 1 ab dem 28. Dezember 2020;

b)

gelten Artikel 3 Absätze 2 bis 5, Absatz 7 und 8, Artikel 4 Absätze 1 bis 10, Artikel 5 Absätze 1 und 2 und Artikel 8 Absatz 1 ab dem Tag, an dem das elektronische System gemäß Artikel 8 einsatzbereit ist, oder spätestens ab dem 28. Juni 2025. Die Kommission veröffentlicht das Datum, an dem die Bedingungen dieses Absatzes erfüllt sind, im Amtsblatt der Europäischen Union Reihe C.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Geschehen zu Straßburg 17. April 2019 am.

Im Namen des Europäischen Parlaments

Der Präsident

A. TAJANI

Im Namen des Rates

Der Präsident

G. CIAMBA


(1)  Standpunkt des Europäischen Parlaments vom 12. März 2019 (noch nicht im Amtsblatt veröffentlicht) und Beschluss des Rates vom 9. April 2019.

(2)  Richtlinie (EU) 2017/541 des Europäischen Parlaments und des Rates vom 15. März 2017 zur Terrorismusbekämpfung und zur Ersetzung des Rahmenbeschlusses 2002/475/JI des Rates und zur Änderung des Beschlusses 2005/671/JI des Rates (ABl. L 88 vom 31.3.2017, S. 6).

(3)  Verordnung (EU) Nr. 952/2013 des Europäischen Parlaments und des Rates vom 9. Oktober 2013 zur Festlegung des Zollkodex der Union (ABl. L 269 vom 10.10.2013, S. 1).

(4)  Verordnung (EG) Nr. 116/2009 des Rates vom 18. Dezember 2008 über die Ausfuhr von Kulturgütern (ABl. L 39 vom 10.2.2009, S. 1).

(5)  Richtlinie 2014/60/EU des Europäischen Parlaments und des Rates vom 15. Mai 2014 über die Rückgabe von unrechtmäßig aus dem Hoheitsgebiet eines Mitgliedstaats verbrachten Kulturgütern und zur Änderung der Verordnung (EU) Nr. 1024/2012 (ABl. L 159 vom 28.5.2014, S. 1).

(6)  Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

(7)  Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39).

(8)  Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).


ANHANG

Teil A.   Kulturgüter gemäß Artikel 3 Absatz 1

a)

Seltene Sammlungen und Exemplare der Zoologie, Botanik, Mineralogie und Anatomie sowie Gegenstände von paläontologischem Interesse;

b)

Gut, das sich auf die Geschichte einschließlich der Geschichte von Wissenschaft und Technik sowie der Militär- und Sozialgeschichte, das Leben nationaler Anführer, Denker, Wissenschaftler und Künstler und Ereignisse von nationaler Bedeutung bezieht;

c)

Ergebnisse archäologischer Ausgrabungen (sowohl vorschriftsmäßiger als auch unerlaubter) oder archäologischer Entdeckungen zu Lande oder unter Wasser;

d)

Teile künstlerischer oder geschichtlicher Denkmäler oder archäologischer Stätten, die nicht mehr vollständig sind (1);

e)

Antiquitäten, die mehr als hundert Jahre alt sind, wie Inschriften, Münzen und gravierte Siegel;

f)

Gegenstände von ethnologischem Interesse;

g)

Gegenstände von künstlerischem Interesse wie:

i)

Bilder, Gemälde und Zeichnungen, die ausschließlich von Hand auf einem beliebigen Träger und aus einem beliebigen Material angefertigt sind (ausgenommen industrielle Entwürfe und handbemalte Manufakturwaren);

ii)

Originalwerke der Bildhauerkunst und der Skulptur aus einem beliebigen Material;

iii)

Originalgravuren, -drucke und -lithographien;

iv)

Originale von künstlerischen Assemblagen und Montagen aus einem beliebigen Material;

h)

seltene Manuskripte und Inkunabeln;

i)

alte Bücher, Dokumente und Publikationen von besonderem Interesse (historisch, künstlerisch, wissenschaftlich, literarisch usw.), einzeln oder in Sammlungen;

j)

Briefmarken, Steuermarken und Ähnliches, einzeln oder in Sammlungen;

k)

Archive einschließlich Phono-, Foto- und Filmarchive;

l)

Möbelstücke, die mehr als hundert Jahre alt sind, und alte Musikinstrumente.

Teil B.   Kulturgüter gemäß Artikel 4

Kategorien von Kulturgütern gemäß Teil A

Kombinierte Nomenklatur (KN), Kapitel, Position oder Unterposition

Mindestalter

Mindestwert (Zollwert)

Besondere Maßeinheiten

c)

Ergebnisse archäologischer Ausgrabungen (sowohl vorschriftsmäßiger als auch unerlaubter), oder archäologischer Entdeckungen zu Lande oder unter Wasser;

ex 9705 ; ex 9706

über 250 Jahre alt

wertunabhängig

Anzahl Stück (p/st)

d)

Teile künstlerischer oder geschichtlicher Denkmäler oder archäologischer Stätten, die nicht mehr vollständig sind (2);

ex 9705 ; ex 9706

über 250 Jahre alt

wertunabhängig

Anzahl Stück (p/st)

Teil C.   Kulturgüter gemäß Artikel 5

Kategorien von Kulturgütern gemäß Teil A

Kombinierte Nomenklatur (KN), Kapitel, Position oder Unterposition

Mindestalter

Mindestwert (Zollwert)

Besondere Maßeinheiten

a)

Seltene Sammlungen und Exemplare der Zoologie, Botanik, Mineralogie und Anatomie sowie Gegenstände von paläontologischem Interesse;

ex 9705

über 200 Jahre alt

18 000  EUR oder mehr pro Stück

Anzahl Stück (p/st)

b)

Gut, das sich auf die Geschichte einschließlich der Geschichte von Wissenschaft und Technik sowie der Militär- und Sozialgeschichte, das Leben nationaler Anführer, Denker, Wissenschaftler und Künstler und Ereignisse von nationaler Bedeutung bezieht;

ex 9705

über 200 Jahre alt

18 000  EUR oder mehr pro Stück

Anzahl Stück (p/st)

e)

Antiquitäten wie Inschriften, Münzen und gravierte Siegel;

ex 9706

über 200 Jahre alt

18 000  EUR oder mehr pro Stück

Anzahl Stück (p/st)

f)

Gegenstände von ethnologischem Interesse;

ex 9705

über 200 Jahre alt

18 000  EUR oder mehr pro Stück

Anzahl Stück (p/st)

g)

Gegenstände von künstlerischem Interesse wie:

 

 

 

 

i)

Bilder, Gemälde und Zeichnungen, die ausschließlich von Hand auf einem beliebigen Träger und aus einem beliebigen Material angefertigt sind (ausgenommen industrielle Entwürfe und handbemalte Manufakturwaren);

ex 9701

über 200 Jahre alt

18 000  EUR oder mehr pro Stück

Anzahl Stück (p/st)

ii)

Originalwerke der Bildhauerkunst und der Skulptur aus einem beliebigen Material;

ex 9703

über 200 Jahre alt

18 000  EUR oder mehr pro Stück

Anzahl Stück (p/st)

iii)

Originalgravuren, -drucke und -lithographien;

ex 9702 ;

über 200 Jahre alt

18 000  EUR oder mehr pro Stück

Anzahl Stück (p/st)

iv)

Originale von künstlerischen Assemblagen und Montagen aus einem beliebigen Material;

ex 9701

über 200 Jahre alt

18 000  EUR oder mehr pro Stück

Anzahl Stück (p/st)

h)

seltene Manuskripte und Inkunabeln

ex 9702 ; ex 9706

über 200 Jahre alt

18 000  EUR oder mehr pro Stück

Anzahl Stück (p/st)

i)

alte Bücher, Dokumente und Publikationen von besonderem Interesse (historisch, künstlerisch, wissenschaftlich, literarisch usw.), einzeln oder in Sammlungen;

ex 9705 ; ex 9706

über 200 Jahre alt

18 000  EUR oder mehr pro Stück

Anzahl Stück (p/st)


(1)  Liturgische Ikonen und Statuen, selbst wenn sie freistehend sind, sind als Kulturgüter zu betrachten, die unter diese Kategorie fallen.

(2)  Liturgische Ikonen und Statuen, selbst wenn sie frei stehend sind, sind als Kulturgüter zu betrachten, die unter diese Kategorie fallen.


7.6.2019   

DE

Amtsblatt der Europäischen Union

L 151/15


VERORDNUNG (EU) 2019/881 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 17. April 2019

über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit)

(Text von Bedeutung für den EWR)

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 114,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (1),

nach Stellungnahme des Ausschusses der Regionen (2),

gemäß dem ordentlichen Gesetzgebungsverfahren (3),

in Erwägung nachstehender Gründe:

(1)

Netz- und Informationssysteme sowie elektronische Kommunikationsnetze und -dienste spielen eine lebenswichtige Rolle in der Gesellschaft und sind mittlerweile zum Hauptmotor des Wirtschaftswachstums geworden. Die Informations- und Kommunikationstechnologien (IKT) bilden das Rückgrat der komplexen Systeme, die alltägliche gesellschaftliche Tätigkeiten unterstützen und unsere Volkswirtschaften in Schlüsselsektoren wie Gesundheit, Energie, Finanzen und Verkehr aufrechterhalten und die insbesondere dafür sorgen, dass der Binnenmarkt reibungslos funktioniert.

(2)

Die Nutzung von Netz- und Informationssystemen durch Bürger, Organisationen und Unternehmen ist mittlerweile in der Union allgegenwärtig. Digitalisierung und Konnektivität entwickeln sich zu Kernmerkmalen einer ständig steigenden Zahl von Produkten und Dienstleistungen; mit dem Aufkommen des Internets der Dinge dürften in den nächsten Jahrzehnten eine extrem hohe Zahl vernetzte digitale Geräte unionsweit Verbreitung finden. Zwar sind immer mehr Geräte mit dem Internet vernetzt, doch verfügen sie über eine nur unzureichende Cybersicherheit, da die Sicherheit und Abwehrfähigkeit dieser Geräte schon bei der Konzeption nicht ausreichend berücksichtigt wurden. In diesem Zusammenhang führt das geringe Maß an Zertifizierung dazu, dass Personen, Organisationen und Unternehmen die IKT-Produkte, -Dienste und -prozesse nutzen, nur unzureichend über deren Cybersicherheitsmerkmale informiert werden, wodurch das Vertrauen in digitale Lösungen untergraben wird. Netz- und Informationssysteme können uns das Leben in jeder Hinsicht erleichtern und das Wirtschaftswachstum der Union anzukurbeln. Sie spielen eine tragende Rolle bei der Verwirklichung des digitalen Binnenmarkts.

(3)

Mit der zunehmenden Digitalisierung und Vernetzung steigen auch die Cybersicherheitsrisiken, wodurch die Gesellschaft insgesamt anfälliger für Cyberbedrohungen wird und die Gefahren zunehmen, denen Privatpersonen und insbesondere schutzbedürftige Personen wie Kinder ausgesetzt sind. Um diesen Gefahren zu begegnen, gilt es, alle für die Erhöhung der Cybersicherheit in der Union notwendigen Maßnahmen zu ergreifen, damit die Netz- und Informationssysteme, die Kommunikationsnetze und die digitalen Produkte, Dienste und Geräte, die von Bürgern, Organisationen und Unternehmen — von kleinen und mittleren Unternehmen (KMU) im Sinne der Empfehlung 2003/361/EG der Kommission (4) bis zu Betreibern kritischer Infrastrukturen — genutzt werden, besser vor Cyberbedrohungen geschützt sind.

(4)

Durch das Zurverfügungstellung einschlägiger Informationen für die Öffentlichkeit trägt die mit der Verordnung (EU) Nr. 526/2013 des Europäischen Parlaments und des Rates (5) errichtete Agentur der Europäischen Union für Netz- und Informationssicherheit (im Folgenden „ENISA“) zur Entwicklung der Cybersicherheitsbranche in der Union, insbesondere von KMU und Start-ups, bei. Die ENISA sollte sich um eine engere Zusammenarbeit mit Universitäten und Forschungseinrichtungen bemühen, um einen Beitrag zur Verringerung der Abhängigkeit von Cybersicherheitsprodukten und -diensten von außerhalb der Union zu leisten und die Lieferketten innerhalb der Union zu stärken.

(5)

Cyberangriffe nehmen zu und eine Wirtschaft und Gesellschaft, die durch ihre Vernetzung anfälliger für Cyberbedrohungen und -angriffe ist, benötigt daher einen stärkeren Schutz. Obwohl jedoch die Cyberangriffe häufig grenzüberschreitend sind, sind die Zuständigkeiten und Reaktionen der für die Cybersicherheit und für die Strafverfolgung zuständigen Behörden vor allem national. Sicherheitsvorfälle großen Ausmaßes könnten die Bereitstellung wesentlicher Dienste in der gesamten Union empfindlich stören. Notwendig sind daher effektive und koordinierte Maßnahmen sowie ein Krisenmanagement auf Unionsebene, gestützt auf gezielte Strategien, sowie ein breiter angelegtes Instrumentarium für europäische Solidarität und gegenseitige Hilfe. Zudem sind daher eine auf zuverlässigen Daten der Union basierende regelmäßige Überprüfung des Stands der Cybersicherheit und der Abwehrfähigkeit in der Union sowie eine systematische Prognose künftiger Entwicklungen, Herausforderungen und Bedrohungen — auf Unionsebene und auf globaler Ebene — für die Entscheidungsträger, die Branche und die Nutzer gleichermaßen wichtig.

(6)

Angesichts immer größerer Herausforderungen, die sich der Union im Bereich der Cybersicherheit stellen, bedarf es eines umfassenden Maßnahmenpakets, das auf den bisherigen Maßnahmen der Union aufbauen und sich wechselseitig verstärkende Ziele unterstützen würde. Diese Ziele beinhalten eine weitere Stärkung der Fähigkeiten und der Abwehrbereitschaft der Mitgliedstaaten und Unternehmen sowie eine bessere Zusammenarbeit, einen besseren Informationsaustausch und Koordinierung zwischen den Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der Union. Da Cyberbedrohungen an keinen Grenzen Halt machen, gilt es zudem, die Fähigkeiten auf Unionsebene zu stärken, die Maßnahmen der Mitgliedstaaten vor allem dann ergänzen könnten, wenn es zu grenzüberschreitenden Sicherheitsvorfällen und -krisen von großem Ausmaß kommt, unter Berücksichtigung der Bedeutung der Bewahrung und Verbesserung der nationalen Fähigkeiten zur Reaktion auf Cyberbedrohungen jeglichen Umfangs.

(7)

Darüber hinaus sind weitere Anstrengungen notwendig, um die Bürger, Organisationen und Unternehmen für Fragen der Cybersicherheit zu sensibilisieren. Da Sicherheitsvorfälle das Vertrauen in Anbieter digitaler Dienste und in den digitalen Binnenmarkt als solchen insbesondere unter den Verbrauchern untergraben, sollte dieses Vertrauen dadurch gestärkt werden, dass auf transparente Art und Weise Informationen über das Niveau der Sicherheit von IKT-Produkten, -Diensten und -Prozessen bereitgestellt werden, wobei betont wird, dass auch eine Cybersicherheitszertifizierung auf hohem Niveau nicht garantieren kann, dass ein IKT-Produkt, -Dienst oder -Prozess völlig sicher ist. Eine Stärkung des Vertrauens kann durch eine unionsweite Zertifizierung erleichtert werden, für die über nationale Märkte und Sektoren hinaus unionsweit einheitliche Anforderungen und Bewertungskriterien für die Cybersicherheit festgelegt werden.

(8)

Cybersicherheit ist nicht nur eine Frage der Technologie, sondern eine, bei der das menschliche Verhalten ebenso wichtig ist. Daher sollte die „Cyberhygiene“, also einfache Routinemaßnahmen, durch die, wenn sie von Bürgern, Organisationen und Unternehmen regelmäßig umgesetzt und durchgeführt werden, die Risiken von Cyberbedrohungen so gering wie möglich gehalten werden, nachdrücklich gefördert werden.

(9)

Um die Cybersicherheitsstrukturen der Union zu stärken, müssen die Fähigkeiten der Mitgliedstaaten, umfassend auf Cyberbedrohungen — einschließlich grenzüberschreitender Sicherheitsvorfälle — zu reagieren, erhalten und ausgebaut werden.

(10)

Die Unternehmen und die einzelnen Verbraucher sollten über präzise Informationen darüber verfügen, auf welcher Vertrauenswürdigkeitsstufe die Sicherheit ihrer IKT-Produkte, -Dienste und -Prozesse zertifiziert wurde. Allerdings bietet kein IKT-Produkt oder -dienst hundertprozentige Cybersicherheit weshalb grundlegenden Prinzipien der Cyberhygiene verbreitet werden sollten und ihnen Vorrang eingeräumt werden sollte. Angesichts der zunehmenden Verbreitung von Geräten des Internets der Dinge kann die Privatwirtschaft zahlreiche freiwillige Maßnahmen treffen, um das Vertrauen in die Sicherheit von IKT-Produkten, -Diensten und -Prozessen zu stärken.

(11)

Moderne IKT-Produkte und -Systeme weisen oft einen oder mehrere von Dritten entwickelte Technologien und Bestandteile wie Software-Module, Bibliotheken oder Programmierschnittstellen auf und sind von diesen abhängig. Diese „Abhängigkeit“ könnte zusätzliche Risiken im Bereich der Cybersicherheit bergen, da sich Sicherheitslücken in Bestandteilen Dritter auch auf die Sicherheit von IKT-Produkten, -Diensten, und -Prozessen auswirken könnten. In vielen Fällen ermöglicht die Aufdeckung und Dokumentierung solcher „Abhängigkeiten“ den Endnutzern von IKT-Produkten, -Diensten und -Prozessen die Verbesserung ihres Risikomanagements im Bereich der Cybersicherheit, indem beispielsweise die Behandlung von Sicherheitslücken im Bereich der Cybersicherheit durch die Nutzer und deren Abhilfeverfahren verbessert werden.

(12)

Organisationen, Hersteller oder Diensteanbieter, die an der Konzeption und Entwicklung von IKT-Produkten, -Diensten und -Prozessen beteiligt sind, sollten dazu angehalten werden, in den ersten Phasen der Konzeption und Entwicklung Maßnahmen durchzuführen, um die Sicherheit dieser Produkte, Dienste und Prozesse möglichst weitgehend zu schützen, in dem sie davon ausgehen, dass Cyberangriffe vorliegen, und deren Folgen vorwegzunehmen und so gering wie möglich zu halten (konzeptionsintegrierte Sicherheit — security by design). Die Sicherheit sollte während der gesamten Lebensdauer des IKT-Produkts, -Dienstes oder -Prozesses berücksichtigt werden, wobei die Konzeptions- und Entwicklungsprozesse ständig weiterentwickelt werden sollten, um das Risiko von Schäden durch eine böswillige Nutzung zu verringern.

(13)

Unternehmen, Organisationen und der öffentliche Sektor sollten die von ihnen konzipierten IKT-Produkte, -Dienste oder -Prozesse so konfigurieren, dass ein höheres Maß an Sicherheit gewährleistet ist, das es dem ersten Nutzer ermöglicht, eine Standardkonfiguration mit den sichersten möglichen Einstellungen („security by default“) zu erhalten; somit wären die Nutzer in geringerem Maße der Belastung ausgesetzt, ein IKT-Produkt, -einen IKT-Dienst oder einen IKT-Prozess angemessen konfigurieren zu müssen. Die Sicherheit durch Voreinstellungen („security by default“) sollte weder eine umfangreiche Konfiguration erfordern, noch spezifische technische Kenntnisse oder ein nicht offensichtliches Verhalten seitens des Nutzers, und sie sollte dort, wo sie implementiert wurde, einfach und zuverlässig funktionieren. Wenn im Einzelfall eine Risiko- und Nutzbarkeitsanalyse zu dem Ergebnis führt, dass eine solche vordefinierte Einstellung nicht machbar ist, sollten die Nutzer aufgefordert werden, die sicherste Einstellung zu wählen.

(14)

Mit der Verordnung (EG) Nr. 460/2004 des Europäischen Parlaments und des Rates (6) wurde die ENISA als Beitrag zu den Zielen errichtet, innerhalb der Union eine hohe und effektive Netz- und Informationssicherheit zu gewährleisten und eine Kultur der Netz- und Informationssicherheit zu entwickeln, die Bürgern, Verbrauchern, Unternehmen und öffentlicher Verwaltung zugute kommt. Mit der Verordnung (EG) Nr. 1007/2008 des Europäischen Parlaments und des Rates (7) wurde das Mandat der ENISA bis März 2012 verlängert. Durch die Verordnung (EU) Nr. 580/2011 des Europäischen Parlaments und des Rates (8) wurde das Mandat der ENISA nochmals bis zum 13. September 2013 verlängert. Mit der Verordnung (EU) Nr. 526/2013 des Europäischen Parlaments und des Rates wurde das Mandat der ENISA bis zum 19. Juni 2020 verlängert.

(15)

Die Union hat bereits wichtige Maßnahmen ergriffen, um die Cybersicherheit zu gewährleisten und das Vertrauen in die digitale Technik zu stärken. Im Jahr 2013 wurde die EU-Cybersicherheitsstrategie der Europäischen Union verabschiedet, die der Union als Orientierung für strategische Reaktionen auf Cybersicherheitsbedrohungen und -risiken dient. Im Zuge ihrer Bemühung, den Online-Schutz der Bürger zu verbessern, hat die Union im Jahr 2016 mit der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates (9) den ersten Rechtsakt auf dem Gebiet der Cybersicherheit erlassen. Mit der Richtlinie (EU) 2016/1148 wurden Anforderungen an die nationalen Fähigkeiten im Bereich der Cybersicherheit sowie erstmals Mechanismen zur Stärkung der strategischen und operativen Zusammenarbeit zwischen den Mitgliedstaaten festgelegt und ferner Verpflichtungen in Bezug auf die Sicherheitsmaßnahmen und die Meldung von Sicherheitsvorfällen für die Sektoren, die für die Wirtschaft und Gesellschaft lebenswichtig sind, wie Energie, Verkehr, Trinkwasserlieferung und -versorgung, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, digitale Infrastruktur sowie für Anbieter zentraler digitaler Dienste (Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze) eingeführt.

Eine zentrale Aufgabe bei der Umsetzung dieser Richtlinie wurde dabei der ENISA zugewiesen. Darüber hinaus ist die wirksame Bekämpfung der Cyberkriminalität als ein Aspekt bei der Verfolgung des übergeordneten Ziels einer hohen Cybersicherheit ein wichtiger Schwerpunkt der Europäischen Sicherheitsagenda. Andere Rechtsakte wie die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (10) und die Richtlinie 2002/58/EG (11) sowie die Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates (12) tragen auch zu einem hohen Maß an Cybersicherheit im digitalen Binnenmarkt bei.

(16)

Seit der Verabschiedung der Cybersicherheitsstrategie der Europäischen Union im Jahr 2013 und der letzten Überarbeitung des Mandats der ENISA hat sich der gesamtpolitische Rahmen deutlich verändert, da das globale Umfeld nun von größeren Unwägbarkeiten und geringerer Sicherheit geprägt ist. Vor diesem Hintergrund und im Kontext der positiven Entwicklung der Rolle der ENISA als ein Bezugspunkt für Beratung und Sachkenntnis und als Vermittlerin in Bezug auf Zusammenarbeit und den Aufbau von Fähigkeiten sowie angesichts der neuen Unionspolitik im Bereich der Cybersicherheit muss das Mandat der ENISA im Hinblick auf ihre neue Rolle im veränderten Cybersicherheitsökosystem überarbeitet werden, damit sie die Union wirksam dabei unterstützen kann, auf die Herausforderungen im Bereich der Cybersicherheit zu reagieren, die sich aus der grundlegend veränderten Cyberbedrohungslandschaft ergeben und für die — wie in der Bewertung der ENISA bestätigt — das laufende Mandat nicht ausreicht.

(17)

Die mit dieser Verordnung errichtete ENISA sollte Rechtsnachfolgerin der durch die Verordnung (EU) Nr. 526/2013 errichteten ENISA sein. Die ENISA sollte die Aufgaben wahrnehmen, die ihr mit dieser Verordnung und anderen Rechtsakten der Union im Bereich der Cybersicherheit übertragen werden, indem sie unter anderem Beratung bietet und Sachkenntnis bereitstellt indem sie die Rolle eines Informations- und Wissenszentrums der Union übernimmt. Sie sollte den Austausch bewährter Verfahren zwischen den Mitgliedstaaten und privaten Interessenträgern fördern, der Kommission und den Mitgliedstaaten strategische Vorschläge unterbreiten, als Bezugspunkt für sektorspezifische politische Initiativen der Union im Bereich der Cybersicherheit dienen und die operative Zusammenarbeit sowohl zwischen den Mitgliedstaaten als auch zwischen den Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der Union fördern.

(18)

Mit dem Einvernehmlichen Beschluss 2004/97/EG, Euratom der auf Ebene der Staats- und Regierungschefs vereinigten Vertreter der Mitgliedstaaten (13), legten die Vertreter der Mitgliedstaaten fest, dass die ENISA ihren Sitz in Griechenland in einer von der griechischen Regierung zu benennenden Stadt haben soll. Der Sitzmitgliedstaat der ENISA sollte die bestmöglichen Voraussetzungen für eine reibungslose und effiziente Tätigkeit der ENISA gewährleisten. Damit die ENISA ihre Aufgaben ordnungsgemäß und effizient erfüllen, Personal einstellen und binden und die Effizienz der Vernetzungsmaßnahmen steigern kann, ist es unbedingt erforderlich, sie an einem geeigneten Standort anzusiedeln, der unter anderem eine angemessene Verkehrsanbindung sowie Einrichtungen für die Ehepartner und Kinder des Personals der ENISA bietet. Die erforderlichen Modalitäten sollten in einem Abkommen zwischen der ENISA und dem Sitzmitgliedstaat festgelegt werden, das nach Billigung durch den Verwaltungsrat der ENISA geschlossen wird.

(19)

Angesichts der zunehmenden Bedrohungen und Herausforderungen, mit denen die Union im Bereich der Cybersicherheit konfrontiert ist, sollten die Mittelzuweisungen für die ENISA erhöht werden, damit ihre finanzielle und personelle Ausstattung ihrer größeren Rolle und ihren umfangreicheren Aufgaben sowie ihrer wichtigen Stellung im Ökosystem der Organisationen gerecht werden kann, die das digitale Ökosystem der Union verteidigen, sodass die ENISA die ihr mit dieser Verordnung übertragenen Aufgaben wirksam erfüllen kann.

(20)

Die ENISA sollte ein hohes Niveau an Sachkenntnis entwickeln und pflegen und als Bezugspunkt fungieren, wobei sie durch ihre Unabhängigkeit, die Qualität ihrer Beratung und der von ihr verbreiteten Informationen, die Transparenz ihrer Verfahren, die Transparenz ihrer Arbeitsmethoden sowie die Sorgfalt, mit der sie ihre Aufgaben erfüllt, Vertrauen in den Binnenmarkt schafft. Die ENISA sollte die Bemühungen der Mitgliedstaaten aktiv unterstützen und vorausgreifend zu den Bemühungen der Union beitragen und ihre Aufgaben in uneingeschränkter Zusammenarbeit mit den Organen, Einrichtungen und sonstigen Stellen der Union und den Mitgliedstaaten wahrnehmen, wobei Doppelarbeiten vermieden und Synergien gefördert werden sollten. Außerdem sollte sich die ENISA auf die Beiträge des Privatsektors und anderer einschlägiger Interessenträger sowie auf die Zusammenarbeit mit ihnen stützen. Mit einer Reihe von Aufgaben sollte bei gleichzeitiger Wahrung der Flexibilität in ihrer Tätigkeit vorgegeben werden, wie die ENISA ihre Ziele erreichen soll.

(21)

Damit sie die operative Zusammenarbeit zwischen den Mitgliedstaaten angemessen unterstützen kann, sollte die ENISA ihre technischen und menschlichen Fähigkeiten und Fertigkeiten weiter ausbauen. Die ENISA sollte ihr Know-how und ihre Fähigkeiten vergrößern. Die ENISA und die Mitgliedstaaten könnten auf freiwilliger Basis Programme für die Entsendung von nationalen Sachverständigen an die ENISA, die Bildung von Pools von Sachverständigen und den Austausch von Personal entwickeln.

(22)

Die ENISA sollte die Kommission mit Beratung, Stellungnahmen und Analysen zu allen Angelegenheiten der Union, die mit der Ausarbeitung, Aktualisierung und Überprüfung von Strategien und Rechtsvorschriften im Bereich der Cybersicherheit und den diesbezüglichen sektorenspezifischen Aspekten zusammenhängen, unterstützen, damit die Strategien und Rechtsvorschriften der Union mit einer Cybersicherheitsdimension zweckdienlicher gestaltet werden und die kohärente Umsetzung dieser Strategien und Rechtsvorschriften auf nationaler Ebene ermöglicht wird. Für sektorspezifische Strategien und Rechtsetzungsinitiativen der Union im Zusammenhang mit der Cybersicherheit sollte die ENISA als Bezugspunkt für Beratung und Sachkenntnis dienen. Die ENISA sollte dem Europäischen Parlament regelmäßig über ihre Tätigkeiten Bericht erstatten.

(23)

Der öffentliche Kern des offenen Internets, d. h. seine wichtigsten Protokolle und Infrastrukturen, die ein globales öffentliches Gut sind, stellt die wesentlichen Funktionen des Internets als Ganzes bereit und bildet die Grundlage für dessen normalen Betrieb. Die ENISA sollte die Sicherheit und Stabilität dieses öffentlichen Kerns des offenen Internets unterstützen, unter anderem — aber nicht beschränkt auf — die wichtigsten Protokolle (insbesondere DNS, BGP und IPv6), den Betrieb des „Domain Name System“ (DNS) (wie den Betrieb aller Domänen der obersten Ebene) und den Betrieb der Root-Zone.

(24)

Die ENISA hat grundsätzlich die Aufgabe, die einheitliche Umsetzung des einschlägigen Rechtsrahmens, vor allem die wirksame Umsetzung der Richtlinie (EU) 2016/1148 und anderer maßgeblicher Rechtsakte zu Aspekten der Cybersicherheit, zu unterstützen, was für die Stärkung der Abwehrfähigkeit gegen Cyberangriffe unerlässlich ist. Angesichts der sich rasch weiterentwickelnden Bedrohungen für die Cybersicherheit ist klar, dass die Mitgliedstaaten beim Aufbau der Abwehrfähigkeit gegen Cyberangriffe durch ein umfassenderes und ressortübergreifendes Konzept unterstützt werden müssen.

(25)

Die ENISA sollte die Mitgliedstaaten und die Organe, Einrichtungen und sonstigen Stellen der Union in ihrem Bemühen um den Auf- und Ausbau der Fähigkeiten und der Bereitschaft zur Verhütung, Erkennung und Bewältigung von Cyberbedrohungen und von Sicherheitsvorfällen im Zusammenhang mit der Netz- und Informationssicherheit unterstützen. So sollte die ENISA den Auf- und Ausbau der in der Richtlinie (EU) 2016/1148 vorgesehenen Reaktionsteams für Computersicherheitsverletzungen (im Folgenden „CSIRTs“) der Mitgliedstaaten und der Union unterstützen, damit sie ein unionsweit hohes Maß an Ausgereiftheit erreichen. Die Tätigkeiten der ENISA im Zusammenhang mit den operativen Kapazitäten der Mitgliedstaaten sollten die Maßnahmen der Mitgliedstaaten zur Erfüllung ihrer Verpflichtungen aus der Richtlinie (EU) 2016/1148 aktiv unterstützen und diese daher nicht ersetzen.

(26)

Zudem sollte die ENISA auf Ersuchen die Ausarbeitung und Aktualisierung von Strategien im Bereich der Netz- und Informationssysteme auf Unionsebene und, auf Anfrage, auf Ebene der Mitgliedstaaten, insbesondere der Cybersicherheit, unterstützen und sollte die Verbreitung solcher Strategien fördern und die Fortschritte bei deren Umsetzung verfolgen. Die ENISA sollte auch dazu beitragen, den Bedarf an Ausbildungsmaßnahmen und Ausbildungsmaterial, auch in Bezug auf öffentliche Stellen, zu decken, und gegebenenfalls in großem Umfang auf der Grundlage des Referenzrahmens für digitale Kompetenzen der Bürger Ausbilder weiterbilden, um die Mitgliedstaaten und die Organe, Einrichtungen und sonstigen Stellen der Union darin zu unterstützen, eigene Ausbildungskapazitäten aufzubauen.

(27)

Die ENISA sollte die Mitgliedstaaten im Bereich der Sensibilisierung und Ausbildung in Bezug auf die Cybersicherheit unterstützen, indem sie eine engere Koordinierung und den Austausch von bewährten Verfahren zwischen den Mitgliedstaaten fördert. Diese Unterstützung könnte darin bestehen, dass sie ein Netz von nationalen Bildungskontaktstellen und eine Ausbildungsplattform zur Cybersicherheit entwickelt. Das Netz der nationalen Bildungskontaktstellen könnte im Rahmen des Netzes der nationalen Verbindungsbeamten betrieben werden und einen Ausgangspunkt für die zukünftige Koordinierung innerhalb der Mitgliedstaaten bilden.

(28)

Die ENISA sollte die durch die Richtlinie (EU) 2016/1148 eingesetzte Kooperationsgruppe bei der Wahrnehmung ihrer Aufgaben unterstützen, indem sie vor allem ihre Sachkenntnis und Beratung zur Verfügung stellt und den Austausch bewährter Verfahren erleichtert, unter anderem was die Ermittlung von Betreibern wesentlicher Dienste durch die Mitgliedstaaten in Bezug auf Risiken und Sicherheitsvorfälle anbelangt, auch mit Blick auf grenzüberschreitende Abhängigkeiten.

(29)

Die ENISA sollte als Anreiz für die Zusammenarbeit zwischen dem öffentlichen und privaten Sektor, vor allem als Beitrag zum Schutz kritischer Infrastrukturen, den Informationsaustausch in und zwischen Sektoren, vor allem in den in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren, unterstützen, indem sie bewährte Verfahren und Leitfäden zu den verfügbaren Instrumenten und Verfahren bereitstellt und aufzeigt, wie regulatorische Fragen im Zusammenhang mit der Informationsweitergabe geklärt werden können, wobei dies beispielsweise durch die Erleichterung des Aufbaus sektorbezogener Informationsaustausch- und -analysezentren (Information Sharing and Analysis Centres) erreicht werden soll.

(30)

In Anbetracht der Tatsache, dass die möglichen negativen Auswirkungen von Sicherheitslücken bei IKT-Produkten, -Diensten und -Prozessen stetig zunehmen, spielen die Aufdeckung und die Behebung solcher Sicherheitslücken eine wichtige Rolle bei der Verringerung der Gesamtrisiken im Bereich der Cybersicherheit. Es hat sich gezeigt, dass die Zusammenarbeit zwischen Organisationen, Herstellern oder Anbietern besonders gefährdeter IKT-Produkte, -Dienste oder -Prozesse sowie Mitgliedern der Forschungsgemeinschaft im Bereich der Cybersicherheit und Regierungen, die diese Sicherheitslücken aufspüren, sowohl die Aufdeckung als auch die Behebung von Sicherheitslücken bei IKT-Produkten, -Diensten oder -Prozessen erheblich verbessert. Die koordinierte Offenlegung von Sicherheitslücken erfolgt in einem strukturierten Prozess der Zusammenarbeit, in dem Sicherheitslücken dem Eigentümer des Informationssystems gemeldet werden, wodurch die Organisation Gelegenheit zur Diagnose und Behebung der Sicherheitslücke erhält, bevor detaillierte Informationen über die Sicherheitslücke an Dritte oder die Öffentlichkeit weitergegeben werden. Das Verfahren sieht ferner eine Koordinierung zwischen demjenigen, der die Sicherheitslücke aufgespürt hat, und der Organisation im Hinblick auf die Veröffentlichung jener Sicherheitslücke vor. Grundsätze für die koordinierte Offenlegung von Sicherheitslücken könnten eine wichtige Rolle bei den Bemühungen der Mitgliedstaaten um die Verbesserung der Cybersicherheit spielen.

(31)

Die ENISA sollte die freiwillig bereitgestellten nationalen Berichte der CSIRTs und des interinstitutionellen IT-Notfallteams für die Organe, Einrichtungen und sonstigen Stellen der Union („CERT-EU“), welche mit der zwischen dem Europäischen Parlament, dem Europäischen Rat, dem Rat der Europäischen Union, der Europäischen Kommission, dem Gerichtshof der Europäischen Union, der Europäischen Zentralbank, dem Europäischen Rechnungshof, dem Europäischen Auswärtigen Dienst, dem Europäischen Wirtschafts- und Sozialausschuss, dem Europäischen Ausschuss der Regionen und der Europäischen Investitionsbank geschlossenen Vereinbarung über die Organisation und die Funktionsweise eines IT-Notfallteams für die Organe, Einrichtungen und sonstigen Stellen der Union (CERT-EU) (14) errichtet wurde, zusammenstellen und auswerten, um einen Beitrag zur Aufstellung gemeinsamer Verfahren für den Informationsaustausch, zur Festlegung der Sprache und zu terminologischen Vereinbarungen zu leisten. In diesem Zusammenhang sollte die ENISA im Rahmen der Richtlinie (EU) 2016/1148, die die Grundlage für den freiwilligen Austausch technischer Informationen auf operativer Ebene innerhalb des Netzwerks von Computer-Notfallteams (im Folgenden „CSIRTs-Netz“) gemäß der genannten Richtlinie geschaffen hat, auch den Privatsektor einbeziehen.

(32)

Die ENISA sollte dazu beitragen, dass bei massiven grenzüberschreitenden Vorfällen und -krisen in Bezug auf Cybersicherheit eine Reaktion auf Unionsebene erfolgt. Diese Aufgabe sollte ENISA entsprechend ihrem Mandat gemäß dieser Verordnung und einem Ansatz ausführen, der von den Mitgliedstaaten im Zusammenhang mit der Empfehlung (EU) 2017/1584 (15) der Kommission und den Schlussfolgerungen des Rates vom 26. Juni 2018 zu einer koordinierten Reaktion auf große Cybersicherheitsvorfälle und -krisen festzulegen ist. Zu dieser Aufgabe könnte auch gehören, dass sie relevante Informationen zusammenstellt und den Kontakt zwischen dem CSIRTs-Netz und den Fachkreisen sowie den für das Krisenmanagement zuständigen Entscheidungsträgern erleichtert. Zudem sollte die ENISA die operative Zusammenarbeit zwischen den Mitgliedstaaten auf Ersuchen eines oder mehrerer Mitgliedstaaten unterstützen, indem sie die Bewältigung der Sicherheitsvorfälle aus technischer Sicht übernimmt, indem sie den Austausch entsprechender technischer Lösungen zwischen den Mitgliedstaaten erleichtert und Beiträge für die Öffentlichkeitsarbeit liefert. Die ENISA sollte die operative Zusammenarbeit unterstützen, indem sie die Modalitäten einer solchen Zusammenarbeit im Rahmen regelmäßig stattfindender Cybersicherheitsübungen testet.

(33)

Zur Unterstützung der operativen Zusammenarbeit sollte die ENISA im Wege einer strukturierten Zusammenarbeit auf den bei der CERT-EU vorhandenen technischen und operativen Sachverstand zurückgreifen. Eine solche strukturierte Zusammenarbeit könnte auf der Sachkenntnis der ENISA aufbauen. Für die Festlegung der praktischen Aspekte einer solchen Kooperation und zur Vermeidung von Doppelarbeit sollten gegebenenfalls zwischen den beiden Stellen die hierfür notwendigen Modalitäten festgelegt werden.

(34)

Entsprechend ihrer Aufgabe, die operative Zusammenarbeit im Rahmen des CSIRTs-Netzes zu unterstützen, sollte die ENISA in der Lage sein, die Mitgliedstaaten auf deren Ersuchen hin zu unterstützen, indem sie diese beispielsweise berät, wie sie ihre Fähigkeiten zur Verhütung, Erkennung und Bewältigung von Sicherheitsvorfällen verbessern können, die technische Bewältigung von Sicherheitsvorfällen mit beträchtlichen oder erheblichen Auswirkungen erleichtert oder sicherstellt, dass Cyberbedrohungen und Sicherheitsvorfälle analysiert werden. Die ENISA sollte die technische Bewältigung von Sicherheitsvorfällen mit beträchtlichen oder erheblichen Auswirkungen insbesondere dadurch erleichtern, dass sie den freiwilligen Austausch technischer Lösungen zwischen den Mitgliedstaaten unterstützt oder kombinierte technische Informationen — etwa über technische Lösungen, die von den Mitgliedstaaten freiwillig bereitgestellt werden — erstellt. Der Empfehlung (EU) 2017/1584 zufolge sollten die Mitgliedstaaten in gutem Glauben untereinander sowie mit der ENISA Informationen über massive Vorfälle und -krisen in Bezug auf Cybersicherheit unverzüglich austauschen. Diese Informationen würden zudem der ENISA helfen, ihre Aufgabe wahrzunehmen, die operative Zusammenarbeit zu unterstützen.

(35)

Als Teil der regulären Zusammenarbeit auf technischer Ebene zur Unterstützung der EU-Lageeinschätzung sollte die ENISA auf der Grundlage öffentlich verfügbarer Informationen, ihrer eigenen Analysen und anhand von Berichten, die sie von den CSIRTs der Mitgliedstaaten oder den nationalen Anlaufstellen für die Sicherheit von Netz- und Informationssystemen gemäß der Richtlinie (EU) 2016/1148, in beiden Fällen auf freiwilliger Basis, dem Europäischen Zentrum zur Bekämpfung der Cyberkriminalität (EC3) bei Europol und dem CERT-EU sowie gegebenenfalls dem EU-Zentrum für Informationsgewinnung und -analyse (EU INTCEN) des Europäischen Auswärtigen Dienstes erhalten hat, regelmäßig und in enger Zusammenarbeit mit den Mitgliedstaaten eingehende EU-Cybersicherheitslageberichte über Sicherheitsvorfälle und Bedrohungen erstellen. Dieser Bericht sollte dem Rat, der Kommission, der Hohen Vertreterin der Union für die Gemeinsame Außen- und Sicherheitspolitik und dem CSIRTs-Netz zur Verfügung gestellt werden.

(36)

Die ENISA sollte sich bei der Unterstützung von nachträglichen technischen Untersuchungen von Sicherheitsvorfällen mit beträchtlichen oder erheblichen Auswirkungen, die sie auf Ersuchen der betreffenden Mitgliedstaaten leistet, auf die Verhütung künftiger Sicherheitsvorfälle konzentrieren. Die betreffenden Mitgliedstaaten sollten die notwendigen Informationen und die erforderliche Hilfe bereitstellen, damit die ENISA die nachträgliche technische Untersuchung wirksam unterstützen kann.

(37)

Die Mitgliedstaaten können die von dem Sicherheitsvorfall betroffenen Unternehmen auffordern, mit der ENISA zusammenzuarbeiten und dieser — unbeschadet ihres Rechts, sensible Geschäftsinformationen und Informationen, die für die öffentliche Sicherheit von Bedeutung sind, zu schützen — die notwendigen Informationen und Hilfen zur Verfügung stellen.

(38)

Um die Herausforderungen im Bereich der Cybersicherheit besser verstehen und den Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der Union langfristige strategische Beratung anbieten zu können, muss die ENISA aktuelle und neu auftretende Cybersicherheitsrisiken analysieren. Hierzu sollte die ENISA in Zusammenarbeit mit den Mitgliedstaaten und gegebenenfalls Statistikämtern und anderen Stellen einschlägige öffentlich zugängliche oder freiwillig bereitgestellte Informationen sammeln und Analysen neu entstehender Technik sowie themenspezifische Bewertungen dazu durchführen, welche gesellschaftlichen, rechtlichen, wirtschaftlichen und regulatorischen Folgen technische Innovationen für die Netz- und Informationssicherheit, insbesondere die Cybersicherheit, haben. Die ENISA sollte die Mitgliedstaaten sowie die Organe, Einrichtungen und sonstigen Stellen der Union darüber hinaus bei der Ermittlung sich abzeichnender Cybersicherheitsrisiken und bei der Vermeidung von Vorfällen unterstützen, indem sie Analysen der Cyberbedrohungen, Sicherheitslücken und Sicherheitsvorfälle durchführt.

(39)

Um die Abwehrfähigkeit der Union zu stärken, sollte die ENISA Fachwissen im Bereich der Cybersicherheit der Infrastrukturen, insbesondere zur Unterstützung der in Anhang II der Richtlinie (EU) 2016/1148 aufgeführten Sektoren und der Infrastrukturen, die von den in Anhang III jener Richtlinie aufgeführten Anbietern digitaler Dienste genutzt werden, aufbauen, indem Beratung, Leitlinien zur Verfügung gestellt und bewährte Verfahren ausgetauscht werden. Um den Zugang zu besser strukturierten Informationen über Cybersicherheitsrisiken und mögliche Abhilfemaßnahmen zu erleichtern, sollte die ENISA das Informationsportal der Union aufbauen und pflegen, über das der Öffentlichkeit Informationen der Organe, Einrichtungen und sonstigen Stellen der Union und der Mitgliedstaaten zur Cybersicherheit bereitgestellt werden. Ein leichterer Zugang zu besser strukturierten Informationen über Cybersicherheitsrisiken und mögliche Abhilfemaßnahmen könnte den Mitgliedstaaten auch dabei helfen, ihre Kapazitäten auszubauen und ihre Verfahren aufeinander abzustimmen, sodass die Abwehrfähigkeit gegenüber Cyberangriffen insgesamt gestärkt wird.

(40)

Die ENISA sollte dabei mitwirken, die Öffentlichkeit für Cybersicherheitsrisiken zu sensibilisieren, unter anderem durch eine unionsweite Sensibilisierungskampagne, die Förderung von Schulungen, und Leitlinien für bewährte Verfahren, die sich an Bürger, Organisationen und Unternehmen richten. Darüber hinaus sollte die ENISA einen Beitrag dazu leisten, bewährte Verfahren und Lösungen, einschließlich Cyberhygiene und Cyberkompetenz, auf der Ebene von Bürgern, Organisationen und Unternehmen zu fördern, indem sie öffentlich verfügbare Informationen über erhebliche Sicherheitsvorfälle sammelt und analysiert und Berichte und Leitlinien hierüber erstellt und veröffentlicht, die das Niveau der Abwehrbereitschaft und Abwehrfähigkeit von Bürgern, Organisationen und Unternehmen insgesamt erhöhen. Die ENISA sollte sich außerdem bemühen, Verbrauchern relevante Informationen über anwendbare Zertifizierungsschemata an die Hand zu geben, indem sie beispielsweise Leitlinien und Empfehlungen bereitstellt. Ferner sollte die ENISA gemäß dem mit der Mitteilung der Kommission vom 17. Januar 2018 aufgestellten Aktionsplan für digitale Bildung in Zusammenarbeit mit den Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der Union regelmäßige öffentliche Aufklärungskampagnen durchführen, die sich an die Endnutzer richten, um sicherere Verhaltensweisen der Nutzer im Internet und digitale Kompetenz zu fördern, die Nutzer stärker für potenzielle Bedrohungen im Internet — auch für die Internetkriminalität wie das Abgreifen von Daten (Phishing), Botnets, Finanz- und Bankenbetrug sowie Datenbetrug — zu sensibilisieren und einfache Empfehlungen in Bezug auf mehrstufige Authentifizierung, Patching, Verschlüsselung, Anonymisierung und Datenschutz zu geben.

(41)

Die ENISA sollte eine zentrale Rolle dabei spielen, die Sensibilisierung der Endnutzer für die Sicherheit von Geräten und die sichere Nutzung von Diensten zu forcieren und auf Unionsebene konzeptionsintegrierte Sicherheit und konzeptionsintegrierten Schutz der Privatsphäre (privacy by design) zu fördern. Dabei sollte die ENISA die verfügbaren bewährten Verfahren und die vorhandene Erfahrung insbesondere von Forschungseinrichtungen und Wissenschaftlern im Bereich IT-Sicherheit optimal nutzen.

(42)

Um die im Cybersicherheitssektor tätigen Unternehmen und die Nutzer von Cybersicherheitslösungen zu unterstützen, sollte die ENISA eine „Marktbeobachtungsstelle“ aufbauen und pflegen, die die wichtigsten Nachfrage- und Angebotstrends auf dem Cybersicherheitsmarkt regelmäßig analysiert und bekannt macht.

(43)

Die ENISA sollte einen Beitrag zu den Bemühungen der Union um eine Zusammenarbeit mit internationalen Organisationen sowie innerhalb der einschlägigen internationalen Gremien für die Zusammenarbeit im Bereich der Cybersicherheit leisten. Insbesondere sollte die ENISA gegebenenfalls an der Zusammenarbeit mit Organisationen wie der OECD, der OSZE und der NATO mitwirken. Diese Zusammenarbeit könnte gemeinsame Cybersicherheitsübungen und eine gemeinsame Koordinierung der Reaktion auf Sicherheitsvorfälle umfassen. Diese Aktivitäten müssen unter uneingeschränkter Achtung der Grundsätze der Inklusivität, der Gegenseitigkeit und der Beschlussfassungsautonomie der Union — unbeschadet der spezifischen Merkmale der Sicherheits- und Verteidigungspolitik der einzelnen Mitgliedstaaten — erfolgen.

(44)

Damit die ENISA ihre Ziele in vollem Umfang verwirklichen kann, sollte sie zu den einschlägigen Aufsichtsbehörden und anderen zuständigen Behörden in der Union und anderen zuständigen Behörden, Einrichtungen und sonstigen Stellen der Union Kontakt halten — etwa zum CERT-EU, EC3, zur Europäischen Verteidigungsagentur (EDA), zur Agentur für das Europäische zivile Satellitennavigationssystem (Europäische GNSS Agentur — GSA), zum Gremium Europäischer Regulierungsstellen für elektronische Kommunikation (GEREK), zur Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA), zur Europäischen Zentralbank (EZB), zur Europäischen Bankenaufsichtsbehörde (EBA), zum Europäischen Datenschutzausschuss, zur Agentur für die Zusammenarbeit der Energieregulierungsbehörden (ACER), zur Europäischen Agentur für Flugsicherheit (EASA) und zu sonstigen Agenturen der Union, die sich mit Fragen der Cybersicherheit beschäftigen. Für den Austausch von Know-how und bewährten Verfahren und für die Beratung zu Fragen der Cybersicherheit, die sich auf die Arbeit von Datenschutzbehörden auswirken können, sollte die ENISA auch mit diesen in Verbindung stehen. Vertreter der Strafverfolgungs- und der Datenschutzbehörden auf nationaler Ebene und auf Unionsebene sollten als Vertreter für eine Mitwirkung in der ENISA-Beratungsgruppe in Frage kommen. Bei ihren Kontakten mit Strafverfolgungsbehörden in Bezug auf Netz- und Informationssicherheitsfragen, die sich möglicherweise auf deren Arbeit auswirken, sollte die ENISA vorhandene Informationskanäle und bestehende Netze beachten.

(45)

Es könnten Partnerschaften mit Hochschulen eingerichtet werden, die in den einschlägigen Bereichen Forschungsinitiativen betreiben, und es sollten geeignete Kanäle für Beiträge von Verbraucherschutzverbänden und anderen Organisationen, die berücksichtigt werden sollten, zur Verfügung stehen.

(46)

Die ENISA sollte in ihrer Rolle als Sekretariat des CSIRTs-Netzes bezüglich der in der Richtlinie (EU) 2016/1148 festgelegten einschlägigen Aufgaben des CSIRTs-Netzes die CSIRTs der Mitgliedstaaten und das CERT-EU bei der operativen Zusammenarbeit unterstützen. Zudem sollte die ENISA unter gebührender Berücksichtigung der Standardbetriebsverfahren des CSIRTs-Netzes die Zusammenarbeit zwischen den jeweiligen CSIRTs bei Sicherheitsvorfällen, Angriffen oder Störungen der von den CSIRTs verwalteten oder geschützten Netze oder Infrastrukturen, die mindestens zwei CSIRTs betreffen oder betreffen können, fördern und unterstützen.

(47)

Zur Erhöhung der Abwehrbereitschaft der Union bei Cybersicherheitsvorfällen sollte die ENISA auf Unionsebene regelmäßige Cybersicherheitsübungen organisieren und die Mitgliedstaaten sowie die Organe, Einrichtungen und sonstigen Stellen der Union auf deren Ersuchen hin bei der Organisation solcher Übungen unterstützen. Eine Großübung sollte alle zwei Jahre veranstaltet werden, die technische, operative und strategische Elemente umfasst. Darüber hinaus sollte die ENISA regelmäßig weniger umfassende Übungen organisieren können, mit denen dasselbe Ziel verfolgt wird, nämlich die Abwehrbereitschaft der Union bei Sicherheitsvorfällen zu stärken.

(48)

Die ENISA sollte ihre Sachkenntnis im Bereich der Cybersicherheitszertifizierung weiter ausbauen und pflegen, damit sie die Unionspolitik auf diesem Gebiet unterstützen kann. Die ENISA sollte auf bestehenden bewährten Verfahren aufbauen und die Nutzung der Cybersicherheitszertifizierung in der Union fördern, auch indem sie zum Aufbau und zur Pflege eines Rahmens für die Cybersicherheitszertifizierung auf Unionsebene (europäischer Rahmen für die Cybersicherheitszertifizierung) beiträgt, um so die Transparenz der Vertrauenswürdigkeit der Cybersicherheit von IKT-Produkten, -Diensten und -Prozessen zu erhöhen und damit das Vertrauen in den digitalen Binnenmarkt und in seine Wettbewerbsfähigkeit zu stärken.

(49)

Effiziente Cybersicherheitsstrategien sollten sowohl im öffentlichen als auch im privaten Sektor auf sorgfältig entwickelten Risikobewertungsmethoden beruhen. Risikobewertungsmethoden werden auf verschiedenen Ebenen angewandt, ohne dass es eine einheitliche Vorgehensweise für deren effiziente Anwendung gibt. Durch die Förderung und Entwicklung bewährter Verfahren für die Risikobewertung und interoperabler Lösungen für das Risikomanagement innerhalb von Organisationen des öffentlichen und des privaten Sektors wird das Niveau der Cybersicherheit in der Union erhöht. Zu diesem Zweck sollte die ENISA die Zusammenarbeit zwischen Interessenträgern auf Unionsebene unterstützen und Hilfestellung bei deren Bemühungen um die Festlegung und Einführung von europäischen und internationalen Normen für das Risikomanagement und eine messbare Sicherheit in Bezug auf elektronische Produkte, Systeme, Netze und Dienste leisten, die im Zusammenwirken mit Software die Netz- und Informationssysteme bilden.

(50)

Die ENISA sollte die Mitgliedstaaten, die Hersteller oder die Anbieter von IKT-Produkten, -Diensten oder -Prozessen dazu anspornen, ihre allgemeinen Sicherheitsstandards zu heben, damit alle Internetnutzer die erforderlichen Vorkehrungen für ihre persönliche Cybersicherheit treffen können und sie sollte Anreize dazu geben. So sollten Hersteller und Anbieter von IKT-Produkten, -Diensten oder -Prozessen jegliche notwendigen Aktualisierungen bereitstellen und diese IKT-Produkte, -Dienste und -Prozesse zurückrufen, vom Markt nehmen oder umrüsten, wenn sie den Cybersicherheitsstandards nicht genügen, während Einführer und Händler sicherstellen sollten, dass IKT-Produkte, -Dienste und -Prozesse, die sie in der Union vermarkten, den geltenden Anforderungen genügen und kein Risiko für die Verbraucher in der Union darstellen.

(51)

In Zusammenarbeit mit den zuständigen Behörden sollte die ENISA Informationen über das Niveau der Cybersicherheit von IKT-Produkten, -Diensten oder -Prozessen verbreiten, die auf dem Binnenmarkt angeboten werden, und sollte Hersteller oder Anbieter von IKT-Produkten, -Diensten oder -Prozessen verwarnen und sie auffordern, die Sicherheit, auch die Cybersicherheit, ihrer IKT-Produkte, -Dienste oder -Prozesse zu verbessern.

(52)

Die ENISA sollte die laufenden Tätigkeiten auf den Gebieten der Forschung, Entwicklung und technologischen Bewertung — insbesondere die im Rahmen der vielfältigen Forschungsinitiativen der Union durchgeführten Tätigkeiten — umfassend berücksichtigen, um die Organe, Einrichtungen und sonstigen Stellen der Union sowie gegebenenfalls die Mitgliedstaaten — auf deren Ersuchen — in Bezug auf den Forschungsbedarf und die Prioritäten im Bereich der Cybersicherheit zu beraten. Um den Bedarf und die Prioritäten im Forschungsbereich zu ermitteln, sollte die ENISA auch die einschlägigen Nutzergruppen konsultieren. Insbesondere könnte eine Zusammenarbeit mit dem Europäischen Forschungsrat und dem Europäischen Innovations- und Technologieinstitut sowie mit dem Institut der Europäischen Union für Sicherheitsstudien eingerichtet werden.

(53)

Die ENISA sollte die Normungsgremien, insbesondere die europäischen Normungsgremien, bei der Ausarbeitung von europäischen Schemata für die Cybersicherheitszertifizierung regelmäßig konsultieren.

(54)

Cyberbedrohungen bestehen weltweit. Um die Cybersicherheitsstandards, einschließlich der Notwendigkeit der Festlegung gemeinsamer Verhaltensnormen und der Annahme von Verhaltenskodizes, der Verwendung internationaler Normen und des Informationsaustauschs zu verbessern sowie eine zügigere internationale Zusammenarbeit bei der Abwehr und einen weltweiten gemeinsamen Ansatz für Probleme der Netz- und Informationssicherheit zu fördern, bedarf es einer engeren internationalen Zusammenarbeit. In dieser Hinsicht sollte die ENISA ein stärkeres Engagement der Union und die Zusammenarbeit mit Drittländern und internationalen Organisationen unterstützen, indem sie den einschlägigen Organen, Einrichtungen und sonstigen Stellen der Union gegebenenfalls die erforderlichen Sachkenntnisse und Analysen zur Verfügung stellt.

(55)

Die ENISA sollte in der Lage sein, auf Ersuchen der Mitgliedstaaten und der Organe, Einrichtungen und sonstigen Stellen der Union um Rat und Hilfestellung zu Angelegenheiten, die durch das Mandat der ENISA abgedeckt sind, ad hoc zu reagieren.

(56)

In Bezug auf die Führung der ENISA ist es vernünftig und wird empfohlen bestimmte Prinzipien umzusetzen, um der Gemeinsamen Erklärung und dem Gemeinsamen Konzept zu entsprechen, die von der Interinstitutionellen Arbeitsgruppe zu den dezentralen Einrichtungen der EU im Juli 2012 vereinbart wurden und deren Zweck darin besteht, die Aktivitäten der dezentralen Agenturen dynamischer zu gestalten und ihre Leistung zu verbessern. Die in der Gemeinsamen Erklärung und dem Gemeinsamen Konzept enthaltenen Empfehlungen sollten gegebenenfalls auch in den Arbeitsprogrammen, den Bewertungen und den Berichterstattungs- und Verwaltungsverfahren der ENISA zur Geltung kommen.

(57)

Der Verwaltungsrat, der sich aus Vertretern der Mitgliedstaaten und der Kommission zusammensetzt, sollte die allgemeine Ausrichtung der Tätigkeit der ENISA festlegen und dafür sorgen, dass sie ihre Aufgaben im Einklang mit dieser Verordnung wahrnimmt. Der Verwaltungsrat sollte über die erforderlichen Befugnisse verfügen, um den Haushaltsplan zu erstellen und die Ausführung des Haushaltsplans zu überprüfen, angemessene Finanzvorschriften und transparente Verfahren für die Entscheidungsfindung der ENISA festzulegen, das einheitliche Programmplanungsdokument der ENISA anzunehmen, sich eine Geschäftsordnung zu geben, den Exekutivdirektor zu ernennen und über die Verlängerung sowie die Beendigung der Amtszeit des Exekutivdirektors zu beschließen.

(58)

Damit die ENISA ihre Aufgaben ordnungsgemäß und effizient wahrnehmen kann, sollten die Kommission und die Mitgliedstaaten sicherstellen, dass die Personen, die als Mitglieder des Verwaltungsrats ernannt werden, über angemessenes Fachwissen und geeignete Erfahrung verfügen. Die Kommission und die Mitgliedstaaten sollten sich auch darum bemühen, die Fluktuation bei ihren jeweiligen Vertretern im Verwaltungsrat zu verringern, um die Kontinuität seiner Arbeit sicherzustellen.

(59)

Damit die ENISA reibungslos funktioniert, ist es erforderlich, dass ihr Exekutivdirektor aufgrund seiner Verdienste und nachgewiesenen Verwaltungs- und Managementfähigkeiten ernannt wird und über einschlägige Sachkenntnis und Erfahrungen auf dem Gebiet der Cybersicherheit verfügt. Die Aufgaben des Exekutivdirektors sollten in völliger Unabhängigkeit wahrgenommen werden. Der Exekutivdirektor sollte nach Anhörung der Kommission einen Vorschlag für das jährliche Arbeitsprogramm der ENISA ausarbeiten und alle erforderlichen Maßnahmen zu dessen ordnungsgemäßer Durchführung ergreifen. Der Exekutivdirektor sollte einen dem Verwaltungsrat vorzulegenden Jahresbericht, in dem auch die Umsetzung des jährlichen Arbeitsprogramms der ENISA behandelt wird, ausarbeiten, einen Entwurf eines Voranschlags für die Einnahmen und Ausgaben der ENISA erstellen und den Haushaltsplan ausführen. Der Exekutivdirektor sollte zudem die Möglichkeit haben, Ad-hoc-Arbeitsgruppen einzusetzen, die sich mit wissenschaftlichen, technischen, rechtlichen oder sozioökonomischen Einzelfragen befassen. Insbesondere im Zusammenhang mit der Ausarbeitung eines möglichen europäischen Schemas für die Cybersicherheitszertifizierung (im Folgenden „mögliches Schema“) wird die Einrichtung einer Ad-hoc-Arbeitsgruppe für notwendig erachtet. Der Exekutivdirektor sollte dafür sorgen, dass die Mitglieder der Ad-hoc-Arbeitsgruppen höchsten fachlichen Ansprüchen genügen, ein ausgewogenes Verhältnis von Frauen und Männern besteht und dass je nach behandelter Einzelfrage gegebenenfalls ein angemessenes Gleichgewicht zwischen öffentlichen Verwaltungen der Mitgliedstaaten, den Organen, Einrichtungen und sonstigen Stellen der Union und dem Privatsektor einschließlich der Wirtschaft, der Nutzer und wissenschaftlicher Sachverständiger für Netz- und Informationssicherheit gewahrt wird.

(60)

Der Exekutivrat sollte dazu beitragen, dass der Verwaltungsrat effektiv arbeiten kann. Im Rahmen seiner vorbereitenden Arbeiten für die Beschlüsse des Verwaltungsrats sollte der Exekutivrat die einschlägigen Informationen im Detail prüfen und die sich bietenden Optionen sondieren; zudem sollte er die einschlägigen Beschlüsse des Verwaltungsrats vorbereiten, indem er Beratung und Lösungen anbietet.

(61)

Die ENISA sollte über eine ENISA-Beratungsgruppe als Beratungsgremium verfügen, um einen regelmäßigen Dialog mit dem Privatsektor, den Verbraucherorganisationen und sonstigen relevanten Interessenträgern sicherzustellen. Die vom Verwaltungsrat auf Vorschlag des Exekutivdirektors eingesetzte ENISA-Beratungsgruppe sollte hauptsächlich Fragen behandeln, die die Beteiligten betreffen, und diese der ENISA zur Kenntnis bringen. Die ENISA-Beratungsgruppe sollte vor allem im Hinblick auf den Entwurf des jährlichen Arbeitsprogramms der ENISA hinzugezogen werden. Die Zusammensetzung der ENISA-Beratungsgruppe und die dieser Gruppe übertragenen Aufgaben, sollten gewährleisten, dass die Interessenträger bei der Tätigkeit der ENISA ausreichend vertreten sind.

(62)

Die Gruppe der Interessenträger für die Cybersicherheitszertifizierung sollte eingesetzt werden, um der ENISA und der Kommission die Konsultation der maßgeblichen Interessenträger zu erleichtern. Die Gruppe der Interessenträger für die Cybersicherheitszertifizierung sollte sich in ausgewogenem Verhältnis aus Branchenvertretern sowohl der Nachfrage- als auch der Angebotsseite in Bezug auf IKT-Produkte und -Dienste zusammensetzen; insbesondere sollten KMU, Anbieter digitaler Dienste, europäische und internationale Normungsgremien, nationale Akkreditierungsstellen, Datenschutz-Aufsichtsbehörden, Konformitätsbewertungsstellen gemäß der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates (16) und die Wissenschaft sowie Verbraucherorganisationen vertreten sein.

(63)

Die ENISA sollte über Vorschriften zur Vermeidung und Handhabung von Interessenkonflikten verfügen. Die ENISA sollte die einschlägigen Bestimmungen der Union in Bezug auf den Zugang der Öffentlichkeit zu Dokumenten gemäß der Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates (17) anwenden. Die Verarbeitung personenbezogener Daten durch die ENISA sollte nach der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (18) erfolgen. Die ENISA sollte die für die Organe, Einrichtungen und sonstigen Stellen der Union geltenden Bestimmungen über den Umgang mit Informationen, insbesondere mit sensiblen Informationen und Verschlusssachen der Europäischen Union (EUCI), sowie die entsprechenden nationalen Rechtsvorschriften befolgen.

(64)

Damit die volle Autonomie und Unabhängigkeit der ENISA gewährleistet ist und sie zusätzliche Aufgaben — auch nicht vorhergesehene Aufgaben in Notfällen — erfüllen kann, sollte die ENISA über einen ausreichenden und eigenständigen Haushalt verfügen, der hauptsächlich durch einen Beitrag der Union und durch Beiträge von Drittländern, die sich an der Arbeit der ENISA beteiligen, finanziert werden sollte. Ein angemessen ausgestatteter Haushaltsplan ist von entscheidender Bedeutung dafür, dass die ENISA ausreichende Kapazitäten hat, um ihren wachsenden Aufgaben zu erfüllen und ihre Ziele zu erreichen. Die Mehrheit der Agenturbediensteten sollte unmittelbar mit der operativen Umsetzung des Mandats der ENISA befasst sein. Dem Sitzmitgliedstaat und anderen Mitgliedstaaten sollte es erlaubt sein, freiwillige Beiträge zum Haushaltsplan der ENISA zu leisten. Sämtliche Zuschüsse aus dem Gesamthaushaltsplan der Europäischen Union sollten dem Haushaltsverfahren der Union unterliegen. Ferner sollte die Rechnungsführung der ENISA durch den Rechnungshof geprüft werden, um Transparenz und Rechenschaftspflicht sicherzustellen.

(65)

Die Cybersicherheitszertifizierung spielt eine große Rolle, wenn es darum geht, das Vertrauen in IKT-Produkte, -Dienste und -Prozesse zu stärken und deren Sicherheit zu erhöhen. Die Entwicklung des digitalen Binnenmarkts und insbesondere der Datenwirtschaft und des Internets der Dinge kommt nur voran, wenn in der breiten Öffentlichkeit das Vertrauen vorhanden ist, dass diese Produkte, Dienste und Prozesse ein gewisses Maß an Cybersicherheit gewährleisten. Vernetzte und automatisierte Fahrzeuge, elektronische medizinische Geräte, die automatischen Steuerungssysteme der Industrie und intelligente Netze sind, sind nur einige Beispiele von Sektoren, in denen die Zertifizierung bereits breiten Einsatz findet oder in naher Zukunft eingesetzt werden soll. Die unter die Richtlinie (EU) 2016/1148 fallenden Sektoren sind zudem Sektoren, in denen die Cybersicherheitszertifizierung ein maßgeblicher Faktor ist.

(66)

In ihrer Mitteilung aus dem Jahr 2016 mit dem Titel „Stärkung der Abwehrfähigkeit Europas im Bereich der Cybersicherheit und Förderung einer wettbewerbsfähigen und innovativen Cybersicherheitsbranche“ unterstrich die Kommission die Notwendigkeit hochwertiger, erschwinglicher und interoperabler Produkte und Lösungen für die Cybersicherheit. Allerdings ist das Angebot an IKT-Produkten, -Diensten und -Prozessen im Binnenmarkt nach wie vor geografisch stark zersplittert. Das liegt daran, dass sich die Cybersicherheitsbranche in Europa überwiegend aufgrund der Nachfrage der nationalen Regierungen entwickelt hat. Zudem gehört der Mangel an interoperablen Lösungen (technischen Normen), Verfahrensweisen und unionsweiten Zertifizierungsmechanismen zu den Defiziten, die den Binnenmarkt im Bereich der Cybersicherheit beeinträchtigen. Dies macht es für europäische Unternehmen schwerer, im nationalen, unionsweiten und weltweiten Wettbewerb zu bestehen. Es verringert sich dadurch auch das Angebot an tragfähiger und einsetzbarer Cybersicherheitstechnik, auf die Privatpersonen und Unternehmen zugreifen können. Auch in der Mitteilung des Jahres 2017 zur Halbzeitbewertung der Umsetzung der Strategie für den digitalen Binnenmarkt — Ein vernetzter digitaler Binnenmarkt für alle — unterstrich die Kommission die Bedeutung sicherer vernetzter Produkte und Systeme und verwies darauf, dass die Schaffung eines europäischen Rahmens für die IKT-Sicherheit, auf dessen Grundlage Vorschriften für die Organisation der IKT-Sicherheitszertifizierung in der Union festgelegt werden, dafür sorgen kann, dass das Vertrauen in den Binnenmarkt erhalten bleibt und die derzeitige Fragmentierung des Binnenmarkts eingedämmt wird.

(67)

Derzeit werden IKT-Produkte, -Dienste und -Prozesse, im Hinblick auf ihre Cybersicherheit kaum zertifiziert. Wenn dies doch der Fall ist, geschieht es meist auf Ebene der Mitgliedstaaten oder im Rahmen brancheneigener Programme. So wird ein von einer nationalen Behörde für die Cybersicherheitszertifizierung ausgestelltes Zertifikat nicht grundsätzlich auch in anderen Mitgliedstaaten anerkannt. Unternehmen müssen somit ihre IKT-Produkte, -Dienste und -Prozesse möglicherweise in mehreren Mitgliedstaaten, in denen sie tätig sind, zertifizieren lassen, um beispielsweise an einer nationalen Ausschreibung teilzunehmen, was ihre Kosten erhöht. Auch wenn immer neue Systeme entstehen, scheint es kein kohärentes und ganzheitliches Konzept zu geben, das sich mit horizontalen Fragen der Cybersicherheit, etwa im Bereich des Internets der Dinge, befasst. Die vorhandenen Systeme weisen im Hinblick auf Produkterfassung, Vertrauenswürdigkeitsstufen, wesentliche Kriterien und tatsächliche Nutzung erhebliche Mängel und Unterschiede auf, was die Verfahren zur gegenseitigen Anerkennung in der Union behindert.

(68)

Einige Anstrengungen wurden bereits unternommen, um eine gegenseitige Anerkennung der Zertifikate in der Union zu gewährleisten. Diese waren jedoch nur zum Teil erfolgreich. Das in dieser Hinsicht wichtigste Beispiel ist die in der Gruppe hoher Beamter für die Sicherheit der Informationssysteme (SOG-IS) getroffene Vereinbarung über die gegenseitige Anerkennung (MRA). Auch wenn diese Vereinbarung das wichtigste Vorbild für die Zusammenarbeit und gegenseitige Anerkennung auf dem Gebiet der Sicherheitszertifizierung ist, umfasst die SOG-IS nur einige der Mitgliedstaaten. Dies hat aus Binnenmarktsicht zur Folge, dass die Vereinbarungen der Gruppe nur begrenzt wirksam sind.

(69)

Daher ist es notwendig, einen gemeinsamen Ansatz zu verfolgen und einen europäischen Rahmen für die Cybersicherheitszertifizierung aufzubauen, auf dessen Grundlage die Anforderungen an die zu entwickelnden europäischen Schemata für die Cybersicherheitszertifizierung festgelegt werden, damit die europäischen Cybersicherheitszertifikate und EU-Konformitätserklärungen für IKT-Produkte, -Dienste oder -Prozesse in allen Mitgliedstaaten anerkannt und verwendet werden können. Dabei ist es wichtig, auf vorhandenen nationalen und internationalen Schemata sowie auf Systemen der gegenseitigen Anerkennung, insbesondere der SOG-IS, aufzubauen und einen reibungslosen Übergang von vorhandenen Schemata im Rahmen solcher Systeme zu Schemata auf der Grundlage des neuen europäischen Rahmens für die Cybersicherheitszertifizierung zu ermöglichen. Mit einem europäischen Rahmen für die Cybersicherheitszertifizierung sollten zwei Ziele verfolgt werden: erstens sollte er dazu beitragen, das Vertrauen in IKT-Produkte, -Dienste und -Prozesse zu erhöhen, die nach Schemata für die europäische Cybersicherheitszertifizierung zertifiziert wurden. Zweitens sollte er dazu beitragen, dass sich vielfältige, sich widersprechende oder überlappende nationale Schemata für die Cybersicherheitszertifizierung vermeiden lassen, und so die Kosten für auf dem digitalen Binnenmarkt tätige Unternehmen senken. Die europäischen Schemata für die Cybersicherheitszertifizierung sollten nichtdiskriminierend sein und sich auf europäische oder internationale Normen stützen, sofern diese Normen nicht unwirksam oder unangemessen im Hinblick auf die Erreichung der legitimen Ziele der Union in diesem Bereich sind.

(70)

Der europäische Rahmen für die Cybersicherheitszertifizierung sollte in einheitlicher Weise in allen Mitgliedstaaten eingeführt werden, damit es nicht aufgrund unterschiedlicher Anforderungsniveaus zwischen den Mitgliedstaaten zu einem „Zertifizierungsshopping“ kommt.

(71)

Europäische Schemata für die Cybersicherheitszertifizierung sollten auf dem auf internationaler und nationaler Ebene bereits Vorhandenen und erforderlichenfalls auf den von Gremien und Konsortien erstellten technischen Spezifikationen aufbauen, wobei die derzeitigen Stärken genutzt und Schwachstellen bewertet und behoben werden sollten.

(72)

Es bedarf flexibler Cybersicherheitslösungen, damit die Branche den Cyberbedrohungen immer einen Schritt voraus ist und daher sollte jedes Zertifizierungsschema so gestaltet werden, dass das Risiko eines schnellen Veraltens vermieden wird.

(73)

Die Kommission sollte befugt sein, für bestimmte Gruppen von IKT-Produkten, -Diensten und -Prozessen europäische Schemata für die Cybersicherheitszertifizierung anzunehmen. Diese Schemata sollten von nationalen Behörden für die Cybersicherheitszertifizierung umgesetzt und überwacht werden, und die im Rahmen dieser Schemata erteilten Zertifikate sollten unionsweit gültig sein und anerkannt werden. Die von der Industrie oder sonstigen privaten Organisationen betriebenen Zertifizierungsschemata sollten nicht in den Anwendungsbereich dieser Verordnung fallen. Die Stellen, die solche Schemata betreiben, sollten der Kommission jedoch vorschlagen können, ihre Systeme als Grundlage für ein europäisches Schema für die Cybersicherheitszertifizierung in Betracht zu ziehen und sie als ein solches zu genehmigen.

(74)

Die Rechtsvorschriften der Union, in denen bestimmte Vorschriften zur Zertifizierung von IKT-Produkten, -Diensten und -Prozessen festgelegt sind, bleiben von den Bestimmungen dieser Verordnung unberührt. Insbesondere enthält die Verordnung (EU) 2016/679 Bestimmungen zur Einführung von Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dem Nachweis dienen, dass die für die Datenverarbeitung Verantwortlichen und die Auftragsverarbeiter bei der Verarbeitung von Daten die Bestimmungen der genannten Verordnung einhalten. Solche Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen sollten den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger IKT-Produkte, -Dienste und -Prozesse ermöglichen. Die Zertifizierung von Datenverarbeitungsvorgängen, die unter die Verordnung (EU) 2016/679 fallen, auch wenn solche Vorgänge in IKT-Produkte, -Dienste und -Prozesse eingebettet sind, bleibt von der vorliegenden Verordnung unberührt.

(75)

Mit den europäischen Schemata für die Cybersicherheitszertifizierung sollte gewährleistet werden, dass die nach solchen Systemen zertifizierten IKT-Produkte, -Dienste und -Prozesse bestimmten Anforderungen genügen, deren Ziel es ist, die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten, Funktionen oder Dienste, die von diesen Produkten, Diensten und Prozessen angeboten oder über diese zugänglich gemacht werden, während deren gesamten Lebenszyklus zu schützen. In dieser Verordnung können nicht alle Anforderungen an die Cybersicherheit sämtlicher IKT-Produkte, -Dienste und -Prozesse im Einzelnen festgelegt werden. Die Vielfalt der IKT-Produkte, -Dienste und -Prozesse und der damit zusammenhängenden Anforderungen an die Cybersicherheit ist so groß, dass es sehr schwierig ist, allgemeine Anforderungen an die Cybersicherheit zu entwickeln, die unter allen Umständen gültig sind. Es gilt daher, ein breit gefasstes und allgemeines Konzept der Cybersicherheit für die Zwecke der Zertifizierung zu verabschieden, das durch besondere Cybersicherheitsziele ergänzt werden sollte, die bei der Konzeption der europäischen Schemata für die Cybersicherheitszertifizierung berücksichtigt werden müssen. Die Modalitäten, wie diese Ziele für bestimmte IKT-Produkte, -Dienste und -Prozesse erreicht werden sollen, sollten dann weiter im Einzelnen auf der Grundlage des jeweiligen von der Kommission angenommenen Zertifizierungsschemas festgelegt werden, etwa durch Verweise auf Normen oder technische Spezifikationen, wenn keine angemessenen Normen verfügbar sind.

(76)

Die in europäischen Schemata für die Cybersicherheitszertifizierung zu verwendenden technischen Spezifikationen sollten unter Beachtung der in Anhang II der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates (19) festgelegten Anforderungen bestimmt werden. Gewisse Abweichungen von diesen Anforderungen könnten jedoch in hinreichend begründeten Fällen als notwendig erachtet werden, wenn diese technischen Spezifikationen in einem europäischen Schema für die Cybersicherheitszertifizierung in der Vertrauenswürdigkeitsstufe „hoch“ verwendet werden sollen. Die Gründe für solche Abweichungen sollten öffentlich zugänglich gemacht werden.

(77)

Eine Konformitätsbewertung ist ein Verfahren, mit dem bewertet wird, ob bestimmte Anforderungen an ein IKT-Produkt, einen IKT-Dienst oder einen IKT-Prozess erfüllt werden. Dieses Verfahren wird von einem unabhängigen Dritten, bei dem es sich nicht um den Hersteller oder den Anbieter der IKT-Produkte, -Dienste oder -Prozesse, welche bewertet werden, handelt, durchgeführt. Ein europäisches Cybersicherheitszertifikat sollte nach der erfolgreichen Bewertung eines IKT-Produkts, -Dienstes oder -Prozesses ausgestellt werden. Ein europäisches Cybersicherheitszertifikat sollte als Bestätigung gelten, dass die Bewertung ordnungsgemäß durchgeführt wurde. Je nach Vertrauenswürdigkeitsstufe sollte im europäischen Schema für die Cybersicherheitszertifizierung angegeben werden, ob ein europäisches Cybersicherheitszertifikat von einer privaten oder einer öffentlichen Stelle auszustellen ist. Die Konformitätsbewertung und die Zertifizierung an sich können nicht garantieren, dass die zertifizierten IKT-Produkte, -Dienste und -Prozesse cybersicher sind. Es handelt sich vielmehr um Verfahren und technische Methoden, um zu bescheinigen, dass die IKT-Produkte, -Dienste und -Prozesse geprüft wurden und bestimmte Anforderungen an die Cybersicherheit erfüllen, wie sie anderweitig, beispielsweise in technischen Normen, festgelegt sind.

(78)

Die Auswahl der angemessenen Zertifizierung und der dazugehörigen Sicherheitsanforderungen durch die Nutzer der europäischen Cybersicherheitszertifizierung sollte auf der Grundlage einer Risikoanalyse der Verwendung des IKT-Produkts, -Dienstes oder -Prozesses erfolgen. Dementsprechend sollte die Vertrauenswürdigkeitsstufe das mit der beabsichtigten Verwendung eines IKT-Produkts, -Dienstes oder -Prozesses verbundene Risiko widerspiegeln.

(79)

Europäische Schemata für die Cybersicherheitszertifizierung könnten eine Konformitätsbewertung vorsehen, die unter der alleinigen Verantwortung des Herstellers oder Anbieters von IKT-Produkten, -Diensten und -Prozessen durchzuführen wäre (im Folgenden „Selbstbewertung der Konformität“). In diesen Fällen sollte es ausreichen, dass der Hersteller oder Anbieter von IKT-Produkten, -Diensten oder -Prozessen selbst alle Überprüfungen vornimmt, um sicherzustellen, dass die IKT-Produkte, -Dienste oder -Prozesse mit dem europäischen Schema für die Cybersicherheitszertifizierung konform sind. Die Selbstbewertung der Konformität sollte für IKT-Produkte, -Dienste oder -Prozesse von geringer Komplexität, die ein geringes Risiko für die Öffentlichkeit darstellen, wie bei einfacher Konzeption und einfachem Herstellungsmechanismus, als angemessen angesehen werden. Zudem sollte die Selbstbewertung der Konformität nur dann für IKT-Produkte, IKT-Dienste oder IKT-Prozesse erlaubt sein, wenn sie der Vertrauenswürdigkeitsstufe „niedrig“ entsprechen.

(80)

Europäische Schemata für die Cybersicherheitszertifizierung könnten sowohl die Selbstbewertung der Konformität als auch die Zertifizierung von IKT-Produkten, -Diensten oder -Prozessen zulassen. In einem solchen Fall sollten im System klare und verständliche Instrumente für Verbraucher oder andere Nutzer vorgesehen werden, mit denen sie zwischen IKT-Produkten, -Diensten oder -Prozessen, die unter der Verantwortung des Herstellers oder Anbieters von IKT-Produkten, -Diensten oder -Prozessen bewertet werden, und IKT-Produkten, -Diensten oder -Prozessen, die von einem Dritten zertifiziert werden, unterscheiden können.

(81)

Ein Hersteller oder Anbieter von IKT-Produkten, -Diensten oder -Prozessen, der eine Selbstbewertung der Konformität durchführt, sollte die EU-Konformitätserklärung im Rahmen des Konformitätsbewertungsverfahrens abfassen und unterzeichnen können. Eine EU-Konformitätserklärung ist ein Dokument, welches bestätigt, dass das betreffende IKT-Produkt, der betreffende IKT-Dienst oder der betreffende IKT-Prozess die Anforderungen des Schemas erfüllt. Durch die Abfassung und Unterzeichnung der EU-Konformitätserklärung übernimmt der Hersteller oder Anbieter die Verantwortung dafür, dass das IKT-Produkt, der IKT-Dienst oder der IKT-Prozess die rechtlichen Anforderungen des europäischen Schemas für die Cybersicherheitszertifizierung erfüllt. Eine Kopie der EU-Konformitätserklärung sollte der nationalen Behörde für die Cybersicherheitszertifizierung und der ENISA vorgelegt werden.

(82)

Hersteller oder Anbieter von IKT-Produkten, -Diensten und -Prozessen sollten die EU-Konformitätserklärung, die technische Dokumentation und alle weiteren einschlägigen Informationen in Bezug auf die Konformität der IKT-Produkte, -Dienste oder -Prozesse mit einem System während eines Zeitraums, der im einschlägigen europäischen Schema für die Cybersicherheitszertifizierung festgelegt ist, für die zuständige nationale Behörde für die Cybersicherheitszertifizierung bereithalten. In der technischen Dokumentation sollten die in diesem System geltenden Anforderungen aufgeführt werden und die Konzeption, Herstellung und Funktionsweise des IKT-Produkts, -Dienstes oder -Prozesses erfasst werden. Die technische Dokumentation sollte so erstellt werden, dass es möglich ist, die Konformität eines IKT-Produkts oder -Dienstes mit den in diesem System geltenden Anforderungen zu bewerten.

(83)

Bei der Gestaltung des Rahmens des europäischen Schemas für die Cybersicherheitszertifizierung sollte die Einbeziehung der Mitgliedstaaten sowie eine angemessene Einbeziehung der Interessenträger berücksichtigt werden; ferner sollte die Rolle der Kommission während der Planung und Vorlage eines europäischen Schemas für die Cybersicherheitszertifizierung, der Erteilung des entsprechenden Auftrags sowie der Ausarbeitung, der Annahme und der Überprüfung eines europäischen Schemas für die Cybersicherheitszertifizierung festgelegt werden.

(84)

Die Kommission sollte mit Unterstützung der Europäischen Gruppe für die Cybersicherheitszertifizierung und der Gruppe der Interessenträger für die Cybersicherheitszertifizierung im Anschluss an eine offene und umfassende Konsultation ein fortlaufendes Arbeitsprogramm der Union für europäische Schemata für die Cybersicherheitszertifizierung ausarbeiten und in Form eines nicht verbindlichen Instruments veröffentlichen. Das fortlaufende Arbeitsprogramm der Union sollte ein strategisches Dokument sein und insbesondere der Branche, den nationalen Behörden und den Normungsgremien ermöglichen, sich auf die künftigen Europäischen Schemata für die Cybersicherheitszertifizierung vorzubereiten. Das fortlaufende Arbeitsprogramm der Union sollte eine mehrjährige Übersicht über die Aufträge für die Ausarbeitung möglicher Systeme umfassen, die die Kommission der ENISA aus bestimmten Gründen zu erteilen beabsichtigt. Die Kommission sollte dieses fortlaufende Arbeitsprogramm der Union im Rahmen des fortlaufenden Plans für die IKT-Normung und bei der Erstellung ihrer Normungsaufträge an die europäischen Normungsorganisationen berücksichtigen. Wegen der raschen Einführung und Übernahme neuer Technologien sowie die Entstehung bislang unbekannter Cybersicherheitsrisiken und Gesetzgebungs- und Marktentwicklungen sollte die Kommission oder die Europäische Gruppe für die Cybersicherheitszertifizierung befugt sein, die ENISA mit der Ausarbeitung möglicher Zertifizierungsschemata, die nicht im fortlaufenden Arbeitsprogramm der Union enthalten waren, zu beauftragen. In solchen Fällen sollten die Kommission und die Europäische Gruppe für die Cybersicherheitszertifizierung auch die Notwendigkeit eines solchen Auftrags bewerten, wobei die allgemeinen Zielsetzungen und Vorgaben dieser Verordnung und die Notwendigkeit der Kontinuität bei der Planung der ENISA und der Nutzung der Ressourcen durch die ENISA zu berücksichtigen sind.

Im Anschluss an einen solchen Auftrag sollte die ENISA ohne ungebührliche Verzögerung mögliche Zertifizierungsschemata für bestimmte IKT- Produkte -Dienste und -Prozesse, ausarbeiten. Die Kommission sollte die positiven und negativen Auswirkungen ihres Auftrags auf den spezifischen Markt und insbesondere auf KMU, Innovation, die Schranken für den Eintritt in diesen Markt und die Kosten für die Endverbraucher bewerten. Die Kommission sollte befugt sein, auf der Grundlage des von der ENISA vorbereiteten möglichen Schemas das europäische Schema für die Cybersicherheitszertifizierung mittels eines Durchführungsrechtsakts anzunehmen. Unter Berücksichtigung des allgemeinen Zwecks dieser Verordnung und der in ihr festgelegten Sicherheitsziele sollten in den von der Kommission angenommenen europäischen Schemata für die Cybersicherheitszertifizierung Mindestbestimmungen in Bezug auf den Gegenstand, den Anwendungsbereich und die Funktionsweise des einzelnen Schemas festgelegt werden. Unter diese Bestimmungen sollte unter anderem Folgendes fallen: Anwendungsbereich und Ziel der Cybersicherheitszertifizierung, darunter auch die Kategorien von IKT-Produkten, -Diensten und -Prozessen, detaillierte Spezifikationen der Anforderungen an die Cybersicherheit, etwa durch Verweise auf Normen oder technische Spezifikationen, die jeweiligen Bewertungskriterien und -verfahren sowie die beabsichtigte Vertrauenswürdigkeitsstufe („niedrig“, „mittel“ oder „hoch“) sowie gegebenenfalls die Bewertungsniveaus. Die ENISA sollte einen Auftrag der Europäischen Gruppe für die Cybersicherheitszertifizierung ablehnen können. Solche Entscheidungen sollten gebührend begründet und vom Verwaltungsrat getroffen werden.

(85)

Die ENISA sollte eine eigene Website unterhalten, auf der sie über die europäischen Schemata für die Cybersicherheitszertifizierung informiert und für diese wirbt und auf der unter anderem die Aufträge für die Ausarbeitung eines möglichen Schemas und die Rückmeldungen im Rahmen des Konsultationsverfahrens, das von der ENISA in der Ausarbeitungsphase durchgeführt wird, zur Verfügung stehen. Auf der Website sollten auch Informationen über die europäischen Cybersicherheitszertifikate und die nach dieser Verordnung ausgestellten EU-Konformitätserklärungen einschließlich Informationen zum Widerruf und Ablauf solcher europäischen Cybersicherheitszertifikate und EU-Konformitätserklärungen bereitgestellt werden. Auf der Website sollten auch diejenigen nationalen Schemata für die Cybersicherheitszertifizierung angegeben werden, die durch ein europäisches Schema für die Cybersicherheitszertifizierung ersetzt wurden.

(86)

Die Vertrauenswürdigkeit eines europäischen Zertifizierungsschemas ist die Grundlage für das Vertrauen, dass ein IKT-Produkt, -Dienst oder -Prozess den Sicherheitsanforderungen eines spezifischen europäischen Schemas für die Cybersicherheitszertifizierung genügt. Um die Kohärenz des Rahmens für ein europäisches Schema für die Cybersicherheitszertifizierung zu gewährleisten, sollte ein europäisches Schema für die Cybersicherheitszertifizierung die Vertrauenswürdigkeitsstufen für europäische Cybersicherheitszertifikate und EU-Konformitätserklärungen, die im Rahmen dieses Schemas ausgestellt werden, angeben können. Jedes europäische Cybersicherheitszertifikat könnte sich auf eine der Vertrauenswürdigkeitsstufen „niedrig“, „mittel“ oder „hoch“ beziehen, wohingegen sich die EU-Konformitätserklärung nur auf die Vertrauenswürdigkeitsstufe „niedrig“ beziehen könnte. Die Vertrauenswürdigkeitsstufen würden die entsprechende Strenge und Gründlichkeit für die Bewertung des IKT-Produkts, -Dienstes oder -Prozesses vorgeben und durch Bezugnahme auf die diesbezüglichen technischen Spezifikationen, Normen und Verfahren einschließlich technischer Prüfungen, deren Zweck in der Minderung oder Prävention der Gefahr von Vorfällen besteht, gekennzeichnet sein. Jede Vertrauenswürdigkeitsstufe sollte in den verschiedenen Bereichen der Sektoren, in denen die Zertifizierung angewandt wird, einheitlich sein.

(87)

In einem europäischen Schema für die Cybersicherheitszertifizierung können je nach Strenge und Gründlichkeit der verwendeten Evaluierungsmethode mehrere Bewertungsniveaus angegeben werden. Die Evaluierungsstufen sollten jeweils einer der Vertrauenswürdigkeitsstufen entsprechen und mit einer entsprechenden Kombination von Vertrauenswürdigkeitskomponenten verknüpft sein sollten. Für alle Vertrauenswürdigkeitsstufen sollte das IKT-Produkt, der IKT-Dienst oder der IKT-Prozess eine Reihe sicherer Funktionen enthalten, die im jeweiligen System festgelegt sind, so unter anderem eine voreingestellte sichere Konfiguration, einen signierten Code, ein sicheres Aktualisierungsverfahren und die Reduzierung von Exploits sowie eine vollständige Absicherung von Stapelspeicher (Stack) oder dynamischem Speicher (Heap). Diese Funktionen sollten weiterentwickelt und gepflegt werden, wobei sicherheitsorientierte Entwicklungskonzepte und dazugehörige Instrumente zu verwenden sind, um sicherzustellen, dass wirksame Software- und Hardware-Mechanismen zuverlässig integriert werden.

(88)

Bei der Vertrauenswürdigkeitsstufe „niedrig“ sollte sich die Bewertung mindestens auf die folgenden Vertrauenswürdigkeitskomponenten stützen: Die Bewertung sollte mindestens eine Überprüfung der technischen Dokumentation des IKT-Produkts -Dienstes oder -Prozesses durch die Konformitätsbewertungsstelle umfassen. Schließt die Zertifizierung IKT-Prozesse ein, sollte auch das Verfahren zur Konzipierung, Entwicklung und Pflege eines IKT-Produkts oder -Dienstes einer technischen Überprüfung unterzogen werden. Ist in einem europäischen Schema für die Cybersicherheitszertifizierung eine Selbstbewertung der Konformität vorgesehen, so sollte es genügen, wenn der Hersteller oder Anbieter von IKT- Produkten, Diensten oder Prozessen eine Selbstbewertung der Konformität des IKT-Produkts, -Dienstes oder -Prozesses, mit dem Zertifizierungsschema vornimmt.

(89)

Bei der Vertrauenswürdigkeitsstufe „mittel“ sollte sich die Bewertung — zusätzlich zu den Anforderungen bei der Vertrauenswürdigkeitsstufe „niedrig“ — mindestens auf eine Überprüfung der Konformität der Sicherheitsfunktionen des IKT-Produkts, -Dienstes oder -Prozesses mit seiner technischen Dokumentation stützen.

(90)

Bei der Vertrauenswürdigkeitsstufe „hoch“ sollte sich die Bewertung — zusätzlich zu den Anforderungen bei der Vertrauenswürdigkeitsstufe „mittel“ — mindestens auf einen Wirksamkeitstest stützen, bei dem die Widerstandsfähigkeit der Sicherheitsfunktionen des IKT-Produkts, -Dienstes oder -Prozesses gegen gründlich vorbereitete Cyberattacken bewertet wird, die von Akteuren mit umfangreichen Fähigkeiten und Ressourcen durchgeführt wird.

(91)

Der Rückgriff auf eine europäische Cybersicherheitszertifizierung und eine EU-Konformitätserklärung sollte freiwillig bleiben, sofern im Unionsrecht oder in entsprechend dem Unionsrecht erlassenen Rechtsvorschriften der Mitgliedstaaten nichts anderes festgelegt ist. Falls es keine harmonisierten Unionsrechtsvorschriften gibt, können die Mitgliedstaaten nationale technische Vorschriften gemäß der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates (20) erlassen. Die Mitgliedstaaten können auch im Zusammenhang mit öffentlichen Ausschreibungen und der Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates (21) auf eine europäische Cybersicherheitszertifizierung zurückgreifen.

(92)

In einigen Bereichen könnte es künftig notwendig werden, bestimmte Anforderungen an die Cybersicherheit und die entsprechende Zertifizierung für bestimmte IKT-Produkte, -Dienste oder -Prozesse verbindlich vorzuschreiben, um das Niveau der Cybersicherheit in der Union zu erhöhen. Die Kommission sollte die Auswirkungen der angenommenen europäischen Schemata für die Cybersicherheitszertifizierung auf die Verfügbarkeit sicherer IKT-Produkte, -Dienste und -Prozesse im Binnenmarkt regelmäßig überwachen und sollte regelmäßig bewerten, inwieweit die Zertifizierungsschemata durch die Hersteller oder Anbieter von IKT-Produkten, -Diensten oder -Prozessen in der Union genutzt werden. Die Effizienz der europäischen Schemata für die Cybersicherheitszertifizierung und die Frage, ob bestimmte Systeme verbindlich vorgeschrieben werden sollten, sollte anhand der Rechtsvorschriften der Union im Bereich der Cybersicherheit, insbesondere der Richtlinie (EU) 2016/1148, unter Berücksichtigung der Sicherheit der von Betreibern wesentlicher Dienste genutzten Netz- und Informationssysteme bewertet werden.

(93)

Die europäischen Cybersicherheitszertifikate und die EU-Konformitätserklärung sollten den Endnutzern dabei helfen, kundige Entscheidungen zu treffen. Daher sollten IKT-Produkte, -Dienste und -Prozesse, die zertifiziert wurden oder für die eine EU-Konformitätserklärung ausgestellt wurde, strukturierte Informationen beigegeben werden, die an das erwartete technische Niveau des vorgesehenen Endnutzers angepasst sind. Alle diese Informationen sollten online verfügbar sein, und gegebenenfalls physisch bereitgestellt werden. Der Endnutzer sollte Zugang zu Informationen über die Kennnummer des Zertifizierungsschemas, die Vertrauenswürdigkeitsstufe, die Beschreibung der Cybersicherheitsrisiken in Verbindung mit dem IKT-Produkt, -Dienst oder -Prozess sowie die ausstellende Stelle haben oder eine Kopie des europäischen Cybersicherheitszertifikats erhalten können. Darüber hinaus sollten die Endnutzer über die Politik des Herstellers oder Anbieters von IKT-Produkten, -Diensten oder -Prozessen zur Förderung der Cybersicherheit, d. h. darüber, wie lange ein Endnutzer Aktualisierungen oder Patches im Bereich der Cybersicherheit erwarten kann, informiert sein. Gegebenenfalls sollten Leitlinien über Maßnahmen oder Einstellungen, die der Endnutzer von IKT-Produkten oder -Diensten zur Aufrechterhaltung oder Verbesserung der Cybersicherheit vornehmen kann, und Kontaktinformationen einer zentralen Anlaufstelle zur Meldung von Cyberangriffen und zur Unterstützung im Fall von Cyberangriffen (neben der automatischen Berichterstattung) zur Verfügung gestellt werden. Diese Informationen sollten regelmäßig auf den neuesten Stand gebracht werden und auf einer Website, die Informationen über das europäische Schema für die Cybersicherheitszertifizierung bereitstellt, zur Verfügung stehen.

(94)

Mit Blick auf die Ziele dieser Verordnung und zur Vermeidung einer Fragmentierung des Binnenmarkts sollten nationale Schemata oder Verfahren für die Cybersicherheitszertifizierung für die IKT-Produkte, -Dienste oder -Prozesse, die unter ein europäisches Schema für die Cybersicherheitszertifizierung fallen, ab einem Zeitpunkt unwirksam werden, den die Kommission in Durchführungsrechtsakten festlegt. Zudem sollten die Mitgliedstaaten keine neuen nationalen Schemata für die Cybersicherheitszertifizierung der IKT-Produkte, -Dienste oder -Prozesse einführen, die bereits unter ein geltendes europäisches Schema für die Cybersicherheitszertifizierung fallen. Allerdings sollte es den Mitgliedstaaten freistehen, aus Gründen der nationalen Cybersicherheit nationale Cyberzertifizierungsschemata einzuführen oder beizubehalten. Die Mitgliedstaaten sollten die Kommission und die Europäische Gruppe für die Cybersicherheitszertifizierung über ihre Absicht unterrichten, neue nationale Schemata für die Cybersicherheitszertifizierung auszuarbeiten. Die Kommission und die Europäische Gruppe für die Cybersicherheitszertifizierung sollten die Auswirkungen des neuen nationalen Schemas für die Cybersicherheitszertifizierung auf das ordnungsgemäße Funktionieren des Binnenmarkts und im Hinblick auf das strategische Interesse bewerten, stattdessen einen Auftrag für ein europäisches Schema für die Cybersicherheitszertifizierung zu erteilen.

(95)

Die europäischen Schemata für die Cybersicherheitszertifizierung sollen dabei helfen, die Cybersicherheitsverfahren in der Union zu harmonisieren. Sie müssen dazu beitragen, das Niveau der Cybersicherheit in der Union zu erhöhen. Das Design der europäischen Schemata für die Cybersicherheitszertifizierung sollte weitere Innovationen im Bereich der Cybersicherheit berücksichtigen und ermöglichen werden.

(96)

Die europäischen Schemata für die Cybersicherheitszertifizierung sollten die derzeitigen Methoden der Software- und Hardware-Entwicklung und insbesondere die Auswirkungen häufiger Software- oder Firmware-Aktualisierungen zu einzelnen europäischen Cybersicherheitszertifikaten berücksichtigen. Bei den europäischen Schemata für die Cybersicherheitszertifizierung sollten die Bedingungen angegeben werden, unter denen eine Aktualisierung erfordern kann, dass ein IKT-Produkt, ein IKT-Dienst oder ein IKT-Prozess neu zertifiziert werden muss oder dass der Umfang des spezifischen europäische Cybersicherheitszertifikats eingeschränkt werden muss, wobei die möglichen nachteiligen Auswirkungen der Aktualisierung auf die Einhaltung der Sicherheitsanforderungen des Zertifikats zu berücksichtigen sind.

(97)

Sobald ein europäisches Schema für die Cybersicherheitszertifizierung eingeführt worden ist, sollten die Hersteller oder die Anbieter von IKT-Produkten, -Diensten oder -Prozessen die Zertifizierung ihrer IKT-Produkte, -Dienste oder -Prozesse bei einer nationalen Konformitätsbewertungsstelle ihrer Wahl an einem beliebigen Ort in der Union beantragen können. Die Konformitätsbewertungsstellen sollten, sofern sie bestimmten in dieser Verordnung festgelegten Anforderungen genügen, von einer nationalen Akkreditierungsstelle akkreditiert werden. Die Akkreditierung sollte für eine Höchstdauer von fünf Jahren erfolgen und unter denselben Bedingungen verlängert werden können, sofern die Konformitätsbewertungsstelle die Anforderungen weiterhin erfüllt. Die nationalen Akkreditierungsstellen sollten die einer Konformitätsbewertungsstelle erteilte Akkreditierung beschränken, aussetzen oder widerrufen, wenn die Voraussetzungen für die Akkreditierung nicht erfüllt wurden oder nicht mehr erfüllt werden oder wenn die Konformitätsbewertungsstelle gegen diese Verordnung verstößt.

(98)

Verweise im nationalen Recht, die sich auf nationale Normen beziehen, die aufgrund des Inkrafttretens eines europäischen Schemas für die Cybersicherheitszertifizierung keine Rechtswirkung mehr haben, können zu Verwirrung führen. Daher sollten die Mitgliedstaaten der Annahme eines europäischen Schemas für die Cybersicherheitszertifizierung in ihren nationalen Rechtsvorschriften Rechnung zu tragen.

(99)

Zur Erreichung gleichwertiger Standards in der gesamten Union, zur Erleichterung der gegenseitigen Anerkennung und zur Förderung der allgemeinen Akzeptanz der Europäischen Cybersicherheitszertifikate und EU-Konformitätserklärungen bedarf es eines Systems der gegenseitigen Begutachtung der nationalen Behörden für die Cybersicherheitszertifizierung. Die gegenseitige Begutachtung sollte Verfahren für Folgendes umfassen: Überwachung der Übereinstimmung der IKT-Produkte, -Dienste und -Prozesse mit den europäischen Cybersicherheitszertifikaten, Überwachung der Verpflichtungen der Hersteller oder Anbieter von IKT-Produkten, -Diensten und -Prozessen, die eine Selbstbewertung der Konformität vornehmen, Überwachung der Konformitätsbewertungsstellen sowie Angemessenheit des Fachwissens des Personals der Einrichtungen, die Zertifikate für die Vertrauenswürdigkeitsstufe „hoch“ ausstellen. Die Kommission sollte im Wege von Durchführungsrechtsakten mindestens einen Fünfjahresplan für gegenseitige Begutachtungen sowie Kriterien und Methoden für die Abwicklung der gegenseitigen Begutachtungen festlegen können.

(100)

Unbeschadet des allgemeinen Systems der gegenseitigen Begutachtung, das zwischen allen nationalen Behörden für die Cybersicherheitszertifizierung im Rahmen der europäischen Cybersicherheitszertifizierung eingerichtet werden soll, können bestimmte Schemata für die europäische Cybersicherheit ein Verfahren zur gegenseitigen Begutachtung der Stellen für die Ausstellung europäischer Cybersicherheitszertifikate für IKT-Produkte, -Dienste und -Prozesse auf der Vertrauenswürdigkeitsstufe „hoch“ im Rahmen solcher Schemata umfassen. Die Gruppe für die Cybersicherheitszertifizierung sollte die Umsetzung der Verfahren der gegenseitigen Begutachtung unterstützen. Bei solchen gegenseitigen Begutachtungen sollte insbesondere bewertet werden, ob die betreffenden Stellen ihre Aufgaben einheitlich ausführen; zudem können sie Einspruchsmöglichkeiten umfassen. Die Ergebnisse der gegenseitigen Begutachtungen sollten veröffentlicht werden. Die betreffenden Stellen können entsprechend geeignete Maßnahmen ergreifen, um ihre Verfahren und Sachkenntnisse anzupassen.

(101)

Die Mitgliedstaaten sollten eine oder mehrere nationale Behörden für die Cybersicherheitszertifizierung benennen, die die Einhaltung der sich aus dieser Verordnung ergebenden Verpflichtungen beaufsichtigen. Eine nationale Behörde für die Cybersicherheitszertifizierung kann eine bereits bestehende oder eine neue Behörde sein. Ein Mitgliedstaat sollte im gegenseitigen Einvernehmen mit einem anderen Mitgliedstaat auch eine oder mehrere nationale Behörden für die Cybersicherheitszertifizierung im Hoheitsgebiet dieses anderen Mitgliedstaats benennen können.

(102)

Die nationalen Behörden für die Cybersicherheitszertifizierung sollten insbesondere die Verpflichtungen der in ihrem jeweiligen Hoheitsgebiet niedergelassenen Hersteller oder Anbieter von IKT-Produkten, -Diensten oder -Prozessen in Bezug auf die EU-Konformitätserklärung überwachen und durchsetzen, die nationalen Akkreditierungsstellen bei der Überwachung und Beaufsichtigung der Tätigkeiten der Konformitätsbewertungsstellen durch Bereitstellung von Sachkenntnis und einschlägigen Informationen unterstützen, Konformitätsbewertungsstellen ermächtigen, ihre Aufgaben wahrzunehmen, wenn diese in einem europäischen Schema für die Cybersicherheitszertifizierung festgelegte zusätzliche Anforderungen erfüllen, und einschlägige Entwicklungen auf dem Gebiet der Cybersicherheitszertifizierung verfolgen. Die nationalen Behörden für die Cybersicherheitszertifizierung sollten auch Beschwerden bearbeiten, die von natürlichen oder juristischen Personen in Bezug auf die von diesen Behörden ausgestellten europäischen Cybersicherheitszertifikate oder die in Verbindung mit den europäischen Cybersicherheitszertifikaten von Konformitätsbewertungsstellen ausgestellten Zertifikate für die Vertrauenswürdigkeitsstufe „hoch“ eingereicht werden, den Beschwerdegegenstand, soweit angemessen, untersuchen und den Beschwerdeführer über die Fortschritte und das Ergebnis der Untersuchung innerhalb einer angemessenen Frist unterrichten. Darüber hinaus sollten die nationalen Behörden für die Cybersicherheitszertifizierung mit anderen nationalen Behörden für die Cybersicherheitszertifizierung und anderen öffentlichen Stellen zusammenarbeiten, auch indem sie Informationen über die etwaige Nichtkonformität von IKT-Produkten, -Diensten und -Prozessen mit den Anforderungen dieser Verordnung oder bestimmten europäischen Schemata für die Cybersicherheitszertifizierung austauschen. Die Kommission sollte diesen Informationsaustausch erleichtern, indem sie ein allgemeines elektronisches Informationssystem zur Unterstützung bereitstellt, zum Beispiel das internetgestützte Informations- und Kommunikationssystem zur europaweiten Marktüberwachung (Information and Communication System on Market Surveillance — ICSMS) und das gemeinschaftliche System zum raschen Austausch von Informationen über die Gefahren bei der Verwendung von Konsumgütern (Community system for the rapid exchange of information on dangers arising from the use of consumer products — RAPEX), die in Übereinstimmung mit der Verordnung (EG) Nr. 765/2008 bereits von Marktüberwachungsbehörden genutzt werden.

(103)

Für eine einheitliche Anwendung des europäischen Rahmens für die Cybersicherheitszertifizierung sollte eine europäische Gruppe für die Cybersicherheitszertifizierung eingesetzt werden, die sich aus Vertretern der nationalen Behörden für die Cybersicherheitszertifizierung oder anderer zuständiger nationaler Behörden zusammensetzt. Die Gruppe für die Cybersicherheitszertifizierung sollte vor allem die Kommission bei ihren Tätigkeiten zur Gewährleistung einer einheitlichen Umsetzung und Anwendung des europäischen Rahmens für die Cybersicherheitszertifizierung beraten und unterstützen, die ENISA bei der Ausarbeitung der möglichen Cybersicherheitszertifizierungsschemata unterstützen und mit ihr eng zusammenarbeiten, in entsprechend begründeten Fällen die ENISA mit der Ausarbeitung eines möglichen Schemas beauftragen, an die ENISA gerichtete Stellungnahmen zu möglichen Schemata annehmen, und an die Kommission gerichtete Stellungnahmen zur Pflege und Überprüfung vorhandener europäischer Schemata für die Cybersicherheitszertifizierung annehmen. Die Gruppe für die Cybersicherheitszertifizierung sollte den Austausch von bewährten Verfahren und Sachkenntnissen zwischen den verschiedenen nationalen Behörden für die Cybersicherheitszertifizierung, die für die Ermächtigung der Konformitätsbewertungsstellen und die Ausstellung von Europäischen Cybersicherheitszertifikaten zuständig sind, erleichtern.

(104)

Zur Sensibilisierung und um die Akzeptanz künftiger europäischer Schemata für die Cybersicherheitssicherheit zu erhöhen, kann die Kommission allgemeine und sektorspezifische Cybersicherheitsleitlinien herausgeben, die sich beispielsweise auf bewährte Verfahren oder verantwortungsvolles Verhalten im Bereich der Cybersicherheit beziehen, und dabei die Vorteile der Verwendung zertifizierter IKT-Produkte, -Dienste und -Prozesse hervorheben.

(105)

Da die IKT-Lieferketten weltumspannend sind, kann die Union zur weiteren Erleichterung des Handels gemäß Artikel 218 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) Abkommen über die gegenseitige Anerkennung von europäischen Cybersicherheitszertifikaten schließen. Die Kommission kann unter Berücksichtigung der Ratschläge der ENISA und der europäischen Gruppe für die Cybersicherheitszertifizierung die Aufnahme entsprechender Verhandlungen empfehlen. In jedem europäischen Schema für die Cybersicherheitszertifizierung sollten spezifische Bedingungen für diese Abkommen über die gegenseitige Anerkennung bei Drittländern vorgesehen werden.

(106)

Zur Gewährleistung einheitlicher Bedingungen für die Durchführung dieser Verordnung sollten der Kommission Durchführungsbefugnisse übertragen werden. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (22) ausgeübt werden.

(107)

Das Prüfverfahren sollte für die Annahme der Durchführungsrechtsakte über die europäischen Schemata für die Cybersicherheitszertifizierung von IKT-Produkten, -Diensten oder -Prozessen, für die Annahme von Durchführungsrechtsakten über die Modalitäten für die Durchführung von Umfragen durch die ENISA, für die Annahme von Durchführungsrechtsakten über einen Plan für die gegenseitige Begutachtung der nationalen Behörden für die Cybersicherheitszertifizierung sowie für die Annahme von Durchführungsrechtsakten über die Umstände, Formate und Verfahren der Notifikation akkreditierter Konformitätsbewertungsstellen durch die nationalen Behörden für die Cybersicherheitszertifizierung bei der Kommission verwendet werden.

(108)

Die Tätigkeit der ENISA sollte regelmäßig und unabhängig bewertet werden. Diese Bewertung sollte sich darauf beziehen, inwieweit die ENISA ihre Ziele erreicht, wie sie arbeitet und inwieweit ihre Aufgaben relevant sind, insbesondere ihre Aufgaben bezüglich der operativen Zusammenarbeit auf Unionsebene. Zudem sollten Wirkung, Wirksamkeit und Effizienz des europäischen Rahmens für Cybersicherheitszertifizierung bewertet werden. Im Falle einer Überprüfung sollte die Kommission bewerten, wie die Rolle der ENISA als Bezugspunkt für Beratung und Sachkenntnis verstärkt werden kann und sollte ebenfalls die Möglichkeit einer Rolle der ENISA bei der Unterstützung der Bewertung von IKT-Produkten, -Diensten und -Prozessen aus Drittländern, die auf den Unionsmarkt gelangen und gegen die Unionsvorschriften verstoßen, bewerten.

(109)

Da die Ziele dieser Verordnung von den Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern vielmehr wegen ihres Umfangs und ihrer Wirkungen auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union (EUV) verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das für die Verwirklichung dieser Ziele erforderliche Maß hinaus.

(110)

Die Verordnung (EU) Nr. 526/2013 sollte aufgehoben werden —

HABEN FOLGENDE VERORDNUNG ERLASSEN:

TITEL I

ALLGEMEINE BESTIMMUNGEN

Artikel 1

Gegenstand und Geltungsbereich

(1)   Um das ordnungsgemäße Funktionieren des Binnenmarkts zu gewährleisten und um gleichzeitig in der Union ein hohes Niveau in der Cybersicherheit, bei der Fähigkeit zur Abwehr gegen Cyberangriffe und beim Vertrauen in die Cybersicherheit zu erreichen, wird in dieser Verordnung Folgendes festgelegt:

a)

die Ziele, Aufgaben und organisatorischen Aspekte der ENISA (Agentur der Europäischen Union für Cybersicherheit) und

b)

ein Rahmen für die Festlegung europäischer Schemata für die Cybersicherheitszertifizierung, mit dem Ziel, für IKT- Produkte und -Dienste und -Prozesse in der Union ein angemessenes Maß an Cybersicherheit zu gewährleisten und mit dem Ziel, eine Fragmentierung des Binnenmarkts bei Zertifizierungsschemata, in der Union zu verhindern.

Der Rahmen nach Unterabsatz 1 Buchstabe b gilt unbeschadet der in anderen Rechtsakten der Union festgelegten Bestimmungen in Bezug auf eine freiwillige oder verbindliche Zertifizierung.

(2)   Von dieser Verordnung unberührt bleiben die Zuständigkeiten der Mitgliedstaaten für Tätigkeiten in Bezug auf die öffentliche Sicherheit, die Landesverteidigung, die nationale Sicherheit und das staatliche Handeln im strafrechtlichen Bereich.

Artikel 2

Begriffsbestimmungen

Für die Zwecke dieser Verordnung gelten folgende Begriffsbestimmungen:

1.

„Cybersicherheit“ bezeichnet alle Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen;

2.

„Netz- und Informationssystem“ bezeichnet ein Netz- und Informationssystem im Sinne des Artikels 4 Nummer 1 der Richtlinie (EU) 2016/1148;

3.

„nationale Strategie für die Sicherheit von Netz- und Informationssystemen“ bezeichnet eine nationale Strategie für die Sicherheit von Netz- und Informationssystemen im Sinne des Artikels 4 Nummer 3 der Richtlinie (EU) 2016/1148;

4.

„Betreiber wesentlicher Dienste“ bezeichnet einen Betreiber wesentlicher Dienste im Sinne des Artikels 4 Nummer 4 der Richtlinie (EU) 2016/1148;

5.

„Anbieter digitaler Dienste“ bezeichnet einen Anbieter digitaler Dienste im Sinne des Artikels 4 Nummer 6 der Richtlinie (EU) 2016/1148;

6.

„Sicherheitsvorfall“ bezeichnet einen Sicherheitsvorfall im Sinne des Artikels 4 Nummer 7 der Richtlinie (EU) 2016/1148;

7.

„Bewältigung von Sicherheitsvorfällen“ bezeichnet die Bewältigung von Sicherheitsvorfällen im Sinne des Artikels 4 Nummer 8 der Richtlinie (EU) 2016/1148;

8.

„Cyberbedrohung“ bezeichnet einen möglichen Umstand, ein mögliches Ereignis oder eine mögliche Handlung, der/das/die Netz- und Informationssysteme, die Nutzer dieser Systeme und andere Personen schädigen, stören oder anderweitig beeinträchtigen könnte;

9.

„europäisches Schema für die Cybersicherheitszertifizierung“ bezeichnet ein umfassendes Paket von Vorschriften, technischen Anforderungen, Normen und Verfahren, die auf Unionsebene festgelegt werden und für die Zertifizierung oder Konformitätsbewertung von bestimmten IKT-Produkten, -Diensten und -Prozessen gelten;

10.

„nationales Schema für die Cybersicherheitszertifizierung“ bezeichnet ein umfassendes, von einer nationalen Behörde ausgearbeitetes und erlassenes Paket von Vorschriften, technischen Anforderungen, Normen und Verfahren, die für die Zertifizierung oder Konformitätsbewertung von IKT-Produkten, -Diensten und -Prozessen gelten, die von diesem Schema erfasst werden;

11.

„europäisches Cybersicherheitszertifikat“ bezeichnet ein von der maßgeblichen Stelle ausgestelltes Dokument, in dem bescheinigt wird, dass ein bestimmtes IKT-Produkt, ein bestimmter IKT-Dienst oder ein bestimmter IKT-Prozess im Hinblick auf die Erfüllung besonderer Sicherheitsanforderungen, die in einem europäischen Schema für die Cybersicherheitszertifizierung festgelegt sind, bewertet wurde;

12.

„IKT-Produkt“ bezeichnet ein Element oder eine Gruppe von Elementen eines Netz- oder Informationssystems;

13.

„IKT-Dienst“ bezeichnet einen Dienst, der vollständig oder überwiegend aus der Übertragung, Speicherung, Abfrage oder Verarbeitung von Informationen mittels Netz- und Informationssystemen besteht;

14.

„IKT-Prozess“ bezeichnet jegliche Tätigkeiten, mit denen ein ITK-Produkt oder -Dienst konzipiert, entwickelt, bereitgestellt oder gepflegt werden soll;

15.

„Akkreditierung“ bezeichnet die Akkreditierung im Sinne des Artikels 2 Nummer 10 der Verordnung (EG) Nr. 765/2008;

16.

„nationale Akkreditierungsstelle“ bezeichnet eine nationale Akkreditierungsstelle im Sinne des Artikels 2 Nummer 11 der Verordnung (EG) Nr. 765/2008;

17.

„Konformitätsbewertung“ bezeichnet eine Konformitätsbewertung im Sinne des Artikels 2 Nummer 12 der Verordnung (EG) Nr. 765/2008;

18.

„Konformitätsbewertungsstelle“ bezeichnet eine Konformitätsbewertungsstelle im Sinne des Artikels 2 Nummer 13 der Verordnung (EG) Nr. 765/2008;

19.

„Norm“ bezeichnet eine Norm im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) Nr. 1025/2012;

20.

„technische Spezifikation“ bezeichnet ein Dokument, in dem die technischen Anforderungen, denen ein IKT-Prozess, -Produkt oder -Dienst genügen muss oder ein diesbezügliches Konformitätsbewertungsverfahren vorgeschrieben sind;

21.

„Vertrauenswürdigkeitsstufe“ bezeichnet die Grundlage für das Vertrauen darin, dass ein IKT-Produkt, -Dienst oder -Prozess den Sicherheitsanforderungen eines spezifischen europäischen Schemas für die Cybersicherheitszertifizierung genügt, gibt an, auf welchem Niveau das IKT-Produkt, der IKT-Dienst oder der IKT-Prozess, bei der Bewertung eingestuft wurde, misst jedoch als solche nicht die Sicherheit des IKT-Produkts, -Dienstes oder -Prozesses;

22.

„Selbstbewertung der Konformität“ bezeichnet eine Maßnahme eines Herstellers oder Anbieters von IKT-Produkten, -Diensten oder -Prozessen zur Bewertung, ob diese IKT- Produkte, -Dienste oder -Prozesse die Anforderungen, die in einem spezifischen europäischen Schema für die Cybersicherheitszertifizierung festgelegt sind, erfüllen.

TITEL II

ENISA (AGENTUR DER EUROPÄISCHEN UNION FÜR CYBERSICHERHEIT)

KAPITEL I

Mandat und Ziele

Artikel 3

Mandat

(1)   Die ENISA nimmt die ihr mit dieser Verordnung zugewiesenen Aufgaben mit dem Ziel wahr, ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union zu erreichen, unter anderem indem sie die Mitgliedstaaten und die Organe, Einrichtungen und sonstigen Stellen der Union bei der Verbesserung der Cybersicherheit unterstützt. Die ENISA dient den Organen, Einrichtungen und sonstigen Stellen der Union sowie anderen maßgeblichen Interessenträgern der Union als Bezugspunkt für Beratung und Sachkenntnis im Bereich Cybersicherheit.

Die ENISA trägt durch die Wahrnehmung der ihr mit dieser Verordnung zugewiesenen Aufgaben zur Verringerung der Fragmentierung im Binnenmarkt bei.

(2)   Die ENISA nimmt die ihr durch Rechtsakte der Union zugewiesenen Aufgaben wahr, mit denen die Rechts- und Verwaltungsvorschriften der Mitgliedstaaten auf dem Gebiet der Cybersicherheit angeglichen werden sollen.

(3)   Die ENISA handelt bei der Wahrnehmung ihrer Aufgaben unabhängig, vermeidet Überschneidungen mit den Tätigkeiten der Mitgliedstaaten und berücksichtigt die bereits vorhandene Sachkenntnis der Mitgliedstaaten.

(4)   Die ENISA entwickelt ihre eigenen Ressourcen, einschließlich technischer und menschlicher Fähigkeiten und Fertigkeiten, die erforderlich sind, um die ihr mit dieser Verordnung zugewiesenen Aufgaben wahrzunehmen.

Artikel 4

Ziele

(1)   Die ENISA dient aufgrund ihrer Unabhängigkeit, der wissenschaftlichen und technischen Qualität der von ihr geleisteten Beratung und Unterstützung, der von ihr bereitgestellten Informationen, ihrer operativen Verfahren, ihrer Arbeitsmethoden sowie der Sorgfalt bei der Wahrnehmung ihrer Aufgaben als Kompetenzzentrum in Fragen der Cybersicherheit.

(2)   Die ENISA unterstützt die Organe, Einrichtungen und sonstigen Stellen der Union sowie die Mitgliedstaaten bei der Ausarbeitung und Umsetzung von Strategien der Union im Zusammenhang mit der Cybersicherheit, wozu auch sektorbezogene Strategien zur Cybersicherheit gehören.

(3)   Die ENISA fördert unionsweit den Kapazitätsaufbau und die Abwehrbereitschaft, indem sie die Organe, Einrichtungen und sonstigen Stellen der Union, die Mitgliedstaaten sowie öffentliche und private Interessenträger dabei unterstützt, den Schutz ihrer Netz- und Informationssysteme zu verbessern, Fähigkeiten zur Abwehr von Cyberangriffen und Reaktionskapazitäten aufzubauen und zu verbessern und Fähigkeiten und Kompetenzen auf dem Gebiet der Cybersicherheit aufzubauen.

(4)   Die ENISA fördert auf Unionsebene die Zusammenarbeit einschließlich des Informationsaustauschs und die Koordinierung zwischen den Mitgliedstaaten, den Organen, Einrichtungen und sonstigen Stellen der Union sowie den einschlägigen privaten und öffentlichen Interessenträgern in Fragen, die im Zusammenhang mit der Cybersicherheit stehen.

(5)   Die ENISA trägt zum Ausbau der Cybersicherheitskapazitäten auf Unionsebene bei, um — insbesondere bei grenzüberschreitenden Sicherheitsvorfällen — die Maßnahmen zu unterstützen, die die Mitgliedstaaten zur Vermeidung von Cyberbedrohungen oder als Reaktion darauf ergreifen.

(6)   Die ENISA fördert die Nutzung der europäischen Cybersicherheits-Zertifizierung, um der Fragmentierung des Binnenmarkts vorzubeugen. Die ENISA trägt zum Aufbau und zur Pflege eines Cybersicherheitszertifizierungsrahmens im Sinne des Titels III dieser Verordnung bei, um die auf mehr Transparenz gestützte Vertrauenswürdigkeit der Cybersicherheit von IKT-Produkten, -Diensten und -Prozessen zu erhöhen und damit das Vertrauen in den digitalen Binnenmarkt sowie dessen Wettbewerbsfähigkeit zu stärken.

(7)   Die ENISA fördert ein hohes Maß der Sensibilisierung für die Cybersicherheit, einschließlich der Cyberhygiene und der Cyberkompetenz von Bürgern, Organisationen und Unternehmen.

KAPITEL II

Aufgaben

Artikel 5

Entwicklung und Umsetzung der Unionspolitik und des Unionsrechts

Die ENISA trägt zur Entwicklung und Umsetzung der Unionspolitik und des Unionsrechts bei, indem sie

1.

insbesondere durch unabhängige Stellungnahmen und Analysen sowie durch vorbereitende Arbeiten zur Ausarbeitung und Überprüfung der Unionspolitik und des Unionsrechts auf dem Gebiet der Cybersicherheit Beratung und Unterstützung gewährt und indem sie sektorspezifische Strategien und Rechtsetzungsinitiativen im Bereich der Cybersicherheit vorlegt;

2.

die Mitgliedstaaten darin unterstützt, die Unionspolitik und das Unionsrecht auf dem Gebiet der Cybersicherheit, vor allem im Zusammenhang mit der Richtlinie (EU) 2016/1148, kohärent umzusetzen, auch durch die Abgabe von Stellungnahmen, Herausgabe von Leitlinien, Anbieten von Beratung und bewährten Verfahren zu Themen wie Risikomanagement, Meldung von Sicherheitsvorfällen und Informationsaustausch, und indem sie den Austausch bewährter Verfahren in diesem Bereich zwischen den zuständigen Behörden erleichtert;

3.

die Mitgliedstaaten und die Organe, Einrichtungen und sonstigen Stellen der Union bei der Entwicklung und Förderung von Strategien im Zusammenhang mit der Cybersicherheit unterstützt, die die allgemeine Verfügbarkeit oder Integrität des öffentlichen Kerns des offenen Internets bewahren;

4.

ihre Sachkenntnis und Unterstützung in die Arbeit der nach Artikel 11 der Richtlinie (EU) 2016/1148 eingesetzten Kooperationsgruppe einbringt;

5.

Folgendes unterstützt:

a)

die Entwicklung und Umsetzung der Unionspolitik im Bereich der elektronischen Identität und Vertrauensdienste, vor allem durch Beratung und die Herausgabe technische Leitlinien sowie durch die Erleichterung des Austauschs bewährter Verfahren zwischen den zuständigen Behörden;

b)

die Förderung eines höheren Sicherheitsniveaus in der elektronischen Kommunikation, auch indem sie Beratung und Sachkenntnis anbietet und den Austausch bewährter Verfahren zwischen den zuständigen Behörden erleichtert;

c)

die Mitgliedstaaten bei der Umsetzung bestimmter auf die Cybersicherheit bezogener Aspekte der Politik und des Rechts der Union im Bereich des Datenschutzes und des Schutzes der Privatsphäre, was — auf dessen Ersuchen die Beratung des Europäischen Datenschutzausschusses einschließt;

6.

die regelmäßige Überprüfung der Unionspolitik unterstützt und dazu einen Jahresbericht über den Stand der Umsetzung des jeweiligen Rechtsrahmens in Bezug auf Folgendes erstellt:

a)

Informationen über Meldungen von Sicherheitsvorfällen durch die Mitgliedstaaten über die zentrale Anlaufstelle der Kooperationsgruppe nach Artikel 10 Absatz 3 der Richtlinie (EU) 2016/1148;

b)

Zusammenfassungen von Meldungen von Sicherheitsverletzungen oder Integritätsverlusten von Vertrauensdiensteanbietern, die der ENISA auf der Grundlage des Artikels 19 Absatz 3 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates (23) von den Aufsichtsstellen übermittelt werden;

c)

die Meldungen von Sicherheitsvorfällen durch Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugängliche elektronische Kommunikationsdienste, die der ENISA von den zuständigen Behörden auf der Grundlage des Artikels 40 der Richtlinie (EU) 2018/1972 übermittelt werden.

Artikel 6

Kapazitätsaufbau

(1)   Die ENISA unterstützt

a)

die Mitgliedstaaten bei ihren Bemühungen zur Verhütung, Erkennung und Analyse und zur Stärkung ihrer Fähigkeiten bei der Bewältigung von Cyberbedrohungen und Cybersicherheitsvorfällen, indem sie ihnen Wissen und Sachkenntnisse zur Verfügung stellt;

b)

die Mitgliedstaaten und die Organe, Einrichtungen und sonstigen Stellen der Union bei der Aufstellung und Umsetzung von Strategien für eine Offenlegung von Sicherheitslücken auf freiwilliger Basis;

c)

die Organe, Einrichtungen und sonstigen Stellen der Union bei ihren Bemühungen zur Verhütung, Erkennung und Analyse von Cyberbedrohungen und Cybersicherheitsvorfällen und zur Verbesserung ihrer Fähigkeiten bei der Bewältigung derartiger Cyberbedrohungen und Cybersicherheitsvorfällen, indem sie insbesondere das CERT-EU angemessen unterstützt;

d)

die Mitgliedstaaten auf deren Ersuchen beim Aufbau nationaler CSIRTs nach Artikel 9 Absatz 5 der Richtlinie (EU) 2016/1148;

e)

die Mitgliedstaaten auf Ersuchen bei der Ausarbeitung nationaler Strategien für die Sicherheit von Netz- und Informationssystemen nach Artikel 7 Absatz 2 der Richtlinie (EU) 2016/1148 und fördert die unionsweite Verbreitung dieser Strategien und stellt die Fortschritte bei deren Umsetzung fest, um bewährte Verfahren bekannt zu machen;

f)

die Organe der Union bei der Ausarbeitung und Überprüfung von Unionsstrategien zur Cybersicherheit, fördert deren Verbreitung und verfolgt die Fortschritte bei deren Umsetzung;

g)

die CSIRTs der Mitgliedstaaten und der Union bei der Anhebung des Niveaus ihrer Fähigkeiten, auch durch die Förderung des Dialogs und Informationsaustauschs, damit jedes CSIRT entsprechend dem Stand der Technik einen gemeinsamen Bestand an Minimalfähigkeiten hat und entsprechend der bewährten Praxis arbeitet;

h)

die Mitgliedstaaten durch die regelmäßige Veranstaltung der mindestens alle zwei Jahre stattfindenden Cybersicherheitsübungen auf Unionsebene nach Artikel 7 Absatz 5 und durch die Abgabe von Empfehlungen, die sie aus der Auswertung der Übungen und der bei diesen gemachten Erfahrungen ableitet;

i)

einschlägige öffentliche Stellen, indem sie diesen, gegebenenfalls in Zusammenarbeit mit Interessenträgern, Fortbildungen zur Cybersicherheit anbietet;

j)

die Kooperationsgruppe beim Austausch bewährter Verfahren, vor allem zur Ermittlung der Betreiber wesentlicher Dienste durch die Mitgliedstaaten nach Artikel 11 Absatz 3 Buchstabe l der Richtlinie (EU) 2016/1148, auch im Zusammenhang mit grenzüberschreitenden Abhängigkeiten, im Hinblick auf Risiken und Sicherheitsvorfälle.

(2)   Die ENISA unterstützt den Informationsaustausch in und zwischen den Sektoren, vor allem in den in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren, indem sie bewährte Verfahren und Leitlinien zu den verfügbaren Instrumenten und Verfahren sowie zur Bewältigung rechtlicher Fragen im Zusammenhang mit dem Informationsaustausch bereitstellt.

Artikel 7

Operative Zusammenarbeit auf Unionsebene

(1)   Die ENISA unterstützt die operative Zusammenarbeit zwischen den Mitgliedstaaten und Organen, Einrichtungen und sonstigen Stellen der Union untereinander und zwischen den Interessenträgern.

(2)   Die ENISA arbeitet auf operativer Ebene mit den Organen, Einrichtungen und sonstigen Stellen der Union zusammen und entwickelt Synergien mit diesen Stellen, zu denen auch das CERT-EU sowie die für Cyberkriminalität und die Aufsicht über den Datenschutz zuständigen Stellen zählen, um Fragen von gemeinsamem Interesse anzugehen, unter anderem durch

a)

den Austausch von Know-how und bewährten Verfahren;

b)

die Bereitstellung von Beratung und die Veröffentlichung von Leitlinien zu einschlägigen Fragen im Zusammenhang mit der Cybersicherheit;

c)

die Festlegung praktischer Modalitäten für die Wahrnehmung besonderer Aufgaben nach Konsultation der Kommission.

(3)   Die ENISA führt die Sekretariatsgeschäfte des CSIRTs-Netzes nach Artikel 12 Absatz 2 der Richtlinie (EU) 2016/1148 und unterstützt in dieser Eigenschaft aktiv den Informationsaustausch und die Zusammenarbeit zwischen den Mitgliedern des CSIRTs-Netzes.

(4)   Die ENISA unterstützt die Mitgliedstaaten bei der operativen Zusammenarbeit innerhalb des CSIRTs-Netzes, indem sie

a)

diese berät, wie sie ihre Fähigkeiten zur Verhütung, Erkennung und Bewältigung von Sicherheitsvorfällen verbessern können, und auf Ersuchen eines oder mehrerer Mitgliedstaaten Beratung in Bezug auf eine spezifische Cyberbedrohung leistet;

b)

auf Ersuchen eines oder mehrerer Mitgliedstaaten bei der Bewertung von Sicherheitsvorfällen mit beträchtlichen oder erheblichen Auswirkungen Hilfe leistet, indem sie Sachkenntnisse bereitstellt und die technische Bewältigung solcher Vorfälle erleichtert, insbesondere auch durch die Unterstützung der freiwilligen Weitergabe maßgeblicher Informationen und technischer Lösungen zwischen den Mitgliedstaaten;

c)

Sicherheitslücken und Sicherheitsvorfälle auf der Grundlage von öffentlich verfügbaren Informationen oder freiwillig von den Mitgliedstaaten zu diesem Zweck bereitgestellten Informationen analysiert und

d)

auf Ersuchen eines oder mehrerer Mitgliedstaaten die nachträglichen technischen Untersuchungen von Sicherheitsvorfällen mit beträchtlichen oder erheblichen Auswirkungen im Sinne der Richtlinie (EU) 2016/1148 unterstützt.

Bei der Wahrnehmung dieser Aufgaben arbeiten die ENISA und das CERT-EU in strukturierter Weise zusammen, um Synergien nutzen zu können und Doppelarbeit zu vermeiden.

(5)   Die ENISA veranstaltet auf Unionsebene regelmäßig Cybersicherheitsübungen und unterstützt die Mitgliedstaaten und die Organe, Einrichtungen und sonstigen Stellen der Union auf deren Ersuchen hin bei der Organisation solcher Cybersicherheitsübungen. Diese Cybersicherheitsübungen auf Unionsebene können technische, operative oder strategische Elemente umfassen. Alle zwei Jahre veranstaltet die ENISA eine umfassende Großübung.

Die ENISA unterstützt gemeinsam mit den betreffenden Organisationen gegebenenfalls auch die Organisation sektorspezifischer Cybersicherheitsübungen, zu denen sie beiträgt, wobei diese Organisationen an den Cybersicherheitsübungen auf Unionsebene teilnehmen können.

(6)   Die ENISA erstellt in enger Zusammenarbeit mit den Mitgliedstaaten regelmäßig einen eingehenden technischen EU-Cybersicherheitslagebericht über Sicherheitsvorfälle und Bedrohungen auf der Grundlage von öffentlich zugänglichen Informationen, eigenen Analysen und Berichten, die ihr unter anderem von den CSIRTs der Mitgliedstaaten () oder den zentralen Anlaufstellen im Sinne der Richtlinie (EU) 2016/1148 (in beiden Fällen auf freiwilliger Basis) sowie dem EC3 und dem CERT-EU übermittelt werden.

(7)   Die ENISA trägt zur Entwicklung gemeinsamer Maßnahmen bei, mit denen auf Ebene der Union und der Mitgliedstaaten auf massive, grenzüberschreitende Cybersicherheitsvorfälle oder Cyberkrisen reagiert werden kann, indem sie insbesondere:

a)

öffentlich verfügbare oder auf freiwilliger Grundlage bereitgestellte Berichte aus nationalen Quellen als Beitrag zu einer gemeinsamen Lageerfassung zusammenstellt und analysiert;

b)

für einen effizienten Informationsfluss und Mechanismen sorgt, die zwischen dem CSIRTs-Netz und den fachlichen und politischen Entscheidungsträgern auf EU-Ebene eine abgestufte Vorgehensweise ermöglichen;

c)

auf Ersuchen die technische Bewältigung dieser Sicherheitsvorfälle oder Krisen erleichtert, insbesondere auch durch die Unterstützung der freiwilligen Weitergabe technischer Lösungen zwischen den Mitgliedstaaten;

d)

die Organe, Einrichtungen und sonstigen Stellen der Union und auf deren Ersuchen die Mitgliedstaaten bei der öffentlichen Kommunikation im Umfeld solcher Sicherheitsvorfälle oder der Krisen unterstützt;

e)

die Kooperationspläne für die Reaktion auf solche Sicherheitsvorfälle oder Krisen auf Ebene der Union testet und auf deren Ersuchen die Mitgliedstaaten bei der Erprobung solcher Pläne auf nationaler Ebene unterstützt.

Artikel 8

Markt, Cybersicherheitszertifizierung und Normung

(1)   Die ENISA unterstützt und fördert die Entwicklung und Umsetzung der Unionspolitik auf dem Gebiet der Cybersicherheitszertifizierung von IKT-Produkten, -Diensten und -Prozessen, wie in Titel III dieser Verordnung festgelegt, indem sie

a)

die Entwicklungen in damit zusammenhängenden Normungsbereichen fortlaufend überwacht und in Fällen, in denen keine Normen zur Verfügung stehen, geeignete technische Spezifikationen für die Entwicklung europäischer Schemata für die Cybersicherheitszertifizierung nach Artikel 54 Absatz 1 Buchstabe c empfiehlt;

b)

mögliche europäische Schemata für die Cybersicherheitszertifizierung (im Folgenden „mögliche Schemata“) von IKT-Produkten, -Diensten und -Prozessen nach Artikel 49 ausarbeitet;

c)

angenommene europäische Schemata für die Cybersicherheitszertifizierung nach Artikel 49 Absatz 8 evaluiert;

d)

sich an gegenseitigen Begutachtungen nach Artikel 59 Absatz 4 beteiligt;

e)

die Kommission bei der Wahrnehmung der Sekretariatsgeschäfte der nach Artikel 62 Absatz 5 eingesetzten Europäischen Gruppe für die Cybersicherheitszertifizierung unterstützt.

(2)   Die ENISA nimmt die Sekretariatsgeschäfte der nach Artikel 22 Absatz 4 eingesetzten Gruppe der Interessenträger für die Cybersicherheitszertifizierung wahr.

(3)   Die ENISA stellt in Zusammenarbeit mit den nationalen Behörden für die Cybersicherheitszertifizierung und der Branche auf formelle, strukturierte und transparente Art und Weise Leitlinien zusammen und veröffentlicht diese und entwickelt bewährte Verfahren im Zusammenhang mit den Anforderungen an die Cybersicherheit von IKT-Produkten, -Diensten und -Prozessen.

(4)   Die ENISA trägt zu einem hinreichenden Kapazitätsaufbau im Zusammenhang mit den Bewertungs- und Zertifizierungsverfahren bei, indem sie Leitlinien erstellt und veröffentlicht und die Mitgliedstaaten auf deren Ersuchen hin unterstützt.

(5)   Die ENISA erleichtert die Ausarbeitung und Übernahme europäischer und internationaler Normen für das Risikomanagement und die Sicherheit von IKT-Produkten, -Diensten und -Prozessen.

(6)   Die ENISA bietet nach Artikel 19 Absatz 2 der Richtlinie (EU) 2016/1148 in Zusammenarbeit mit den Mitgliedstaaten und der Branche Beratung an und erstellt Leitlinien für die technischen Bereiche, die sich auf die Sicherheitsanforderungen für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste beziehen, sowie für bereits vorhandene Normen, auch nationale Normen der Mitgliedstaaten.

(7)   Die ENISA führt regelmäßig Analysen der wichtigsten Angebots- und Nachfragetrends auf dem Cybersicherheitsmarkt durch, um den Cybersicherheitsmarkt in der Union zu fördern.

Artikel 9

Wissen und Informationen

Die ENISA

a)

führt Analysen neu entstehender Technik durch und bietet themenspezifische Bewertungen der von den technischen Innovationen zu erwartenden gesellschaftlichen, rechtlichen, wirtschaftlichen und regulatorischen Auswirkungen auf die Cybersicherheit;

b)

führt langfristige strategische Analysen der Cyberbedrohungen und Sicherheitsvorfälle durch, um neu auftretende Trends erkennen und dazu beitragen zu können, Sicherheitsvorfälle zu vermeiden;

c)

stellt in Zusammenarbeit mit den Sachverständigen der Behörden der Mitgliedstaaten und den maßgeblichen Interessenträgern Beratung, Leitlinien und bewährte Verfahren für die Sicherheit der Netz- und Informationssysteme zur Verfügung, vor allem für die Sicherheit der Infrastrukturen, die die in Anhang II der Richtlinie (EU) 2016/1148 aufgeführten Sektoren unterstützen, und der Infrastrukturen, die von den Anbietern der in Anhang III der genannten Richtlinie aufgeführten digitaler Dienste genutzt werden;

d)

bündelt die von den Organen, Einrichtungen und sonstigen Stellen der Union bereitgestellten Informationen zur Cybersicherheit und die auf freiwilliger Grundlage von den Mitgliedstaaten und privaten und öffentlichen Interessenträgern bereitgestellten Informationen zur Cybersicherheit, ordnet diese Informationen und stellt sie über ein eigenes Portal der Öffentlichkeit zur Verfügung;

e)

erhebt und analysiert öffentlich verfügbare Informationen über signifikante Sicherheitsvorfälle und stellt Berichte mit dem Ziel zusammen, den Bürgern, Organisationen und Unternehmen unionsweite Leitlinien bereitzustellen.

Artikel 10

Sensibilisierung und Ausbildung

Die ENISA

a)

sensibilisiert die Öffentlichkeit für Cybersicherheitsrisiken und stellt Leitlinien für bewährte Verfahren für einzelne Nutzer zur Verfügung, die sich an Bürger, Organisationen und Unternehmen richten und auch Cyberhygiene und Cyberkompetenz umfassen;

b)

organisiert in Zusammenarbeit mit den Mitgliedstaaten, den Organen, Einrichtungen und sonstigen Stellen der Union und der Branche regelmäßige Aufklärungskampagnen, um die Cybersicherheit und ihre Sichtbarkeit in der Union zu erhöhen und eine umfassende öffentliche Debatte anzuregen;

c)

unterstützt die Mitgliedstaaten bei ihren Anstrengungen zur Sensibilisierung in Bezug auf Cybersicherheit und zur Förderung der Ausbildung im Bereich Cybersicherheit;

d)

unterstützt die engere Koordinierung und den Austausch bewährter Verfahren zwischen den Mitgliedstaaten in Bezug auf Sensibilisierung und Ausbildung im Bereich Cybersicherheit.

Artikel 11

Forschung und Innovation

Die ENISA, in Zusammenhang mit der Forschung und Innovation,

a)

berät die Organe, Einrichtungen und sonstigen Stellen der Union und die Mitgliedstaaten zum Forschungsbedarf und zu den Forschungsprioritäten im Bereich Cybersicherheit, damit die Voraussetzung für wirksame Reaktionen auf die gegenwärtigen oder sich abzeichnenden Risiken und Cyberbedrohungen, auch in Bezug auf neue und aufkommende Informations- und Kommunikationstechnologien (IKT), geschaffen und die Techniken zur Risikovermeidung genutzt werden können;

b)

beteiligt sich dort, wo die Kommission ihr die einschlägigen Befugnisse übertragen hat, an der Durchführungsphase von Förderprogrammen für Forschung und Innovation oder als Begünstige;

c)

trägt im Bereich der Cybersicherheit zur strategischen Forschungs- und Innovationsagenda auf Unionsebene bei.

Artikel 12

Internationale Zusammenarbeit

Die ENISA unterstützt die Bemühungen der Union um Zusammenarbeit mit Drittländern und internationalen Organisationen sowie innerhalb der einschlägigen Rahmen für internationale Zusammenarbeit, um die internationale Zusammenarbeit in Angelegenheiten der Cybersicherheit zu fördern, indem sie

a)

soweit zweckmäßig — bei der Organisation von internationalen Übungen als Beobachterin mitwirkt, die Ergebnisse solcher Übungen analysiert und sie dem Verwaltungsrat vorlegt;

b)

auf Ersuchen der Kommission den Austausch bewährter Verfahren erleichtert;

c)

der Kommission auf deren Ersuchen mit Sachkenntnis zur Seite steht;

d)

die Kommission in Zusammenarbeit mit der nach Artikel 62 eingesetzten Europäischen Gruppe für die Cybersicherheitszertifizierung bei Fragen zu Abkommen über die gegenseitige Anerkennung von Cybersicherheitszertifikaten mit Drittländern berät und unterstützt.

KAPITEL III

Organisation der ENISA

Artikel 13

Struktur der ENISA

Die Verwaltungs- und Leitungsstruktur der ENISA besteht aus

a)

einem Verwaltungsrat;

b)

einem Exekutivrat;

c)

einem Exekutivdirektor;

d)

einer EINSA-Beratungsgruppe; und

e)

einem Netz der nationalen Verbindungsbeamten.

Abschnitt 1

Verwaltungsrat

Artikel 14

Zusammensetzung des Verwaltungsrats

(1)   Dem Verwaltungsrat gehören je ein von jedem Mitgliedstaat ernanntes Mitglied und zwei von der Kommission ernannte Mitglieder an. Alle Mitglieder haben Stimmrecht.

(2)   Jedes Mitglied des Verwaltungsrats hat einen Stellvertreter. Dieser Stellvertreter vertritt das Mitglied im Fall seiner Abwesenheit.

(3)   Die Mitglieder des Verwaltungsrats und ihre Stellvertreter werden aufgrund ihrer Kenntnisse auf dem Gebiet der Cybersicherheit ernannt, wobei ihren einschlägigen Management-, Verwaltungs- und Haushaltsführungskompetenzen Rechnung zu tragen ist. Die Kommission und die Mitgliedstaaten bemühen sich, die Fluktuation bei ihren Vertretern im Verwaltungsrat gering zu halten, um die Kontinuität der Arbeit des Verwaltungsrats sicherzustellen. Die Kommission und die Mitgliedstaaten setzen sich für ein ausgewogenes Geschlechterverhältnis im Verwaltungsrat ein.

(4)   Die Amtszeit der Mitglieder des Verwaltungsrats und ihrer Stellvertreter beträgt vier Jahre. Sie kann verlängert werden.

Artikel 15

Aufgaben des Verwaltungsrats

(1)   Der Verwaltungsrat

a)

legt die allgemeine Ausrichtung der Tätigkeit der ENISA fest und sorgt auch dafür, dass die ENISA ihre Geschäfte gemäß der in dieser Verordnung festgelegten Vorschriften und Grundsätze führt. Er sorgt zudem für die Abstimmung der Arbeit der ENISA mit den Tätigkeiten, die von den Mitgliedstaaten und auf Unionsebene durchgeführt werden;

b)

nimmt den Entwurf des in Artikel 24 genannten einheitlichen Programmplanungsdokuments der ENISA an, bevor dieser der Kommission zur Stellungnahme vorgelegt wird;

c)

nimmt — unter Berücksichtigung der Stellungnahme der Kommission — das einheitliche Programmplanungsdokument der ENISA an;

d)

überwacht die Umsetzung der im einheitlichen Programmplanungsdokument enthaltenen mehrjährigen und jährlichen Programmplanung;

e)

stellt den jährlichen Haushaltsplan der Agentur fest und übt andere Funktionen in Bezug auf den Haushalt der ENISA gemäß Kapitel IV aus;

f)

bewertet und genehmigt den konsolidierten Jahresbericht über die Tätigkeiten der ENISA einschließlich des Jahresabschlusses und der Ausführungen darüber, inwiefern die ENISA die vorgegebenen Leistungsindikatoren erfüllt hat, und übermittelt den Bericht zusammen mit seiner Bewertung bis zum 1. Juli des folgenden Jahres dem Europäischen Parlament, dem Rat, der Kommission und dem Rechnungshof, und macht ihn der Öffentlichkeit zugänglich;

g)

erlässt nach Artikel 32 die für die ENISA geltende Finanzregelung;

h)

nimmt eine Betrugsbekämpfungsstrategie an, die den diesbezüglichen Risiken entspricht und an einer Kosten-Nutzen-Analyse der durchzuführenden Maßnahmen orientiert ist;

i)

erlässt Vorschriften zur Unterbindung und Bewältigung von Interessenkonflikten bei seinen Mitgliedern;

j)

sorgt ausgehend von den Erkenntnissen und Empfehlungen, die sich aus den Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF) und den verschiedenen internen und externen Prüfberichten und Bewertungen ergeben haben, für angemessene Folgemaßnahmen;

k)

gibt sich eine Geschäftsordnung einschließlich Regelungen zu den vorläufigen Beschlüssen zur Übertragung bestimmter Aufgaben gemäß Artikel 19 Absatz 7;

l)

nimmt gemäß Absatz 2 des vorliegenden Artikels in Bezug auf das Personal der ENISA die Befugnisse wahr, die der Anstellungsbehörde durch das Statut der Beamten der Europäischen Union (im Folgenden „Statut der Beamten“) bzw. der Stelle, die zum Abschluss der Dienstverträge ermächtigt ist, durch die Beschäftigungsbedingungen für die sonstigen Bediensteten der Europäischen Union (im Folgenden „Beschäftigungsbedingungen für die sonstigen Bediensteten der Europäischen Union“) nach der Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates (24) übertragen wurden (im Folgenden „Befugnisse der Anstellungsbehörde“);

m)

erlässt gemäß dem Verfahren des Artikels 110 des Statuts der Beamten Durchführungsbestimmungen zum Statut der Beamten und zu den Beschäftigungsbedingungen für die sonstigen Bediensteten;

n)

ernennt den Exekutivdirektor und verlängert gegebenenfalls dessen Amtszeit oder enthebt ihn nach Artikel 36 seines Amtes;

o)

ernennt einen Rechnungsführer, bei dem es sich um den Rechnungsführer der Kommission handeln kann, der in der Wahrnehmung seiner Aufgaben völlig unabhängig ist;

p)

fasst unter Berücksichtigung der Tätigkeitserfordernisse der ENISA und unter Beachtung der Grundsätze einer wirtschaftlichen Haushaltsführung alle Beschlüsse über die Schaffung und, falls notwendig, Änderung der Organisationsstruktur der Agentur;

q)

genehmigt das Treffen von Arbeitsvereinbarungen bezüglich Artikel 7;

r)

genehmigt das Treffen oder den Abschluss von Arbeitsvereinbarungen nach Artikel 42.

(2)   Der Verwaltungsrat fasst gemäß nach Artikel 110 des Statuts der Beamten, einen Beschluss auf der Grundlage von Artikel 2 Absatz 1 des Statuts der Beamten und von Artikel 6 der Beschäftigungsbedingungen für die sonstigen Bediensteten, mit dem er die einschlägigen Befugnisse der Anstellungsbehörde dem Exekutivdirektor überträgt und die Bedingungen festlegt, unter denen die Befugnisübertragung ausgesetzt werden kann. Der Exekutivdirektor kann diese Befugnisse einer nachgeordneten Ebene übertragen.

(3)   Wenn außergewöhnliche Umstände dies erfordern, kann der Verwaltungsrat durch Beschluss die Übertragung der Befugnisse der Anstellungsbehörde auf den Exekutivdirektor sowie jegliche von diesem vorgenommene Weiterübertragung von Befugnissen der Anstellungsbehörde vorübergehend aussetzen und die Befugnisse selbst ausüben oder sie stattdessen einem seiner Mitglieder oder einem anderen Bediensteten als dem Exekutivdirektor übertragen.

Artikel 16

Vorsitz des Verwaltungsrats

Der Verwaltungsrat wählt aus dem Kreis seiner Mitglieder mit der Zweidrittelmehrheit seiner Mitglieder einen Vorsitzenden und einen stellvertretenden Vorsitzenden. Ihre Amtszeit beträgt vier Jahre, wobei eine einmalige Wiederwahl zulässig ist. Endet jedoch ihre Mitgliedschaft im Verwaltungsrat während ihrer Amtszeit, so endet auch ihre Amtszeit automatisch am selben Tag. Der stellvertretende Vorsitzende tritt im Fall der Verhinderung des Vorsitzenden von Amts wegen an dessen Stelle.

Artikel 17

Sitzungen des Verwaltungsrats

(1)   Der Verwaltungsrat wird von seinem Vorsitzenden einberufen.

(2)   Der Verwaltungsrat tritt mindestens zweimal jährlich zu einer ordentlichen Sitzung zusammen. Auf Antrag des Vorsitzenden, der Kommission oder mindestens eines Drittels seiner Mitglieder tritt er darüber hinaus zu außerordentlichen Sitzungen zusammen.

(3)   Der Exekutivdirektor nimmt an den Sitzungen des Verwaltungsrats teil, hat jedoch kein Stimmrecht.

(4)   Die Mitglieder der ENISA-Beratungsgruppe können auf Einladung des Vorsitzes an den Sitzungen des Verwaltungsrats teilnehmen, haben jedoch kein Stimmrecht.

(5)   Die Mitglieder des Verwaltungsrats und ihre Stellvertreter können sich nach Maßgabe der Geschäftsordnung des Verwaltungsrats von Beratern oder Sachverständigen bei den Sitzungen des Verwaltungsrats unterstützen lassen.

(6)   Die Sekretariatsgeschäfte des Verwaltungsrats werden von der ENISA wahrgenommen.

Artikel 18

Vorschriften für die Abstimmung im Verwaltungsrat

(1)   Der Verwaltungsrat fasst seine Beschlüsse mit der Mehrheit seiner Mitglieder.

(2)   Für die Annahme des einheitlichen Programmplanungsdokuments und des jährlichen Haushaltsplans sowie für die Ernennung, die Verlängerung der Amtszeit oder die Abberufung des Exekutivdirektors ist eine Mehrheit von zwei Dritteln der Mitglieder des Verwaltungsrats erforderlich.

(3)   Jedes Mitglied hat eine Stimme. In Abwesenheit eines Mitglieds kann sein Stellvertreter das Stimmrecht des Mitglieds ausüben.

(4)   Der Vorsitzende des Verwaltungsrats nimmt an den Abstimmungen teil.

(5)   Der Exekutivdirektor nimmt nicht an den Abstimmungen teil.

(6)   Die näheren Einzelheiten der Abstimmungsregeln, insbesondere die Voraussetzungen, unter denen ein Mitglied im Namen eines anderen Mitglieds handeln kann, werden in der Geschäftsordnung des Verwaltungsrats festgelegt.

Abschnitt 2

Exekutivrat

Artikel 19

Exekutivrat

(1)   Der Verwaltungsrat wird von einem Exekutivrat unterstützt.

(2)   Der Exekutivrat

a)

bereitet die Beschlussvorlagen für den Verwaltungsrat vor;

b)

stellt zusammen mit dem Verwaltungsrat sicher, dass ausgehend von den Ergebnissen und Empfehlungen im Rahmen der Untersuchungen des OLAF und der externen oder internen Prüfberichte und Bewertungen angemessene Folgemaßnahmen getroffen werden;

c)

unterstützt und berät unbeschadet der Aufgaben des Exekutivdirektors nach Artikel 20 den Exekutivdirektor bei der Umsetzung der verwaltungs- und haushaltsbezogenen Beschlüsse des Verwaltungsrats nach Artikel 20.

(3)   Der Exekutivrat besteht aus fünf Mitgliedern. Die Mitglieder des Exekutivrats werden aus den Reihen der Mitglieder des Verwaltungsrats ernannt. Eines der Mitglieder ist der Vorsitzende des Verwaltungsrats, der zugleich auch Vorsitzender des Exekutivrats sein kann, und ein weiteres ist einer der Vertreter der Kommission. Bei den Ernennungen der Mitglieder des Exekutivrats wird die Sicherstellung eines ausgewogenen Geschlechterverhältnisses im Exekutivrat angestrebt. Der Exekutivdirektor nimmt an den Sitzungen des Exekutivrats, hat jedoch kein Stimmrecht.

(4)   Die Amtszeit der Mitglieder des Exekutivrats beträgt vier Jahre. Sie kann verlängert werden.

(5)   Der Exekutivrat tritt mindestens einmal alle drei Monate zusammen. Der Vorsitzende des Exekutivrats beruft auf Antrag der Mitglieder zusätzliche Sitzungen ein.

(6)   Der Verwaltungsrat legt die Geschäftsordnung des Exekutivrats fest.

(7)   Ist dies aufgrund der Dringlichkeit notwendig, so kann der Exekutivrat im Namen des Verwaltungsrats bestimmte vorläufige Beschlüsse fassen, vor allem in Verwaltungsangelegenheiten, einschließlich der Aussetzung der Übertragung der Befugnisse der Anstellungsbehörde, und in Haushaltsangelegenheiten. über Diese vorläufigen Beschlüsse werden dem Verwaltungsrat unverzüglich mitgeteilt. Der Verwaltungsrat entscheidet sodann spätestens drei Monate, nachdem der Beschluss gefasst wurde, ob er den vorläufigen Beschluss genehmigt oder ob er ihn nicht genehmigt. Der Exekutivrat fasst keine Beschlüsse im Namen des Verwaltungsrats, die mit einer Mehrheit von zwei Dritteln der Mitglieder des Verwaltungsrats angenommen werden müssen.

Abschnitt 3

Exekutivdirektor

Artikel 20

Pflichten des Exekutivdirektors

(1)   Die ENISA wird von ihrem Exekutivdirektor geleitet, der bei der Wahrnehmung seiner Aufgaben unabhängig ist. Der Exekutivdirektor ist gegenüber dem Verwaltungsrat rechenschaftspflichtig.

(2)   Der Exekutivdirektor erstattet dem Europäischen Parlament über die Erfüllung seiner Aufgaben Bericht, wenn er dazu aufgefordert wird. Der Rat kann den Exekutivdirektor auffordern, über die Erfüllung seiner Aufgaben Bericht zu erstatten.

(3)   Der Exekutivdirektor ist dafür verantwortlich,

a)

die laufenden Geschäfte der ENISA zu führen;

b)

die vom Verwaltungsrat gefassten Beschlüsse umzusetzen;

c)

den Entwurf des einheitlichen Programmplanungsdokuments auszuarbeiten und dem Verwaltungsrat vor der Übermittlung an die Kommission vorzulegen;

d)

das einheitliche Programmplanungsdokument umzusetzen und dem Verwaltungsrat hierüber Bericht zu erstatten;

e)

den konsolidierten Jahresbericht über die Tätigkeit der ENISA, einschließlich der Umsetzung des jährlichen Arbeitsprogramms der ENISA, auszuarbeiten und dem Verwaltungsrat zur Bewertung und Annahme vorzulegen;

f)

einen Aktionsplan mit Folgemaßnahmen zu den Schlussfolgerungen der nachträglichen Bewertungen auszuarbeiten und alle zwei Jahre der Kommission über die erzielten Fortschritte Bericht zu erstatten;

g)

einen Aktionsplan mit Folgemaßnahmen zu den Schlussfolgerungen interner oder externer Prüfberichte sowie der Untersuchungen des OLAF auszuarbeiten und der Kommission zweimal jährlich und dem Verwaltungsrat regelmäßig über die erzielten Fortschritte Bericht zu erstatten;

h)

den Entwurf der für die ENISA geltenden Finanzregelung nach Artikel 32 auszuarbeiten;

i)

den Entwurf des Voranschlags der Einnahmen und Ausgaben der ENISA auszuarbeiten und ihren Haushaltsplan auszuführen;

j)

die finanziellen Interessen der Union durch vorbeugende Maßnahmen gegen Betrug, Korruption und sonstige rechtswidrige Handlungen, durch wirksame Kontrollen und, falls Unregelmäßigkeiten festgestellt werden, durch Einziehung zu Unrecht gezahlter Beträge sowie gegebenenfalls durch Verhängung wirksamer, verhältnismäßiger und abschreckender verwaltungsrechtlicher und finanzieller Sanktionen zu schützen;

k)

eine Betrugsbekämpfungsstrategie für die ENISA auszuarbeiten und dem Verwaltungsrat zur Genehmigung vorzulegen;

l)

Kontakte zur Wirtschaft und zu Verbraucherorganisationen im Hinblick auf einen regelmäßigen Dialog mit den einschlägigen Interessenträgern aufzubauen und zu pflegen;

m)

einen regelmäßigen Gedanken- und Informationsaustausch mit den Organen, Einrichtungen und sonstigen Stellen der Union über deren Tätigkeiten im Bereich Cybersicherheit zu führen, um die Kohärenz bei der Weiterentwicklung und Umsetzung der Unionspolitik sicherzustellen;

n)

sonstige dem Exekutivdirektor durch diese Verordnung übertragene Aufgaben wahrzunehmen.

(4)   Soweit erforderlich sowie entsprechend den Zielen und Aufgaben der ENISA kann der Exekutivdirektor der ENISA Ad-hoc-Arbeitsgruppen aus Sachverständigen — auch von den zuständigen Behörden der Mitgliedstaaten — einsetzen. Der Exekutivdirektor unterrichtet den Verwaltungsrat hiervon vorab. Die Verfahren, die insbesondere die Zusammensetzung dieser Arbeitsgruppen, die Bestellung der Sachverständigen der Arbeitsgruppen durch den Exekutivdirektor und die Arbeitsweise der Arbeitsgruppen betreffen, werden in den internen Verfahrensvorschriften der ENISA festgelegt.

(5)   Der Exekutivdirektor kann auf der Grundlage einer angemessenen Kosten-Nutzen-Analyse erforderlichenfalls beschließen, eine oder mehrere Außenstellen in einem oder mehreren Mitgliedstaaten einzurichten, damit die ENISA ihre Aufgaben effizient und wirksam wahrnehmen kann. Bevor er über die Einrichtung einer Außenstelle beschließt, ersucht der Exekutivdirektor den/die betreffenden Mitgliedstaat(en), einschließlich des Mitgliedstaats, in dem die ENISA ihren Sitz hat, um eine Stellungnahme, und er holt die vorherige Zustimmung der Kommission und des Verwaltungsrats ein. Im Falle von Meinungsverschiedenheiten bei der Konsultation zwischen dem Exekutivdirektor und den betreffenden Mitgliedstaaten werden die strittigen Fragen dem Rat zur Erörterung vorgelegt. Die Gesamtzahl der Mitarbeiter in allen Außenstellen ist möglichst gering zu halten und darf insgesamt nicht 40 % der Gesamtzahl der Mitarbeiter der ENISA ii dem Mitgliedstaat, in dem die ENISA ihren Sitz hat, überschreiten. Die Anzahl der Mitarbeiter in jeder Außenstelle darf nicht 10 % der Gesamtzahl der Mitarbeiter der Agentur im Mitgliedstaat, in dem die ENISA ihren Sitz hat, überschreiten.

In dem Beschluss zur Einrichtung einer Außenstelle wird der Umfang der in der Außenstelle auszuübenden Tätigkeiten so festgelegt, dass unnötige Kosten und eine Überschneidung der Verwaltungsfunktionen mit denen der ENISA vermieden werden.

Abschnitt 4

ENISA-Beratungsgruppe, Gruppe der Interessenträger für die Cybersicherheitszertifizierung und Netz der nationalen Verbindungsbeamten

Artikel 21

ENISA-Beratungsgruppe

(1)   Der Verwaltungsrat setzt auf Vorschlag des Exekutivdirektors auf transparente Art und Weise eine ENISA-Beratungsgruppe ein, die sich aus anerkannten Sachverständigen als Vertreter der einschlägigen Interessenträger zusammensetzt, darunter die IKT-Branche, Anbieter öffentlich zugänglicher elektronischer Kommunikationsnetze oder -dienste, KMU, Betreiber wesentlicher Dienste, Verbrauchergruppen, wissenschaftliche Sachverständige aus dem Bereich der Cybersicherheit sowie Vertreter der zuständigen Behörden, die nach der Richtlinie (EU) 2018/1972 notifiziert wurden, europäische Normungsorganisationen sowie Strafverfolgungsbehörden und Datenschutz-Aufsichtsbehörden. Der Verwaltungsrat strebt ein angemessenes Gleichgewicht zwischen den Geschlechtern, ein angemessenes geographisches Gleichgewicht und ein angemessenes Gleichgewicht zwischen den verschiedenen Interessengruppen an.

(2)   Die Verfahren für die ENISA-Beratungsgruppe, die insbesondere ihre Zusammensetzung, den Vorschlag des in Absatz 1 genannten Exekutivdirektors, die Anzahl und die Ernennung der Mitglieder und die Arbeitsweise der ENISA-Beratungsgruppe betreffen, werden in den internen Verfahrensvorschriften der ENISA festgelegt und öffentlich bekannt gemacht.

(3)   Den Vorsitz der ENISA-Beratungsgruppe führt der Exekutivdirektor oder eine jeweils vom Exekutivdirektor ernannte Person.

(4)   Die Amtszeit der Mitglieder der ENISA-Beratungsgruppe beträgt zweieinhalb Jahre. Mitglieder des Verwaltungsrats dürfen nicht Mitglieder der ENISA-Beratungsgruppe sein. Sachverständige der Kommission und aus den Mitgliedstaaten können an den Sitzungen der ENISA-Beratungsgruppe teilnehmen und an ihrer Arbeit mitwirken. Vertreter anderer Stellen, die vom Exekutivdirektor für relevant erachtet werden und die der ENISA-Beratungsgruppe nicht angehören, können zur Teilnahme an den Sitzungen der ENISA-Beratungsgruppe und zur Mitarbeit an ihrer Arbeit eingeladen werden.

(5)   Die ENISA-Beratungsgruppe berät die ENISA bei der Durchführung ihrer Aufgaben, ausgenommen der Anwendung der Bestimmungen des Titels III dieser Verordnung. Sie berät insbesondere den Exekutivdirektor bei der Ausarbeitung eines Vorschlags für das Jahresarbeitsprogramms der ENISA und bei der Sicherstellung der Kommunikation mit den einschlägigen Interessenträgern bezüglich Fragen im Zusammenhang mit dem Jahresarbeitsprogramm.

(6)   Die ENISA-Beratungsgruppe unterrichtet den Verwaltungsrat regelmäßig über ihre Tätigkeiten.

Artikel 22

Gruppe der Interessenträger für die Cybersicherheitszertifizierung

(1)   Es wird eine Gruppe der Interessenträger für die Cybersicherheitszertifizierung eingesetzt.

(2)   Die Mitglieder der Gruppe der Interessenträger für die Cybersicherheitszertifizierung werden unter anerkannten Sachverständigen als Vertreter der einschlägigen Interessenträger ausgewählt. Die Kommission wählt die Mitglieder der Gruppe der Interessenträger für die Cybersicherheitszertifizierung auf Vorschlag der ENISA im Wege eines transparenten und offenen Auswahlverfahrens aus, durch das ein Gleichgewicht zwischen den verschiedenen Interessengruppen sowie ein angemessenes Gleichgewicht zwischen den Geschlechtern und ein angemessenes geographisches Gleichgewicht sichergestellt wird.

(3)   Die Gruppe der Interessenträger für die Cybersicherheitszertifizierung:

a)

berät die Kommission in strategischen Fragen im Zusammenhang mit dem europäischen Rahmen für die Cybersicherheitszertifizierung;

b)

berät auf Ersuchen die ENISA in allgemeinen und strategischen Fragen im Zusammenhang mit den Aufgaben der ENISA in Bezug auf den Markt, die Cybersicherheitszertifizierung und die Normung;

c)

unterstützt die Kommission bei der Ausarbeitung des in Artikel 47 genannten fortlaufenden Arbeitsprogramms der Union;

d)

nimmt zum fortlaufenden Arbeitsprogramm der Union gemäß Artikel 47 Absatz 4 Stellung und

e)

berät in dringenden Fällen die Kommission und die Europäische Gruppe für die Cybersicherheitszertifizierung in Bezug auf die Notwendigkeit zusätzlicher Zertifizierungsschemata, die nicht Teil des fortlaufenden Arbeitsprogramms der Union sind, wie in Artikel 47 und 48 beschrieben.

(4)   Den Vorsitz der Gruppe der Interessenträger für die Cybersicherheitszertifizierung führen die Vertreter der Kommission und der ENISA gemeinsam, und die Sekretariatsgeschäfte werden von der ENISA wahrgenommen.

Artikel 23

Netz der nationalen Verbindungsbeamten

(1)   Der Verwaltungsrat richtet auf Vorschlag des Exekutivdirektors ein Netz der nationalen Verbindungsbeamten ein, das sich aus Vertretern der Mitgliedstaaten zusammensetzt (im Folgenden „nationale Verbindungsbeamten“). Jeder Mitgliedstaat ernennt einen Vertreter im Netz der nationalen Verbindungsbeamten. Die Sitzungen des Netzes der nationalen Verbindungsbeamten können in verschiedenen Sachverständigenzusammensetzungen abgehalten werden.

(2)   Das Netz der nationalen Verbindungsbeamten erleichtert vor allem den Informationsaustausch zwischen der ENISA und den Mitgliedstaaten und unterstützt die ENISA dabei, ihre Tätigkeiten, Erkenntnisse und Empfehlungen bei den einschlägigen Interessenträgern in der gesamten Union bekannt zu machen.

(3)   Die nationalen Verbindungsbeamten dienen als Kontaktstelle auf nationaler Ebene, um die Zusammenarbeit zwischen der ENISA und den nationalen Sachverständigen im Rahmen der Durchführung des Jahresarbeitsprogramms der ENISA zu erleichtern.

(4)   Während die nationalen Verbindungsbeamten eng mit den Vertretern ihres jeweiligen Mitgliedstaats im Verwaltungsrat zusammenarbeiten, darf das Netz der nationalen Verbindungsbeamten selbst nicht dieselbe Arbeit leisten wie der Verwaltungsrat oder andere Gremien der Union.

(5)   Die Funktionen und Verfahren des Netzes der nationalen Verbindungsbeamten werden in den internen Verfahrensvorschriften der ENISA festgelegt und der Öffentlichkeit zugänglich gemacht.

Abschnitt 5

Arbeitsweise

Artikel 24

Einheitliches Programmplanungsdokument

(1)   Die ENISA führt ihre Geschäfte in Übereinstimmung mit einem einheitlichen Programmplanungsdokument, das ihre jährliche und mehrjährige Programmplanung mit allen ihren geplanten Tätigkeiten enthält.

(2)   Jedes Jahr erstellt der Exekutivdirektor einen Entwurf des einheitlichen Programmplanungsdokuments mit der jährlichen und mehrjährigen Programmplanung und der entsprechenden Finanz- und Personalplanung nach Artikel 32 der Delegierten Verordnung (EU) Nr. 1271/2013 der Kommission (25) und unter Berücksichtigung der von der Kommission festgelegten Leitlinien.

(3)   Bis zum 30. November eines jeden Jahres nimmt der Verwaltungsrat das in Absatz 1 genannte einheitliche Programmplanungsdokument an und übermittelt es bis zum 31. Januar des Folgejahres dem Europäischen Parlament, dem Rat und der Kommission, sowie jede spätere Aktualisierung dieses Dokuments.

(4)   Das einheitliche Programmplanungsdokument wird nach der endgültigen Feststellung des Gesamthaushaltsplans der Union endgültig und ist erforderlichenfalls entsprechend anzupassen.

(5)   Das Jahresarbeitsprogramm enthält detaillierte Ziele und Angaben zu den erwarteten Ergebnissen, einschließlich Erfolgsindikatoren. Es enthält zudem eine Beschreibung der zu finanzierenden Maßnahmen sowie Angaben zur Höhe der für die einzelnen Maßnahmen vorgesehenen finanziellen und personellen Ressourcen gemäß den Grundsätzen der maßnahmenbezogenen Aufstellung des Haushaltsplans und des maßnahmenbezogenen Managements. Das Jahresarbeitsprogramm muss mit dem mehrjährigen Arbeitsprogramm nach Absatz 7 im Einklang stehen. Es ist klar darin anzugeben, welche Aufgaben im Vergleich zum vorangegangenen Haushaltsjahr hinzugefügt, verändert oder gestrichen wurden.

(6)   Der Verwaltungsrat ändert das angenommene Jahresarbeitsprogramm, wenn der ENISA eine neue Aufgabe übertragen wird. Wesentliche Änderungen des jährlichen Arbeitsprogramms werden nach demselben Verfahren angenommen wie das ursprüngliche jährliche Arbeitsprogramm. Der Verwaltungsrat kann dem Exekutivdirektor die Befugnis übertragen, nicht wesentliche Änderungen am Jahresarbeitsprogramm vorzunehmen.

(7)   Im mehrjährigen Arbeitsprogramm der Agentur wird die strategische Gesamtplanung einschließlich der Ziele, erwarteten Ergebnisse und Leistungsindikatoren festgelegt. Es umfasst auch die Ressourcenplanung mit einem mehrjährigen Finanz- und Personalplan.

(8)   Die Ressourcenplanung wird jährlich aktualisiert. Die strategische Programmplanung ist zu aktualisieren, wann immer dies geboten erscheint und insbesondere, wenn dies notwendig ist, um dem Ergebnis der in Artikel 67 genannten Bewertung Rechnung zu tragen.

Artikel 25

Interessenerklärung

(1)   Die Mitglieder des Verwaltungsrats, der Exekutivdirektor und die von den Mitgliedstaaten auf Zeit abgeordneten Beamten geben eine Verpflichtungserklärung und eine Interessenerklärung ab, aus der hervorgeht, ob direkte oder indirekte Interessen bestehen, die ihre Unabhängigkeit beeinträchtigen könnten. Die Erklärungen müssen der Wahrheit entsprechen und vollständig sein; sie werden jedes Jahr schriftlich abgegeben und, wann immer erforderlich, aktualisiert.

(2)   Die Mitglieder des Verwaltungsrats, der Exekutivdirektor und externe Sachverständige, die in den Ad-hoc-Arbeitsgruppen mitwirken, geben spätestens zu Beginn jeder Sitzung eine wahrheitsgetreue und vollständige Erklärung über alle Interessen ab, die ihre Unabhängigkeit in Bezug auf die Tagesordnungspunkte beeinträchtigen könnten, und beteiligen sich nicht an den Diskussionen und den Abstimmungen über solche Punkte.

(3)   Die ENISA legt in ihren internen Verfahrensvorschriften die praktischen Einzelheiten der Vorschriften über Interessenerklärungen nach den Absätzen 1 und 2 fest.

Artikel 26

Transparenz

(1)   Die ENISA übt ihre Tätigkeiten mit einem hohen Maß an Transparenz und im Einklang mit Artikel 28 aus.

(2)   Die ENISA stellt sicher, dass die Öffentlichkeit sowie interessierte Kreise angemessene, objektive, zuverlässige und leicht zugängliche Informationen, insbesondere zu ihren eigenen Arbeitsergebnissen, erhalten. Ferner veröffentlicht sie die nach Artikel 25 abgegebenen Interessenerklärungen.

(3)   Der Verwaltungsrat kann auf Vorschlag des Exekutivdirektors gestatten, dass interessierte Kreise als Beobachter an bestimmten Tätigkeiten der ENISA teilnehmen.

(4)   Die ENISA legt in ihren internen Verfahrensvorschriften die praktischen Einzelheiten für die Anwendung der in den Absätzen 1 und 2 genannten Transparenzregelungen fest.

Artikel 27

Vertraulichkeit

(1)   Unbeschadet des Artikels 28 gibt die Agentur Informationen, die bei ihr eingehen oder von ihr verarbeitet werden und die auf begründetes Ersuchen vertraulich behandelt werden sollen, nicht an Dritte weiter.

(2)   Die Mitglieder des Verwaltungsrats, der Exekutivdirektor, die Mitglieder der ENISA-Beratungsgruppe, die externen Sachverständigen der Ad-hoc-Arbeitsgruppen sowie das Personal der ENISA, einschließlich der von den Mitgliedstaaten auf Zeit abgeordneten Beamten, unterliegen auch nach Beendigung ihrer Tätigkeit den Vertraulichkeitsbestimmungen des Artikels 339 AEUV.

(3)   Die ENISA legt in ihren internen Verfahrensvorschriften die praktischen Einzelheiten für die Anwendung der in den Absätzen 1 und 2 genannten Vertraulichkeitsregelungen fest.

(4)   Soweit es zur Erfüllung der Aufgaben der ENISA erforderlich ist, beschließt der Verwaltungsrat, die ENISA zum Umgang mit Verschlusssachen zu ermächtigen. In diesem Fall nimmt die ENISA im Einvernehmen mit den Dienststellen der Kommission Sicherheitsvorschriften zur Anwendung der Sicherheitsgrundsätze an, die in den Beschlüssen (EU, Euratom) 2015/443 (26) und (EU, Euratom) 2015/444 (27) der Kommission festgelegt sind. Diese Sicherheitsvorschriften betreffen unter anderem die Bestimmungen über den Austausch, die Verarbeitung und die Speicherung von Verschlusssachen.

Artikel 28

Zugang zu Dokumenten

(1)   Die Verordnung (EG) Nr. 1049/2001 findet Anwendung auf die Dokumente der ENISA.

(2)   Der Verwaltungsrat legt bis zum 28. Dezember 2019 Maßnahmen zur Durchführung der Verordnung (EG) Nr. 1049/2001 fest.

(3)   Gegen Entscheidungen der ENISA gemäß Artikel 8 der Verordnung (EG) Nr. 1049/2001 kann nach Maßgabe des Artikels 228 AEUV bzw. 263 AEUV Beschwerde beim Europäischen Bürgerbeauftragten eingelegt oder Klage beim Gerichtshof der Europäischen Union erhoben werden.

KAPITEL IV

Aufstellung und Gliederung des Haushaltsplans der ENISA

Artikel 29

Aufstellung des Haushaltsplans der ENISA

(1)   Der Exekutivdirektor erstellt jedes Jahr den Entwurf des Voranschlags der Einnahmen und Ausgaben der ENISA für das folgende Haushaltsjahr und übermittelt ihn dem Verwaltungsrat zusammen mit dem Entwurf des Stellenplans vor. Einnahmen und Ausgaben müssen ausgeglichen sein.

(2)   Der Verwaltungsrat erstellt jedes Jahr auf der Grundlage des Entwurfs des Voranschlags einen Voranschlag der Einnahmen und Ausgaben der ENISA für das folgende Haushaltsjahr.

(3)   Der Verwaltungsrat übermittelt jedes Jahr bis zum 31. Januar der Kommission und den Drittländern, mit denen die Union Abkommen nach Artikel 42 Absatz 2 geschlossen hat, den Voranschlag, der Teil des Entwurfs des einheitlichen Programmplanungsdokuments ist.

(4)   Die Kommission setzt aufgrund dieses Voranschlags die von ihr für erforderlich erachteten Mittelansätze für den Stellenplan und den Betrag des Zuschusses aus dem Gesamthaushaltsplan der Union in den Haushaltsplanentwurf der Union ein, den sie nach Artikel 314 AEUV dem Europäischen Parlament und dem Rat vorlegt.

(5)   Das Europäische Parlament und der Rat bewilligen die Mittel für den Beitrag der Union für die ENISA.

(6)   Das Europäische Parlament und der Rat legen den Stellenplan der ENISA fest.

(7)   Der Haushaltsplan der ENISA wird zusammen mit dem einheitlichen Programmplanungsdokument vom Verwaltungsrat angenommen. Der Haushaltsplan der ENISA wird endgültig, sobald der Gesamthaushaltsplan der Union endgültig festgestellt ist. Erforderlichenfalls nimmt der Verwaltungsrat eine Anpassung des Haushaltsplans der ENISA und des einheitlichen Programmplanungsdokuments entsprechend dem Gesamthaushaltsplan der Union vor.

Artikel 30

Gliederung des Haushaltsplans der ENISA

(1)   Unbeschadet sonstiger Ressourcen gliedern sich die Einnahmen der ENISA wie folgt:

a)

ein Beitrag aus dem Gesamthaushalt der Union;

b)

Einnahmen, die konkreten Ausgabenpositionen im Einklang mit der in Artikel 32 genannten Finanzregelung zugewiesen werden;

c)

Unionsmittel in Form von Übertragungsvereinbarungen oder Ad-hoc-Finanzhilfen im Einklang mit der in Artikel 32 genannten Finanzregelung der Agentur und den Bestimmungen der einschlägigen Instrumente zur Unterstützung der Unionspolitik;

d)

Beiträge von Drittländern, die sich nach Artikel 42 an der Arbeit der ENISA beteiligen;

e)

freiwillige Zahlungen oder Sachleistungen von Mitgliedstaaten.

Mitgliedstaaten, die einen freiwilligen Beitrag nach Unterabsatz 1 Buchstabe e leisten, können aufgrund dessen keine bestimmten Rechte oder Dienstleistungen beanspruchen.

(2)   Die Ausgaben der ENISA umfassen Aufwendungen für Personal, Verwaltung, technische Unterstützung, Infrastruktur, Betriebskosten und Ausgaben, die sich aus Verträgen mit Dritten ergeben.

Artikel 31

Ausführung des Haushaltsplans der ENISA

(1)   Der Exekutivdirektor trägt die Verantwortung für die Ausführung des Haushaltsplans der ENISA.

(2)   Der interne Rechnungsprüfer der Kommission übt gegenüber der ENISA dieselben Befugnisse wie gegenüber den Kommissionsdienststellen aus.

(3)   Bis zum 1. März des jeweils folgenden Haushaltsjahres (1. März des Jahres n+1) übermittelt der Rechnungsführer der Agentur dem Rechnungsführer der Kommission und dem Rechnungshof den vorläufigen Jahresabschluss für das Haushaltsjahr (Jahr n).

(4)   Nach Eingang der Bemerkungen des Rechnungshofes zum vorläufigen Jahresabschluss der ENISA gemäß Artikel 246 der Verordnung (EU, Euratom) 2018/1046 des Europäischen Parlaments und des Rates (28), erstellt der Rechnungsführer in eigener Verantwortung den endgültigen Jahresabschluss der ENISA und legt ihn dem Verwaltungsrat zur Stellungnahme vor.

(5)   Der Verwaltungsrat gibt eine Stellungnahme zu den endgültigen Jahresabschlüssen der ENISA ab.

(6)   Bis zum 31. März des Jahres n+1 übermittelt der Exekutivdirektor den Bericht über die Haushaltsführung und das Finanzmanagement dem Europäischen Parlament, dem Rat, der Kommission und dem Rechnungshof.

(7)   Bis zum 1. Juli des Jahres n+1 übermittelt der Rechnungsführer der ENISA den endgültigen Jahresabschluss zusammen mit der Stellungnahme des Verwaltungsrats dem Europäischen Parlament, dem Rat, dem Rechnungsführer der Kommission und dem Rechnungshof.

(8)   Gleichzeitig mit der Übermittlung des endgültigen Jahresabschlusses der ENISA leitet der Rechnungsführer der ENISA auch dem Rechnungshof eine Erklärung über die Vollständigkeit dieses endgültigen Jahresabschlusses mit Kopie an den Rechnungsführer der Kommission zu.

(9)   Bis zum 15. November des Jahres n+1 veröffentlicht der Exekutivdirektor den endgültigen Jahresabschluss im Amtsblatt der Europäischen Union.

(10)   Bis zum 30. September des Jahres n+1 übermittelt der Exekutivdirektor dem Rechnungshof eine Antwort auf dessen Bemerkungen und leitet eine Kopie dieser Antwort auch dem Verwaltungsrat und der Kommission zu.

(11)   Der Exekutivdirektor unterbreitet dem Europäischen Parlament auf dessen Ersuchen nach Artikel 261 Absatz 3 der Verordnung (EU, Euratom) 2018/1046 alle für ein reibungsloses Entlastungsverfahren für das betreffende Haushaltsjahr notwendigen Informationen.

(12)   Auf Empfehlung des Rates erteilt das Europäische Parlament dem Direktor vor dem 15. Mai des Jahres n+2 Entlastung zur Ausführung des Haushaltsplans für das Jahr n.

Artikel 32

Finanzregelung

Der Verwaltungsrat erlässt nach Konsultation der Kommission die für die ENISA geltende Finanzregelung. Die Finanzregelung darf von der Delegierten Verordnung (EU) Nr. 1271/2013 nur abweichen, wenn dies für den Betrieb der ENISA eigens erforderlich ist und die Kommission vorher ihre Zustimmung erteilt hat.

Artikel 33

Betrugsbekämpfung

(1)   Zur Erleichterung der Bekämpfung von Betrug, Korruption und sonstigen rechtswidrigen Handlungen gemäß der Verordnung (EU, Euratom) Nr. 883/2013 des Europäischen Parlaments und des Rates (29) tritt die ENISA bis zum 28. Dezember 2019 der Interinstitutionellen Vereinbarung vom 25. Mai 1999 zwischen dem Europäischen Parlament, dem Rat der Europäischen Union und der Kommission der Europäischen Gemeinschaften über die internen Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF) (30) bei. Die ENISA erlässt die einschlägigen Vorschriften, die für sämtliche Mitarbeiter der ENISA gelten, nach dem Muster im Anhang der genannten Vereinbarung.

(2)   Der Rechnungshof ist befugt, bei allen Empfängern von Finanzhilfen sowie bei Auftragnehmern und Unterauftragnehmern, die Unionsmittel von der ENISA erhalten haben, Rechnungsprüfungen anhand von Belegkontrollen und Kontrollen vor Ort durchzuführen.

(3)   Das OLAF kann gemäß den Bestimmungen und Verfahren der Verordnung (EU, Euratom) Nr. 883/2013 und der Verordnung (Euratom, EG) Nr. 2185/96 des Rates (31) Untersuchungen, einschließlich Kontrollen und Überprüfungen vor Ort, durchführen, um festzustellen, ob im Zusammenhang mit von der ENISA gewährten Finanzhilfen oder von ihr finanzierten Aufträgen ein Betrugs- oder Korruptionsdelikt oder eine sonstige rechtswidrige Handlung zum Nachteil der finanziellen Interessen der Union vorliegt.

(4)   Unbeschadet der Absätze 1, 2 und 3 müssen Kooperationsvereinbarungen mit Drittländern oder internationalen Organisationen, Verträge, Finanzhilfevereinbarungen und Finanzhilfebeschlüsse der ENISA Bestimmungen enthalten, die den Rechnungshof und das OLAF ausdrücklich ermächtigen, derartige Rechnungsprüfungen und Untersuchungen im Rahmen ihrer jeweiligen Zuständigkeiten durchzuführen.

KAPITEL V

Personal

Artikel 34

Allgemeine Bestimmungen

Für das Personal der ENISA gelten das Statut der Beamten, die Beschäftigungsbedingungen für die sonstigen Bediensteten sowie die im gegenseitigen Einvernehmen der Organe der Union erlassenen Regelungen zur Durchführung der Bestimmungen des Statuts der Beamten und der Beschäftigungsbedingungen für die sonstigen Bediensteten.

Artikel 35

Vorrechte und Befreiungen

Das dem EUV und dem AEUV beigefügte Protokoll Nr. 7 über die Vorrechte und Befreiungen der Europäischen Union findet auf die ENISA und ihr Personal Anwendung.

Artikel 36

Exekutivdirektor

(1)   Der Exekutivdirektor wird als Zeitbediensteter der ENISA nach Artikel 2 Buchstabe a der Beschäftigungsbedingungen für die sonstigen Bediensteten eingestellt.

(2)   Der Exekutivdirektor wird vom Verwaltungsrat aus einer Liste von Kandidaten, die die Kommission im Anschluss an ein offenes und transparentes Auswahlverfahren vorgeschlagen hat, ernannt.

(3)   Beim Abschluss des Arbeitsvertrags des Exekutivdirektors wird die ENISA durch den Vorsitzenden des Verwaltungsrats vertreten.

(4)   Vor der Ernennung wird der vom Verwaltungsrat ausgewählte Kandidat aufgefordert, eine Erklärung vor dem zuständigen Ausschuss des Europäischen Parlaments abzugeben und Fragen der Mitglieder zu beantworten.

(5)   Die Amtszeit des Exekutivdirektors beträgt fünf Jahre. Zum Ende dieses Zeitraums nimmt die Kommission eine Bewertung der Leistung des Exekutivdirektors und der künftigen Aufgaben und Herausforderungen der ENISA vor.

(6)   Der Verwaltungsrat beschließt über die Ernennung, die Verlängerung der Amtszeit oder die Abberufung des Exekutivdirektors gemäß Artikel 18 Absatz 2.

(7)   Der Verwaltungsrat kann auf Vorschlag der Kommission unter Berücksichtigung der Bewertung nach Absatz 5 die Amtszeit des Exekutivdirektors einmal um fünf Jahre verlängern.

(8)   Der Verwaltungsrat unterrichtet das Europäische Parlament über seine Absicht, die Amtszeit des Exekutivdirektors zu verlängern. Innerhalb von drei Monaten vor der Verlängerung der Amtszeit gibt der Exekutivdirektor, sofern er dazu aufgefordert wird, vor dem zuständigen Ausschuss des Europäischen Parlaments eine Erklärung ab und beantwortet Fragen der Mitglieder.

(9)   Ein Exekutivdirektor, dessen Amtszeit verlängert wurde, nimmt nicht an einem anderen Auswahlverfahren für dieselbe Stelle teil.

(10)   Der Exekutivdirektor kann nur durch einen Beschluss des Verwaltungsrats auf Vorschlag der Kommission seines Amtes enthoben werden.

Artikel 37

Abgeordnete nationale Sachverständige und sonstiges Personal

(1)   Die ENISA kann auf abgeordnete nationale Sachverständige oder sonstiges Personal zurückgreifen, das nicht von der ENISA selbst beschäftigt wird. Für dieses Personal gelten das Statut der Beamten und die Beschäftigungsbedingungen für die sonstigen Bediensteten nicht.

(2)   Der Verwaltungsrat beschließt eine Regelung über zur ENISA abgeordnete nationale Sachverständige.

KAPITEL VI

Allgemeine Bestimmungen für die ENISA

Artikel 38

Rechtsform der ENISA

(1)   Die ENISA ist eine Einrichtung der Union und besitzt Rechtspersönlichkeit.

(2)   Die ENISA besitzt in jedem Mitgliedstaat die weitestgehende Rechts- und Geschäftsfähigkeit, die juristischen Personen nach nationalem Recht zuerkannt ist. Sie kann insbesondere bewegliches und unbewegliches Vermögen erwerben oder veräußern und ist vor Gericht parteifähig.

(3)   Die ENISA wird vom Exekutivdirektor vertreten.

Artikel 39

Haftung der ENISA

(1)   Die vertragliche Haftung der ENISA bestimmt sich nach dem für den betreffenden Vertrag geltenden Recht.

(2)   Für Entscheidungen aufgrund einer Schiedsklausel in einem von der ENISA geschlossenen Vertrag ist der Gerichtshof der Europäischen Union zuständig.

(3)   Im Bereich der außervertraglichen Haftung ersetzt die ENISA den durch sie selbst oder ihre Bediensteten in Ausübung ihrer Tätigkeit verursachten Schaden nach den allgemeinen Grundsätzen, die den Rechten der Mitgliedstaaten gemeinsam sind.

(4)   In Streitsachen über den Schadensersatz gemäß Absatz 3 ist der Gerichtshof der Europäischen Union zuständig.

(5)   Die persönliche Haftung der Bediensteten der ENISA gegenüber der ENISA bestimmt sich nach den für die Bediensteten der ENISA geltenden Beschäftigungsbedingungen.

Artikel 40

Sprachenregelung

(1)   Für die ENISA gilt die Verordnung Nr. 1 des Rates (32). Die Mitgliedstaaten und die anderen von den Mitgliedstaaten benannten Einrichtungen können sich in einer der Amtssprachen der Organe der Union ihrer Wahl an die ENISA wenden und erhalten eine Antwort in dieser Sprache.

(2)   Die für die Arbeit der ENISA erforderlichen Übersetzungsdienste werden vom Übersetzungszentrum für die Einrichtungen der Europäischen Union erbracht.

Artikel 41

Schutz personenbezogener Daten

(1)   Die Verarbeitung personenbezogener Daten durch die ENISA unterliegt der Verordnung (EU) 2018/1725.

(2)   Der Verwaltungsrat beschließt die Durchführungsvorschriften gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2018/1725. Der Verwaltungsrat kann zusätzliche Maßnahmen, die für die Anwendung der Verordnung (EU) 2018/1725 durch die ENISA erforderlich sind, festlegen.

Artikel 42

Zusammenarbeit mit Drittländern und internationalen Organisationen

(1)   Die ENISA kann mit den zuständigen Behörden von Drittländern und mit internationalen Organisationen zusammenarbeiten, soweit dies zur Verwirklichung der Ziele dieser Verordnung erforderlich ist. Zu diesem Zweck kann die ENISA, nach vorheriger Genehmigung durch die Kommission, Arbeitsvereinbarungen mit den Behörden von Drittländern und internationalen Organisationen treffen. Diese Arbeitsvereinbarungen begründen keine rechtlichen Verpflichtungen für die Union und ihre Mitgliedstaaten.

(2)   Die ENISA steht der Beteiligung von Drittländern offen, die entsprechende Übereinkünfte mit der Europäischen Union geschlossen haben. Gemäß den einschlägigen Bestimmungen dieser Übereinkünfte werden Arbeitsvereinbarungen getroffen, die insbesondere Art, Umfang und Form einer Beteiligung dieser Drittländer an der Tätigkeit der ENISA festlegen; hierzu zählen auch Bestimmungen über die Beteiligung an den von der ENISA durchgeführten Initiativen, finanzielle Beiträge und Personal. In Personalfragen müssen derartige Arbeitsvereinbarungen in jedem Fall mit dem Statut der Beamten und den Beschäftigungsbedingungen für die sonstigen Bediensteten vereinbar sein.

(3)   Der Verwaltungsrat verabschiedet eine Strategie für die Beziehungen zu Drittländern und internationalen Organisationen in Bezug auf Angelegenheiten, für die die ENISA zuständig ist. Die Kommission stellt durch den Abschluss einer entsprechenden Arbeitsvereinbarung mit dem Exekutivdirektor sicher, dass die ENISA im Rahmen ihres Mandats und des bestehenden institutionellen Rahmens handelt.

Artikel 43

Sicherheitsvorschriften für den Schutz von vertraulichen Informationen, die nicht zu den Verschlusssachen zählen und von Verschlusssachen

Nach Konsultation der Kommission legt die ENISA die Sicherheitsvorschriften fest, mit denen die in den Sicherheitsvorschriften der Kommission für den Schutz von vertraulichen Informationen, die nicht zu den Verschlusssachen zählen und von Verschlusssachen der Europäischen Union enthaltenen Sicherheitsgrundsätze angewandt werden, die in den Beschlüssen (EU, Euratom) 2015/443 und 2015/444 festgelegt sind. Die Sicherheitsvorschriften der ENISA enthalten Bestimmungen über den Austausch, die Verarbeitung und die Speicherung derartiger Informationen.

Artikel 44

Sitzabkommen und Arbeitsbedingungen

(1)   Die notwendigen Regelungen über die Unterbringung der ENISA in dem Mitgliedstaat, in dem sie ihren Sitz hat, und über die Einrichtungen, die von diesem Mitgliedstaat zur Verfügung zu stellen sind, sowie die besonderen Vorschriften, die im Sitzmitgliedstaat der ENISA für den Exekutivdirektor, die Mitglieder des Verwaltungsrats, das Personal der ENISA und für Familienangehörige dieser Personen gelten, werden in einem Sitzabkommen festgelegt, das nach Billigung durch den Verwaltungsrat zwischen der ENISA und dem Sitzmitgliedstaat geschlossen wird.

(2)   Der Sitzmitgliedstaat der ENISA gewährleistet die bestmöglichen Voraussetzungen für das reibungslose Funktionieren der ENISA, unter Berücksichtigung der Erreichbarkeit des Standortes, des Vorhandenseins adäquater Bildungseinrichtungen für die Kinder der Mitglieder des Personals und eines angemessenen Zugangs zu Arbeitsmarkt, Sozialversicherung und medizinischer Versorgung für Kinder und Ehegatten der Mitglieder des Personals.

Artikel 45

Verwaltungskontrolle

Die Tätigkeit der ENISA unterliegt der Aufsicht des Europäischen Bürgerbeauftragten nach Artikel 228 AEUV.

TITEL III

ZERTIFIZIERUNGSRAHMEN FÜR DIE CYBERSICHERHEIT

Artikel 46

Europäischer Zertifizierungsrahmen für die Cybersicherheit

(1)   Der europäische Zertifizierungsrahmen für die Cybersicherheit wird geschaffen, um die Voraussetzungen für einen funktionierenden Binnenmarkt zu verbessern, indem die Cybersicherheit in der Union erhöht wird und indem im Hinblick auf die Schaffung eines digitalen Binnenmarkts für IKT-Produkte, -Dienste und -Prozesse ein harmonisierter Ansatz auf Unionsebene für europäische Schemata für die Cybersicherheitszertifizierung ermöglicht wird.

(2)   Der europäische Zertifizierungsrahmen für die Cybersicherheit legt einen Mechanismus fest, mit dem europäische Schemata für die Cybersicherheitszertifizierung geschaffen werden und mit dem bescheinigt wird, dass die nach einem solchen Schema bewerteten IKT-Produkte, -Dienste und -Prozesse den festgelegten Sicherheitsanforderungen genügen, um die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von gespeicherten, übermittelten oder verarbeiteten Daten, Funktionen oder Diensten, die von diesen Produkten, Diensten und Prozessen angeboten oder über diese zugänglich gemacht werden, während deren gesamten Lebenszyklus zu schützen.

Artikel 47

Das fortlaufende Arbeitsprogramm der Union für die europäische Cybersicherheitszertifizierung

(1)   Die Kommission veröffentlicht ein fortlaufendes Arbeitsprogramm der Union für die europäische Cybersicherheitszertifizierung (im Folgenden „fortlaufendes Arbeitsprogramm der Union“), in dessen Rahmen die strategischen Prioritäten für künftige europäische Schemata für die Cybersicherheitszertifizierung festgelegt werden sollen.

(2)   Das fortlaufende Arbeitsprogramm der Union umfasst insbesondere eine Liste der IKT-Produkte, -Dienste und -Prozesse oder Kategorien davon, die von der Aufnahme in ein europäisches Schema für die Cybersicherheitszertifizierung profitieren können.

(3)   Die Aufnahme bestimmter IKT-Produkte, -Dienste und -Prozesse oder bestimmter Kategorien davon in das fortlaufende Arbeitsprogramm der Union muss aus einem oder mehreren der folgenden Gründe gerechtfertigt sein:

a)

Verfügbarkeit und Entwicklung nationaler Schemata für die Cybersicherheitszertifizierung für bestimmte Kategorien von IKT-Produkten, -Diensten oder -Prozessen, insbesondere im Hinblick auf das Risiko der Fragmentierung;

b)

einschlägige Politik oder einschlägiges Recht der Union oder der Mitgliedstaaten;

c)

Nachfrage auf dem Markt;

d)

Entwicklungen in der Cyberbedrohungslandschaft;

e)

Beauftragung mit der Ausarbeitung eines bestimmten möglichen Schemas durch die Europäische Gruppe für die Cybersicherheitszertifizierung.

(4)   Die Kommission trägt den Stellungnahmen der Europäischen Gruppe für die Cybersicherheitszertifizierung und der Gruppe der Interessenträger für die Cybersicherheitszertifizierung zum Entwurf des fortlaufenden Arbeitsprogramm der Union gebührend Rechnung.

(5)   Das erste fortlaufende Arbeitsprogramm der Union wird spätestens am 28. Juni 2020 vorgelegt. Das fortlaufende Arbeitsprogramm der Union mindestens alle drei Jahre, und bei Bedarf öfter aktualisiert.

Artikel 48

Auftrag für ein europäisches Schema für die Cybersicherheitszertifizierung

(1)   Die Kommission kann die ENISA damit beauftragen, ein mögliches Schema auszuarbeiten oder ein bestehendes europäisches Schema für die Cybersicherheitszertifizierung auf der Grundlage des fortlaufenden Arbeitsprogramm der Union zu überarbeiten.

(2)   In entsprechend begründeten Fällen kann die Kommission oder die Europäische Gruppe für die Cybersicherheitszertifizierung die ENISA damit beauftragen, ein mögliches Schema auszuarbeiten oder ein bestehendes europäisches Schema für die Cybersicherheitszertifizierung, das nicht im fortlaufenden Arbeitsprogramm der Union enthalten ist, zu überarbeiten. Das fortlaufende Arbeitsprogramm der Union wird entsprechend aktualisiert.

Artikel 49

Ausarbeitung, Annahme und Überarbeitung der europäischen Schemata für die Cybersicherheitszertifizierung

(1)   Auf Auftrag der Kommission arbeitet die ENISA gemäß Artikel 48 ein mögliches Schema aus, das den in den Artikeln 51, 52und 54 festgelegten Anforderungen genügt.

(2)   nach einem Auftrag der Europäischen Gruppe für die Cybersicherheitszertifizierung gemäß Artikel 48 Absatz 2 kann die ENISA ein mögliches Schema ausarbeiten, das den in den Artikeln 51, 52und 54 festgelegten Anforderungen genügt. Lehnt die ENISA einen solchen Auftrag ab, so muss sie dies begründen. Jede Entscheidung, einen Auftrag abzulehnen, wird vom Verwaltungsrat getroffen.

(3)   Bei der Ausarbeitung der möglichen Schemata konsultiert die ENISA alle in Frage kommenden Interessenträger im Wege eines förmlichen, offenen, transparenten und inklusiven Konsultationsprozesses.

(4)   Für jedes mögliche Schema setzt die ENISA eine Ad-hoc-Arbeitsgruppe nach Artikel 20 Absatz 4 ein, damit sie der ENISA spezifische Beratung und Sachkenntnis bereitstellt.

(5)   Die ENISA arbeitet eng mit der Europäischen Gruppe für die Cybersicherheitszertifizierung zusammen. Die Europäische Gruppe für die Cybersicherheitszertifizierung leistet der ENISA Unterstützung und fachliche Beratung bei der Ausarbeitung des möglichen Schemas und gibt eine Stellungnahme zu dem möglichen Schema ab.

(6)   Die ENISA berücksichtigt die Stellungnahme der Europäischen Gruppe für die Cybersicherheitszertifizierung weitestgehend, bevor sie der Kommission das nach den Absätzen 3, 4 und 5 ausgearbeitete mögliche Schema vorlegt. Diese Stellungnahme der Europäischen Gruppe für die Cybersicherheitszertifizierung ist weder bindend, noch hindert das Fehlen einer solchen Stellungnahme die ENISA daran, das mögliche Schema der Kommission vorzulegen.

(7)   Auf der Grundlage des von der ENISA ausgearbeiteten möglichen Schemas kann die Kommission Durchführungsrechtsakte erlassen, in denen für IKT-Produkte, -Dienste und -Prozesse, die die Anforderungen der Artikel 51, 52 und 54 erfüllen, ein europäisches Schema für die Cybersicherheitszertifizierung festgelegt wird. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 66 Absatz 2 genannten Prüfverfahren erlassen.

(8)   Die ENISA bewertet mindestens alle fünf Jahre jedes angenommene europäische Schema für die Cybersicherheitszertifizierung, wobei sie die Rückmeldungen seitens der Interessenträger berücksichtigt. Erforderlichenfalls kann die Kommission oder die Europäische Gruppe für die Cybersicherheitszertifizierung die ENISA damit beauftragen, den Prozess der Ausarbeitung eines überarbeiteten möglichen Schemas nach Artikel 48 und nach dem vorliegenden Artikel einzuleiten.

Artikel 50

Website zu europäischen Schemata für die Cybersicherheitszertifizierung

(1)   Die ENISA unterhält eine eigene Website, auf der sie über die europäischen Schemata für die Cybersicherheitszertifizierung, die europäischen Cybersicherheitszertifikate und EU-Konformitätserklärungen — was Information in Bezug auf nicht mehr gültige Schemata für die Cybersicherheitszertifizierung und widerrufene und abgelaufene europäische Cybersicherheitszertifikate und EU-Konformitätserklärungen einschließt — und die Ablage für Links zu den Informationen zur Cybersicherheit gemäß Artikel 55 informiert und für diese wirbt.

(2)   Gegebenenfalls sollten auf der Website gemäß Absatz 1 auch die nationalen Cybersicherheitszertifizierungsschemata angegeben werden, die durch ein europäisches Schema für die Cybersicherheitszertifizierung ersetzt wurden.

Artikel 51

Sicherheitsziele der europäischen Schemata für die Cybersicherheitszertifizierung

Es wird ein europäisches Schema für die Cybersicherheitszertifizierung konzipiert, um — soweit zutreffend — mindestens die folgenden Sicherheitsziele zu verwirklichen:

a)

Gespeicherte, übermittelte oder anderweitig verarbeitete Daten werden während des gesamten Lebenszyklus des IKT-Produkts, -Dienstes oder -Prozesses gegen eine zufällige oder unbefugte Speicherung, Verarbeitung oder Preisgabe sowie gegen einen zufälligen oder unbefugten Zugriff geschützt.

b)

Gespeicherte, übermittelte oder anderweitig verarbeitete Daten werden während des gesamten Lebenszyklus des IKT-Produkts, -Dienstes oder -Prozesses vor Zerstörung, Verlust, Änderung oder Nichtverfügbarkeit — gleich, ob sie zufällig oder unbefugt erfolgt sind — geschützt.

c)

Befugte Personen, Programme oder Maschinen haben nur Zugriff auf die Daten, Dienste oder Funktionen, zu denen sie zugangsberechtigt sind.

d)

Bekannte Abhängigkeiten und Sicherheitslücken werden ermittelt und dokumentiert.

e)

Es wird protokolliert, auf welche Daten, Dienste oder Funktionen zu welchem Zeitpunkt von wem zugegriffen wurde und welche Daten, Funktionen oder Dienste zu welchem Zeitpunkt von wem genutzt oder anderweitig verarbeitet worden sind.

f)

Es kann überprüft werden, auf welche Daten, Dienste oder Funktionen zu welchem Zeitpunkt und von wem zugegriffen wurde oder wer zu welchem Zeitpunkt Daten, Dienste oder Funktionen genutzt oder anderweitig verarbeitet hat.

g)

Es wird nachgeprüft, dass IKT-Produkte, -Dienste und -Prozesse keine bekannten Sicherheitslücken aufweisen.

h)

Bei einem physischen oder technischen Sicherheitsvorfall werden die Daten, Dienste und Funktionen zeitnah wieder verfügbar gemacht und der Zugang zu ihnen zeitnah wieder hergestellt.

i)

Es wird nachgeprüft, dass IKT-Produkte, -Dienste und -Prozesse sind durch Voreinstellungen und Technikgestaltung sicher sind.

j)

IKT-Produkte, -Dienste und -Prozesse werden mit aktueller Software und Hardware, die keine allgemein bekannten Sicherheitslücken aufweisen, bereitgestellt und mit Mechanismen für sichere Updates ausgestattet.

Artikel 52

Vertrauenswürdigkeitsstufen der europäischen Schemata für die Cybersicherheitszertifizierung

(1)   Ein europäisches Schema für die Cybersicherheitszertifizierung kann für IKT-Produkte, -Dienste und -Prozesse eine oder mehrere der Vertrauenswürdigkeitsstufen „niedrig“, „mittel“ und/oder „hoch“ angeben. Die Vertrauenswürdigkeitsstufe muss in einem angemessenen Verhältnis zu dem mit der beabsichtigten Verwendung eines IKT-Produkts, -Dienstes oder -Prozesses verbundenen Risiko im Hinblick auf die Wahrscheinlichkeit und die Auswirkungen eines Sicherheitsvorfalls stehen.

(2)   Europäische Cybersicherheitszertifikate und EU-Konformitätserklärungen beziehen sich auf die jeweilige Vertrauenswürdigkeitsstufe, die im europäischen Schema für die Cybersicherheitszertifizierung angegeben ist, nach dem das europäische Cybersicherheitszertifikat oder die EU-Konformitätserklärung ausgestellt wurde.

(3)   Die jeder Vertrauenswürdigkeitsstufe entsprechenden Sicherheitsanforderungen, einschließlich der entsprechenden Sicherheitsfunktionen und der entsprechenden Strenge und Gründlichkeit für die Bewertung, die das IKT-Produkt, der IKT-Dienst oder der IKT-Prozess durchlaufen muss, werden in dem jeweiligen europäischen Schema für die Cybersicherheitszertifizierung festgelegt.

(4)   Das Zertifikat oder die EU-Konformitätserklärung nimmt Bezug auf die diesbezüglichen technischen Spezifikationen, Normen und Verfahren einschließlich technischer Prüfungen, deren Zweck in der Minderung oder Prävention der Gefahr von Cybersicherheitsvorfällen besteht.

(5)   Ein europäisches Cybersicherheitszertifikat oder eine EU-Konformitätserklärung für die Vertrauenswürdigkeitsstufe „niedrig“ bietet die Gewissheit, dass die IKT-Produkte, -Dienste und -Prozesse, für welche dieses Zertifikat oder diese EU-Konformitätserklärung ausgestellt wird, die entsprechenden Sicherheitsanforderungen einschließlich der Sicherheitsfunktionen erfüllen und einer Bewertung unterzogen wurden, die darauf ausgerichtet ist, die bekannten grundlegenden Risiken für Sicherheitsvorfälle und Cyberangriffe möglichst gering zu halten. Die durchzuführende Bewertung beinhaltet mindestens eine Überprüfung der technischen Dokumentation. Ist eine solche Prüfung nicht geeignet, werden alternative Prüfungen mit gleicher Wirkung durchgeführt;

(6)   Ein europäisches Cybersicherheitszertifikat für die Vertrauenswürdigkeitsstufe „mittel“ bietet die Gewissheit, dass die IKT-Produkte, -Dienste und -Prozesse, für welche dieses Zertifikat ausgestellt wird, die entsprechenden Sicherheitsanforderungen einschließlich der Sicherheitsfunktionen erfüllen und einer Bewertung unterzogen wurden, die darauf ausgerichtet ist, bekannte Cybersicherheitsrisiken und das Risiko von Cybersicherheitsvorfällen und Cyberangriffen seitens Akteuren mit begrenzten Fähigkeiten und Ressourcen möglichst gering zu halten. Die durchzuführende Bewertung beinhaltet mindestens Folgendes: eine Überprüfung, die zeigt, dass keine allgemein bekannten Sicherheitslücken vorliegen, und die Prüfung, dass die IKT-Produkte, -Dienste und -Prozesse die erforderlichen Sicherheitsfunktionen korrekt durchführen. Falls diese Bewertungstätigkeiten nicht geeignet sind, werden alternative Tätigkeiten mit gleicher Wirkung durchgeführt;

(7)   Ein europäisches Cybersicherheitszertifikat für die Vertrauenswürdigkeitsstufe „hoch“ bietet die Gewissheit, dass die IKT-Produkte, -Dienste und -Prozesse, für welche dieses Zertifikat ausgestellt wird, die entsprechenden Sicherheitsanforderungen einschließlich der Sicherheitsfunktionen erfüllen und dass sie einer Bewertung unterzogen wurden, die darauf ausgerichtet ist, das Risiko von dem neuesten Stand der Technik entsprechenden Cyberangriffen durch Akteure mit umfangreichen Fähigkeiten und Ressourcen möglichst gering zu halten. Die durchzuführenden Bewertungstätigkeiten beinhaltet das Folgende; eine Nachprüfung, die zeigt, dass keine allgemein bekannten Sicherheitslücken vorliegen; eine Prüfung, die zeigt, dass die IKT-Produkte, -Dienste und -Prozesse die erforderlichen Sicherheitsfunktionen entsprechend dem neuesten Stand der Technik ordnungsgemäß durchführen, und eine Beurteilung ihrer Widerstandsfähigkeit gegen kompetente Angreifer mittels Penetrationstests Falls diese Bewertungstätigkeiten nicht geeignet sind, alternative Tätigkeiten durchgeführt.

(8)   In einem europäischen Schema für die Cybersicherheitszertifizierung können je nach Strenge und Gründlichkeit der verwendeten Evaluierungsmethode mehrere Bewertungsniveaus angegeben werden. Jedes Bewertungsniveau entspricht einer der Vertrauenswürdigkeitsstufen und wird durch eine entsprechende Kombination von Vertrauenswürdigkeitskomponenten definiert.

Artikel 53

Selbstbewertung der Konformität

(1)   Ein europäisches Schema für die Cybersicherheitszertifizierung kann die Durchführung einer Selbstbewertung der Konformität unter der alleinigen Verantwortung des Herstellers oder Anbieters von IKT-Produkten, -Diensten und -Prozessen zulassen. Die Selbstbewertung der Konformität ist nur für IKT-Produkte, -Dienste und -Prozesse mit niedrigem Risiko erlaubt, die der Vertrauenswürdigkeitsstufe „niedrig“ entsprechen.

(2)   Der Hersteller oder Anbieter von IKT-Produkten, -Diensten und -Prozessen kann eine EU-Konformitätserklärung ausstellen, die bestätigt, dass die Erfüllung der im Schema festgelegten Anforderungen nachgewiesen wurde. Durch die Ausstellung einer solchen Erklärung übernimmt der Hersteller oder Anbieter der IKT-Produkte, -Dienste und -Prozesse die Verantwortung dafür, dass das IKT-Produkt, der IKT-Dienst oder der IKT-Prozess den in diesem Schema festgelegten Anforderungen entspricht.

(3)   Der Hersteller oder Anbieter von IKT-Produkten, -Diensten oder -Prozessen hält die EU-Konformitätserklärung, die technische Dokumentation und alle weiteren einschlägigen Informationen in Bezug auf die Konformität der IKT-Produkte oder -Dienste mit dem Schema während eines Zeitraums, der im entsprechenden europäischen Schema für die Cybersicherheitszertifizierung festgelegt ist, für die in Artikel 58 genannte nationale Behörde für die Cybersicherheitszertifizierung bereit. Eine Kopie der EU-Konformitätserklärung ist der nationalen Behörde für die Cybersicherheitszertifizierung und der ENISA vorzulegen.

(4)   Sofern im Unionsrecht oder im Recht der Mitgliedstaaten nicht anders bestimmt, ist die Ausstellung einer EU-Konformitätserklärung freiwillig.

(5)   Die ausgestellte EU-Konformitätserklärung wird in allen Mitgliedstaaten anerkannt.

Artikel 54

Elemente der europäischen Schemata für die Cybersicherheitszertifizierung

(1)   Ein europäisches Schema für die Cybersicherheitszertifizierung muss mindestens folgende Elemente enthalten:

a)

den Gegenstand und Umfang des Zertifizierungsschemas, einschließlich der Art oder Kategorie der erfassten IKT-Produkte, -Dienste und -Prozesse;

b)

eine eindeutige Beschreibung des Zwecks des Schemas und der Art und Weise, wie die ausgewählten Normen, Bewertungsmethoden und Vertrauenswürdigkeitsstufen mit den Erfordernissen der vorgesehenen Nutzer des Schemas in Einklang gebracht wurden;

c)

eine Bezugnahme auf die für die Bewertung maßgeblichen internationalen, europäischen oder nationalen Normen oder, wenn keine solchen Normen verfügbar oder geeignet sind, auf technische Spezifikationen, die die Auflagen des Anhangs II der Verordnung (EU) Nr. 1025/2012 erfüllen, oder — wenn solche Spezifikationen nicht verfügbar sind — auf die im europäischen Schema für die Cybersicherheitszertifizierung festgelegten technischen Spezifikationen oder Cybersicherheitsanforderungen;

d)

gegebenenfalls eine oder mehrere Vertrauenswürdigkeitsstufen;

e)

die Angabe, ob eine Selbstbewertung der Konformität im Rahmen des Schemas zulässig ist;

f)

falls anwendbar, spezielle oder zusätzliche Anforderungen an die Konformitätsbewertungsstellen, um deren technische Kompetenz für die Evaluierung der Cybersicherheitsanforderungen zu gewährleisten;

g)

besondere Bewertungskriterien und -methoden — wie auch Bewertungsarten — für den Nachweis, dass die in Artikel 51 festgelegten Sicherheitsziele eingehalten werden;

h)

falls anwendbar, für die Zertifizierung erforderliche Informationen, die ein Antragsteller der Konformitätsbewertungsstelle vorzulegen oder auf andere Weise zur Verfügung zu stellen hat;

i)

Bedingungen für die Verwendung von Siegeln oder Kennzeichen, sofern das Schema solche vorsieht;

j)

Vorschriften für die Überwachung der Einhaltung der mit dem europäischen Cybersicherheitszertifikat oder der EU-Konformitätserklärung verbundenen Anforderungen an IKT-Produkte, -Dienste und -Prozesse, einschließlich der Mechanismen für den Nachweis der beständigen Einhaltung der festgelegten Cybersicherheitsanforderungen;

k)

falls anwendbar, Bedingungen für die Ausstellung, Aufrechterhaltung, Fortführung und Verlängerung eines europäischen Cybersicherheitszertifikats sowie Bedingungen für die Ausweitung oder Verringerung des Zertifizierungsumfangs;

l)

Vorschriften, wie mit IKT-Produkten, -Diensten und -Prozessen zu verfahren ist, die zertifiziert wurden oder für die eine EU-Konformitätserklärung ausgestellt wurde, die aber den Anforderungen des Schemas nicht genügen;

m)

Vorschriften für die Meldung und Behandlung bislang nicht erkannter Cybersicherheitslücken von IKT-Produkten und -Diensten und -Prozessen;

n)

falls anwendbar, Vorschriften für die Konformitätsbewertungsstellen über die Aufbewahrung von Aufzeichnungen;

o)

Angabe nationaler oder internationaler Schemata für die Cybersicherheitszertifizierung für dieselbe Art oder Kategorie von IKT-Produkten, -Diensten und -Prozessen, Sicherheitsanforderungen, Evaluierungskriterien und -methoden und Vertrauenswürdigkeitsstufen;

p)

Inhalt und Format des europäischen Cybersicherheitszertifikats oder der EU-Konformitätserklärungen, die auszustellen sind;

q)

die Dauer der Verfügbarkeit der EU-Konformitätserklärung, der technischen Dokumentation und aller weiteren bereitzuhaltenden Informationen des Herstellers oder Anbieters von IKT-Produkten, -Diensten und -Prozessen;

r)

die maximale Gültigkeitsdauer der nach diesem Schema ausgestellten europäischen Cybersicherheitszertifikate;

s)

eine Offenlegungspolitik für nach diesem Schema ausgestellte, geänderte oder entzogene europäische Cybersicherheitszertifikate;

t)

Bedingungen für die auf Gegenseitigkeit beruhende Anerkennung von Zertifizierungsschemata von Drittländern;

u)

falls anwendbar, Regeln für etwaige im Schema vorgesehene Verfahren zur gegenseitigen Begutachtung für die Behörden oder Stellen, die im Einklang mit Artikel 56 Absatz 6 europäische Cybersicherheitszertifikate für die Vertrauenswürdigkeitsstufe „hoch“ ausstellen. Diese Verfahren gelten unbeschadet der gegenseitigen Begutachtung gemäß Artikel 59;

v)

Format und Verfahren, die von den Herstellern oder Anbietern von IKT-Produkten, -Diensten und -Prozessen bei der Bereitstellung und Aktualisierung der ergänzenden Informationen zur Cybersicherheit gemäß Artikel 55 zu befolgen sind.

(2)   Die für das europäische Schema für die Cybersicherheitszertifizierung festgelegten Anforderungen stehen in Einklang mit allen geltenden rechtlichen Anforderungen, vor allem jenen, die sich aus dem harmonisierten Unionsrecht ergeben.

(3)   Soweit dies in einem bestimmten Rechtsakt der Union so festgelegt ist, kann eine Zertifizierung oder eine EU-Konformitätserklärung, die auf der Grundlage eines europäischen Schemas für die Cybersicherheitszertifizierung ausgestellt wurde, dafür verwendet werden kann, die Vermutung zu begründen, dass eine Übereinstimmung mit den Anforderungen jenes Rechtsakts gegeben ist.

(4)   Fehlt harmonisiertes Unionsrecht, so kann das Recht der Mitgliedstaaten auch festlegen, dass ein europäisches Schema für die Cybersicherheitszertifizierung dafür verwendet werden kann, die Vermutung zu begründen, dass eine Übereinstimmung mit den gesetzlichen Anforderungen gegeben ist.

Artikel 55

Ergänzende Informationen über die Cybersicherheit von zertifizierten IKT-Produkten, -Diensten und -Prozessen

(1)   Hersteller oder Anbieter von zertifizierten IKT-Produkten, -Diensten oder -Prozessen oder von IKT-Produkten, -Diensten und -Prozessen, für die eine EU-Konformitätserklärung ausgestellt wurde, machen folgende ergänzende Cybersicherheitsangaben der Öffentlichkeit zugänglich:

a)

Leitlinien und Empfehlungen zur Unterstützung der Endnutzer bei der sicheren Konfiguration, der Installation, der Bereitstellung, dem Betrieb und der Wartung der IKT-Produkte oder -Dienste;

b)

Zeitraum, während dessen den Endnutzern eine Sicherheitsunterstützung angeboten wird, insbesondere in Bezug auf die Verfügbarkeit von cybersicherheitsbezogenen Aktualisierungen;

c)

Kontaktangaben des Herstellers oder Anbieters und zulässige Verfahren für den Erhalt von Informationen über Sicherheitslücken von Endnutzern und im Bereich der IT-Sicherheit tätigen Wissenschaftlern;

d)

Verweis auf Online-Register mit öffentlich offengelegten Sicherheitslücken in Bezug auf das IKT-Produkt, den IKT-Dienst oder den IKT-Prozess und gegebenenfalls relevante Cybersicherheitsratgeber.

(2)   Die in Absatz 1 aufgeführten Angaben werden in elektronischer Form bereitgestellt und bleiben mindestens bis zum Ablauf des jeweiligen EU-Cybersicherheitszertifikats oder der EU-Konformitätserklärung verfügbar und werden bei Bedarf aktualisiert.

Artikel 56

Cybersicherheitszertifizierung

(1)   Für IKT-Produkte, -Dienste, und -Prozesse die auf der Grundlage eines nach Artikel 49 angenommenen europäischen Schemas für die Cybersicherheitszertifizierung zertifiziert wurden, gilt die Vermutung der Einhaltung der Anforderungen dieses Schemas.

(2)   Sofern im Unionsrecht oder im Recht der Mitgliedstaaten nicht anders bestimmt, ist die Cybersicherheitszertifizierung freiwillig.

(3)   Die Kommission bewertet regelmäßig die Effizienz und Nutzung der angenommenen europäischen Cybersicherheitszertifizierungsschemata sowie die Frage, ob ein bestimmtes europäisches Cybersicherheitszertifizierungsschema durch das einschlägige Unionsrecht verbindlich vorgeschrieben werden soll, um ein angemessenes Maß an Cybersicherheit von IKT-Produkten, -Diensten und -Prozessen in der Union sicherzustellen und das Funktionieren des Binnenmarktes zu verbessern. Die erste Bewertung findet bis zum 31. Dezember 2023 statt und danach nachfolgende Bewertungen finden mindestens alle zwei Jahre statt.

Die Kommission stellt auf der Grundlage der Ergebnisse der Bewertung fest, welche IKT-Produkte, -Dienste und -Prozesse, die unter ein bestehendes Zertifizierungsschema fallen, unter ein verpflichtendes Zertifizierungsschema fallen müssen.

Die Kommission konzentriert sich dabei vorrangig auf die Sektoren, die in Anhang II der Richtlinie (EU) 2016/1148 aufgeführt sind und die spätestens zwei Jahre nach der Annahme des ersten europäischen Cybersicherheitszertifizierungsschemas bewertet werden.

Bei der Vorbereitung der Bewertung verfährt die Kommission wie folgt:

a)

Sie berücksichtigt die Auswirkungen der Maßnahmen auf die Hersteller oder Anbieter solcher IKT-Produkte, -Dienste und -Prozesse und auf die Nutzer hinsichtlich der Kosten dieser Maßnahmen und des gesellschaftlichen oder wirtschaftlichen Nutzens, der sich aus dem erwarteten höheren Maß an Sicherheit für die betreffenden IKT-Produkte, -Dienste und -Prozesse ergibt;

b)

sie berücksichtigt das Bestehen und die Umsetzung von Rechtsvorschriften der Mitgliedstaaten und von Drittländern;

c)

sie führt eine offene, transparente und inklusive Konsultation mit allen relevanten Interessenträgern und mit den Mitgliedstaaten durch;

d)

sie berücksichtigt die Umsetzungsfristen sowie die Übergangsmaßnahmen oder -zeiträume und insbesondere in Hinblick auf die möglichen Auswirkungen der Maßnahme auf die Anbieter oder Hersteller von IKT-Produkten, -Diensten und -Prozessen, einschließlich KMU;

e)

sie schlägt die schnellste und effizienteste Art und Weise für die Durchführung des Übergangs von freiwilligen zu obligatorischen Zertifizierungsschemata vor.

(4)   Die in Artikel 60 genannten Konformitätsbewertungsstellen stellen ein europäisches Cybersicherheitszertifikat nach diesem Artikel mit der Vertrauenswürdigkeitsstufe „niedrig“ oder „mittel“ auf der Grundlage der Kriterien des nach Artikel 49 durch die Kommission angenommenen europäischen Schemas für die Cybersicherheitszertifizierung aus.

(5)   Abweichend von Absatz 4 kann in hinreichend begründeten Fällen ein europäisches Schema für die Cybersicherheitszertifizierung vorsehen, dass ein im Rahmen dieses Schemas erteiltes europäisches Cybersicherheitszertifikat nur von einer öffentlichen Stelle auszustellen ist. Bei einer solchen Stelle muss es sich um eine der folgenden Stellen handeln:

a)

eine nationale Behörde für die Cybersicherheitszertifizierung nach Artikel 58 Absatz 1;

b)

eine als Konformitätsbewertungsstelle akkreditierte öffentliche Stelle nach Artikel 60 Absatz 1.

(6)   Ist im Rahmen eines europäischen Schemas für die Cybersicherheitszertifizierung nach Artikel 49 die Vertrauenswürdigkeitsstufe „hoch“ erforderlich, so kann das europäische Cybersicherheitszertifikat nach diesem Schema nur von einer nationalen Behörde für die Cybersicherheitszertifizierung oder in den folgenden Fällen von einer Konformitätsbewertungsstelle ausgestellt werden:

a)

wenn die nationale Behörde für die Cybersicherheitszertifizierung zuvor für jedes einzelne, von einer Konformitätsbewertungsstelle ausgestellte europäische Cybersicherheitszertifikat ihre Zustimmung erteilt hat oder

b)

wenn die nationale Behörde für die Cybersicherheitszertifizierung die Aufgabe der Ausstellung solcher europäischen Cybersicherheitszertifikate zuvor allgemein einer Konformitätsbewertungsstelle übertragen hat.

(7)   Die natürliche oder juristische Person, die ihre IKT-Produkte, -Dienste oder -Prozesse zur Zertifizierung einreicht, hat der in Artikel 58 genannten nationalen Behörde für die Cybersicherheitszertifizierung — sofern diese Behörde die Stelle ist, die das europäische Cybersicherheitszertifikat erteilt — oder der in Artikel 60 genannten Konformitätsbewertungsstelle alle für das Zertifizierungsverfahren notwendigen Informationen vorzulegen.

(8)   Der Inhaber eines europäischen Cybersicherheitszertifikats informiert die in Absatz 7 genannte Behörde oder Stelle über etwaige später festgestellte Sicherheitslücken oder Unregelmäßigkeiten hinsichtlich der Sicherheit des zertifizierten IKT-Produkts, -Dienstes oder -Prozesses, die sich auf die mit der Zertifizierung verbundenen Anforderungen auswirken könnten. Die Behörde oder Stelle leitet diese Informationen unverzüglich an die betreffende nationale Behörde für die Cybersicherheitszertifizierung weiter.

(9)   Ein europäisches Cybersicherheitszertifikat wird für die im jeweiligen europäischen Zertifizierungsschema für Cybersicherheit festgelegte Dauer erteilt und kann verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt sind.

(10)   Ein nach diesem Artikel ausgestelltes europäisches Cybersicherheitszertifikat wird in allen Mitgliedstaaten anerkannt.

Artikel 57

Nationale Cybersicherheitszertifizierungsschemata und Cybersicherheitszertifikate

(1)   Unbeschadet des Absatzes 3 dieses Artikels werden nationale Schemata für die Cybersicherheitszertifizierung und die zugehörigen Verfahren für die IKT-Produkte, -Dienste und -Prozesse, die unter ein europäisches Schema für die Cybersicherheitszertifizierung fallen, ab dem Zeitpunkt unwirksam, der in dem nach Artikel 49 Absatz 7 erlassenen Durchführungsrechtsakt festgelegt ist. Nationale Schemata für die Cybersicherheitszertifizierung und die zugehörigen Verfahren für die IKT-Produkte, -Dienste und-Prozesse, die nicht unter ein europäisches Schema für die Cybersicherheitszertifizierung fallen, bleiben bestehen.

(2)   Die Mitgliedstaaten führen keine neuen nationalen Schemata für die Cybersicherheitszertifizierung von IKT-Produkten, -Diensten und -Prozessen ein, die unter ein geltendes europäisches Schema für die Cybersicherheitszertifizierung fallen.

(3)   Vorhandene Zertifikate, die auf der Grundlage nationaler Schemata für die Cybersicherheitszertifizierung ausgestellt wurden und unter ein europäisches Schema für die Cybersicherheitszertifizierung fallen, bleiben bis zum Ende ihrer Geltungsdauer gültig.

(4)   Um die Fragmentierung des Binnenmarkts zu vermeiden, unterrichten die Mitgliedstaaten die Kommission und die Europäische Gruppe für die Cybersicherheitszertifizierung über die Absicht zur Ausarbeitung neuer nationaler Schemata für die Cybersicherheitszertifizierung.

Artikel 58

Nationale Behörden für die Cybersicherheitszertifizierung

(1)   Jeder Mitgliedstaat benennt eine oder mehrere nationale Behörden für die Cybersicherheitszertifizierung in seinem Hoheitsgebiet oder im Einverständnis mit einem anderen Mitgliedstaat eine oder mehrere nationale Behörden für die Cybersicherheitszertifizierung mit Sitz in diesem anderen Mitgliedstaat, als für die Aufsichtsaufgaben im benennenden Mitgliedstaat zuständig.

(2)   Jeder Mitgliedstaat teilt der Kommission den Namen der benannten nationalen Behörden für Cybersicherheitszertifizierung mit. Sofern ein Mitgliedstaat mehr als eine Behörde benennt, teilt er der Kommission auch die Aufgaben mit, die diesen Behörden jeweils zugewiesen wurden.

(3)   Unbeschadet des Artikels 56 Absatz 5 Buchstabe a und Absatz 6 ist jede nationale Behörde für die Cybersicherheitszertifizierung im Hinblick auf ihre Organisation, Finanzierungsentscheidungen, Rechtsform und Entscheidungsfindung unabhängig von den Stellen, die sie beaufsichtigt.

(4)   Die Mitgliedstaaten stellen sicher, dass die Tätigkeiten der nationalen Behörden für die europäische Cybersicherheitszertifizierung im Zusammenhang mit der Ausstellung von Zertifikaten nach Artikel 56 Absatz 5 Buchstabe a und Absatz 6 von den Aufsichtstätigkeiten nach diesem Artikel streng getrennt sind und dass diese Tätigkeiten unabhängig voneinander durchgeführt werden.

(5)   Die Mitgliedstaaten stellen sicher, dass die nationalen Behörden für die Cybersicherheitszertifizierung eine angemessene Ausstattung zur Ausübung ihrer Befugnisse und zur wirksamen und effizienten Wahrnehmung ihrer Aufgaben besitzen.

(6)   Im Hinblick auf eine wirksame Durchführung dieser Verordnung ist es angemessen, dass die nationalen Behörden für die Cybersicherheitszertifizierung in der Europäischen Gruppe für die Cybersicherheitszertifizierung in aktiver, wirksamer, effizienter und sicherer Weise mitarbeiten.

(7)   Die nationalen Behörden für die Cybersicherheitszertifizierung haben folgende Aufgaben:

a)

Überwachung und Durchsetzung der Vorschriften im Rahmen der europäischen Schemata für die Cybersicherheitszertifizierung gemäß Artikel 54 Absatz 1 Buchstabe j im Hinblick auf die Beobachtung der Übereinstimmung der IKT-Produkte, -Dienste und -Prozesse mit den Anforderungen der in ihrem jeweiligen Hoheitsgebiet ausgestellten europäischen Cybersicherheitszertifikate in Zusammenarbeit mit anderen zuständigen Marktüberwachungsbehörden;

b)

Überwachung und Durchsetzung der Verpflichtungen der in ihrem jeweiligen Hoheitsgebiet niedergelassenen Hersteller oder Anbieter von IKT-Produkten, -Diensten oder -Prozessen, die eine Selbstbewertung der Konformität durchführen, insbesondere Überwachung und Durchsetzung der Verpflichtungen dieser Hersteller oder Anbieter nach Artikel 53 Absätze 2 und 3 und nach dem entsprechenden europäischen Schema für die Cybersicherheitszertifizierung;

c)

unbeschadet des Artikels 60 Absatz 3 aktive Unterstützung der nationalen Akkreditierungsstellen bei der Überwachung und Beaufsichtigung der Tätigkeiten der Konformitätsbewertungsstellen für die Zwecke dieser Verordnung;

d)

Überwachung und Beaufsichtigung der Tätigkeiten der in Artikel 56 Absatz 5 genannten öffentlichen Stellen;

e)

gegebenenfalls Ermächtigung der Konformitätsbewertungsstellen nach Artikel 60 Absatz 3 und Beschränkung, Aussetzung oder Widerruf bestehender Ermächtigungen, wenn die Konformitätsbewertungsstellen gegen die Anforderungen dieser Verordnung verstoßen;

f)

Bearbeitung von Beschwerden, die von natürlichen oder juristischen Personen in Bezug auf europäische Cybersicherheitszertifikate, die von der nationalen Behörde für die Cybersicherheitszertifizierung ausgestellt wurden, oder in Bezug auf europäische Cybersicherheitszertifikate, die nach Artikel 56 Absatz 6 von Konformitätsbewertungsstellen ausgestellt wurden, oder in Bezug auf EU-Konformitätserklärungen nach Artikel 53 eingereicht werden, und Untersuchung des Beschwerdegegenstands in angemessenem Umfang, und Unterrichtung des Beschwerdeführers über die Fortschritte und das Ergebnis der Untersuchung innerhalb einer angemessenen Frist;

g)

Vorlage eines zusammenfassenden Jahresberichts über die ausgeführten Tätigkeiten gemäß den Buchstaben b, c und d dieses Absatzes oder gemäß Absatz 8 an die ENISA und die Europäische Gruppe für die Cybersicherheitszertifizierung;

h)

Zusammenarbeit mit anderen nationalen Behörden für die Cybersicherheitszertifizierung und anderen öffentlichen Stellen; dies beinhaltet auch den Informationsaustausch über die etwaige Nichtkonformität von IKT-Produkten, -Diensten und -Prozessen mit den Anforderungen dieser Verordnung oder mit den Anforderungen bestimmter europäischer Schemata für die Cybersicherheitszertifizierung; und

i)

Verfolgung einschlägiger Entwicklungen auf dem Gebiet der Cybersicherheitszertifizierung.

(8)   Jede nationale Behörde für die Cybersicherheitszertifizierung hat mindestens die folgenden Befugnisse:

a)

Sie kann die Konformitätsbewertungsstellen, die Inhaber europäischer Cybersicherheitszertifikate und die Aussteller von EU-Konformitätserklärungen auffordern, ihr sämtliche Auskünfte zu erteilen, die sie für die Erfüllung ihrer Aufgaben benötigt;

b)

sie kann Untersuchungen in Form von Rechnungsprüfungen bei den Konformitätsbewertungsstellen, den Inhabern europäischer Cybersicherheitszertifikate und den Ausstellern von EU-Konformitätserklärungen durchführen, um deren Einhaltung der Bestimmungen dieses Titels zu überprüfen;

c)

sie kann im Einklang mit dem nationalen Recht geeignete Maßnahmen ergreifen, um sicherzustellen, dass die Konformitätsbewertungsstellen, die Inhaber von europäischen Cybersicherheitszertifikaten und die Aussteller von EU-Konformitätserklärungen den Anforderungen dieser Verordnung oder eines europäischen Schemas für die Cybersicherheitszertifizierung genügen;

d)

sie erhält Zugang zu den Räumlichkeiten von Konformitätsbewertungsstellen und von Inhabern europäischer Cybersicherheitszertifikate zum Zweck der Durchführung von Untersuchungen im Einklang mit den Verfahrensvorschriften der Union oder des Mitgliedstaats;

e)

sie kann im Einklang mit dem nationalen Recht europäische Cybersicherheitszertifikate widerrufen, die von den nationalen Behörden für die Cybersicherheitszertifizierung oder europäische Cybersicherheitszertifikate, die nach Artikel 56 Absatz 6 von den Konformitätsbewertungsstellen ausgestellt wurden, wenn diese Zertifikate den Anforderungen dieser Verordnung oder eines europäischen Schemas für die Cybersicherheitszertifizierung nicht genügen;

f)

sie kann im Einklang mit dem nationalen Recht Sanktionen nach Artikel 65 verhängen und die unverzügliche Beendigung von Verstößen gegen die in dieser Verordnung festgelegten Verpflichtungen anordnen.

(9)   Die nationalen Behörden für die Cybersicherheitszertifizierung arbeiten untereinander und mit der Kommission zusammen, indem sie insbesondere Informationen, Erfahrungen und bewährte Verfahren im Zusammenhang mit der Cybersicherheitszertifizierung und technischen Fragen in Bezug auf die Cybersicherheit von IKT-Produkten -Diensten und -Prozessen austauschen.

Artikel 59

Gegenseitige Begutachtung

(1)   Um in der gesamten Union gleichwertige Standards in Bezug auf die europäischen Cybersicherheitszertifikate und EU-Konformitätserklärungen zu erreichen, unterliegen die nationalen Behörden für die Cybersicherheitszertifizierung einer gegenseitigen Begutachtung.

(2)   Die gegenseitige Begutachtung erfolgt auf der Grundlage fundierter und transparenter Bewertungskriterien und -verfahren und erstreckt sich insbesondere auf die Strukturen, Personalressourcen und Verfahren betreffenden Anforderungen sowie auf Vertraulichkeit und Beschwerden.

(3)   Die gegenseitige Begutachtung umfasst die Bewertung folgender Aspekte:

a)

gegebenenfalls die Frage, ob bei den Tätigkeiten der nationalen Behörden für die europäische Cybersicherheitszertifizierung im Zusammenhang mit der Ausstellung von Zertifikaten nach Artikel 56 Absatz 5 Buchstabe a und Absatz 6 eine strenge Trennung der Aufgaben und Zuständigkeiten von den Aufsichtstätigkeiten nach Artikel 58 gewahrt wird und beide Tätigkeiten unabhängig voneinander durchgeführt werden;

b)

die Verfahren für die Überwachung und Durchsetzung der Vorschriften für die Beobachtung der Übereinstimmung von IKT-Produkten, -Diensten und -Prozessen mit den europäischen Cybersicherheitszertifikaten nach Artikel 58 Absatz 7 Buchstabe a;

c)

die Verfahren für die Überwachung und Durchsetzung der Verpflichtungen der Hersteller und Anbieter von IKT-Produkten -Diensten oder -Prozessen nach Artikel 58 Absatz 7 Buchstabe b;

d)

die Verfahren für die Überwachung, Genehmigung und Beaufsichtigung der Tätigkeiten der Konformitätsbewertungsstellen;

e)

gegebenenfalls die Frage, ob das Personal von Behörden oder Stellen, die gemäß Artikel 56 Absatz 6 Zertifikate für die Vertrauenswürdigkeitsstufe „hoch“ ausstellen, über die erforderlichen Sachkenntnisse verfügt.

(4)   Die gegenseitige Begutachtung erfolgt durch mindestens zwei nationale Behörden für die Cybersicherheitszertifizierung anderer Mitgliedstaaten und die Kommission, und sie wird mindestens einmal alle fünf Jahre durchgeführt. Die ENISA kann sich an der gegenseitigen Begutachtung beteiligen.

(5)   Die Kommission kann Durchführungsrechtsakte erlassen, um einen Plan für die gegenseitige Begutachtung festzulegen, der sich auf einen Zeitraum von mindestens fünf Jahren erstreckt, und darin die Kriterien für die Zusammensetzung des die gegenseitige Begutachtung durchführenden Teams, die Methode für die gegenseitige Begutachtung und den Zeitplan, die Häufigkeit und die übrigen damit verbundenen Aufgaben vorzugeben. Beim Erlass dieser Durchführungsrechtsakte trägt die Kommission den Erwägungen der Europäischen Gruppe für die Cybersicherheitszertifizierung angemessen Rechnung. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 66 Absatz 2 genannten Prüfverfahren erlassen.

(6)   Die Europäische Gruppe für die Cybersicherheitszertifizierung prüft die Ergebnisse der gegenseitigen Begutachtung, erstellt eine Zusammenfassung, die der Öffentlichkeit zugänglich gemacht werden kann, und erlässt erforderlichenfalls Leitlinien oder Empfehlungen zu den von den betreffenden Stellen zu ergreifenden Maßnahmen.

Artikel 60

Konformitätsbewertungsstellen

(1)   Die Konformitätsbewertungsstellen werden von den nach der Verordnung (EG) Nr. 765/2008 benannten nationalen Akkreditierungsstellen akkreditiert. Diese Akkreditierung wird nur ausgestellt, wenn die Konformitätsbewertungsstelle die im Anhang der vorliegenden Verordnung aufgeführten Anforderungen erfüllt.

(2)   Hat eine nationale Behörde für die Cybersicherheitszertifizierung nach Artikel 56 Absatz 5 Buchstabe a und Absatz 6 ein europäisches Cybersicherheitszertifikat ausstellt, so wird die Zertifizierungsstelle der nationalen Behörde für die Cybersicherheitszertifizierung nach Absatz 1 des vorliegenden Artikels als Konformitätsbewertungsstelle akkreditiert.

(3)   Sind in einem europäischen Schema für die Cybersicherheitszertifizierung spezifische oder zusätzliche Anforderungen gemäß Artikel 54 Absatz 1 Buchstabe f festgelegt, so darf nur solchen Konformitätsbewertungsstellen von der nationalen Behörde für die Cybersicherheitszertifizierung die Befugnis erteilt werden, Aufgaben im Rahmen dieses Schemas wahrzunehmen, die diese Anforderungen einhalten.

(4)   Die Akkreditierung nach Absatz 1wird den Konformitätsbewertungsstellen für eine Höchstdauer von fünf Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die Konformitätsbewertungsstelle die Anforderungen dieses Artikels weiterhin erfüllt. Die nationalen Akkreditierungsstellen treffen innerhalb einer angemessenen Frist alle angebrachten Maßnahmen, um die nach Absatz 1 erteilte Akkreditierung einer Konformitätsbewertungsstelle zu beschränken, auszusetzen oder zu widerrufen, wenn die Voraussetzungen für die Akkreditierung nicht oder nicht mehr erfüllt sind oder wenn die Konformitätsbewertungsstelle gegen diese Verordnung verstößt.

Artikel 61

Notifikation

(1)   Für jedes europäische Schema für die Cybersicherheitszertifizierung notifizieren die nationalen Behörden für die Cybersicherheitszertifizierung der Kommission die Konformitätsbewertungsstellen, die für die Erteilung von Zertifikaten entsprechend den in Artikel 52 genannten Vertrauenswürdigkeitsstufen akkreditiert und gegebenenfalls nach Artikel 60 Absatz 3 ermächtigt wurden. Die nationalen Behörden für die Cybersicherheitszertifizierung teilt der Kommission etwaige diesbezügliche Änderungen unverzüglich mit.

(2)   Ein Jahr nach Inkrafttreten eines europäischen Schemas für die Cybersicherheitszertifizierung veröffentlicht die Kommission im Amtsblatt der Europäischen Union eine Liste der nach diesem Schema notifizierten Konformitätsbewertungsstellen.

(3)   Geht der Kommission nach Ablauf der in Absatz 2 genannten Frist eine Notifikation zu, so veröffentlicht sie die Änderungen der Liste der notifizierten Konformitätsbewertungsstellen innerhalb von zwei Monaten ab dem Zeitpunkt des Eingangs dieser Notifikation im Amtsblatt der Europäischen Union.

(4)   Eine nationale Behörde für die Cybersicherheitszertifizierung kann bei der Kommission die Streichung einer von dieser Behörde notifizierten Konformitätsbewertungsstelle aus der in Absatz 2 genannten Liste beantragen. Die Kommission veröffentlicht die entsprechenden Änderungen der Liste innerhalb eines Monats ab dem Zeitpunkt, zu dem der Antrag der nationalen Behörde für die Cybersicherheitszertifizierung eingegangen ist, im Amtsblatt der Europäischen Union.

(5)   Die Kommission kann im Wege von Durchführungsrechtsakten Einzelheiten, Form und Verfahren für die Notifikationen nach Absatz 1 festlegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 66 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 62

Europäische Gruppe für die Cybersicherheitszertifizierung

(1)   Die Europäische Gruppe für die Cybersicherheitszertifizierung wird eingesetzt.

(2)   Die Europäische Gruppe für die Cybersicherheitszertifizierung setzt sich aus Vertretern der nationalen Behörden für die Cybersicherheitszertifizierung oder Vertretern anderer einschlägiger nationaler Behörden zusammen. Ein Mitglied der Europäischen Gruppe für die Cybersicherheitszertifizierung darf nicht mehr als zwei Mitgliedstaat vertreten.

(3)   Interessenträger und maßgebliche Dritte können zur Teilnahme an den Sitzungen der Europäischen Gruppe für die Cybersicherheitszertifizierung und zur Beteiligung an ihrer Arbeit eingeladen werden.

(4)   Die Europäische Gruppe für die Cybersicherheitszertifizierung hat folgende Aufgaben:

a)

Sie berät und unterstützt die Kommission bei ihren Tätigkeiten zur Gewährleistung einer einheitlichen Umsetzung und Anwendung dieses Titels — insbesondere in Bezug auf das fortlaufende Arbeitsprogramm der Union — in politischen Fragen der Cybersicherheitszertifizierung, bei der Koordinierung von Politikkonzepten und bei der Ausarbeitung europäischer Schemata für die Cybersicherheitszertifizierung;

b)

sie unterstützt und berät die ENISA bei der Ausarbeitung eines möglichen Schemas nach Artikel 49 und arbeitet hierbei mit der ENISA zusammen;

c)

sie gibt nach Artikel 49 eine Stellungnahme zu den von der ENISA vorbereiteten möglichen Schemata ab;

d)

sie beauftragt die ENISA mit der Ausarbeitung von möglichen Schemata nach Artikel 48 Absatz 2;

e)

sie gibt an die Kommission gerichtete Stellungnahmen zur Pflege und Überprüfung vorhandener europäischer Schemata für die Cybersicherheitszertifizierung ab;

f)

sie prüft die einschlägigen Entwicklungen auf dem Gebiet der Cybersicherheitszertifizierung und tauscht Informationen über und bewährte Verfahren für Cybersicherheitszertifizierungsschemata aus;

g)

sie erleichtert die Zusammenarbeit zwischen den nationalen Behörden für die Cybersicherheitszertifizierung nach diesem Titel im Wege des Kapazitätsaufbaus und des Informationsaustauschs, insbesondere durch die Festlegung von Methoden für einen effizienten Austausch von Informationen über Fragen der Cybersicherheitszertifizierung;

h)

sie leistet Unterstützung bei der Anwendung des Mechanismus der gegenseitigen Begutachtung gemäß den Regeln, die in einem europäischen Cybersicherheitszertifizierungsschema nach Artikel 54 Absatz 1 Buchstabe u festgelegt wurden;

i)

sie erleichtert die Anpassung europäischer Schemata für die Cybersicherheitszertifizierung an international anerkannte Normen, indem sie unter anderem bestehende europäische Schemata für die Cybersicherheitszertifizierung überprüft und der ENISA erforderlichenfalls Empfehlungen unterbreitet, sich mit den einschlägigen internationalen Normungsorganisationen in Verbindung zu setzen, um Unzulänglichkeiten oder Lücken in verfügbaren international anerkannten Normen anzugehen.

(5)   Die Kommission nimmt gemäß Artikel 8 Absatz 1 Buchstabe e die Sekretariatsgeschäfte der Europäischen Gruppe für die Cybersicherheitszertifizierung wahr, und führt mit Unterstützung der ENISA ihren Vorsitz.

Artikel 63

Beschwerderecht

(1)   Natürliche und juristische Personen haben das Recht, bei dem Aussteller eines europäischen Cybersicherheitszertifikats oder — wenn sich die Beschwerde gegen ein von einer Konformitätsbewertungsstelle nach Artikel 56 Absatz 6 ausgestelltes europäischen Cybersicherheitszertifikat richtet — bei der zuständigen nationalen Behörde für die Cybersicherheitszertifizierung eine Beschwerde einzulegen.

(2)   Die Behörde oder Stelle, bei der die Beschwerde eingelegt wurde, unterrichtet den Beschwerdeführer über den Stand des Verfahrens und die getroffene Entscheidung und informiert den Beschwerdeführer über die Möglichkeit eines wirksamen gerichtlichen Rechtsbehelfs nach Artikel 64.

Artikel 64

Recht auf einen wirksamen gerichtlichen Rechtsbehelf

(1)   Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf in Bezug auf

a)

Entscheidungen einer Behörde oder einer Stelle gemäß Artikel 63 Absatz 1, gegebenenfalls auch in Bezug auf die mangelnde Erteilung, Verweigerung der Erteilung oder Anerkennung eines europäischen Cybersicherheitszertifikats, das diese natürliche oder juristische Person innehat bzw. beantragt hat;

b)

Untätigkeit im Anschluss an eine Beschwerde bei einer Behörde oder Stelle gemäß Artikel 63 Absatz 1.

(2)   Verfahren nach diesem Artikel werden bei den Gerichten des Mitgliedstaats eingeleitet, in dem die Behörde oder Stelle, gegen die der Rechtsbehelf gerichtet ist, ihren Sitz hat.

Artikel 65

Sanktionen

Die Mitgliedstaaten erlassen Vorschriften über Sanktionen, die bei Verstößen gegen diesen Titel und bei Verstößen gegen die europäischen Schemata für die Cybersicherheitszertifizierung zu verhängen sind, und treffen alle für die Anwendung der Sanktionen erforderlichen Maßnahmen. Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Die Mitgliedstaaten teilen der Kommission diese Vorschriften und Maßnahmen unverzüglich mit und melden ihr etwaige spätere Änderungen.

TITEL IV

SCHLUSSBESTIMMUNGEN

Artikel 66

Ausschussverfahren

(1)   Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

(2)   Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 Absatz 4 Buchstabe b der Verordnung (EU) Nr. 182/2011.

Artikel 67

Bewertung und Überarbeitung

(1)   Bis zum 28. Juni 2024 und danach alle fünf Jahre bewertet die Kommission die Wirkung, Wirksamkeit und Effizienz der ENISA und ihrer Arbeitsmethoden und prüft, ob das Mandat der ENISA möglicherweise geändert werden muss und welche finanziellen Auswirkungen eine solche Änderung hätte. In der Bewertung werden alle Rückmeldungen an die ENISA in Bezug auf ihre Tätigkeiten berücksichtigt. Gelangt die Kommission zu der Auffassung, dass Ziele, Mandat und Aufgaben der ENISA deren Tätigkeit nicht länger rechtfertigen können, kann sie eine Änderung dieser Verordnung im Hinblick auf die für die ENISA geltenden Bestimmungen vorschlagen.

(2)   Die Bewertung erstreckt sich auch auf die Wirkung, Wirksamkeit und Effizienz der Bestimmungen des Titels III dieser Verordnung im Hinblick auf die Ziele, für IKT-Produkte, -Dienste und -Prozesse in der Union ein angemessenes Maß an Cybersicherheit und einen besser funktionierenden Binnenmarkt zu gewährleisten.

(3)   Bei der Bewertung wird beurteilt, ob wesentliche Anforderungen an die Cybersicherheit für den Zugang zum Binnenmarkt erforderlich sind, damit keine IKT-Produkte, -Dienste und -Prozesse auf den Unionsmarkt gelangen, die den grundlegenden Anforderungen an die Cybersicherheit nicht entsprechen.

(4)   Die Kommission übermittelt bis zum 28. Juni 2024 und danach alle fünf Jahre den Bericht über die Bewertung zusammen mit ihren Schlussfolgerungen dem Europäischen Parlament, dem Rat und dem Verwaltungsrat. Die Ergebnisse des Berichts werden öffentlich bekannt gemacht.

Artikel 68

Aufhebung und Rechtsnachfolge

(1)   Die Verordnung (EU) Nr. 526/2013 wird mit Wirkung vom 27. Juni 2019 aufgehoben.

(2)   Bezugnahmen auf die Verordnung (EU) Nr. 526/2013 und auf die durch jene Verordnung errichtete ENISA gelten als Bezugnahmen auf die vorliegende Verordnung und auf die durch die vorliegende Verordnung errichtete ENISA.

(3)   Die durch die vorliegende Verordnung errichtete ENISA ist in Bezug auf das Eigentum und alle Abkommen, rechtlichen Verpflichtungen, Beschäftigungsverträge, finanziellen Verpflichtungen und Verbindlichkeiten die Rechtsnachfolgerin der durch die Verordnung (EU) Nr. 526/2013 errichteten ENISA. Alle vom Verwaltungsrat und vom Exekutivrat gemäß der Verordnung (EU) Nr. 526/2013 getroffenen Entscheidungen bleiben gültig, sofern sie der vorliegenden Verordnung nicht zuwiderlaufen.

(4)   Die ENISA wird zum 27. Juni 2019 für unbegrenzte Zeit errichtet.

(5)   Der nach Artikel 24 Absatz 4 der Verordnung (EU) Nr. 526/2013 ernannte Exekutivdirektor bleibt im Amt und übt die Funktion des Exekutivdirektors nach Artikel 20 der vorliegenden Verordnung für die restliche Dauer seiner Amtszeit aus. Die übrigen Bestimmungen seines Vertrags bleiben unverändert.

(6)   Die nach Artikel 6 der Verordnung (EU) Nr. 526/2013 ernannten Mitglieder des Verwaltungsrats und ihre Stellvertreter bleiben im Amt und üben die Funktion des Verwaltungsrats nach Artikel 15 der vorliegenden Verordnung für die restliche Dauer ihrer Amtszeit aus.

Artikel 69

Inkrafttreten

(1)   Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(2)   Die Artikel 58, 60, 61, 63, 64und 65, gelten ab dem 28. Juni 2021.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Geschehen zu Straßburg am 17. April 2019.

Im Namen des Europäischen Parlaments

Der Präsident

A. TAJANI

Im Namen des Rates

Der Präsident

G. CIAMBA


(1)  ABl. C 227 vom 28.6.2018, S. 86.

(2)  ABl. C 176 vom 23.5.2018, S. 29.

(3)  Stellungnahme des Europäischen Parlaments vom 12. März 2019 (noch nicht im Amtsblatt veröffentlicht) und Beschluss des Rates vom 9. April 2019.

(4)  Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36).

(5)  Verordnung (EU) Nr. 526/2013 des Europäischen Parlaments und des Rates vom 21. Mai 2013 über die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) und zur Aufhebung der Verordnung (EG) Nr. 460/2004 (ABl. L 165 vom 18.6.2013, S. 41).

(6)  Verordnung (EG) Nr. 460/2004 des Europäischen Parlaments und des Rates vom 10. März 2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit (ABl. L 77 vom 13.3.2004, S. 1).

(7)  Verordnung (EG) Nr. 1007/2008 des Europäischen Parlaments und des Rates vom 24. September 2008 zur Änderung der Verordnung (EG) Nr. 460/2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit bezüglich deren Bestehensdauer (ABl. L 293 vom 31.10.2008, S. 1).

(8)  Verordnung (EU) Nr. 580/2011 des Europäischen Parlaments und des Rates vom 8. Juni 2011 zur Änderung der Verordnung (EG) Nr. 460/2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit bezüglich deren Bestehensdauer (ABl. L 165 vom 24.6.2011, S. 3).

(9)  Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1).

(10)  Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

(11)  Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37).

(12)  Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation (Neufassung) (ABl. L 321 vom 17.12.2018, S. 36).

(13)  Einvernehmlicher Beschluss 2004/97/EG, Euratom der auf Ebene der Staats- und Regierungschefs vereinigten Vertreter der Mitgliedstaaten vom 13. Dezember 2003 über die Festlegung der Sitze bestimmter Ämter, Behörden und Agenturen der Europäischen Union (ABl. L 29 vom 3.2.2004, S. 15).

(14)  ABl. C 12 vom 13.1.2018, S. 1.

(15)  Empfehlung (EU) 2017/1584 der Kommission vom 13. September 2017 für eine koordinierte Reaktion auf große Cybersicherheitsvorfälle und -krisen (ABl. L 239 vom 19.9.2017, S. 36).

(16)  Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates (ABl. L 218 vom 13.8.2008, S. 30).

(17)  Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.5.2001, S. 43).

(18)  Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG ABl. L 295 vom 21.11.2018, S. 39).

(19)  Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates vom 25. Oktober 2012 zur europäischen Normung, zur Änderung der Richtlinien 89/686/EWG und 93/15/EWG des Rates sowie der Richtlinien 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG und 2009/105/EG des Europäischen Parlaments und des Rates und zur Aufhebung des Beschlusses 87/95/EWG des Rates und des Beschlusses Nr. 1673/2006/EG des Europäischen Parlaments und des Rates (ABl. L 316 vom 14.11.2012, S. 12).

(20)  Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1.)

(21)  Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates vom 26. Februar 2014 über die öffentliche Auftragsvergabe und zur Aufhebung der Richtlinie 2004/18/EG (ABl. L 94 vom 28.3.2014, S. 65).

(22)  Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).

(23)  Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt) gefördert werden und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73).

(24)  Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates vom 29. Februar 1968 zur Festlegung des Statuts der Beamten der Europäischen Gemeinschaften und der Beschäftigungsbedingungen für die sonstigen Bediensteten dieser Gemeinschaften sowie zur Einführung von Sondermaßnahmen, die vorübergehend auf die Beamten der Kommission anwendbar sind (ABl. L 56 vom 4.3.1968, S. 1).

(25)  Delegierte Verordnung (EU) Nr. 1271/2013 der Kommission vom 30. September 2013 über die Rahmenfinanzregelung für Einrichtungen gemäß Artikel 208 der Verordnung (EU, Euratom) Nr. 966/2012 des Europäischen Parlaments und des Rates (ABl. L 328 vom 7.12.2013, S. 42).

(26)  Beschluss (EU, Euratom) 2015/443 der Kommission vom 13. März 2015 über Sicherheit in der Kommission (ABl. L 72 vom 17.3.2015, S. 41).

(27)  Beschluss (EU, Euratom) 2015/444 der Kommission vom 13. März 2015 über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen (ABl. L 72 vom 17.3.2015, S. 53).

(28)  Verordnung (EU, Euratom) 2018/1046 des Europäischen Parlaments und des Rates vom 18. Juli 2018 über die Haushaltsordnung für den Gesamthaushaltsplan der Union, zur Änderung der Verordnungen (EU) Nr. 1296/2013, (EU) Nr. 1301/2013, (EU) Nr. 1303/2013, (EU) Nr. 1304/2013, (EU) Nr. 1309/2013, (EU) Nr. 1316/2013, (EU) Nr. 223/2014, (EU) Nr. 283/2014 und des Beschlusses Nr. 541/2014/EU sowie zur Aufhebung der Verordnung (EU, Euratom) Nr. 966/2012 (ABl. L 193 vom 30.7.2018, S. 1).

(29)  Verordnung (EU, Euratom) Nr. 883/2013 des Europäischen Parlaments und des Rates vom 11. September 2013 über die Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF) und zur Aufhebung der Verordnung (EG) Nr. 1073/1999 des Europäischen Parlaments und des Rates und der Verordnung (Euratom) Nr. 1074/1999 des Rates (ABl. L 248 vom 18.9.2013, S. 1).

(30)  ABl. L 136 vom 31.5.1999, S. 15.

(31)  Verordnung (Euratom, EG) Nr. 2185/96 des Rates vom 11. November 1996 betreffend die Kontrollen und Überprüfungen vor Ort durch die Kommission zum Schutz der finanziellen Interessen der Europäischen Gemeinschaften vor Betrug und anderen Unregelmäßigkeiten (ABl. L 292 vom 15.11.1996, S. 2).

(32)  Verordnung Nr. 1 zur Regelung der Sprachenfrage für die Europäische Wirtschaftsgemeinschaft (ABl. 17 vom 6.10.1958, S. 385/58).


ANHANG

ANFORDERUNGEN AN KONFORMITÄTSBEWERTUNGSSTELLEN

Konformitätsbewertungsstellen, die akkreditiert werden möchten, müssen folgende Anforderungen erfüllen:

1.

Eine Konformitätsbewertungsstelle muss nach nationalem Recht gegründet und mit Rechtspersönlichkeit ausgestattet sein.

2.

Bei einer Konformitätsbewertungsstelle muss es sich um einen unabhängigen Dritten handeln, der mit der Einrichtung oder den IKT-Produkten, -Diensten oder -Prozessen, die er bewertet, in keinerlei Verbindung steht.

3.

Eine Stelle, die einem Wirtschaftsverband oder einem Fachverband angehört und die IKT-Produkte, -Dienste oder -Prozesse bewertet, an deren Entwurf, Herstellung, Bereitstellung, Montage, Verwendung oder Wartung Unternehmen beteiligt sind, die von diesem Verband vertreten werden, kann als Konformitätsbewertungsstelle gelten, sofern ihre Unabhängigkeit sowie die Abwesenheit jedweder Interessenkonflikte nachgewiesen sind.

4.

Die Konformitätsbewertungsstellen, ihre oberste Leitungsebene und die für die Erfüllung der Konformitätsbewertungsaufgaben zuständigen Mitarbeiter dürfen weder Konstrukteur, Hersteller, Lieferant, Installateur, Käufer, Eigentümer, Verwender oder Wartungsbetrieb des zu bewertenden IKT-Produkts, -Dienstes oder -Prozesses noch Bevollmächtigter einer dieser Parteien sein. Dieses Verbot schließt nicht die Verwendung von bereits einer Konformitätsbewertung unterzogenen IKT-Produkten, die für die Tätigkeit der Konformitätsbewertungsstelle nötig sind, oder die Verwendung solcher IKT-Produkte zum persönlichen Gebrauch aus.

5.

Die Konformitätsbewertungsstellen, ihre oberste Leitungsebene und die für die Erfüllung der Konformitätsbewertungsaufgaben zuständigen Mitarbeiter dürfen weder direkt an Entwurf, Herstellung bzw. Bau, Vermarktung, Installation, Verwendung oder Instandsetzung dieser IKT-Produkte, -Dienste oder -Prozesse beteiligt sein, noch die an diesen Tätigkeiten beteiligten Parteien vertreten. Die Konformitätsbewertungsstellen, ihre oberste Leitungsebene und die für die Erfüllung der Konformitätsbewertungsaufgaben zuständigen Mitarbeiter dürfen sich nicht mit Tätigkeiten befassen, die ihre Unabhängigkeit bei der Beurteilung oder ihre Integrität im Zusammenhang mit ihren Konformitätsbewertungstätigkeiten, beeinträchtigen können. Dieses Verbot gilt besonders für Beratungsdienste.

6.

Falls eine Konformitätsbewertungsstelle Eigentum einer öffentlichen Stelle oder Einrichtung ist oder von dieser betrieben wird, sind die Unabhängigkeit und die Abwesenheit von Interessenkonflikten zwischen der nationalen Behörde für die Cybersicherheitszertifizierung und der Konformitätsbewertungsstelle sicherzustellen und zu dokumentieren.

7.

Die Konformitätsbewertungsstellen müssen sicherstellen, dass die Tätigkeiten ihrer Zweigunternehmen oder Unterauftragnehmer die Vertraulichkeit, Objektivität oder Unparteilichkeit ihrer Konformitätsbewertungstätigkeiten nicht beeinträchtigen.

8.

Die Konformitätsbewertungsstellen und ihre Mitarbeiter müssen die Konformitätsbewertungstätigkeiten mit höchster beruflicher Integrität und der erforderlichen fachlichen Kompetenz in dem betreffenden Bereich durchführen; sie dürfen keinerlei Einflussnahme durch Druck oder Vergünstigungen, auch finanzieller Art, ausgesetzt sein, die sich auf ihre Beurteilung oder die Ergebnisse ihrer Konformitätsbewertungsarbeit auswirken könnte, insbesondere keinem Druck und keiner Einflussnahme durch Personen oder Personengruppen, die ein Interesse am Ergebnis dieser Tätigkeiten haben.

9.

Eine Konformitätsbewertungsstelle muss in der Lage sein, die bei der Konformitätsbewertung anfallenden Aufgaben, die ihr mit dieser Verordnung übertragen wurden, auszuführen, unabhängig davon, ob diese Aufgaben von ihr selbst oder in ihrem Namen und unter ihrer Verantwortung ausgeführt werden. Jegliche Unterauftragsvergabe oder die Inanspruchnahme von externem Personal sind angemessen zu dokumentieren, dürfen nicht über Vermittler erfolgen und bedürfen einer schriftlichen Vereinbarung, in der unter anderem Vertraulichkeitsaspekte und Interessenkonflikte geklärt werden. Die betreffende Konformitätsbewertungsstelle übernimmt die volle Verantwortung für die durchgeführten Aufgaben.

10.

Eine Konformitätsbewertungsstelle muss jederzeit, für jedes Konformitätsbewertungsverfahren und für jede Art, Kategorie und Unterkategorie von IKT-Produkten -Diensten oder -Prozessen über Folgendes verfügen:

a)

das erforderliche Personal mit Fachkenntnis und ausreichender einschlägiger Erfahrung, um die bei der Konformitätsbewertung anfallenden Aufgaben zu erfüllen;

b)

Beschreibungen von Verfahren, nach denen die Konformitätsbewertung durchgeführt wird, um sicherzustellen, dass die Verfahren transparent sind und wiederholt werden können. Sie muss über angemessene Regelungen und Verfahren verfügen, bei denen zwischen den Aufgaben, die sie als nach Artikel 61 notifizierte Stelle wahrnimmt, und ihren anderen Tätigkeiten unterschieden wird;

c)

Verfahren zur Durchführung von Tätigkeiten, bei denen die Größe eines Unternehmens, die Branche, in der es tätig ist, seine Struktur, der Grad an Komplexität der jeweiligen Technologie der ICT-Produkte, -Dienste oder -Prozesse und der Umstand, dass es sich um Massenfertigung oder Serienproduktion handelt, gebührend berücksichtigt werden.

11.

Eine Konformitätsbewertungsstelle muss über die erforderlichen Mittel zur angemessenen Erledigung der technischen und administrativen Aufgaben verfügen, die mit der Konformitätsbewertung verbunden sind, und Zugang zu allen benötigten Ausrüstungen und Einrichtungen haben.

12.

Die Personen, die für die Durchführung der Konformitätsbewertungstätigkeiten zuständig sind, müssen Folgendes besitzen:

a)

eine solide Fach- und Berufsausbildung, die alle Tätigkeiten der Konformitätsbewertung umfasst;

b)

eine ausreichende Kenntnis der Anforderungen, die mit den durchzuführenden Konformitätsbewertungen verbunden sind, und die entsprechende Befugnis, solche Bewertungen durchzuführen;

c)

angemessene Kenntnis und angemessenes Verständnis der geltenden Anforderungen und Prüfnormen;

d)

die Fähigkeit zur Erstellung von Bescheinigungen, Protokollen und Berichten als Nachweis für durchgeführte Konformitätsbewertungen.

13.

Die Unparteilichkeit der Konformitätsbewertungsstellen, ihrer obersten Führungsebene, des für Bewertungen zuständigen Personals der Konformitätsbewertungsstelle und ihrer Unterauftragnehmer muss gewährleistet sein.

14.

Die Vergütung für die oberste Leitungsebene und das für Bewertungen zuständige Personal der Konformitätsbewertungsstelle darf sich nicht nach der Anzahl der durchgeführten Konformitätsbewertungen oder deren Ergebnissen richten.

15.

Die Konformitätsbewertungsstellen müssen eine Haftpflichtversicherung abschließen, sofern die Haftpflicht nicht aufgrund des nationalen Rechts vom Mitgliedstaat übernommen wird oder der Mitgliedstaat selbst unmittelbar für die Konformitätsbewertung verantwortlich ist.

16.

Die Konformitätsbewertungsstelle und ihre Mitarbeiter, Gremien, Tochterunternehmen, Unterauftragnehmer und alle verbundenen Stellen oder Mitarbeiter externer Gremien einer Konformitätsbewertungsstelle müssen die Vertraulichkeit wahren, und die Informationen, die sie bei der Durchführung ihrer Konformitätsbewertungsaufgaben nach dieser Verordnung oder nach einer nationalen Vorschrift zur Durchführung dieser Verordnung erhalten, fallen unter die berufliche Schweigepflicht, außer wenn eine Offenlegung aufgrund von Rechtsvorschriften der Union oder des Mitgliedstaats, denen diese Personen unterliegen, erforderlich ist und außer gegenüber den zuständigen Behörden der Mitgliedstaaten, in denen sie ihre Tätigkeiten ausüben. Die Rechte des geistigen Eigentums sind zu schützen. Die Konformitätsbewertungsstelle muss über dokumentierte Verfahren in Bezug auf die Anforderungen dieser Nummer verfügen.

17.

Abgesehen von Nummer 16 schließen die Anforderungen dieses Anhangs in keiner Weise der Austausch von technischen Informationen und regulatorischen Leitlinien zwischen einer Konformitätsbewertungsstelle und einer Person, die eine Zertifizierung beantragt oder deren Beantragung in Erwägung zieht, aus.

18.

Konformitätsbewertungsstellen müssen ihre Tätigkeiten im Einklang mit einer Reihe kohärenter, gerechter und angemessener Geschäftsbedingungen ausüben, wobei sie in Bezug auf Gebühren die Interessen der KMU berücksichtigen.

19.

Die Konformitätsbewertungsstellen müssen die Anforderungen der einschlägigen Norm erfüllen, die gemäß der Verordnung (EG) Nr. 765/2008 für die Akkreditierung der Konformitätsbewertungsstellen, die die Zertifizierung von IKT-Produkten, -Diensten oder -Prozessen vornehmen, harmonisiert ist.

20.

Die Konformitätsbewertungsstellen müssen sicherstellen, dass die für die Konformitätsbewertung eingesetzten Prüflabors den Anforderungen der einschlägigen Norm entsprechen, die gemäß der Verordnung (EG) Nr. 765/2008 für die Akkreditierung der Labors, die Tests durchführen, harmonisiert ist.


RICHTLINIEN

7.6.2019   

DE

Amtsblatt der Europäischen Union

L 151/70


RICHTLINIE (EU) 2019/882 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 17. April 2019

über die Barrierefreiheitsanforderungen für Produkte und Dienstleistungen

(Text von Bedeutung für den EWR)

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 114,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (1),

gemäß dem ordentlichen Gesetzgebungsverfahren (2),

in Erwägung nachstehender Gründe:

(1)

Zweck dieser Richtlinie ist es, durch Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über die Barrierefreiheitsanforderungen für bestimmte Produkte und Dienstleistungen einen Beitrag zum reibungslosen Funktionieren des Binnenmarkts zu leisten, indem insbesondere durch unterschiedliche Barrierefreiheitsanforderungen in den Mitgliedstaaten bedingte Hindernisse für den freien Verkehr bestimmter barrierefreier Produkte und Dienstleistungen beseitigt werden bzw. die Errichtung derartiger Hindernisse verhindert wird. Dadurch dürften sich die Verfügbarkeit barrierefreier Produkte und Dienstleistungen auf dem Binnenmarkt erhöhen und die Barrierefreiheit von einschlägigen Informationen verbessern.

(2)

Der Bedarf an barrierefreien Produkten und Dienstleistungen ist groß, und die Zahl der Menschen mit Behinderungen wird voraussichtlich noch deutlich steigen. Ein Umfeld mit besser zugänglichen Produkten und Dienstleistungen ermöglicht eine inklusivere Gesellschaft und erleichtert Menschen mit Behinderungen ein unabhängiges Leben. Dabei sollte berücksichtigt werden, dass in der Union mehr Frauen als Männer eine Behinderung haben.

(3)

In dieser Richtlinie werden Menschen mit Behinderungen im Einklang mit dem am 13. Dezember 2006 angenommenen Übereinkommen der Vereinten Nationen über die Rechte von Menschen mit Behinderungen (im Folgenden „VN-Behindertenrechtskonvention“), dessen Vertragspartei die Union seit dem 21. Januar 2011 ist und das alle Mitgliedstaaten ratifiziert haben, definiert. Gemäß der VN-Behindertenrechtskonvention zählen zu den Menschen mit Behinderungen „Menschen, die langfristige körperliche, seelische, geistige oder Sinnesbeeinträchtigungen haben, welche sie in Wechselwirkung mit verschiedenen Barrieren an der vollen, wirksamen und gleichberechtigten Teilhabe an der Gesellschaft hindern können“. Diese Richtlinie fördert die volle, wirksame und gleichberechtigte Teilhabe durch Verbesserung des Zugangs zu Alltagsprodukten und -dienstleistungen, die durch ihr ursprüngliches Design oder eine spätere Anpassung den besonderen Bedürfnissen von Menschen mit Behinderungen Rechnung tragen.

(4)

Andere Menschen mit funktionellen Einschränkungen, wie ältere Menschen, Schwangere oder Reisende mit Gepäck, werden ebenfalls von dieser Richtlinie profitieren. Der Begriff „Menschen mit funktionellen Einschränkungen“ im Sinne dieser Richtlinie umfasst Menschen, die dauerhafte oder vorübergehende körperliche, seelische, geistige oder sensorische Beeinträchtigungen, altersbedingte Beeinträchtigungen oder sonstige mit der Leistungsfähigkeit des menschlichen Körpers zusammenhängende Beeinträchtigungen haben, die in Wechselwirkung mit verschiedenen Barrieren dazu führen, dass diese Menschen verminderten Zugang zu Produkten und Dienstleistungen haben, und bewirken, dass diese Produkte und Dienstleistungen an ihre besonderen Bedürfnisse angepasst werden müssen.

(5)

Die Unterschiede zwischen den Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über die Barrierefreiheit von Produkten und Dienstleistungen für Menschen mit Behinderungen schaffen Hindernisse für freien Verkehr von Produkten und Dienstleistungen sowie für den wirksamen Wettbewerb im Binnenmarkt. Bei einigen Produkten und Dienstleistungen werden diese Unterschiede in der Union nach dem Inkrafttreten der VN-Behindertenrechtskonvention voraussichtlich noch zunehmen. Von solchen Hindernissen sind vor allem Wirtschaftsakteure, insbesondere kleine und mittlere Unternehmen (KMU), betroffen.

(6)

Aufgrund der Unterschiede zwischen den nationalen Barrierefreiheitsanforderungen schrecken insbesondere Selbstständige, KMU und Kleinstunternehmen davor zurück, außerhalb ihrer heimischen Märkte geschäftlich tätig zu werden. Die nationalen, manchmal sogar regionalen oder lokalen Barrierefreiheitsanforderungen, die es in den Mitgliedstaaten derzeit gibt, unterscheiden sich hinsichtlich des Regelungsumfangs und der Regelungstiefe. Diese Unterschiede beeinträchtigen die Wettbewerbsfähigkeit und das Wachstum insofern, als für die Entwicklung und die Vermarktung barrierefreier Produkte und Dienstleistungen auf den einzelnen nationalen Märkten zusätzliche Kosten entstehen.

(7)

Von den Verbrauchern werden für barrierefreie Produkte und Dienstleistungen sowie für assistive Technologien hohe Preise verlangt, da der Wettbewerb unter den Anbietern begrenzt ist. Die Vielzahl nationaler Regelungen mindert den potenziellen Nutzen eines Erfahrungsaustauschs auf nationaler und internationaler Ebene über die Frage, wie auf gesellschaftliche und technologische Entwicklungen zu reagieren ist.

(8)

Für das reibungslose Funktionieren des Binnenmarkts ist daher eine Angleichung der nationalen Vorschriften auf Unionsebene erforderlich; so könnten die Zersplitterung des Markts für barrierefreie Produkte und Dienstleistungen überwunden, Skaleneffekte erzielt, der grenzüberschreitende Handel und die grenzüberschreitende Mobilität erleichtert und die Wirtschaftsakteure dabei unterstützt werden, Ressourcen für Innovationen statt für die Deckung der Kosten einzusetzen, die durch die innerhalb der Union uneinheitlichen Rechtsvorschriften bedingt sind.

(9)

Die Vorteile einer Harmonisierung der Barrierefreiheitsanforderungen für den Binnenmarkt sind bei der Anwendung der Richtlinie 2014/33/EU des Europäischen Parlaments und des Rates über Aufzüge (3) und der Verordnung (EG) Nr. 661/2009 des Europäischen Parlaments und des Rates (4) im Verkehrsbereich deutlich geworden.

(10)

In der Erklärung Nr. 22 zu Personen mit einer Behinderung, die dem Vertrag von Amsterdam beigefügt ist, kam die Konferenz der Vertreter der Regierungen der Mitgliedstaaten überein, dass die Organe der Union bei der Ausarbeitung von Maßnahmen nach Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) den Bedürfnissen von Menschen mit Behinderungen Rechnung tragen müssen.

(11)

Die Mitteilung der Kommission vom 6. Mai 2015„Strategie für einen digitalen Binnenmarkt für Europa“ hat das übergeordnete Ziel, mit einem vernetzten digitalen Binnenmarkt nachhaltige wirtschaftliche und soziale Vorteile zu erzielen, wodurch der Handel erleichtert und die Beschäftigung in der Union gefördert werden. Immer noch kommen die Verbraucher in der Union nicht in den vollen Genuss der Preise und der Auswahl, die der Binnenmarkt bieten kann, weil grenzüberschreitende Online-Geschäfte nach wie vor nur in sehr begrenztem Umfang getätigt werden. Die Zersplitterung begrenzt auch die Nachfrage nach grenzüberschreitender elektronischer Geschäftsabwicklung. Nötig ist außerdem ein abgestimmtes Vorgehen, damit elektronische Inhalte, elektronische Kommunikationsdienste und Zugang zu audiovisuellen Mediendiensten für Menschen mit Behinderungen uneingeschränkt verfügbar sind. Es ist daher erforderlich, die Barrierefreiheitsanforderungen für den gesamten digitalen Binnenmarkt zu harmonisieren und zu gewährleisten, dass alle Unionsbürgerinnen und -bürger unabhängig von ihren Fähigkeiten die Vorteile des Binnenmarkts nutzen können.

(12)

Seit die Union der VN-Behindertenrechtskonvention beigetreten ist, sind deren Bestimmungen fester Bestandteil der Rechtsordnung der Union und für die Organe der Union und für ihre Mitgliedstaaten verbindlich.

(13)

Gemäß der VN-Behindertenrechtskonvention müssen die Parteien geeignete Maßnahmen mit dem Ziel treffen, für Menschen mit Behinderungen den gleichberechtigten Zugang zur physischen Umwelt, zu Verkehrsmitteln, zu Information und Kommunikation, einschließlich Informations- und Kommunikationstechnologien und -systemen, sowie zu anderen Einrichtungen und Diensten, die der Öffentlichkeit in städtischen und ländlichen Gebieten offen stehen oder für sie bereitgestellt werden, zu gewährleisten. Der Ausschuss der Vereinten Nationen für die Rechte von Menschen mit Behinderungen hat festgestellt, dass die Notwendigkeit besteht, einen gesetzlichen Rahmen mit konkreten, durchsetzbaren und fristgebundenen Richtvorgaben für die Kontrolle der schrittweisen Verwirklichung der Barrierefreiheit zu schaffen.

(14)

Gemäß der VN-Behindertenrechtskonvention sind die Vertragsparteien aufgefordert, Forschung und Entwicklung in Bezug auf neue Technologien, die für Menschen mit Behinderungen geeignet sind — darunter Informations- und Kommunikationstechnologien, Mobilitätshilfen, Geräte und assistive Technologien —, zu betreiben oder zu fördern und ihre Verfügbarkeit und Nutzung zu fördern. In der VN-Behindertenrechtskonvention wird zudem gefordert, erschwinglichen Technologien Vorrang einzuräumen.

(15)

Das Inkrafttreten der VN-Behindertenrechtskonvention in den Mitgliedstaaten macht den Erlass zusätzlicher nationaler Vorschriften über die Barrierefreiheit von Produkten und Dienstleistungen erforderlich. Ohne ein Tätigwerden der Union würden diese Bestimmungen die Unterschiede zwischen den Rechts- und Verwaltungsvorschriften der Mitgliedstaaten noch vergrößern.

(16)

Es ist somit erforderlich, die Durchführung der VN-Behindertenrechtskonvention in der Union durch das Aufstellen einheitlicher Unionsvorschriften zu vereinfachen. Durch diese Richtlinie werden die Mitgliedstaaten auch in ihren Bemühungen um eine harmonisierte Erfüllung ihrer nationalen Verpflichtungen und ihrer Verpflichtungen nach der VN-Behindertenrechtskonvention im Hinblick auf die Barrierefreiheit unterstützt.

(17)

In der Kommissionsmitteilung „Europäische Strategie zugunsten von Menschen mit Behinderungen 2010-2020: Erneuertes Engagement für ein barrierefreies Europa“ vom 15. November 2010 wird Barrierefreiheit im Einklang mit der VN-Behindertenrechtskonvention als einer der acht Aktionsbereiche genannt, und es wird darauf hingewiesen, dass es sich dabei um eine Grundvoraussetzung für die gesellschaftliche Teilhabe handelt; das konkrete Ziel ist die Gewährleistung der Barrierefreiheit von Produkten und Dienstleistungen.

(18)

Die Bestimmung der Produkte und Dienstleistungen, die in den Geltungsbereich dieser Richtlinie fallen, beruht auf einem während der Vorbereitung der Folgenabschätzung durchgeführten Screening, mit dem Produkte und Dienstleistungen ermittelt wurden, die für Menschen mit Behinderungen relevant sind und zu denen die Mitgliedstaaten unterschiedliche nationale Barrierefreiheitsanforderungen angenommen haben oder voraussichtlich annehmen werden, die das Funktionieren des Binnenmarkts behindern.

(19)

Um die Barrierefreiheit der in den Geltungsbereich dieser Richtlinie fallenden Dienstleistungen zu gewährleisten, sollten Produkte, die für die Erbringung dieser Dienstleistungen verwendet werden und mit denen die Verbraucher interagieren, auch den geltenden Barrierefreiheitsanforderungen dieser Richtlinie entsprechen müssen.

(20)

Auch wenn eine Dienstleistung oder ein Teil einer Dienstleistung an einen Dritten als Unterauftragnehmer vergeben wird, sollte die Barrierefreiheit dieser Dienstleistung nicht beeinträchtigt werden und sollten die Dienstleistungserbringer die Verpflichtungen dieser Richtlinie erfüllen. Zudem sollten Dienstleistungserbringer eine angemessene und fortlaufende Schulung ihres Personals sicherstellen, um dafür zu sorgen, dass es Kenntnisse über die Nutzung barrierefreier Produkte und Dienstleistungen hat. Diese Schulungen sollten Themen wie die Bereitstellung von Informationen, Beratung und Werbung abdecken.

(21)

Die Barrierefreiheitsanforderungen sollten so eingeführt werden, dass sie den Wirtschaftsakteuren und den Mitgliedstaaten möglichst wenig Aufwand verursachen.

(22)

Es ist erforderlich, Barrierefreiheitsanforderungen für das Inverkehrbringen jener Produkte und Dienstleistungen vorzugeben, die in den Geltungsbereich dieser Richtlinie fallen, damit deren freier Verkehr im Binnenmarkt gewährleistet ist.

(23)

Diese Richtlinie sollte funktionale Barrierefreiheitsanforderungen verbindlich vorschreiben und diese als allgemeine Ziele formulieren. Diese Anforderungen sollten genau genug sein, um rechtsverbindliche Verpflichtungen zu schaffen, und detailliert genug, um die Konformität bewerten zu können, damit das reibungslose Funktionieren des Binnenmarkts für die von dieser Richtlinie betroffenen Produkte und Dienstleistungen gewährleistet ist, aber auch ein gewisser Spielraum für Innovationen besteht.

(24)

In dieser Richtlinie sind für Bedienungsformen von Produkten und Dienstleistungen eine Reihe von Anforderungen an die Funktionalität festgelegt. Diese Anforderungen stellen keine generelle Alternative zu den Barrierefreiheitsanforderungen dieser Richtlinie dar, sondern sollten nur unter ganz bestimmten Umständen zur Anwendung kommen. Diese Anforderungen sollten im Interesse der Barrierefreiheit für bestimmte Funktionen oder Merkmale der Produkte oder Dienstleistungen gelten, in denen die Barrierefreiheitsanforderungen dieser Richtlinie in Bezug auf eine oder mehrere dieser bestimmten Funktionen oder Merkmale keine Handhabe bieten. Außerdem gilt in dem Fall, dass eine Barrierefreiheitsanforderung bestimmte technische Anforderungen umfasst und für diese technischen Anforderungen in dem Produkt oder der Dienstleistung eine andere technische Lösung vorgesehen ist, dass mit dieser anderen Lösung — durch Anwendung der einschlägigen Anforderungen an die Funktionalität — dennoch die entsprechenden Barrierefreiheitsanforderungen erfüllt werden sollten und eine vergleichbare oder bessere Barrierefreiheit erreicht werden sollte.

(25)

Diese Richtlinie sollte sich auch auf Hardwaresysteme für Universalrechner für Verbraucher erstrecken. Damit diese Systeme barrierefrei funktionieren, sollte auch ihr Betriebssystem barrierefrei sein. Solche Computerhardwaresysteme zeichnen sich durch ihren Mehrzweckcharakter und ihre Fähigkeit aus, mit der geeigneten Software die vom Verbraucher geforderten üblichen Computeraufgaben durchzuführen, und sind dazu bestimmt, von Verbrauchern bedient zu werden. Personal Computer, einschließlich Desktops, Notebooks, Smartphones und Tablets sind Beispiele für solche Computerhardwaresysteme. Bei in Verbraucherelektronik eingebetteten Spezialcomputern handelt es sich nicht um Hardwaresysteme für Universalrechner für Verbraucher. Diese Richtlinie sollte sich nicht im Einzelnen auf einzelne Komponenten mit spezifischen Funktionen wie etwa Hauptplatinen oder Speicherchips erstrecken, die in einem solchen System verwendet werden oder verwendet werden könnten.

(26)

Diese Richtlinie sollte auch Zahlungsterminals, einschließlich sowohl der zugehörigen Hardware als auch der Software sowie bestimmte interaktive Selbstbedienungsterminals einschließlich sowohl der zugehörigen Hardware als auch der Software erfassen, die zur Erbringung von unter diese Richtlinie fallenden Dienstleistungen eingesetzt werden sollen, wie zum Beispiel Geldautomaten, Ticketautomaten, die physische Tickets für den Zugang zu Dienstleistungen ausgeben (wie Fahrausweisautomaten und Wartenummern-Automaten in Banken), Check-in-Automaten und interaktive Selbstbedienungsterminals für Informationen, darunter auch interaktive Anzeigebildschirme.

(27)

Bestimmte interaktive Selbstbedienungsterminals für Informationen, die als fester Bestandteil von Fahrzeugen, Luftfahrzeugen, Schiffen oder Schienenfahrzeugen eingebaut sind, sollten jedoch vom Geltungsbereich dieser Richtlinie ausgenommen sein, da sie Teil der Fahrzeuge, Luftfahrzeuge, Schiffe oder Schienenfahrzeuge sind, die nicht Gegenstand dieser Richtlinie sind.

(28)

Diese Richtlinie sollte sich auch auf elektronische Kommunikationsdienste, einschließlich Notrufe im Sinne der Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates (5), erstrecken. Die Maßnahmen, die die Mitgliedstaaten derzeit im Interesse der Barrierefreiheit für Menschen mit Behinderungen ergreifen, fallen unterschiedlich aus und sind nicht binnenmarktweit harmonisiert. Wenn gewährleistet ist, dass in der gesamten Union die gleichen Barrierefreiheitsanforderungen gelten, wird das bei Wirtschaftsakteuren, die in mehr als einem Mitgliedstaat tätig sind, zu Skaleneffekten führen und den effektiven Zugang für Menschen mit Behinderungen sowohl in ihrem eigenen Mitgliedstaat als auch bei Reisen durch Mitgliedstaaten erleichtern. Damit elektronische Kommunikationsdienste einschließlich Notrufe barrierefrei sind, sollten Dienstleister, wenn sie Videodarstellungen zur Verfügung stellen, zusätzlich zu Sprache auch Text und einen Gesamtgesprächsdienst in Echtzeit anbieten und dabei die Synchronisierung aller Kommunikationsmittel gewährleisten. Zusätzlich zu den Anforderungen dieser Richtlinie sollte es den Mitgliedstaaten gemäß der Richtlinie (EU) 2018/1972 möglich sein, einen Relay-Dienste-Erbringer zu bestimmen, dessen Dienstleistungen Menschen mit Behinderungen nutzen könnten.

(29)

Diese Richtlinie dient der Harmonisierung der Barrierefreiheitsanforderungen für elektronische Kommunikationsdienste und damit verbundener Produkte und der Ergänzung der Richtlinie (EU) 2018/1972, in der Vorschriften über die Gleichwertigkeit des Zugangs und über Wahlmöglichkeiten für Endnutzer mit Behinderungen festgelegt sind. In der Richtlinie (EU) 2018/1972 sind auch die nach den Universaldienstverpflichtungen geltenden Vorschriften über die Erschwinglichkeit des Internetzugangs und von Sprachkommunikation und über die Erschwinglichkeit und Verfügbarkeit der zugehörigen Endeinrichtungen, Sonderausrüstungen und Dienste für Verbraucher mit Behinderungen festgelegt.

(30)

Diese Richtlinie sollte sich ferner auf Verbraucherendgeräte mit interaktivem Leistungsumfang, bei denen vorhersehbar ist, dass sie vorrangig für den Zugang zu elektronischen Kommunikationsdiensten genutzt werden, erstrecken. Diese Geräte sollten für die Zwecke dieser Richtlinie auch Geräte umfassen, die als Teil der Konfiguration für den Zugang zu elektronischen Kommunikationsdiensten genutzt werden, wie zum Beispiel Router oder Modems.

(31)

Für die Zwecke dieser Richtlinie sollte Zugang zu audiovisuellen Mediendiensten bedeuten, dass der Zugang zu audiovisuellen Inhalten barrierefrei sein muss und dass Mechanismen vorhanden sind, die es Nutzern mit Behinderungen ermöglichen, ihre assistiven Technologien zu nutzen. Zu den Diensten, die den Zugang zu audiovisuellen Mediendiensten ermöglichen, könnten Websites, Online-Anwendungen, auf Set-top-Boxen basierende Anwendungen, herunterladbare Anwendungen, auf Mobilgeräten angebotene Dienstleistungen einschließlich mobiler Anwendungen und entsprechende Media-Player sowie auf einer Internetverbindung basierende Fernsehdienste gehören. Die Barrierefreiheit audiovisueller Mediendienste wird durch die Richtlinie 2010/13/EU des Europäischen Parlaments und des Rates (6) geregelt, mit Ausnahme der Barrierefreiheit von elektronischen Programmführern (EPG), die von der Definition von unter diese Richtlinie fallenden Diensten, die Zugang zu audiovisuellen Mediendiensten bieten, umfasst werden.

(32)

Im Hinblick auf Personenverkehrsdienste im Luft-, Bus-, Schienen- und Schiffsverkehr sollte sich diese Richtlinie unter anderem auf die Bereitstellung von Informationen zum Verkehrsdienst, einschließlich Reiseinformationen in Echtzeit, über Websites, auf Mobilgeräten angebotene Dienstleistungen, interaktive Anzeigebildschirme und interaktive Selbstbedienungsterminals erstrecken, die Fahrgäste mit Behinderungen zum Reisen benötigen. Dazu könnten beispielsweise Informationen über die Personenverkehrsprodukte und -dienste des Dienstleistungserbringers, Informationen vor Reiseantritt und während der Reise sowie Informationen bei Ausfall einer Reisedienstleistung oder einer verzögerten Abfahrt gehören. Weitere Informationsbestandteile könnten Informationen über Preise oder Sonderangebote sein.

(33)

Diese Richtlinie sollte sich auch auf Websites, die auf Mobilgeräten angebotenen Dienstleistungen, einschließlich mobiler Anwendungen, die von Betreibern von Personenverkehrsdiensten im Rahmen dieser Richtlinie oder in ihrem Auftrag entwickelt oder zur Verfügung gestellt werden, elektronische Ticketdienste, elektronische Tickets und interaktive Selbstbedienungsterminals erstrecken.

(34)

Der Geltungsbereich dieser Richtlinie im Hinblick auf Personenverkehrsdienste im Luft-, Bus-, Schienen- und Schiffsverkehr sollte auf der Grundlage der bestehenden branchenspezifischen Rechtsvorschriften über Fahrgastrechte definiert werden. Gilt diese Richtlinie für bestimmte Arten von Verkehrsdiensten nicht, sollten die Mitgliedstaaten die Dienstleistungserbringer dazu anhalten, die einschlägigen Barrierefreiheitsanforderungen dieser Richtlinie anzuwenden.

(35)

Die Richtlinie (EU) 2016/2102 des Europäischen Parlaments und des Rates (7) verpflichtet öffentliche Stellen, die Verkehrsdienste — einschließlich Stadt- und Vorortverkehrsdienste sowie Regionalverkehrsdienste — anbieten, bereits dazu, ihre Websites barrierefrei zu gestalten. Die vorliegende Richtlinie enthält auch Ausnahmen für Kleinstunternehmen, die Dienstleistungen — einschließlich Stadt- und Vorortverkehrsdienste sowie Regionalverkehrsdienste — erbringen. Die vorliegende Richtlinie enthält Verpflichtungen, um sicherzustellen, dass Websites für den elektronischen Geschäftsverkehr barrierefrei sind. Da die vorliegende Richtlinie die überwiegende Mehrheit der privaten Erbringer von Verkehrsdiensten verpflichten wird, ihre Websites für den Online-Ticketverkauf barrierefrei zu gestalten, ist es nicht notwendig, weitere Anforderungen für die Websites von Erbringern von Stadt- und Vorortverkehrsdiensten sowie Regionalverkehrsdiensten in die vorliegende Richtlinie aufzunehmen.

(36)

Einige Aspekte der Barrierefreiheitsanforderungen, insbesondere in Bezug auf die Bereitstellung von Informationen gemäß dieser Richtlinie, sind bereits Gegenstand bestehender Rechtsakte der Union im Bereich des Personenverkehrs. Hierzu gehören Teile der Verordnung (EG) Nr. 261/2004 des Europäischen Parlaments und des Rates (8), der Verordnung (EG) Nr. 1107/2006 des Europäischen Parlaments und des Rates (9), der Verordnung (EG) Nr. 1371/2007 des Europäischen Parlaments und des Rates (10), der Verordnung (EU) Nr. 1177/2010 des Europäischen Parlaments und des Rates (11) sowie der Verordnung (EU) Nr. 181/2011 des Europäischen Parlaments und des Rates (12). Dazu gehören auch die einschlägigen Rechtsakte in Bezug auf den Schienenverkehr, die auf Grundlage der Richtlinie 2008/57/EG des Europäischen Parlaments und des Rates (13) angenommen wurden. Damit die rechtliche Kohärenz gewährleistet ist, sollten die Barrierefreiheitsanforderungen gemäß diesen Verordnungen und diesen Rechtsakten auch weiterhin Anwendung finden wie zuvor. Allerdings würden zusätzliche Anforderungen der vorliegenden Richtlinie die bereits geltenden Anforderungen ergänzen, wodurch sich das Funktionieren des Binnenmarkts im Verkehrsbereich verbessern würde, was auch Menschen mit Behinderungen zugutekäme.

(37)

Bestimmte Elemente von Verkehrsdiensten sollten nicht unter diese Richtlinie fallen, sofern sie außerhalb des Hoheitsgebiets der Mitgliedstaaten erbracht wurden, auch wenn die betreffende Dienstleistung für den Unionsmarkt bestimmt war. In Bezug auf diese Elemente sollte ein Personenverkehrsdienstleister nur verpflichtet sein sicherzustellen, dass die Anforderungen dieser Richtlinie in Bezug auf den im Gebiet der Union angebotenen Teil des Dienstes erfüllt werden. Im Fall des Luftverkehrs sollten Luftfahrtunternehmen in der Union hingegen sicherstellen, dass die geltenden Anforderungen dieser Richtlinie auch bei Flügen erfüllt sind, die von einem Flughafen in einem Drittland abgehen und einen Flughafen im Hoheitsgebiet eines Mitgliedstaats zum Ziel haben. Zudem sollten sämtliche Luftfahrtunternehmen — auch die nicht in der Union zugelassenen Unternehmen —sicherstellen, dass die geltenden Anforderungen dieser Richtlinie in Fällen erfüllt sind, in denen die Flüge vom Unionsgebiet in ein Drittland führen.

(38)

Den kommunalen Behörden sollte nahelegt werden, die barrierefreie Zugänglichkeit der städtischen Verkehrsdienste in ihre Pläne für nachhaltige städtische Mobilität einzubeziehen sowie regelmäßig Listen mit bewährten Verfahren im Bereich der barrierefreien Zugänglichkeit öffentlicher städtischer Verkehrs- und Mobilitätsdienste zu veröffentlichen.

(39)

Unionsrecht zu Bank- und Finanzdienstleistungen soll die Verbraucher unionsweit schützen und informieren, es sind jedoch darin keine Barrierefreiheitsanforderungen enthalten. Damit Menschen mit Behinderungen diese Dienste — auch wenn sie über Websites und auf Mobilgeräten angebotene Dienstleistungen einschließlich mobiler Anwendungen bereitgestellt werden — in der gesamten Union nutzen, fundierte Entscheidungen treffen und sich angemessen, in gleicher Weise wie alle anderen Verbraucher, geschützt wissen können und für Dienstleistungserbringer gleiche Ausgangsbedingungen bestehen, sollten in dieser Richtlinie gemeinsame Barrierefreiheitsanforderungen für bestimmte Bank- und Finanzdienstleistungen für Verbraucher festgelegt werden.

(40)

Angemessene Barrierefreiheitsanforderungen sollten auch für Identifizierungsmethoden, elektronische Signaturen und Zahlungsdienstleistungen gelten, da diese für die Abwicklung von Bankgeschäften mit Privatkunden erforderlich sind.

(41)

E-Book-Dateien sind elektronisch so kodiert, dass die Weitergabe und Lektüre von geistigen Werken möglich ist, die mehrheitlich aus Text oder Grafik bestehen. Die Barrierefreiheit von E-Book-Dateien ist davon abhängig, wie präzise diese Codierung erfolgt, insbesondere im Hinblick darauf, wie die verschiedenen konstitutiven Elemente des Werks qualifiziert sind und ob die Beschreibung seiner Struktur standardisiert erfolgt ist. Im Sinne der Interoperabilität unter dem Aspekt der Barrierefreiheit sollte die Kompatibilität dieser Dateien mit Benutzeragenten und aktuellen und zukünftigen assistiven Technologien optimiert werden. Spezielle Merkmale spezieller Werke wie Comics, Kinderbücher und Kunstbücher sollten in Bezug auf alle anwendbaren Barrierefreiheitsanforderungen geprüft werden. Unterschiedliche Barrierefreiheitsanforderungen in den Mitgliedstaaten würden es Verlegern und anderen Wirtschaftsakteuren erschweren, die Vorteile des Binnenmarkts zu nutzen, sie könnten zu Problemen bei der Interoperabilität von E-Book-Lesegeräten führen und würden den Zugang für Kunden mit Behinderungen einschränken.

Im Zusammenhang mit E-Books könnten unter den Begriff des Dienstleistungserbringers unter anderem Verleger und andere Wirtschaftsakteure fallen, die am Vertrieb der E-Books beteiligt sind. Es ist allgemein anerkannt, dass Menschen mit Behinderungen weiterhin auf Barrieren beim Zugang zu Inhalten, die durch Urheberrecht und verwandte Schutzrechte geschützt sind, stoßen und dass bestimmte Maßnahmen zur Behebung dieser Situation bereits durch zum Beispiel die Annahme der Richtlinie (EU) 2017/1564 des Europäischen Parlaments und des Rates (14) und die Verordnung (EU) 2017/1563 des Europäischen Parlaments und des Rates (15) getroffen worden sind und dass künftig diesbezüglich weitere Maßnahmen der Union ergriffen werden könnten.

(42)

In dieser Richtlinie sind Dienstleistungen im elektronischen Geschäftsverkehr als Ferndienstleistungen definiert, die über Webseiten und auf Mobilgeräten angebotenen Dienstleistungen, elektronisch und auf individuelle Anfrage eines Verbrauchers im Hinblick auf den Abschluss eines Verbrauchervertrags erbracht werden. Für die Zwecke dieser Begriffsbestimmung bezeichnet „Ferndienstleistung“, dass die Dienstleistung erbracht wird, ohne dass die Parteien gleichzeitig anwesend sind; „elektronisch erbracht“ besagt, dass die Dienstleistung mittels Geräten für die elektronische Verarbeitung (einschließlich digitaler Kompression) und Speicherung von Daten am Ausgangspunkt gesendet und am Endpunkt empfangen wird und vollständig über Draht, über Funk, auf optischem oder anderem elektromagnetischem Wege gesendet, weitergeleitet und empfangen wird; „auf individuelle Anfrage eines Verbrauchers“ bedeutet, dass die Dienstleistung auf individuelle Aufforderung hin erbracht wird. Da Dienstleistungen im elektronischen Geschäftsverkehr immer wichtiger werden und hochtechnologisch sind, müssen für ihre Barrierefreiheit harmonisierte Anforderungen gelten.

(43)

Die Barrierefreiheitsanforderungen an Dienstleistungen im elektronischen Geschäftsverkehr nach dieser Richtlinie sollten für den Online-Verkauf von jeglichen Produkten oder Dienstleistungen gelten und sollten daher auch für den Verkauf eines Produkts oder einer Dienstleistung gelten, die für sich genommen unter diese Richtlinie fällt.

(44)

Die Maßnahmen im Zusammenhang mit der Barrierefreiheit der Beantwortung von Notrufen sollten unbeschadet der Organisation der Notrufdienste erlassen werden und keine Auswirkungen auf die Organisation der Notrufdienste haben, die im Bereich der ausschließlichen Zuständigkeit der Mitgliedstaaten bleibt.

(45)

Die Mitgliedstaaten müssen gemäß der Richtlinie (EU) 2018/1972 im Einklang mit den Rechtsvorschriften der Union zur Harmonisierung der Barrierefreiheitsanforderungen an Produkte und Dienstleistungen sicherstellen, dass Endnutzer mit Behinderungen über Notrufe Zugang zu Notdiensten haben und dieser Zugang dem Zugang der anderen Endnutzer gleichwertig ist. Die Kommission sowie die nationalen Regulierungsbehörden und anderen zuständigen Behörden müssen geeignete Maßnahmen ergreifen, mit denen sichergestellt wird, dass Endnutzer mit Behinderungen auch bei Reisen in andere Mitgliedstaaten in gegenüber anderen Endnutzern gleichwertiger Weise Zugang zu Notrufdiensten erhalten können, und zwar — soweit möglich — ohne vorherige Registrierung. Mit diesen Maßnahmen wird beabsichtigt die Interoperabilität zwischen den Mitgliedstaaten sicherzustellen, und die Maßnahmen müssen so weit wie möglich auf europäischen Normen oder Spezifikationen beruhen, die gemäß Artikel 39 der Richtlinie (EU) 2018/1972 veröffentlicht wurden. Solche Maßnahmen dürfen die Mitgliedstaaten nicht daran hindern, zusätzliche Anforderungen zu erlassen, um die in der genannten Richtlinie dargelegten Ziele zu verfolgen. Als Alternative zur Erfüllung der in der vorliegenden Richtlinie dargelegten Barrierefreiheitsanforderungen in Bezug auf die Beantwortung von Notrufen für Nutzer mit Behinderungen sollten die Mitgliedstaaten die Möglichkeit haben, einen dritten Relaisdienste-Erbringer zu bestimmen, dessen Dienste Menschen mit Behinderungen zur Kommunikation mit der Notrufabfragestelle nutzen, bis diese öffentlichen Notrufabfragestellen in der Lage sind, auf Internet-Protokollen beruhende elektronische Kommunikationsdienste zu nutzen, um die Barrierefreiheit der Beantwortung von Notrufen zu gewährleisten. In jedem Fall sollten die Verpflichtungen der vorliegenden Richtlinie nicht so ausgelegt werden, dass sie die in der Richtlinie (EU) 2018/1972 enthaltenen Verpflichtungen zugunsten von Endnutzern mit Behinderungen, einschließlich des gleichwertigen Zugangs zu elektronischen Kommunikationsdiensten und zu Notdiensten, sowie der Barrierefreiheitsverpflichtungen einschränken oder abschwächen.

(46)

In der Richtlinie (EU) 2016/2102 sind Barrierefreiheitsanforderungen für Websites und mobile Anwendungen öffentlicher Stellen und andere diesbezügliche Aspekte festgelegt, insbesondere Anforderungen in Bezug auf die Einhaltung dieser Verpflichtungen durch die relevanten Websites und mobilen Anwendungen. Die genannte Richtlinie enthält jedoch eine Liste mit spezifischen Ausnahmen. Ähnliche Ausnahmen gelten für die vorliegende Richtlinie. Bestimmte Tätigkeiten, die über Websites und mobile Anwendungen öffentlicher Stellen erfolgen, wie Personenverkehrsdienste oder Dienstleistungen im elektronischen Geschäftsverkehr, die unter diese Richtlinie fallen, sollten zusätzlich den geltenden Barrierefreiheitsanforderungen der vorliegenden Richtlinie genügen, damit gewährleistet ist, dass der Online-Verkauf von Produkten und Dienstleistungen unabhängig davon, ob der Verkäufer ein öffentlicher oder privater Wirtschaftsakteur ist, für Menschen mit Behinderungen barrierefrei zugänglich ist. Die Barrierefreiheitsanforderungen der vorliegenden Richtlinie sollten — ungeachtet von Unterschieden bei der Überwachung, der Berichterstattung oder der Durchsetzung — an die Anforderungen der Richtlinie (EU) 2016/2102 angeglichen werden.

(47)

Die vier in Richtlinie (EU) 2016/2102 verwendeten Grundsätze des barrierefreien Zugangs von Websites und mobilen Anwendungen sind: Wahrnehmbarkeit, d. h., die Informationen und Komponenten der Nutzerschnittstelle müssen den Nutzern in einer Weise dargestellt werden, dass sie sie wahrnehmen können; Bedienbarkeit, d. h., der Nutzer muss die Komponenten der Nutzerschnittstelle und die Navigation handhaben können; Verständlichkeit, d. h., die Informationen und die Handhabung der Nutzerschnittstelle müssen verständlich sein; schließlich Robustheit, d. h., die Inhalte müssen robust genug sein, damit sie zuverlässig von einer Vielfalt von Benutzeragenten, einschließlich assistiver Technologien, interpretiert werden können. Diese Grundsätze haben auch für die vorliegende Richtlinie (EU) 2016/2102 Bedeutung.

(48)

Die Mitgliedstaaten sollten alle geeigneten Maßnahmen treffen, damit der freie Verkehr der Produkte und Dienstleistungen, die unter diese Richtlinie fallen und die die geltenden Barrierefreiheitsanforderungen erfüllen, innerhalb der Union nicht aufgrund der Barrierefreiheitsanforderungen behindert wird.

(49)

In einigen Fällen würden einheitliche Barrierefreiheitsanforderungen an die bauliche Umwelt die ungehinderte Erbringung der dort angebotenen Dienstleistungen und die Bewegungsfreiheit der Menschen mit Behinderungen erleichtern. Gemäß dieser Richtlinie sollten die Mitgliedstaaten daher bestimmen können, dass die bauliche Umwelt, die für die Erbringung der unter diese Richtlinie fallenden Dienstleistungen genutzt wird, die Barrierefreiheitsanforderungen des Anhangs III erfüllen muss.

(50)

Die Barrierefreiheit sollte durch die systematische Beseitigung von Barrieren und die Verhinderung des Entstehens neuer Barrieren erreicht werden, vorzugsweise durch die Anwendung eines Konzepts wie „universelles Design“ oder „Design für alle“, das einen Beitrag zur Sicherstellung eines gleichberechtigten Zugangs für Menschen mit Behinderungen leistet. Gemäß der VN-Behindertenrechtskonvention bezeichnet dieses Konzept „ein Design von Produkten, Umfeldern, Programmen und Dienstleistungen in der Weise, dass sie von allen Menschen möglichst weitgehend ohne eine Anpassung oder ein spezielles Design genutzt werden können“. Gemäß der VN-Behindertenrechtskonvention „sollte ‚universelles Design‘ Hilfsmittel für bestimmte Gruppen von Menschen mit Behinderungen, soweit sie benötigt werden, nicht ausschließen“. Barrierefreiheit sollte darüber hinaus nicht ausschließen, dass angemessene Vorkehrungen getroffen werden, wenn dies im Unions- oder im nationalen Recht vorgeschrieben ist. Barrierefreiheit und universelles Design sollten im Einklang mit der Allgemeinen Bemerkung Nr. 2(2014) des Ausschusses für die Rechte von Menschen mit Behinderungen zu Artikel 9: Zugänglichkeit ausgelegt werden.

(51)

Produkte und Dienstleistungen, die Gegenstand dieser Richtlinie sind, fallen nicht automatisch in den Geltungsbereich der Richtlinie 93/42/EWG des Rates (16). Einige assistive Technologien, die Medizinprodukte sind, könnten jedoch in den Geltungsbereich der genannten Richtlinie fallen.

(52)

Die meisten Arbeitsplätze in der Union werden von KMU und Kleinstunternehmen bereitgestellt. Diese Unternehmen, die von zentraler Bedeutung für das künftige Wachstum sind, sehen sich bei der Entwicklung ihrer Produkte oder Dienstleistungen sehr oft Hürden und Hindernissen gegenüber, insbesondere im grenzüberschreitenden Kontext. Es ist deshalb notwendig, die nationalen Barrierefreiheitsvorschriften — unter Beibehaltung der notwendigen Garantien — zu harmonisieren, um so die Arbeit der KMU und Kleinstunternehmen zu erleichtern.

(53)

Damit Kleinstunternehmen und KMU diese Richtlinie in Anspruch nehmen können, müssen sie die Anforderungen der Empfehlung der Kommission 2003/361/EG (17) und der einschlägigen Rechtsprechung, die darauf ausgerichtet ist, eine Umgehung der Bestimmungen der Empfehlung zu unterbinden, wirklich erfüllen.

(54)

Um die Kohärenz des Unionsrechts zu gewährleisten, sollte sich diese Richtlinie an den Beschluss Nr. 768/2008/EG des Europäischen Parlaments und des Rates (18) anlehnen, weil sie Produkte betrifft, die bereits Gegenstand anderer Unionsrechtsakte sind, wobei gleichzeitig die speziellen Merkmale der Barrierefreiheitsanforderungen dieser Richtlinie anerkannt werden sollten.

(55)

Alle Wirtschaftsakteure, die in den Geltungsbereich dieser Richtlinie fallen und Teil der Liefer- und Vertriebskette sind, sollten gewährleisten, dass sie nur Produkte auf dem Markt bereitstellen, die dieser Richtlinie entsprechen. Dasselbe sollte für Wirtschaftsakteure gelten, die Dienstleistungen erbringen. Es ist notwendig, für eine klare und verhältnismäßige Aufteilung der Pflichten zu sorgen, die der Rolle jedes Akteurs im Liefer- und Vertriebsprozess entsprechen.

(56)

Wirtschaftsakteure sollten für die Konformität der Produkte und Dienstleistungen verantwortlich sein, je nachdem welche Rolle sie jeweils in der Lieferkette spielen, um ein hohes Niveau beim Schutz der Barrierefreiheit zu gewährleisten und einen fairen Wettbewerb auf dem Unionsmarkt sicherzustellen.

(57)

Die Verpflichtungen nach dieser Richtlinie sollten in gleicher Weise für die Wirtschaftsakteure des öffentlichen wie des privaten Sektors gelten.

(58)

Da der Hersteller den Entwurfs- und Fertigungsprozess in allen Einzelheiten kennt, ist er am besten für die Durchführung der gesamten Konformitätsbewertung geeignet. Während die Verantwortung für die Konformität der Produkte beim Hersteller verbleibt, sollten die Marktüberwachungsbehörden eine entscheidende Rolle bei der Überprüfung übernehmen, ob in der Union bereitgestellte Produkte im Einklang mit dem Unionsrecht hergestellt werden.

(59)

Importeure und Händler sollten in die Marktüberwachungsaufgaben der nationalen Behörden eingebunden werden und aktiv mitwirken, indem sie den zuständigen Behörden alle nötigen Informationen zu dem jeweiligen Produkt geben.

(60)

Die Importeure sollten sicherstellen, dass Produkte, die aus Drittländern auf den Unionsmarkt kommen, diese Richtlinie erfüllen, und sie sollten insbesondere sicherstellen, dass die Hersteller geeignete Konformitätsbewertungsverfahren für die betreffenden Produkte durchgeführt haben.

(61)

Beim Inverkehrbringen sollten Importeure auf den Produkten, die sie in Verkehr bringen, den Namen, den eingetragenen Handelsnamen oder die eingetragene Handelsmarke sowie ihre Kontaktanschrift angeben.

(62)

Die Händler sollten sicherstellen, dass ihre Handhabung des Produkts dessen Konformität mit den Barrierefreiheitsanforderungen dieser Richtlinie nicht negativ beeinflusst.

(63)

Jeder Wirtschaftsakteur, der ein Produkt unter seinem eigenen Namen oder seiner eigenen Marke in Verkehr bringt oder ein bereits in Verkehr gebrachtes Produkt so verändert, dass sich dies auf dessen Konformität mit den geltenden Anforderungen auswirken könnte, sollte als Hersteller gelten und die Pflichten des Herstellers wahrnehmen.

(64)

Aus Gründen der Verhältnismäßigkeit sollten Barrierefreiheitsanforderungen nur insoweit angewandt werden, wie sie dem betreffenden Wirtschaftsakteur keine unverhältnismäßige Belastung auferlegen und wie sie keine wesentliche Veränderung der Produkte bzw. Dienstleistungen erfordern, die zu einer grundlegenden Veränderung in Anbetracht dieser Richtlinie führen würde. Es sollte jedoch Kontrollmechanismen geben, damit die Berechtigung zur Befreiung von der Anwendbarkeit der Barrierefreiheitsanforderungen geprüft werden kann.

(65)

Diese Richtlinie sollte sich an dem Grundsatz „Vorfahrt für KMU“ orientieren und dem Verwaltungsaufwand für die KMU Rechnung tragen. Sie sollte schlanke Regeln für die Konformitätsbewertung enthalten sowie Schutzklauseln für die Wirtschaftsakteure anstatt allgemeiner Ausnahmen und Sonderregelungen für diese Unternehmen. Folglich sollte bei der Aufstellung der Regeln für die Auswahl und Anwendung der am besten geeigneten Konformitätsbewertungsverfahren die Situation der KMU berücksichtigt werden, und der Umfang der Pflichten im Zusammenhang mit der Konformitätsbewertung von Barrierefreiheitsanforderungen sollte so bemessen sein, dass KMU daraus keine unverhältnismäßige Belastung entsteht. Außerdem sollten die Marktüberwachungsbehörden bei ihrem Handeln der Größe der Unternehmen und dem Kleinserien- oder Nichtseriencharakter der jeweiligen Produktion gebührend Rechnung tragen und weder unnötige Hindernisse für KMU schaffen noch den Schutz des öffentlichen Interesses vernachlässigen.

(66)

In Ausnahmefällen, in denen die Einhaltung der Barrierefreiheitsanforderungen dieser Richtlinie eine unverhältnismäßige Belastung für die Wirtschaftsakteure darstellen würde, sollten diese nur dann zur Erfüllung der Anforderungen verpflichtet sein, wenn dadurch keine unverhältnismäßige Belastung entsteht. In solchen hinreichend begründeten Fällen wäre es einem Wirtschaftsakteur unter Umständen nach vernünftigem Ermessen nicht möglich, eine oder mehrere der Barrierefreiheitsanforderungen dieser Richtlinie vollumfänglich anzuwenden. Der Wirtschaftsakteur sollte unter diese Richtlinie fallende Dienstleistungen oder Produkte aber insoweit durch Anwendung dieser Anforderungen möglichst barrierefrei gestalten, als dadurch keine unverhältnismäßige Belastung entsteht. Diese Barrierefreiheitsanforderungen, die aus Sicht des Wirtschaftsakteurs keine unverhältnismäßige Belastung darstellen, sollten uneingeschränkt zur Anwendung kommen. Die Ausnahmen von der Erfüllung einer oder mehrerer Barrierefreiheitsanforderungen aufgrund einer durch diese auferlegten unverhältnismäßigen Belastungen sollten für das jeweils betroffene Produkt bzw. die jeweils betroffene Dienstleistung im Einzelfall nicht über das zur Begrenzung der Belastung unbedingt erforderliche Maß hinausgehen. Unter Maßnahmen, die eine unverhältnismäßige Belastung darstellen würden, sollten Maßnahmen verstanden werden, die eine zusätzliche übermäßige organisatorische oder finanzielle Belastung für den Wirtschaftsakteur bedeuten, wobei dem voraussichtlich entstehenden Nutzen für Menschen mit Behinderungen gemäß den in dieser Richtlinie festgelegten Kriterien Rechnung zu tragen ist. Kriterien, die sich auf diese Überlegungen stützen, sollten festgelegt werden, damit sowohl die Wirtschaftsakteure als auch die zuständigen Behörden in der Lage sind, verschiedene Situationen miteinander zu vergleichen und systematisch zu beurteilen, ob eine unverhältnismäßige Belastung vorliegt. Bei der Beurteilung, inwieweit Barrierefreiheitsanforderungen nicht erfüllt werden können, weil sie eine unverhältnismäßige Belastung bewirken würden, sollten nur berechtigte Gründe berücksichtigt werden. Mangelnde Priorität, Zeit oder Kenntnis sollten nicht als berechtigte Gründe gelten.

(67)

Die Gesamtbeurteilung der unverhältnismäßigen Belastung sollte unter Verwendung der in Anhang VI genannten Kriterien erfolgen. Der Wirtschaftsakteur sollte die Beurteilung einer unverhältnismäßigen Belastung unter Berücksichtigung der einschlägigen Kriterien dokumentieren. Die Dienstleistungserbringer sollten ihre Beurteilung einer unverhältnismäßigen Belastung mindestens alle fünf Jahre erneuern.

(68)

Der Wirtschaftsakteur sollte die zuständigen Behörden darüber unterrichten, dass er sich auf die Bestimmungen über grundlegende Veränderung und/oder unverhältnismäßige Belastung gestützt hat. Der Wirtschaftsakteur sollte nur auf Ersuchen der zuständigen Behörden eine Kopie der Beurteilung vorlegen, aus der hervorgeht, warum sein Produkt bzw. seine Dienstleistung nicht vollständig barrierefrei ist, und die unverhältnismäßige Belastung, die grundlegende Veränderung oder beides nachweisen.

(69)

Wenn ein Dienstleistungserbringer aufgrund der vorgeschriebenen Beurteilung feststellt, dass die Vorschrift, wonach alle zur Erbringung von unter diese Richtlinie fallenden Dienstleistungen eingesetzten Selbstbedienungsterminals die Barrierefreiheitsanforderungen dieser Richtlinie erfüllen müssen, eine unverhältnismäßige Belastung darstellen würde, sollte der Dienstleistungserbringer diese Anforderungen dennoch insoweit erfüllen, als diese Anforderungen für ihn mit keiner unverhältnismäßigen Belastung verbunden sind. Die Dienstleistungserbringer sollten also feststellen, welcher Grad an begrenzter Barrierefreiheit bei allen Selbstbedienungsterminals oder welche begrenzte Zahl vollständig barrierefreier Selbstbedienungsterminals es ihnen ermöglichen würde, eine ihnen sonst auferlegte unverhältnismäßige Belastung zu vermeiden, und nur in diesem Ausmaß verpflichtet sein, die Barrierefreiheitsanforderungen dieser Richtlinie zu erfüllen.

(70)

Kleinstunternehmen unterscheiden sich von allen anderen Unternehmen durch ihre begrenzten Humanressourcen, ihren begrenzten Jahresumsatz oder ihre begrenzte Jahresbilanz. Die Belastung durch die Einhaltung der Barrierefreiheitsanforderungen beansprucht für Kleinstunternehmen daher generell einen größeren Anteil ihrer Finanz- und Humanressourcen als bei anderen Unternehmen; es ist daher wahrscheinlicher, dass dies einen unverhältnismäßig großen Anteil der Kosten darstellt. Ein erheblicher Anteil der Kosten entsteht für Kleinstunternehmen durch das Erstellen oder Führen von Dokumenten und Aufzeichnungen zum Nachweis der Einhaltung der verschiedenen Anforderungen im Unionsrecht. Zwar sollten alle Wirtschaftsakteure, die unter diese Richtlinie fallen, in der Lage sein, die Verhältnismäßigkeit der Einhaltung der Barrierefreiheitsanforderungen gemäß dieser Richtlinie zu bewerten und sie nur einzuhalten, soweit sie nicht unverhältnismäßig sind, doch würde die Forderung einer solchen Beurteilung von Kleinstunternehmen, die Dienstleistungen erbringen, an sich bereits eine unverhältnismäßige Belastung darstellen. Die Anforderungen und Verpflichtungen gemäß dieser Richtlinie sollten daher nicht für Kleinstunternehmen gelten, die Dienstleistungen innerhalb des Geltungsbereichs dieser Richtlinie erbringen.

(71)

Diese Richtlinie sollte für Kleinstunternehmen, die mit in den Geltungsbereich dieser Richtlinie fallenden Produkten befasst sind, leichtere Anforderungen und Verpflichtungen enthalten, um den Verwaltungsaufwand zu verringern.

(72)

Während einige Kleinstunternehmen von den Verpflichtungen dieser Richtlinie ausgenommen sind, sollten alle Kleinstunternehmen dazu angehalten werden, Produkte herzustellen, einzuführen und zu vertreiben und Dienstleistungen zu erbringen, die die Barrierefreiheitsanforderungen dieser Richtlinie erfüllen, um ihre Wettbewerbsfähigkeit sowie ihr Wachstumspotenzial im Binnenmarkt zu steigern. Die Mitgliedstaaten sollten daher Leitlinien und Instrumente für Kleinstunternehmen vorsehen, um diesen die Anwendung einzelstaatlicher Maßnahmen zur Umsetzung dieser Richtlinie zu erleichtern.

(73)

Alle Wirtschaftsakteure sollten verantwortungsvoll und in voller Übereinstimmung mit den geltenden rechtlichen Anforderungen handeln, wenn sie Produkte in Verkehr bringen oder auf dem Markt bereitstellen oder wenn sie Dienstleistungen auf dem Markt erbringen.

(74)

Um die Bewertung der Konformität mit den geltenden Barrierefreiheitsanforderungen zu erleichtern, sollte bei jenen Produkten und Dienstleistungen von einer Konformitätsvermutung ausgegangen werden, die den freiwilligen harmonisierten Normen entsprechen, welche gemäß der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates (19) zwecks Ausarbeitung ausführlicher technischer Spezifikationen für diese Anforderungen angenommen wurden. Die Kommission hat den europäischen Normungsorganisationen bereits mehrere Normungsaufträge im Zusammenhang mit der Barrierefreiheit erteilt, wie etwa die Normungsaufträge M/376, M/473 und M/420, die für die Erarbeitung harmonisierter Normen relevant wären.

(75)

Die Verordnung (EU) Nr. 1025/2012 enthält ein Verfahren für förmliche Einwände gegen harmonisierte Normen, die als nicht den Anforderungen dieser Richtlinie entsprechend gelten.

(76)

Europäische Normen sollten marktgesteuert sein, dem öffentlichen Interesse sowie den politischen Zielen — die in dem von der Kommission an eine oder mehrere europäische Normungsorganisationen erteilten Auftrag, harmonisierte Normen zu erarbeiten, klar formuliert sind — Rechnung tragen und auf einem Konsens beruhen. Wenn es keine harmonisierten Normen gibt und falls zwecks Harmonisierung des Binnenmarktes ein entsprechender Bedarf besteht, sollte die Kommission in bestimmten Fällen Durchführungsrechtsakte mit technischen Spezifikationen für die in dieser Richtlinie enthaltenen Barrierefreiheitsanforderungen erlassen können. Der Rückgriff auf technische Spezifikationen sollte auf diese Fälle beschränkt sein. Die Kommission sollte zum Beispiel technische Spezifikationen erlassen können, wenn der Normungsprozess aufgrund eines fehlenden Konsenses zwischen den Interessenträgern blockiert ist, oder im Fall von ungebührlichen Verzögerungen bei der Festlegung einer harmonisierten Norm, weil beispielsweise die erforderliche Qualität nicht erreicht wird. Die Kommission sollte zwischen der Beauftragung einer oder mehrerer europäischer Normungsorganisationen mit der Ausarbeitung harmonisierter Normen und der Verabschiedung technischer Spezifikationen für die entsprechenden Barrierefreiheitsanforderungen einen ausreichend langen Zeitraum einplanen. Die Kommission sollte keine technischen Spezifikationen erlassen können, wenn sie nicht zuvor Anstrengungen dahin gehend unternommen hat, dass die Barrierefreiheitsanforderungen über das europäische Normungssystem abgedeckt werden, es sei denn, sie kann nachweisen, dass die technischen Spezifikationen den in Anhang II der Verordnung (EU) Nr. 1025/2012 festgelegten Anforderungen entsprechen.

(77)

Damit harmonisierte Normen und technische Spezifikationen eingeführt werden, die die in dieser Richtlinie festgelegten Barrierefreiheitsanforderungen an die Produkte und Dienstleistungen am effizientesten erfüllen, sollte die Kommission nach Möglichkeit die europäischen Dachverbände für Menschen mit Behinderungen und alle übrigen betroffenen Interessenträger in den Prozess einbeziehen.

(78)

Damit ein effektiver Zugang zu den Informationen gewährleistet ist, die für die Erklärung der Übereinstimmung mit allen anwendbaren Rechtsakten der Union erforderlich sind, sollten diese Informationen in einer einzigen EU-Konformitätserklärung bereitgestellt werden. Damit der Verwaltungsaufwand für Wirtschaftsakteure geringer wird, sollten sie alle relevanten individuellen Konformitätserklärungen in die einzige EU-Konformitätserklärung aufnehmen können.

(79)

Für die Konformitätsbewertung von Produkten sollte diese Richtlinie das in Anhang II des Beschlusses Nr. 768/2008/EG beschriebene Verfahren „Interne Fertigungskontrolle (Modul A)“ nutzen, weil die Wirtschaftsakteure und die zuständigen Behörden damit ohne übermäßigen Aufwand nachweisen bzw. sicherstellen können, dass die auf dem Markt bereitgestellten Produkte die Barrierefreiheitsanforderungen erfüllen.

(80)

Bei der Marktüberwachung von Produkten und bei der Überprüfung der Konformität von Dienstleistungen sollten die Behörden auch prüfen, ob die Konformitätsbewertungen einschließlich der Beurteilung der grundlegenden Veränderung oder unverhältnismäßigen Belastung ordnungsgemäß durchgeführt worden sind. Die Behörden sollten ihre Aufgaben auch unter Beteiligung von Menschen mit Behinderungen und den sie und ihre Interessen vertretenden Verbänden ausführen.

(81)

Die Informationen, die im Fall von Dienstleistungen für die Bewertung der Konformität mit den Barrierefreiheitsanforderungen dieser Richtlinie erforderlich sind, sollten unbeschadet der Richtlinie 2011/83/EU des Europäischen Parlaments und des Rates (20) in den allgemeinen Geschäftsbedingungen oder einem ähnlichen Dokument enthalten sein.

(82)

Die CE-Kennzeichnung, die die Konformität eines Produkts mit den Barrierefreiheitsanforderungen dieser Richtlinie anzeigt, ist das sichtbare Ergebnis eines ganzen Prozesses, der die Konformitätsbewertung im weiteren Sinne umfasst. Diese Richtlinie sollte sich an den allgemeinen, für die CE-Kennzeichnung geltenden Grundsätzen der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates über die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten (21) orientieren. Zusätzlich zur EU-Konformitätserklärung sollten Hersteller Verbraucher kosteneffizient über die Barrierefreiheit ihrer Produkte informieren.

(83)

Gemäß der Verordnung (EG) Nr. 765/2008 erklärt der Hersteller durch das Anbringen der CE-Kennzeichnung, dass das betreffende Produkt alle geltenden Barrierefreiheitsanforderungen erfüllt und dass der Hersteller die volle Verantwortung hierfür übernimmt.

(84)

Gemäß dem Beschluss Nr. 768/2008/EG sind die Mitgliedstaaten für die Gewährleistung einer strikten und effizienten Marktüberwachung von Produkten in ihrem Hoheitsgebiet verantwortlich und sollten ihre Marktüberwachungsbehörden mit ausreichenden Befugnissen und Ressourcen ausstatten.

(85)

Die Mitgliedstaaten sollten die Übereinstimmung von Dienstleistungen mit den Anforderungen dieser Richtlinie überprüfen und Beschwerden oder Berichten über die Nichteinhaltung nachgehen, damit Abhilfemaßnahmen ergriffen werden können.

(86)

Die Kommission könnte gegebenenfalls in Absprache mit Interessenträgern unverbindliche Leitlinien annehmen; hierdurch wird die Abstimmung zwischen den Marktüberwachungsbehörden und zwischen den Behörden, die für die Überwachung der Konformität von Dienstleistungen zuständig sind, gefördert. Die Kommission und die Mitgliedstaaten sollten Initiativen mit dem Ziel einleiten können, Ressourcen und Fachwissen der Behörden gemeinsam zu nutzen.

(87)

Die Mitgliedstaaten sollten sicherstellen, dass die Marktüberwachungsbehörden und die Behörden, die für die Überwachung der Konformität von Dienstleistungen zuständig sind, im Einklang mit Kapitel VIII und IX kontrollieren, dass die Wirtschaftsakteure die Kriterien nach Anhang VI beachten. Die Mitgliedstaaten sollten eine spezialisierte Stelle benennen können, die die Pflichten der Marktüberwachungsbehörden oder der Behörden, die für die Überwachung der Konformität von Dienstleistungen zuständig sind, nach dieser Richtlinie wahrnimmt. Die Mitgliedstaaten sollten beschließen können, dass die Zuständigkeiten einer solchen spezialisierten Stelle auf den Geltungsbereich dieser Richtlinie oder bestimmte Teile dieser Richtlinie beschränkt sind, und zwar unbeschadet der Pflichten der Mitgliedstaaten gemäß der Verordnung (EG) Nr. 765/2008.

(88)

Es sollte ein Schutzklauselverfahren geschaffen werden, das zur Anwendung gelangt, wenn sich Mitgliedstaaten hinsichtlich der von einem Mitgliedstaat ergriffenen Maßnahmen nicht einig sind, und wonach Betroffene informiert werden, wenn Maßnahmen im Zusammenhang mit Produkten getroffen werden sollen, die die Barrierefreiheitsanforderungen dieser Richtlinie nicht erfüllen. Das Schutzklauselverfahren sollte es den Marktüberwachungsbehörden ermöglichen, bei derartigen Produkten in Zusammenarbeit mit den betreffenden Wirtschaftsakteuren zu einem früheren Zeitpunkt einzuschreiten.

(89)

Wenn sich die Mitgliedstaaten und die Kommission einig sind, dass eine von einem Mitgliedstaat ergriffene Maßnahme gerechtfertigt ist, sollte die Kommission nur dann weiter tätig werden müssen, wenn sich die Nichtkonformität auf Unzulänglichkeiten einer harmonisierten Norm oder technischen Spezifikation zurückführen lässt.

(90)

In den Richtlinien 2014/24/EU (22) und 2014/25/EU (23) des Europäischen Parlaments und des Rates über die öffentliche Auftragsvergabe, in denen Verfahren für die Vergabe öffentlicher Aufträge und die Durchführung von Wettbewerben für bestimmte Lieferungen (Produkte), Dienstleistungen und Bauarbeiten bestimmt sind, ist festgelegt, dass bei jeglicher Beschaffung, die zur Nutzung durch natürliche Personen — ganz gleich, ob durch die Allgemeinheit oder das Personal des öffentlichen Auftraggebers — vorgesehen ist, die technischen Spezifikationen — außer in ordnungsgemäß begründeten Fällen — so erstellt werden, dass die Zugänglichkeitskriterien für Menschen mit Behinderungen oder die Konzeption für alle Nutzer berücksichtigt werden. Ferner ist in diesen Richtlinien vorgesehen, dass — sofern verpflichtende Zugänglichkeitserfordernisse mit einem Rechtsakt der Union erlassen werden — die technischen Spezifikationen, soweit die Kriterien der Zugänglichkeit für Menschen mit Behinderungen oder die Konzeption für alle Nutzer betroffen sind, darauf Bezug nehmen müssen. Mit der vorliegenden Richtlinie sollten verpflichtende Barrierefreiheitsanforderungen für Produkte und Dienstleistungen, die in ihren Geltungsbereich fallen, festgelegt werden. Für Produkte und Dienstleistungen, die nicht in den Geltungsbereich der vorliegenden Richtlinie fallen, sind die Barrierefreiheitsanforderungen der vorliegenden Richtlinie nicht verpflichtend. Jedoch würde die Heranziehung dieser Barrierefreiheitsanforderungen für die Erfüllung der in anderen Rechtsakten der Union als der vorliegenden Richtlinie enthaltenen einschlägigen Verpflichtungen die Umsetzung der Barrierefreiheit erleichtern und zu Rechtssicherheit und zur unionsweiten Angleichung der Barrierefreiheitsanforderungen beitragen. Die Behörden sollten nicht daran gehindert werden, Barrierefreiheitsanforderungen festzulegen, die über die in Anhang I dieser Richtlinie festgelegten Barrierefreiheitsanforderungen hinausgehen.

(91)

Durch diese Richtlinie sollte der verpflichtende oder freiwillige Charakter der Bestimmungen über Barrierefreiheit in anderen Rechtsakten der Union nicht geändert werden.

(92)

Diese Richtlinie sollte nur für Vergabeverfahren gelten, bei denen der Aufruf zum Wettbewerb nach dem Geltungsbeginn dieser Richtlinie ergangen ist oder — falls kein Aufruf zum Wettbewerb vorgesehen ist — bei denen der Auftraggeber oder die Vergabestelle das Vergabeverfahren nach dem Geltungsbeginn dieser Richtlinie eingeleitet hat.

(93)

Um die ordnungsgemäße Anwendung dieser Richtlinie zu gewährleisten, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 AEUV Rechtsakte in Bezug auf Folgendes zu erlassen: weitere Präzisierung jener Barrierefreiheitsanforderungen, die aufgrund ihrer Beschaffenheit die beabsichtige Wirkung nur entfalten können, wenn sie durch verbindliche Rechtsakte der Union weiter präzisiert werden; Änderung des Zeitraums, während dem Wirtschaftsakteure in der Lage sein müssen, die anderen Wirtschaftsakteure zu nennen, von denen sie ein Produkt bezogen haben oder an die sie ein Produkt abgegeben haben; schließlich weitere Präzisierung, welche einschlägigen Kriterien der Wirtschaftsakteur bei der Beurteilung, ob die Einhaltung der Barrierefreiheitsanforderungen eine unverhältnismäßige Belastung darstellen würde, zu berücksichtigen hat. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt, die mit den Grundsätzen im Einklang stehen, die in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung (24) niedergelegt wurden. Um insbesondere für eine gleichberechtigte Beteiligung an der Ausarbeitung delegierter Rechtsakte zu sorgen, erhalten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen haben systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission, die mit der Vorbereitung der delegierten Rechtsakte befasst sind.

(94)

Um einheitliche Bedingungen für die Durchführung dieser Richtlinie zu gewährleisten, sollten der Kommission Durchführungsbefugnisse für die Festlegung technischer Spezifikationen übertragen werden. Diese Befugnisse sollten gemäß der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (25) ausgeübt werden.

(95)

Die Mitgliedstaaten sollten dafür sorgen, dass geeignete und wirksame Maßnahmen bereitstehen, um die Einhaltung dieser Richtlinie sicherzustellen, und sollten folglich geeignete Kontrollmechanismen — wie etwa eine nachträgliche Kontrolle durch die Marktüberwachungsbehörden — einführen, um zu überprüfen, ob eine Befreiung von den Barrierefreiheitsanforderungen gerechtfertigt ist. Bei der Bearbeitung von Beschwerden in Bezug auf Barrierefreiheit sollten sich die Mitgliedstaaten an den allgemeinen Grundsatz der ordnungsgemäßen Verwaltung und insbesondere an die Pflicht der Beamten, dafür zu sorgen, dass Entscheidungen über Beschwerden innerhalb einer angemessenen Frist getroffen werden, halten.

(96)

Um die einheitliche Durchführung dieser Richtlinie zu erleichtern, sollte die Kommission eine aus einschlägigen Behörden und Interessenträgern bestehende Arbeitsgruppe einsetzen, die den Austausch von Informationen und bewährten Verfahren erleichtern und die Kommission beraten wird. Die Zusammenarbeit zwischen Behörden und einschlägigen Interessenträgern, einschließlich Menschen mit Behinderungen und der sie vertretenden Verbände, sollte gefördert werden, unter anderem um die Kohärenz der Anwendung der Bestimmungen dieser Richtlinie bezüglich Barrierefreiheitsanforderungen zu verbessern und die Umsetzung ihrer Bestimmungen über grundlegende Veränderung und unverhältnismäßige Belastung zu überwachen.

(97)

Angesichts des bestehenden Rechtsrahmens für Rechtsbehelfe in den Bereichen, die durch die Richtlinien 2014/24/EU und 2014/25/EU geregelt werden, sollten die Bestimmungen der vorliegenden Richtlinie in Bezug auf Durchsetzung und Sanktionen nicht für Vergabeverfahren gelten, die den in der vorliegenden Richtlinie enthaltenen Verpflichtungen unterliegen. Diese Ausnahme gilt unbeschadet der sich aus den Verträgen ergebenden Pflichten für die Mitgliedstaaten, alle Maßnahmen zu ergreifen, um die Anwendung und Wirksamkeit des Unionsrechts zu garantieren.

(98)

Damit Sanktionen Wirtschaftsakteuren nicht als Alternative zur Erfüllung der Barrierefreiheitsanforderungen im Hinblick auf ihre Produkte oder Dienstleistungen dienen, sollten sie der Art der Verstöße und den Umständen entsprechend angemessen sein.

(99)

Die Mitgliedstaaten sollten dafür sorgen, dass im Einklang mit dem geltenden Unionsrecht alternative Streitbeilegungsverfahren bestehen, sodass bei Fällen mutmaßlicher Nichteinhaltung dieser Richtlinie eine Möglichkeit zur Klärung besteht, bevor diese vor ein Gericht oder eine zuständige Behörde gebracht werden.

(100)

In der Gemeinsamen Politischen Erklärung der Mitgliedstaaten und der Kommission vom 28. September 2011 zu erläuternden Dokumenten (26) haben sich die Mitgliedstaaten verpflichtet, dafür zu sorgen, dass in begründeten Fällen zusätzlich zur Mitteilung ihrer Umsetzungsmaßnahmen ein oder mehrere Dokumente übermittelt werden, in denen der Zusammenhang zwischen den Bestandteilen einer Richtlinie und den entsprechenden Teilen nationaler Umsetzungsinstrumente erläutert wird. In Bezug auf diese Richtlinie hält der Gesetzgeber die Übermittlung derartiger Dokumente für gerechtfertigt.

(101)

Damit die Dienstleistungserbringer ausreichend Zeit zur Anpassung an die Anforderungen dieser Richtlinie haben, bedarf es eines Übergangszeitraums von fünf Jahren ab dem Geltungsbeginn dieser Richtlinie, während dessen Produkte zur Erbringung einer Dienstleistung, die vor diesem Zeitpunkt in Verkehr gebracht worden sind, nicht die Barrierefreiheitsanforderungen dieser Richtlinie erfüllen müssen, es sei denn, sie werden von den Dienstleistungserbringern während dieses Übergangszeitraums ersetzt. In Anbetracht der Kosten und der langen Lebensdauer von Selbstbedienungsterminals sollte verfügt werden, dass diese Terminals, wenn sie für die Erbringung von Dienstleistungen genutzt werden, bis zum Ende ihrer Lebensdauer weiterverwendet werden dürfen, solange sie in diesem Zeitraum nicht ersetzt werden, aber nicht länger als 20 Jahre.

(102)

Die Barrierefreiheitsanforderungen dieser Richtlinie sollten für Produkte bzw. Dienstleistungen gelten, die nach Geltungsbeginn der einzelstaatlichen Maßnahmen zur Umsetzung dieser Richtlinie in Verkehr gebracht bzw. erbracht werden, einschließlich gebrauchter Produkte und Produkte aus zweiter Hand, die aus einem Drittland importiert und nach diesem Zeitpunkt in Verkehr gebracht werden.

(103)

Diese Richtlinie steht im Einklang mit den Grundrechten und Grundsätzen, die insbesondere mit der Charta der Grundrechte der Europäischen Union (Grundrechtecharta) anerkannt wurden. Mit dieser Richtlinie soll insbesondere die volle Anerkennung des Rechts von Menschen mit Behinderungen auf Maßnahmen zur Gewährleistung ihrer Eigenständigkeit, ihrer sozialen und beruflichen Eingliederung und ihrer Teilnahme am Leben der Gemeinschaft gewährleistet und die Anwendung der Artikel 21, 25 und 26 der Grundrechtecharta gefördert werden.

(104)

Da das Ziel dieser Richtlinie, nämlich Hindernisse für den freien Verkehr bestimmter barrierefreier Produkte und Dienstleistungen zu beseitigen und so zum reibungslosen Funktionieren des Binnenmarkts beizutragen, von den Mitgliedstaaten nicht ausreichend verwirklicht werden kann, weil eine Harmonisierung der unterschiedlichen, in ihren Rechtsordnungen bestehenden Vorschriften erforderlich ist, sondern vielmehr mittels Festlegung einheitlicher Barrierefreiheitsanforderungen und Regeln für das Funktionieren des Binnenmarkts auf Unionsebene besser zu verwirklichen ist, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Richtlinie nicht über das zur Verwirklichung dieses Ziels erforderliche Maß hinaus —

HABEN FOLGENDE RICHTLINIE ERLASSEN:

KAPITEL I

Allgemeine Bestimmungen

Artikel 1

Gegenstand

Zweck dieser Richtlinie ist es, durch Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über die Barrierefreiheitsanforderungen für bestimmte Produkte und Dienstleistungen einen Beitrag zum reibungslosen Funktionieren des Binnenmarkts zu leisten, indem insbesondere durch unterschiedliche Barrierefreiheitsanforderungen in den Mitgliedstaaten bedingte Hindernisse für den freien Verkehr von Produkten und Dienstleistungen, die Gegenstand dieser Richtlinie sind, beseitigt werden bzw. die Errichtung derartiger Hindernisse verhindert wird.

Artikel 2

Geltungsbereich

(1)   Diese Richtlinie gilt für folgende Produkte, die nach dem 28. Juni 2025 in Verkehr gebracht werden:

a)

Hardwaresysteme und für diese Hardwaresysteme bestimmte Betriebssysteme für Universalrechner für Verbraucher;

b)

die folgenden Selbstbedienungsterminals:

i)

Zahlungsterminals;

ii)

die folgenden Selbstbedienungsterminals, die zur Erbringung der unter diese Richtlinie fallenden Dienstleistungen bestimmt sind;

Geldautomaten;

Fahrausweisautomaten;

Check-in-Automaten;

interaktive Selbstbedienungsterminals zur Bereitstellung von Informationen (mit Ausnahme von Terminals, die als integrierte Bestandteile von Fahrzeugen, Luftfahrzeugen, Schiffen oder Schienenfahrzeugen eingebaut sind);

c)

Verbraucherendgeräte mit interaktivem Leistungsumfang, die für elektronische Kommunikationsdienste verwendet werden;

d)

Verbraucherendgeräte mit interaktivem Leistungsumfang, die für den Zugang zu audiovisuellen Mediendiensten verwendet werden; und

e)

E-Book-Lesegeräte.

(2)   Unbeschadet ihres Artikels 32 gilt diese Richtlinie für folgende Dienstleistungen, die für Verbraucher nach dem 28. Juni 2025 erbracht werden:

a)

elektronische Kommunikationsdienste mit Ausnahme von Übertragungsdiensten zur Bereitstellung von Diensten der Maschine-Maschine-Kommunikation;

b)

Dienste, die den Zugang zu audiovisuellen Mediendiensten ermöglichen;

c)

folgende Elemente von Personenverkehrsdiensten im Luft-, Bus-, Schienen- und Schiffsverkehr mit Ausnahme von Stadt-, Vorort- und Regionalverkehrsdiensten, für die nur die Elemente unter Ziffer v gelten:

i)

Websites;

ii)

auf Mobilgeräten angebotene Dienstleistungen, einschließlich mobiler Anwendungen;

iii)

elektronische Tickets und elektronische Ticketdienste;

iv)

die Bereitstellung von Informationen in Bezug auf den Verkehrsdienst, einschließlich Reiseinformationen in Echtzeit, wobei dies in Bezug auf Informationsbildschirme auf interaktive Bildschirme im Hoheitsgebiet der Union beschränkt ist; und

v)

interaktive Selbstbedienungsterminals im Hoheitsgebiet der Union, mit Ausnahme der Terminals, die als integrierte Bestandteile von Fahrzeugen, Luftfahrzeugen, Schiffen und Schienenfahrzeugen eingebaut sind und für die Erbringung von solchen Personenverkehrsdiensten verwendet werden;

d)

Bankdienstleistungen für Verbraucher;

e)

E-Books und hierfür bestimmte Software; und

f)

Dienstleistungen im elektronischen Geschäftsverkehr.

(3)   Diese Richtlinie gilt für die Beantwortung von an die einheitliche europäische Notrufnummer 112 gerichteten Notrufen.

(4)   Diese Richtlinie gilt nicht für den folgenden Inhalt von Websites und mobilen Anwendungen:

a)

aufgezeichnete zeitbasierte Medien, die vor dem 28. Juni 2025 veröffentlicht wurden;

b)

Dateiformate von Büro-Anwendungen, die vor dem 28. Juni 2025 veröffentlicht wurden;

c)

Online-Karten und Kartendienste, sofern bei Karten für Navigationszwecke wesentliche Informationen barrierefrei zugänglich in digitaler Form bereitgestellt werden;

d)

Inhalte von Dritten, die von dem betreffenden Wirtschaftsakteur weder finanziert oder entwickelt werden noch deren Kontrolle unterliegen;

e)

Inhalte von Websites und mobilen Anwendungen, die als Archive gelten, das heißt deren Inhalte nach dem 28. Juni 2025 weder aktualisiert noch überarbeitet werden.

(5)   Die Richtlinie (EU) 2017/1564 und die Verordnung (EU) 2017/1563 bleiben von dieser Richtlinie unberührt.

Artikel 3

Begriffsbestimmungen

Im Sinne dieser Richtlinie bezeichnet der Ausdruck

1.

„Menschen mit Behinderungen“ Menschen, die langfristige körperliche, seelische, geistige oder Sinnesbeeinträchtigungen haben, welche sie in Wechselwirkung mit verschiedenen Barrieren an der vollen, wirksamen und gleichberechtigten Teilhabe an der Gesellschaft hindern können;

2.

„Produkt“ einen Stoff, eine Zubereitung oder eine Ware, der bzw. die durch einen Fertigungsprozess hergestellt worden ist, außer Lebensmitteln, Futtermitteln, lebenden Pflanzen und Tieren, Erzeugnissen menschlichen Ursprungs und Erzeugnissen von Pflanzen und Tieren, die unmittelbar mit ihrer künftigen Reproduktion zusammenhängen;

3.

„Dienstleistung“ eine Dienstleistung im Sinne der Definition von Artikel 4 Nummer 1 der Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates (27);

4.

„Dienstleistungserbringer“ jede natürliche oder juristische Person, die eine Dienstleistung auf dem Unionsmarkt erbringt oder anbietet, eine solche Dienstleistung für Verbraucher in der Union zu erbringen;

5.

„audiovisuelle Mediendienste“ Dienste im Sinne der Begriffsbestimmung in Artikel 1 Absatz 1 Buchstabe a der Richtlinie 2010/13/EU;

6.

„Dienste, die den Zugang zu audiovisuellen Mediendiensten ermöglichen“ über elektronische Kommunikationsnetze übermittelte Dienste, die genutzt werden, um audiovisuelle Mediendienste zu ermitteln, auszuwählen, Informationen darüber zu erhalten und diese Dienste anzusehen, sowie alle bereitgestellten Funktionen — wie beispielsweise Untertitel für Gehörlose und Schwerhörige, Audiodeskription, gesprochene Untertitel und Gebärdensprachdolmetschung —, die auf die Umsetzung von Maßnahmen zurückgehen, die getroffen werden, um diese Dienste gemäß Artikel 7 der Richtlinie 2010/13/EU zugänglich zu machen; und umfasst auch elektronische Programmführer (EPG);

7.

„Verbraucherendgeräte mit interaktivem Leistungsumfang, die für den Zugang zu audiovisuellen Mediendiensten verwendet werden“ Geräte, deren Hauptzweck es ist, Zugang zu audiovisuellen Mediendiensten zu bieten;

8.

„elektronische Kommunikationsdienste“ einen elektronischen Kommunikationsdienst im Sinne des Artikels 2 Nummer 4 der Richtlinie (EU) 2018/1972;

9.

„Gesamtgesprächsdienst“ einen Gesamtgesprächsdienst im Sinne des Artikels 2 Nummer 35 der Richtlinie (EU) 2018/1972;

10.

„Notrufabfragestelle“ eine Notrufabfragestelle im Sinne des Artikels 2 Nummer 36 der Richtlinie (EU) 2018/1972;

11.

„am besten geeignete Notrufabfragestelle“ die am besten geeignete Notrufabfragestelle im Sinne des Artikels 2 Nummer 37 der Richtlinie (EU) 2018/1972;

12.

„Notruf“ Notrufe im Sinne des Artikels 2 Nummer 38 der Richtlinie (EU) 2018/1972;

13.

„Notdienst“ Notdienste im Sinne des Artikels 2 Nummer 39 der Richtlinie (EU) 2018/1972;

14.

„Text in Echtzeit“ eine Form der textbasierten Kommunikation in Punkt-zu-Punkt-Situationen oder bei Mehrpunktkonferenzen, wobei der eingegebene Text so versendet wird, dass die Kommunikation vom Nutzer Zeichen für Zeichen als kontinuierlich wahrgenommen wird;

15.

„Bereitstellung auf dem Markt“ jede entgeltliche oder unentgeltliche Abgabe eines Produkts zum Vertrieb, zum Ge- oder zum Verbrauch auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit;

16.

„Inverkehrbringen“ die erstmalige Bereitstellung eines Produkts auf dem Unionsmarkt;

17.

„Hersteller“ jede natürliche oder juristische Person, die ein Produkt herstellt oder entwickeln oder herstellen lässt und dieses Produkt unter ihrem eigenen Namen oder ihrer eigenen Marke vermarktet;

18.

„Bevollmächtigter“ jede in der Union ansässige natürliche oder juristische Person, die von einem Hersteller schriftlich beauftragt wurde, in seinem Namen bestimmte Aufgaben wahrzunehmen;

19.

„Importeur“ jede in der Union ansässige natürliche oder juristische Person, die ein Produkt aus einem Drittstaat auf dem Unionsmarkt in Verkehr bringt;

20.

„Händler“ jede natürliche oder juristische Person in der Lieferkette, die ein Produkt auf dem Markt bereitstellt, mit Ausnahme des Herstellers oder des Importeurs;

21.

„Wirtschaftsakteur“ den Hersteller, Bevollmächtigten, Importeur, Händler oder Dienstleistungserbringer;

22.

„Verbraucher“ jede natürliche Person, die das unter die Richtlinie fallende Produkt oder die unter die Richtlinie fallende Dienstleistung zu Zwecken kauft bzw. empfängt, die nicht ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit zugerechnet werden können;

23.

„Kleinstunternehmen“ ein Unternehmen, das weniger als zehn Personen beschäftigt und das entweder einen Jahresumsatz von höchstens 2 Mio. EUR erzielt oder dessen Jahresbilanzsumme sich auf höchstens 2 Mio. EUR beläuft;

24.

„kleine und mittlere Unternehmen“ oder KMU, Unternehmen, die weniger als 250 Personen beschäftigen und die entweder einen Jahresumsatz von höchstens 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft, mit Ausnahme von Kleinstunternehmen;

25.

„harmonisierte Norm“ eine harmonisierte Norm im Sinne des Artikels 2 Nummer 1 Buchstabe c der Verordnung (EU) Nr. 1025/2012;

26.

„technische Spezifikation“ eine technische Spezifikation im Sinne des Artikels 2 Nummer 4 der Verordnung (EU) Nr. 1025/2012, die ein Mittel zur Erfüllung der für ein Produkt oder eine Dienstleistung geltenden Barrierefreiheitsanforderungen darstellt;

27.

„Rücknahme“ jede Maßnahme, mit der verhindert werden soll, dass ein in der Lieferkette befindliches Produkt auf dem Markt bereitgestellt wird;

28.

„Bankdienstleistungen für Verbraucher“ die Bereitstellung der folgenden Bank- und Finanzdienstleistungen für Verbraucher:

a)

Kreditverträge, die Gegenstand der Richtlinie 2008/48/EG des Europäischen Parlaments und des Rates (28) oder der Richtlinie 2014/17/EU des Europäischen Parlaments und des Rates (29) sind;

b)

Dienste gemäß Anhang I Abschnitt A Nummern 1, 2, 4 und 5 und Abschnitt B Nummern 1, 2, 4 und 5 der Richtlinie 2014/65/EU des Europäischen Parlaments und des Rates (30);

c)

Zahlungsdienste im Sinne des Artikels 4 Nummer 3 der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates (31); und

d)

Dienste für ein Zahlungskonto gemäß Artikel 2 Nummer 6 Richtlinie 2014/92/EU des Europäischen Parlaments und des Rates (32); und

e)

E-Geld gemäß Artikel 2 Nummer 2 der Richtlinie 2009/110/EG des Europäischen Parlaments und des Rates (33);

29.

„Zahlungsterminal“ ein Gerät, dessen Hauptzweck es ist, Zahlungen mithilfe von Zahlungsinstrumenten im Sinne der Begriffsbestimmung in Artikel 4 Nummer 14 der Richtlinie (EU) 2015/2366 an einer physischen Verkaufsstelle vorzunehmen, nicht jedoch in einer virtuellen Umgebung;

30.

„Dienstleistungen im elektronischen Geschäftsverkehr“ Ferndienstleistungen, die über Websites und auf Mobilgeräten angebotenen Dienstleistungen, elektronisch und auf individuelle Anfrage eines Verbrauchers im Hinblick auf den Abschluss eines Verbrauchervertrags erbracht werden;

31.

„Personenbeförderungsdienste im Luftverkehr“ gewerbliche Passagierflugdienste gemäß Artikel 2 Buchstabe l der Verordnung (EG) Nr. 1107/2006, wenn von einem Flughafen, der im Hoheitsgebiet eines Mitgliedstaats liegt, abgeflogen, auf einem solchen angekommen oder ein solcher im Transit benutzt wird; einschließlich Flüge ab einem in einem Drittland gelegenen Flughafen zu einem im Hoheitsgebiet eines Mitgliedstaats gelegenen Flughafen, wenn diese Dienste von einem Luftfahrtunternehmen der Union betrieben werden;

32.

„Personenbeförderungsdienste im Busverkehr“ Dienstleistungen, die Gegenstand von Artikel 2 Absätze 1 und 2 der Verordnung (EU) Nr. 181/2011 sind;

33.

„Personenbeförderungsdienste im Schienenverkehr“ alle Dienstleistungen für Fahrgäste im Schienenverkehr im Sinne von Artikel 2 Absatz 1 der Verordnung (EG) Nr. 1371/2007 mit Ausnahme der in Artikel 2 Absatz 2 der genannten Verordnung genannten Dienstleistungen;

34.

„Personenbeförderungsdienste im Schiffsverkehr“ alle Dienstleistungen für Fahrgäste im Schiffsverkehr im Sinne von Artikel 2 Absatz 1 der Verordnung (EU) Nr. 1177/2010 mit Ausnahme der in Artikel 2 Absatz 2 der genannten Verordnung genannten Dienstleistungen;

35.

„Stadt- und Vorortverkehrsdienste“ Stadt- und Vorortverkehrsdienste gemäß Artikel 3 Nummer 6 der Richtlinie 2012/34/EU des Europäischen Parlaments und des Rates (34); für die Zwecke der vorliegenden Richtlinie schließt dies jedoch nur folgende Verkehrsträger mit ein: Eisenbahn, Bus, U-Bahn, Straßenbahn und Trolleybus.

36.

„Regionalverkehrsdienste“ Regionalverkehrsdienste gemäß Artikel 3 Nummer 7 der Richtlinie 2012/34/EU; für die Zwecke der vorliegenden Richtlinie schließt dies jedoch nur folgende Verkehrsträger mit ein: Eisenbahn, Bus, U-Bahn, Straßenbahn und Trolleybus.

37.

„assistive Technologien“ jedes Element, Gerät oder Produktsystem, einschließlich Software, das genutzt wird, um die funktionellen Fähigkeiten von Menschen mit Behinderungen zu erhöhen, aufrechtzuerhalten, zu ersetzen oder zu verbessern, oder das der Linderung und dem Ausgleich von Behinderungen, Beeinträchtigungen der Aktivität oder Beeinträchtigungen der Teilhabe dient;

38.

„Betriebssystem“ die Software, die unter anderem die Schnittstelle zur peripheren Hardware steuert, Aufgaben plant, Speicherplatz zuweist und dem Verbraucher eine Standardschnittstelle anzeigt, wenn kein Anwenderprogramm läuft, einschließlich einer grafischen Nutzerschnittstelle, unabhängig davon, ob diese Software integraler Bestandteil der Hardware für Universalrechner für Verbraucher ist oder als externe Software zur Ausführung auf der Hardware für Universalrechner für Verbraucher bestimmt ist; ausgeschlossen sind Lader eines Betriebssystems, ein BIOS oder eine andere Firmware, die beim Hochfahren oder beim Installieren des Betriebssystems erforderlich ist;

39.

„Hardwaresystem für Universalrechner für Verbraucher“ die Kombination von Hardware, die einen vollständigen Computer bildet und durch ihren Mehrzweckcharakter und ihre Fähigkeit gekennzeichnet ist, mit der geeigneten Software die vom Verbraucher geforderten üblichen Computeraufgaben durchzuführen, und dazu bestimmt ist, von Verbrauchern bedient zu werden; einschließlich Personal Computer, insbesondere Desktops, Notebooks, Smartphones und Tablets;

40.

„interaktiver Leistungsumfang“ die Funktionalität zur Unterstützung der Interaktion zwischen Mensch und Gerät, um die Verarbeitung und Übertragung von Daten, Sprache oder Video oder einer beliebigen Kombination daraus zu ermöglichen;

41.

„E-Book und hierfür bestimmte Software“ einen Dienst, der in der Bereitstellung digitaler Dateien besteht, die eine elektronische Fassung eines Buches übermitteln und Zugriff, Blättern, Lektüre und Nutzung ermöglichen, und die Software, einschließlich auf Mobilgeräten angebotener Dienstleistungen einschließlich mobiler Anwendungen, die speziell auf Zugriff, Blättern, Lektüre und Nutzung der betreffenden digitalen Dateien ausgelegt ist, und ausgenommen Software, die der Begriffsbestimmung nach Nummer 42 unterfällt;

42.

„E-Book-Lesegerät“ ein spezielles Gerät, einschließlich Hardware und Software, das für Zugriff, Blättern, Lektüre und Nutzung von E-Book-Dateien verwendet wird;

43.

„elektronische Tickets“ Systeme, in denen eine Fahrberechtigung in Form eines Fahrscheins für eine einfache oder mehrfache Fahrten, eines Abos oder eines Fahrguthabens nicht als Ticket auf Papier gedruckt wird, sondern elektronisch auf einem physischen Fahrausweis oder einem anderen Gerät gespeichert wird;

44.

„elektronische Ticketdienste“ Systeme, in denen Fahrausweise mithilfe eines Geräts mit interaktivem Leistungsumfang unter anderem online erworben und dem Käufer in elektronischer Form geliefert werden, damit sie in Papierform ausgedruckt oder mithilfe eines Geräts mit interaktivem Leistungsumfang während der Fahrt angezeigt werden können.

KAPITEL II

Barrierefreiheitsanforderungen und freier Verkehr

Artikel 4

Barrierefreiheitsanforderungen

(1)   Gemäß den Absätzen 2, 3 und 5 dieses Artikels und unbeschadet des Artikels 14 dieser Richtlinie gewährleisten die Mitgliedstaaten, dass die Wirtschaftsakteure nur Produkte in Verkehr bringen und nur Dienstleistungen erbringen, die die Barrierefreiheitsanforderungen in Anhang I erfüllen.

(2)   Alle Produkte müssen die Barrierefreiheitsanforderungen, die in Anhang I Abschnitt I festgelegt sind, erfüllen.

Alle Produkte, mit Ausnahme der Selbstbedienungsterminals, müssen die Barrierefreiheitsanforderungen, die in Anhang I Abschnitt II festgelegt sind, erfüllen.

(3)   Unbeschadet Absatz 5 dieses Artikels müssen alle Dienstleistungen mit Ausnahme von Stadt- und Vorortverkehrsdiensten sowie Regionalverkehrsdiensten die in Anhang I Abschnitt III festgelegten Barrierefreiheitsanforderungen erfüllen.

Unbeschadet Absatz 5 dieses Artikels müssen alle Dienstleistungen die einschlägigen Barrierefreiheitsanforderungen, die in Anhang I Abschnitt IV festgelegt sind, erfüllen.

(4)   Die Mitgliedstaaten können je nach den nationalen Gegebenheiten bestimmen, dass die bauliche Umwelt, die von Kunden von durch diese Richtlinie abgedeckten Dienstleistungen genutzt wird, die Barrierefreiheitsanforderungen des Anhangs III erfüllen muss, um ihre Nutzung durch Menschen mit Behinderungen, zu maximieren.

(5)   Kleinstunternehmen, die Dienstleistungen anbieten, sind von der Erfüllung der Barrierefreiheitsanforderungen nach Absatz 3 dieses Artikels und von allen Verpflichtungen im Zusammenhang mit der Erfüllung dieser Anforderungen ausgenommen.

(6)   Die Mitgliedstaaten sehen Leitlinien und Instrumente für Kleinstunternehmen vor, um diesen die Anwendung der einzelstaatlichen Maßnahmen zur Umsetzung dieser Richtlinie zu erleichtern. Die Mitgliedstaaten arbeiten diese Instrumente in Absprache mit den einschlägigen Interessensträgern aus.

(7)   Die Mitgliedstaaten können Wirtschaftsakteure über in Anhang II enthaltene indikative Beispiele möglicher Lösungen, die zur Erfüllung der Barrierefreiheitsanforderungen in Anhang I beitragen, informieren.

(8)   Die Mitgliedstaaten gewährleisten, dass die Beantwortung von an die einheitliche europäische Notrufnummer 112 gerichteten Notrufen durch die am besten geeignete Notrufabfragestelle im Einklang mit den spezifischen Barrierefreiheitsanforderungen gemäß Anhang I Abschnitt V und in der Weise erfolgt, die der Organisation der nationalen Notrufdienste am besten entspricht.

(9)   Der Kommission wird die Befugnis übertragen, gemäß Artikel 26 delegierte Rechtsakte zu erlassen, um Anhang I durch weitere Präzisierung jener Barrierefreiheitsanforderungen zu ergänzen, die aufgrund ihrer Beschaffenheit die beabsichtige Wirkung nur entfalten können, wenn sie durch verbindliche Rechtsakte der Union — wie im Fall der für die Interoperabilität geltenden Vorschriften — weiter präzisiert werden.

Artikel 5

Geltendes EU-Recht im Bereich des Personenverkehrs

Bei Dienstleistungen, die den in den Verordnungen (EG) Nr. 261/2004, (EG) Nr. 1107/2006, (EG) Nr. 1371/2007, (EU) Nr. 1177/2010 und (EU) Nr. 181/2011 und den auf Grundlage der Richtlinie 2008/57/EG angenommenen einschlägigen Rechtsakten festgelegten Vorschriften über die Bereitstellung von zugänglichen Informationen und Informationen zur Barrierefreiheit entsprechen, wird davon ausgegangen, dass sie die entsprechenden Anforderungen der vorliegenden Richtlinie erfüllen. Enthält die vorliegende Richtlinie Anforderungen, die über die in den genannten Verordnungen und Rechtsakten enthaltenen Anforderungen hinausgehen, so finden die zusätzlichen Anforderungen in vollem Umfang Anwendung.

Artikel 6

Freier Warenverkehr

Die Mitgliedstaaten dürfen die Bereitstellung von Produkten, die dieser Richtlinie genügen, auf dem Markt in ihrem Hoheitsgebiet oder die Erbringung von Dienstleistungen, die dieser Richtlinie genügen, in ihrem Hoheitsgebiet nicht aus Gründen verbieten, die mit Barrierefreiheitsanforderungen in Zusammenhang stehen.

KAPITEL III

Pflichten der Wirtschaftsakteure, die mit Produkten befasst sind

Artikel 7

Pflichten der Hersteller

(1)   Die Hersteller gewährleisten, dass die Produkte, die sie in Verkehr bringen, gemäß etwaig geltender und in dieser Richtlinie enthaltenen Barrierefreiheitsanforderungen gestaltet und hergestellt worden sind.

(2)   Die Hersteller erstellen die technische Dokumentation im Einklang mit Anhang IV und führen das in diesem Anhang beschriebene Konformitätsbewertungsverfahren durch oder lassen es durchführen.

Wurde die Konformität eines Produkts mit den geltenden Barrierefreiheitsanforderungen im Rahmen dieses Verfahrens nachgewiesen, stellen die Hersteller eine EU-Konformitätserklärung aus und bringen die CE-Kennzeichnung an.

(3)   Die Hersteller bewahren die technische Dokumentation und die EU-Konformitätserklärung nach dem Inverkehrbringen des Produkts fünf Jahre lang auf.

(4)   Die Hersteller gewährleisten durch entsprechende Verfahren, dass bei Serienfertigung stets Konformität mit dieser Richtlinie sichergestellt ist. Änderungen am Entwurf des Produkts oder an seinen Merkmalen sowie Änderungen der harmonisierten Normen oder technischer Spezifikationen, auf die bei Erklärung der Konformität eines Produkts verwiesen wird, werden angemessen berücksichtigt.

(5)   Die Hersteller gewährleisten, dass ihre Produkte eine Typen-, Chargen- oder Seriennummer oder ein anderes Kennzeichen zu ihrer Identifikation tragen, oder, falls dies aufgrund der Größe oder Art des Produkts nicht möglich ist, dass die erforderlichen Informationen auf der Verpackung oder in einer dem Produkt beigefügten Unterlage angegeben werden.

(6)   Die Hersteller geben ihren Namen, ihren eingetragenen Handelsnamen oder ihre eingetragene Handelsmarke und ihre Kontaktanschrift entweder auf dem Produkt selbst oder, wenn dies nicht möglich ist, auf der Verpackung oder in einer dem Produkt beigefügten Unterlage an. In der Anschrift muss eine zentrale Stelle angegeben sein, an der der Hersteller kontaktiert werden kann. Die Kontaktangaben werden in einer für die Endnutzer und Marktüberwachungsbehörden leicht verständlichen Sprache abgefasst.

(7)   Die Hersteller gewährleisten, dass dem Produkt eine Gebrauchsanleitung und Sicherheitsinformationen beigefügt sind, die in einer von dem betreffenden Mitgliedstaat festgelegten Sprache verfasst sind, die von den Verbrauchern und sonstigen Endnutzern leicht verstanden werden kann. Diese Betriebsanleitung und Informationen sowie alle Kennzeichnungen müssen klar, verständlich und deutlich sein.

(8)   Hersteller, die der Auffassung sind oder Grund zur Annahme haben, dass ein von ihnen in Verkehr gebrachtes Produkt nicht dieser Richtlinie entspricht, ergreifen unverzüglich die erforderlichen Korrekturmaßnahmen, um die Konformität dieses Produkts herzustellen oder es gegebenenfalls zurückzunehmen. Außerdem unterrichten die Hersteller, wenn das Produkt den Barrierefreiheitsanforderungen dieser Richtlinie nicht genügt, darüber unverzüglich die zuständigen nationalen Behörden der Mitgliedstaaten, in denen sie das Produkt auf dem Markt bereitgestellt haben; dabei machen sie ausführliche Angaben, insbesondere über die Nichtkonformität und die ergriffenen Korrekturmaßnahmen. In solchen Fällen führen die Hersteller ein Register der Produkte, die die geltenden Barrierefreiheitsanforderungen nicht erfüllen, und der diesbezüglichen Beschwerden.

(9)   Die Hersteller händigen der zuständigen nationalen Behörde auf deren begründetes Verlangen alle Informationen und Unterlagen, die für den Nachweis der Konformität des Produkts erforderlich sind, in einer Sprache aus, die von dieser Behörde leicht verstanden werden kann. Sie kooperieren mit dieser Behörde auf deren Verlangen bei allen Maßnahmen zur Beseitigung der Nichteinhaltung der geltenden Barrierefreiheitsanforderungen bei Produkten, welche sie in Verkehr gebracht haben, und stellen insbesondere die Übereinstimmung der Produkte mit den geltenden Barrierefreiheitsanforderungen her.

Artikel 8

Bevollmächtigte

(1)   Ein Hersteller kann schriftlich einen Bevollmächtigten benennen. Die Pflichten gemäß Artikel 7 Absatz 1 und die Erstellung der technischen Dokumentation sind nicht Teil des Auftrags eines Bevollmächtigten.

(2)   Ein Bevollmächtigter nimmt die Aufgaben wahr, die im Auftrag des Herstellers festgelegt sind. Der Auftrag muss dem Bevollmächtigten gestatten, mindestens folgende Aufgaben wahrzunehmen:

a)

Aufbewahrung der EU-Konformitätserklärung und der technischen Dokumentation für die Marktüberwachungsbehörden während eines Zeitraums von fünf Jahren;

b)

auf begründetes Verlangen einer zuständigen nationalen Behörde: Aushändigung aller erforderlichen Informationen und Unterlagen zum Nachweis der Konformität eines Produkts an diese Behörde;

c)

auf Verlangen der zuständigen nationalen Behörden: Kooperation bei allen Maßnahmen zur Beseitigung der Nichteinhaltung der geltenden Barrierefreiheitsanforderungen bei Produkten, welche zu ihrem Aufgabenbereich gehören.

Artikel 9

Verpflichtungen der Importeure

(1)   Die Importeure bringen nur konforme Produkte in Verkehr.

(2)   Die Importeure gewährleisten vor dem Inverkehrbringen eines Produkts, dass der Hersteller das Konformitätsbewertungsverfahren gemäß Anhang IV durchgeführt hat. Sie gewährleisten, dass der Hersteller die nach dem genannten Anhang vorgeschriebene technische Dokumentation erstellt hat, dass das Produkt mit der CE-Kennzeichnung versehen ist, dass dem Produkt die erforderlichen Unterlagen beigefügt sind und dass der Hersteller die Anforderungen von Artikel 7 Absätze 5 und 6 erfüllt hat.

(3)   Ist ein Importeur der Auffassung oder hat er Grund zur Annahme, dass ein Produkt die geltenden Barrierefreiheitsanforderungen dieser Richtlinie nicht erfüllt, so darf der Importeur dieses Produkt erst in Verkehr bringen, wenn die Konformität des Produkts hergestellt worden ist. Wenn das Produkt den geltenden Barrierefreiheitsanforderungen nicht genügt, unterrichten die Importeure außerdem den Hersteller und die Marktüberwachungsbehörden.

(4)   Die Importeure geben ihren Namen, ihren eingetragenen Handelsnamen oder ihre eingetragene Handelsmarke und ihre Kontaktanschrift entweder auf dem Produkt selbst oder, wenn dies nicht möglich ist, auf der Verpackung oder in einer dem Produkt beigefügten Unterlage an. Die Kontaktangaben werden in einer für die Endnutzer und Marktüberwachungsbehörden leicht verständlichen Sprache abgefasst.

(5)   Die Importeure gewährleisten, dass dem Produkt eine Gebrauchsanleitung und Sicherheitsinformationen in einer von dem betreffenden Mitgliedstaat festgelegten Sprache beigefügt sind, die von den Verbrauchern und sonstigen Endnutzern leicht verstanden werden kann.

(6)   Solange sich ein Produkt in ihrer Verantwortung befindet, gewährleisten die Importeure, dass die Lagerungs- oder Transportbedingungen die Übereinstimmung des Produkts mit den geltenden Barrierefreiheitsanforderungen nicht beeinträchtigen.

(7)   Die Importeure bewahren fünf Jahre lang eine Kopie der EU-Konformitätserklärung für die Marktüberwachungsbehörden auf und sorgen dafür, dass sie ihnen die technische Dokumentation auf Verlangen vorlegen können.

(8)   Importeure, die der Auffassung sind oder Grund zur Annahme haben, dass ein von ihnen in Verkehr gebrachtes Produkt nicht dieser Richtlinie entspricht, ergreifen unverzüglich die erforderlichen Korrekturmaßnahmen, um die Konformität dieses Produkts herzustellen oder es gegebenenfalls zurückzunehmen. Außerdem unterrichten die Importeure, wenn das Produkt den geltenden Barrierefreiheitsanforderungen nicht genügt, darüber unverzüglich die zuständigen nationalen Behörden der Mitgliedstaaten, in denen sie das Produkt auf dem Markt bereitgestellt haben; dabei machen sie ausführliche Angaben, insbesondere über die Nichtkonformität und die ergriffenen Korrekturmaßnahmen. In solchen Fällen führen die Importeure ein Register der Produkte, die die geltenden Barrierefreiheitsanforderungen nicht erfüllen, und der diesbezüglichen Beschwerden.

(9)   Die Importeure händigen der zuständigen nationalen Behörde auf deren begründetes Verlangen alle Informationen und Unterlagen, die für den Nachweis der Konformität des Produkts erforderlich sind, in einer Sprache aus, die von dieser Behörde leicht verstanden werden kann. Sie kooperieren mit dieser Behörde auf deren Verlangen bei allen Maßnahmen zur Beseitigung der Nichteinhaltung der geltenden Barrierefreiheitsanforderungen bei Produkten, welche sie in Verkehr gebracht haben.

Artikel 10

Verpflichtungen der Händler

(1)   Wenn die Händler ein Produkt auf dem Markt bereitstellen, berücksichtigen sie die Anforderungen dieser Richtlinie mit gebührender Sorgfalt.

(2)   Bevor sie ein Produkt auf dem Markt bereitstellen, prüfen die Händler, dass das Produkt mit der CE-Kennzeichnung versehen ist, dass ihm die vorgeschriebenen Unterlagen sowie eine Gebrauchsanleitung und Sicherheitsinformationen in einer Sprache beigefügt sind, die von den Verbrauchern und anderen Endnutzern in dem Mitgliedstaat, in dem das Produkt auf dem Markt bereitgestellt werden soll, leicht verstanden werden kann, und dass der Hersteller und der Importeur die Anforderungen von Artikel 7 Absätze 5 und 6 sowie Artikel 9 Absatz 4 erfüllt haben.

(3)   Ist ein Händler der Auffassung oder hat er Grund zur Annahme, dass ein Produkt nicht den geltenden Barrierefreiheitsanforderungen dieser Richtlinie entspricht, so darf der Händler dieses Produkt erst auf dem Markt bereitstellen, wenn die Konformität des Produkts hergestellt worden ist. Wenn das Produkt den geltenden Barrierefreiheitsanforderungen nicht genügt, unterrichtet der Händler außerdem den Hersteller oder den Importeur und die Marktüberwachungsbehörden.

(4)   Solange sich ein Produkt in ihrer Verantwortung befindet, gewährleisten die Händler, dass die Lagerungs- oder Transportbedingungen die Übereinstimmung des Produkts mit den geltenden Barrierefreiheitsanforderungen nicht beeinträchtigen.

(5)   Händler, die der Auffassung sind oder Grund zur Annahme haben, dass ein von ihnen auf dem Markt bereitgestelltes Produkt nicht dieser Richtlinie entspricht, stellen sicher, dass die erforderlichen Korrekturmaßnahmen ergriffen werden, um die Konformität dieses Produkts herzustellen oder es gegebenenfalls zurückzunehmen. Wenn das Produkt den geltenden Barrierefreiheitsanforderungen nicht genügt, unterrichten die Händler außerdem unverzüglich die zuständigen nationalen Behörden der Mitgliedstaaten, in denen sie das Produkt auf dem Markt bereitgestellt haben; dabei machen sie ausführliche Angaben, insbesondere über die Nichtkonformität und die ergriffenen Korrekturmaßnahmen.

(6)   Die Händler händigen der zuständigen nationalen Behörde auf deren begründetes Verlangen alle Informationen und Unterlagen aus, die für den Nachweis der Konformität eines Produkts erforderlich sind. Sie kooperieren mit dieser Behörde auf deren Verlangen bei allen Maßnahmen zur Beseitigung der Nichteinhaltung der geltenden Barrierefreiheitsanforderungen bei Produkten, welche sie auf dem Markt bereitgestellt haben.

Artikel 11

Umstände, unter denen die Verpflichtungen des Herstellers auch für Importeure und Händler gelten

Ein Importeur oder Händler gilt als Hersteller für die Zwecke dieser Richtlinie und hat die Pflichten eines Herstellers nach Artikel 7, wenn er ein Produkt unter seinem eigenen Namen oder seiner eigenen Marke in Verkehr bringt oder ein bereits in Verkehr gebrachtes Produkt so ändert, dass dessen Konformität mit den Anforderungen dieser Richtlinie beeinträchtigt werden kann.

Artikel 12

Identifizierung der Wirtschaftsakteure, die mit Produkten befasst sind

(1)   Die in den Artikeln 7 bis 10 genannten Wirtschaftsakteure nennen den Marktüberwachungsbehörden auf Verlangen

a)

jegliche andere Wirtschaftsakteure, von denen sie ein Produkt bezogen haben;

b)

jegliche andere Wirtschaftsakteure, an die sie ein Produkt abgegeben haben.

(2)   Die in den Artikeln 7 bis 10 genannten Wirtschaftsakteure müssen die in Absatz 1 dieses Artikels genannten Informationen während eines Zeitraums von fünf Jahren nach dem Bezug des Produkts bzw. nach der Lieferung des Produkts vorlegen können.

(3)   Der Kommission wird die Befugnis übertragen, gemäß Artikel 26 delegierte Rechtsakte zu erlassen, um diese Richtlinie zur Änderung des in Absatz 2 dieses Artikels genannten Zeitraums für bestimmte Produkte zu ändern. Dieser geänderte Zeitraum sollte mehr als fünf Jahre betragen und im Verhältnis zur wirtschaftlichen Nutzungsdauer des betreffenden Produkts stehen.

KAPITEL IV

Pflichten der Dienstleistungserbringer

Artikel 13

Pflichten der Dienstleistungserbringer

(1)   Die Dienstleistungserbringer gewährleisten, dass ihre Dienstleistungen im Einklang mit den Barrierefreiheitsanforderungen dieser Richtlinie gestaltet und erbracht werden.

(2)   Die Dienstleistungserbringer erstellen die notwendigen Informationen im Einklang mit Anhang V und erläutern darin, inwiefern die Dienstleistungen die geltenden Barrierefreiheitsanforderungen erfüllen. Diese Informationen werden der Allgemeinheit in schriftlicher und mündlicher Form bereitgestellt, auch in einer für Menschen mit Behinderungen barrierefreien Form. Die Dienstleistungserbringer bewahren die Informationen so lange auf, wie die Dienstleistung angeboten wird.

(3)   Unbeschadet des Artikels 32 gewährleisten die Dienstleistungserbringer durch entsprechende Verfahren, dass die geltenden Barrierefreiheitsanforderungen bei der Erbringung der Dienstleistung stets erfüllt werden. Die Dienstleistungserbringer tragen Veränderungen bei den Merkmalen der Erbringung der Dienstleistung, Veränderungen bei den geltenden Barrierefreiheitsanforderungen und Änderungen der harmonisierten Normen oder technischer Spezifikationen, auf die bei Erklärung der Übereinstimmung der Dienstleistung mit den Barrierefreiheitsanforderungen verwiesen wird, gebührend Rechnung.

(4)   Bei Nichtkonformität ergreifen die Dienstleistungserbringer die erforderlichen Korrekturmaßnahmen, um die Konformität der Dienstleistung mit den geltenden Barrierefreiheitsanforderungen herzustellen. Wenn die Dienstleistung den geltenden Barrierefreiheitsanforderungen nicht genügt, unterrichten die Dienstleistungserbringer außerdem unverzüglich die zuständigen nationalen Behörden der Mitgliedstaaten, in denen die Dienstleistung erbracht wird, darüber; dabei machen sie ausführliche Angaben, insbesondere über die Nichtkonformität und die ergriffenen Korrekturmaßnahmen.

(5)   Die Dienstleistungserbringer händigen der zuständigen Behörde auf deren begründetes Verlangen alle Informationen aus, die für den Nachweis der Konformität der Dienstleistung mit den geltenden Barrierefreiheitsanforderungen erforderlich sind. Sie kooperieren mit dieser Behörde auf deren Verlangen bei allen Maßnahmen, die zur Herstellung der Übereinstimmung mit den genannten Anforderungen ergriffen werden.

KAPITEL V

Grundlegende Veränderungen von Produkten oder Dienstleistungen und unverhältnismäßige Belastungen für die Wirtschaftsakteure

Artikel 14

Grundlegende Veränderungen und unverhältnismäßige Belastungen

(1)   Die Barrierefreiheitsanforderungen nach Artikel 4 gelten nur insoweit, als deren Einhaltung

a)

keine wesentliche Änderung eines Produkts oder einer Dienstleistung erfordert, die zu einer grundlegenden Veränderung der Wesensmerkmale des Produkts oder der Dienstleistung führt, und

b)

zu keiner unverhältnismäßigen Belastung der betreffenden Wirtschaftsakteure führt.

(2)   Die Wirtschaftsakteure nehmen eine Beurteilung vor, ob die Einhaltung der Barrierefreiheitsanforderungen nach Artikel 4 eine grundlegende Veränderung mit sich bringen würde oder aufgrund der in Anhang VI angeführten einschlägigen Kriterien zu einer unverhältnismäßigen Belastung gemäß Absatz 1 dieses Artikels führen würde.

(3)   Die Wirtschaftsakteure dokumentieren die Beurteilung nach Absatz 2. Die Wirtschaftsakteure bewahren alle einschlägigen Ergebnisse für einen Zeitraum von fünf Jahren ab der letzten Bereitstellung eines Produkts auf dem Markt oder nach der letzten Erbringung einer Dienstleistung, soweit zutreffend, auf. Auf Verlangen der Marktüberwachungsbehörden oder der für die Überprüfung der Konformität der Dienstleistungen zuständigen Behörden legen sie den Behörden eine Kopie der in Absatz 2 genannten Beurteilung vor.

(4)   In Abweichung von Absatz 3 sind Kleinstunternehmen, die mit Produkten befasst sind, von der Anforderung, ihre Beurteilung zu dokumentieren, ausgenommen. Auf Verlangen der Marktüberwachungsbehörde übermitteln Kleinstunternehmen, die mit Produkten befasst sind und die entschieden haben, sich auf Absatz 1 zu berufen, der Behörde jedoch die für die Beurteilung nach Absatz 2 maßgeblichen Fakten.

(5)   Dienstleistungserbringer, die sich auf Absatz 1 Buchstabe b berufen, führen ihre Beurteilung in Bezug auf das Vorliegen einer unverhältnismäßigen Belastung für jede Dienstleistungskategorie oder -art erneut aus:

a)

wenn die angebotene Dienstleistung verändert wird oder

b)

wenn sie von den für die Prüfung der Konformität der Dienstleistungen zuständigen Behörden dazu aufgefordert werden und

c)

mindestens aber alle fünf Jahre.

(6)   Wenn Wirtschaftsakteure zu Zwecken der Verbesserung der Barrierefreiheit nichteigene — öffentliche oder private — Mittel erhalten, sind sie nicht dazu berechtigt, sich auf Absatz 1 Buchstabe b zu berufen.

(7)   Der Kommission wird die Befugnis übertragen, gemäß Artikel 26 delegierte Rechtsakte zu erlassen, um den Anhang VI durch eine eingehendere Präzisierung der einschlägigen Kriterien zu ergänzen, die der Wirtschaftsakteur bei der Beurteilung gemäß Absatz 2 dieses Artikels zu berücksichtigen hat. Bei der eingehenderen Präzisierung dieser Kriterien berücksichtigt die Kommission den potenziellen Nutzen nicht nur für Menschen mit Behinderungen, sondern auch für Menschen mit funktionellen Einschränkungen.

Die Kommission erlässt den ersten derartigen delegierten Rechtsakt erforderlichenfalls bis zum 28. Juni 2020. Ein derartiger Rechtsakt gilt frühestens ab dem 28. Juni 2025.

(8)   Wenn sich die Wirtschaftsakteure bei einem bestimmten Produkt oder einer bestimmten Dienstleistung auf Absatz 1 berufen, übermitteln sie Informationen zu diesem Zweck an die zuständigen Marktüberwachungsbehörden oder die für die Überprüfung der Konformität der Dienstleistungen zuständigen Behörden des Mitgliedstaats, in dem das betreffende Produkt in Verkehr gebracht bzw. die betreffende Dienstleistung erbracht wird.

Unterabsatz 1 gilt nicht für Kleinstunternehmen.

KAPITEL VI

Harmonisierte Normen und technische Spezifikationen von Produkten und Dienstleistungen

Artikel 15

Konformitätsvermutung

(1)   Bei Produkten und Dienstleistungen, die den harmonisierten Normen oder Teilen davon, deren Fundstellen im Amtsblatt der Europäischen Union veröffentlicht wurden, entsprechen, wird insofern eine Konformität mit den Barrierefreiheitsanforderungen dieser Richtlinie vermutet, als sich diese Normen oder Teile davon auf diese Anforderungen erstrecken.

(2)   Die Kommission beauftragt gemäß Artikel 10 der Verordnung (EU) Nr. 1025/2012 eine oder mehrere europäische Normungsorganisationen damit, harmonisierte Normen für die in Anhang I genannten Barrierefreiheitsanforderungen für Produkte auszuarbeiten. Die Kommission legt dem zuständigen Ausschuss den ersten Entwurf für einen derartigen Auftrag bis zum 28. Juni 2021 vor.

(3)   Die Kommission kann Durchführungsrechtsakte zur Festlegung technischer Spezifikationen erlassen, die den Barrierefreiheitsanforderungen dieser Richtlinie entsprechen, wenn die folgenden Bedingungen erfüllt sind:

a)

Im Amtsblatt der Europäischen Union ist keine Fundstelle von harmonisierten Normen im Einklang mit der Verordnung (EU) Nr. 1025/2012 veröffentlicht worden, und

b)

entweder:

i)

die Kommission hat eine oder mehrere europäische Normungsorganisationen mit der Erarbeitung harmonisierter Normen beauftragt, und beim Normungsverfahren treten übermäßige Verzögerungen auf, oder der Auftrag wurde von keiner der europäischen Normungsorganisationen angenommen, oder:

ii)

die Kommission kann nachweisen, dass eine technische Spezifikation den Anforderungen gemäß Anhang II der Verordnung (EU) Nr. 1025/2012 mit Ausnahme der Anforderung, dass die technischen Spezifikationen von einer gemeinnützigen Organisation erarbeitet worden sein sollten, entspricht.

Diese Durchführungsrechtsakte werden gemäß dem in Artikel 27 Absatz 2 genannten Prüfverfahren erlassen.

(4)   Produkte und Dienstleistungen, die den technischen Spezifikationen oder Teilen davon entsprechen, gelten als konform mit den Barrierefreiheitsanforderungen dieser Richtlinie, sofern diese Anforderungen durch diese technischen Spezifikationen oder Teile davon abgedeckt werden.

KAPITEL VII

Konformität der Produkte und CE-Kennzeichnung

Artikel 16

EU-Konformitätserklärung für Produkte

(1)   Aus der EU-Konformitätserklärung geht hervor, dass die geltenden Barrierefreiheitsanforderungen nachweislich erfüllt sind. Wurde ausnahmsweise von Artikel 14 Gebrauch gemacht, so geht aus der EU-Konformitätserklärung hervor, welche Barrierefreiheitsanforderungen von dieser Ausnahmeregelung betroffen sind.

(2)   Die EU-Konformitätserklärung entspricht in ihrem Aufbau dem Muster in Anhang III des Beschlusses Nr. 768/2008/EG. Sie enthält die in Anhang IV dieser Richtlinie angegebenen Elemente und wird auf dem neuesten Stand gehalten. Die Anforderungen an die technische Dokumentation dürfen Kleinstunternehmen sowie KMU keinen übermäßigen Aufwand auferlegen. Sie wird in die Sprache bzw. in die Sprachen übersetzt, die der Mitgliedstaat vorschreibt, in dem das Produkt in Verkehr gebracht oder bereitgestellt wird.

(3)   Unterliegt ein Produkt mehreren Rechtsakten der Union, in denen jeweils eine EU-Konformitätserklärung vorgeschrieben ist, so wird eine einzige EU-Konformitätserklärung für sämtliche Rechtsakte der Union ausgestellt. In dieser Erklärung werden die betreffenden Rechtsakten samt Fundstelle angegeben.

(4)   Mit der Ausstellung der EU-Konformitätserklärung übernimmt der Hersteller die Verantwortung dafür, dass das Produkt die Anforderungen dieser Richtlinie erfüllt.

Artikel 17

Allgemeine Grundsätze für die CE-Kennzeichnung von Produkten

Für die CE-Kennzeichnung gelten die allgemeinen Grundsätze nach Artikel 30 der Verordnung (EG) Nr. 765/2008.

Artikel 18

Vorschriften und Bedingungen für die Anbringung der CE-Kennzeichnung

(1)   Die CE-Kennzeichnung wird gut sichtbar, leserlich und dauerhaft auf dem Produkt oder seiner Datenplakette angebracht. Falls die Art des Produkts dies nicht zulässt oder nicht rechtfertigt, wird sie auf der Verpackung und den Begleitunterlagen angebracht.

(2)   Die CE-Kennzeichnung wird vor dem Inverkehrbringen des Produkts angebracht.

(3)   Die Mitgliedstaaten stützen sich auf bestehende Mechanismen, um eine ordnungsgemäße Durchführung der Regelung für die CE-Kennzeichnung sicherzustellen, und leiten im Fall einer missbräuchlichen Verwendung dieser Kennzeichnung angemessene Maßnahmen ein.

KAPITEL VIII

Marktüberwachung von Produkten und Schutzklauselverfahren der Union

Artikel 19

Marktüberwachung von Produkten

(1)   Für Produkte gelten Artikel 15 Absatz 3 und die Artikel 16 bis 19, Artikel 21, die Artikel 23 bis 28 sowie Artikel 29 Absätze 2 und 3 der Verordnung (EG) Nr. 765/2008.

(2)   Hat sich der Wirtschaftsakteur auf Artikel 14 dieser Richtlinie berufen, so müssen die einschlägigen Marktüberwachungsbehörden bei der Marktüberwachung von Produkten

a)

prüfen, ob die in Artikel 14 genannte Beurteilung vom Wirtschaftsakteur durchgeführt worden ist,

b)

diese Beurteilung und ihre Ergebnisse einschließlich der ordnungsgemäßen Anwendung der in Anhang VI genannten Kriterien überprüfen und

c)

prüfen, ob die geltenden Barrierefreiheitsanforderungen eingehalten werden.

(3)   Die Mitgliedstaaten gewährleisten, dass den Verbrauchern die den Marktüberwachungsbehörden vorliegenden Informationen über die Einhaltung der geltenden Barrierefreiheitsanforderungen dieser Richtlinie durch die Wirtschaftsakteure und die Beurteilung nach Artikel 14 auf Antrag in einem barrierefreien Format zur Verfügung gestellt werden, es sei denn, diese Informationen können gemäß Artikel 19 Absatz 5 der Verordnung (EG) Nr. 765/2008 aus Gründen der Vertraulichkeit nicht erteilt werden.

Artikel 20

Nationale Vorgehensweise bei Produkten, die die geltenden Barrierefreiheitsanforderungen nicht erfüllen

(1)   Wenn die Marktüberwachungsbehörden eines Mitgliedstaats hinreichenden Grund zur Annahme haben, dass ein unter diese Richtlinie fallendes Produkt die geltenden Barrierefreiheitsanforderungen nicht erfüllt, nehmen diese Behörden eine Untersuchung des betreffenden Produkts vor, die alle Anforderungen dieser Richtlinie umfasst. Die betreffenden Wirtschaftsakteure arbeiten zu diesem Zweck umfassend mit den Marktüberwachungsbehörden zusammen.

Gelangen die Marktüberwachungsbehörden im Verlauf der Untersuchung gemäß Unterabsatz 1 zu dem Ergebnis, dass das Produkt die Anforderungen dieser Richtlinie nicht erfüllt, so schreiben sie dem betroffenen Wirtschaftsakteur unverzüglich vor, innerhalb einer von den Behörden vorgeschriebenen, der Art der Nichteinhaltung angemessenen Frist alle geeigneten Korrekturmaßnahmen zu treffen, um die Übereinstimmung des Produkts mit diesen Anforderungen herzustellen.

Die Marktüberwachungsbehörden verpflichten den betreffenden Wirtschaftsakteur nur dann dazu, das Produkt innerhalb einer zusätzlichen angemessenen Frist vom Markt zu nehmen, wenn er innerhalb der in Unterabsatz 2 genannten Frist keine angemessenen Korrekturmaßnahmen getroffen hat.

Artikel 21 der Verordnung (EG) Nr. 765/2008 gilt für die in den Unterabsätzen 2 und 3 dieses Absatzes genannten Maßnahmen.

(2)   Gelangen die Marktüberwachungsbehörden zu der Auffassung, dass sich die fehlende Konformität nicht auf das Hoheitsgebiet ihres Mitgliedstaats beschränkt, so unterrichten sie die Kommission und die übrigen Mitgliedstaaten über die Ergebnisse der Untersuchung und über die Maßnahmen, zu denen sie den Wirtschaftsakteur aufgefordert haben.

(3)   Der Wirtschaftsakteur gewährleistet, dass für sämtliche betroffenen Produkte, die er unionsweit auf dem Markt bereitgestellt hat, alle geeigneten Korrekturmaßnahmen ergriffen werden.

(4)   Ergreift der betreffende Wirtschaftsakteur innerhalb der in Absatz 1 Unterabsatz 3 genannten Frist keine angemessenen Korrekturmaßnahmen, so treffen die Marktüberwachungsbehörden alle geeigneten vorläufigen Maßnahmen, um das Produkt zu untersagen, seine Bereitstellung auf ihren nationalen Märkten einzuschränken oder es vom Markt zu nehmen.

Die Marktüberwachungsbehörden unterrichten die Kommission und die übrigen Mitgliedstaaten unverzüglich über diese Maßnahmen.

(5)   Die in Absatz 4 Unterabsatz 2 genannten Informationen enthalten alle verfügbaren Einzelheiten, insbesondere die notwendigen Daten für die Identifizierung des nichtkonformen Produkts, die Herkunft des Produkts, die Art der behaupteten Nichtkonformität und die vom Produkt nicht erfüllten Barrierefreiheitsanforderungen sowie die Art und Dauer der getroffenen nationalen Maßnahmen und die Argumente des betreffenden Wirtschaftsakteurs. Die Marktüberwachungsbehörden geben insbesondere an, ob die Nichtkonformität auf eine der folgenden Ursachen zurückzuführen ist:

a)

Das Produkt erfüllt die geltenden Barrierefreiheitsanforderungen nicht; oder

b)

die harmonisierten Normen oder die technischen Spezifikationen, bei deren Einhaltung laut Artikel 15 eine Konformitätsvermutung gilt, sind mangelhaft.

(6)   Die anderen Mitgliedstaaten außer jenem, der das Verfahren nach diesem Artikel eingeleitet hat, unterrichten die Kommission und die übrigen Mitgliedstaaten unverzüglich über alle getroffenen Maßnahmen und jede weitere ihnen vorliegende Information über die Nichtkonformität des Produkts sowie, falls sie der gemeldeten nationalen Maßnahme nicht zustimmen, über ihre Einwände.

(7)   Erhebt weder ein Mitgliedstaat noch die Kommission innerhalb von drei Monaten nach Erhalt der in Absatz 4 Unterabsatz 2 genannten Informationen einen Einwand gegen eine vorläufige Maßnahme eines Mitgliedstaats, gilt diese Maßnahme als gerechtfertigt.

(8)   Die Mitgliedstaaten gewährleisten, dass unverzüglich geeignete restriktive Maßnahmen hinsichtlich des betreffenden Produkts getroffen werden, wie etwa die Rücknahme des Produkts von ihrem Markt.

Artikel 21

Schutzklauselverfahren der Union

(1)   Wurden nach Abschluss des Verfahrens gemäß Artikel 20 Absätze 3 und 4 Einwände gegen eine Maßnahme eines Mitgliedstaats erhoben oder kann die Kommission stichhaltig nachweisen, dass diese nationale Maßnahme nicht mit dem Unionsrecht vereinbar ist, so konsultiert die Kommission unverzüglich die Mitgliedstaaten und die betreffenden Wirtschaftsakteure und nimmt eine Beurteilung der nationalen Maßnahme vor. Anhand der Ergebnisse dieser Beurteilung entscheidet die Kommission, ob die nationale Maßnahme gerechtfertigt ist oder nicht.

Die Kommission richtet ihren Beschluss an alle Mitgliedstaaten und teilt ihn ihnen sowie dem betreffenden Wirtschaftsakteur bzw. den betreffenden Wirtschaftsakteuren unverzüglich mit.

(2)   Hält die Kommission die nationale Maßnahme gemäß Absatz 1 für gerechtfertigt, so ergreifen alle Mitgliedstaaten die erforderlichen Maßnahmen, um zu gewährleisten, dass das nicht konforme Produkt von ihrem Markt genommen wird, und unterrichten die Kommission darüber. Hält sie die nationale Maßnahme nicht für gerechtfertigt, so muss der betreffende Mitgliedstaat sie zurücknehmen.

(3)   Gilt die nationale Maßnahme gemäß Absatz 1 dieses Artikels als gerechtfertigt und wird die Nichtkonformität des Produkts mit Mängeln der harmonisierten Normen nach Artikel 20 Absatz 5 Buchstabe b begründet, so leitet die Kommission das Verfahren nach Artikel 11 der Verordnung (EU) Nr. 1025/2012 ein.

(4)   Gilt die nationale Maßnahme gemäß Absatz 1 dieses Artikels als gerechtfertigt und wird die Nichtkonformität des Produkts mit mangelhaften technischen Spezifikationen gemäß Artikel 20 Absatz 5 Buchstabe b begründet, so erlässt die Kommission unverzüglich einen Durchführungsrechtsakt zur Änderung oder Aufhebung der betreffenden technischen Spezifikation. Der Durchführungsrechtsakt wird gemäß dem in Artikel 27 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 22

Formale Nichtkonformität

(1)   Unbeschadet des Artikels 20 fordert ein Mitgliedstaat den betreffenden Wirtschaftsakteur dazu auf, die betreffende Nichtkonformität zu korrigieren, falls er einen der folgenden Fälle feststellt:

a)

Die CE-Kennzeichnung wurde unter Verletzung von Artikel 30 der Verordnung (EG) Nr. 765/2008 oder von Artikel 18 dieser Richtlinie angebracht;

b)

die CE-Kennzeichnung wurde nicht angebracht;

c)

die EU-Konformitätserklärung wurde nicht ausgestellt;

d)

die EU-Konformitätserklärung wurde nicht korrekt ausgestellt;

e)

die technische Dokumentation ist entweder nicht verfügbar oder unvollständig;

f)

die in Artikel 7 Absatz 6 oder Artikel 9 Absatz 4 genannten Informationen fehlen, sind falsch oder unvollständig;

g)

eine andere Verwaltungsanforderung nach Artikel 7 oder Artikel 9 ist nicht erfüllt.

(2)   Besteht die Nichtkonformität gemäß Absatz 1 weiter, so trifft der betreffende Mitgliedstaat alle geeigneten Maßnahmen, um die Bereitstellung des Produkts auf dem Markt einzuschränken oder zu untersagen oder um dafür zu sorgen, dass es vom Markt genommen wird.

KAPITEL IX

Konformität von Dienstleistungen

Artikel 23

Konformität von Dienstleistungen

(1)   Die Mitgliedstaaten entwickeln, implementieren und aktualisieren regelmäßig geeignete Verfahren, um

a)

die Übereinstimmung der Dienstleistungen mit den Anforderungen dieser Richtlinie einschließlich der Beurteilung nach Artikel 14, wofür Artikel 19 Absatz 2 sinngemäß gilt, zu kontrollieren;

b)

Beschwerden oder Berichten über Dienstleistungen nachzugehen, die die Barrierefreiheitsanforderungen dieser Richtlinie nicht erfüllen;

c)

zu kontrollieren, dass der Wirtschaftsakteur die notwendigen Korrekturmaßnahmen durchgeführt hat.

(2)   Die Mitgliedstaaten benennen die Behörden, die bezüglich der Konformität von Dienstleistungen für die Anwendung der Verfahren nach Absatz 1 zuständig sind.

Die Mitgliedstaaten stellen sicher, dass die Öffentlichkeit über die Existenz, die Zuständigkeiten, die Identität, die Arbeit und die Entscheidungen der in Unterabsatz 1 genannten Behörden informiert ist. Diese Behörden stellen diese Informationen auf Antrag in barrierefreien Formaten zur Verfügung.

KAPITEL X

Barrierefreiheitsanforderungen in anderen Rechtsakten der Union

Artikel 24

Barrierefreiheit gemäß anderen Rechtsakten der Union

(1)   Für die in Artikel 2 dieser Richtlinie genannten Produkte und Dienstleistungen stellen die Barrierefreiheitsanforderungen gemäß deren Anhang I verpflichtende Zugänglichkeitserfordernisse im Sinne von Artikel 42 Absatz 1 der Richtlinie 2014/24/EU und Artikel 60 Absatz 1 der Richtlinie 2014/25/EU dar.

(2)   Erfüllen die Merkmale, Bestandteile oder Funktionen von Produkten oder Dienstleistungen die Barrierefreiheitsanforderungen gemäß Anhang I dieser Richtlinie im Einklang mit dessen Abschnitt VI, so wird vermutet, dass sie die einschlägigen Verpflichtungen gemäß anderen Rechtsakten der Union als dieser Richtlinie hinsichtlich der Barrierefreiheit dieser Merkmale, Bestandteile oder Funktionen erfüllen, sofern in diesen anderen Rechtsakten nichts anderes festgelegt ist.

Artikel 25

Harmonisierte Normen und technische Spezifikationen für andere Rechtsakte der Union

Ist die Konformität mit harmonisierten Normen und technischen Spezifikationen oder Teilen davon, die gemäß Artikel 15 angenommen werden, gegeben, so wird die Einhaltung von Artikel 24 vermutet, soweit diese Normen und technischen Spezifikationen oder Teile davon die Barrierefreiheitsanforderungen dieser Richtlinie erfüllen.

KAPITEL XI

Delegierte Rechtsakte, Durchführungsbefugnisse und Schlussbestimmungen

Artikel 26

Ausübung der Befugnisübertragung

(1)   Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.

(2)   Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 4 Absatz 9 wird der Kommission auf unbestimmte Zeit ab dem 27. Juni 2019 übertragen.

Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 12 Absatz 3 und Artikel 14 Absatz 7 wird der Kommission für einen Zeitraum von fünf Jahren ab 27. Juni 2019 übertragen. Die Kommission erstellt spätestens neun Monate vor Ablauf des Zeitraums von fünf Jahren einen Bericht über die Befugnisübertragung. Die Befugnisübertragung verlängert sich stillschweigend um Zeiträume gleicher Länge, es sei denn, das Europäische Parlament oder der Rat widersprechen einer solchen Verlängerung spätestens drei Monate vor Ablauf des jeweiligen Zeitraums.

(3)   Die Befugnisübertragung gemäß Artikel 4 Absatz 9, Artikel 12 Absatz 3 und Artikel 14 Absatz 7 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss genannten Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.

(4)   Vor dem Erlass eines delegierten Rechtsakts konsultiert die Kommission die von den einzelnen Mitgliedstaaten benannten Sachverständigen im Einklang mit den in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung enthaltenen Grundsätzen.

(5)   Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

(6)   Ein delegierter Rechtsakt, der gemäß Artikel 4 Absatz 9, Artikel 12 Absatz 3 und Artikel 14 Absatz 7 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von zwei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Initiative des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.

Artikel 27

Ausschussverfahren

(1)   Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

(2)   Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.

Artikel 28

Arbeitsgruppen

Die Kommission richtet eine Arbeitsgruppe ein, der Vertreter der Marktüberwachungsbehörden, der für die Konformität von Dienstleistungen zuständigen Behörden und einschlägiger Interessenträger, darunter Verbände von Menschen mit Behinderungen, angehören.

Die Arbeitsgruppe

a)

erleichtert den Austausch von Informationen und bewährten Verfahren zwischen den Behörden und einschlägigen Interessenträgern;

b)

unterstützt die Zusammenarbeit zwischen Behörden und einschlägigen Interessenträgern bei Sachverhalten im Zusammenhang mit der Umsetzung dieser Richtlinie, um eine einheitlichere Anwendung der Barrierefreiheitsanforderungen nach dieser Richtlinie zu erreichen und die Umsetzung von Artikel 14 genau zu überwachen, und

c)

bietet vor allem der Kommission und insbesondere bezüglich der Umsetzung der Artikel 4 und 14 Beratung an.

Artikel 29

Rechtsdurchsetzung

(1)   Die Mitgliedstaaten sorgen dafür, dass angemessene und wirksame Mittel vorhanden sind, mit denen die Befolgung dieser Richtlinie sichergestellt wird.

(2)   Zu den in Absatz 1 genannten Mitteln zählen:

a)

Bestimmungen, wonach ein Verbraucher die Gerichte oder die zuständigen Verwaltungsbehörden anrufen kann, um die Einhaltung der innerstaatlichen Vorschriften zur Umsetzung dieser Richtlinie sicherzustellen;

b)

Bestimmungen, wonach öffentliche Stellen oder private Verbände, Organisationen oder andere juristische Personen, die ein berechtigtes Interesse daran haben, dass diese Richtlinie eingehalten wird, entweder im Namen oder im Interesse des Beschwerdeführers mit dessen Einverständnis in zur Durchsetzung der nach dieser Richtlinie geltenden Verpflichtungen Gerichts- oder Verwaltungsverfahren die Gerichte oder die zuständigen Verwaltungsbehörden anrufen können.

(3)   Dieser Artikel findet keine Anwendung auf Vergabeverfahren, die der Richtlinie 2014/24/EU oder der Richtlinie 2014/25/EU unterliegen.

Artikel 30

Sanktionen

(1)   Die Mitgliedstaaten legen für Verstöße gegen aufgrund dieser Richtlinie erlassene innerstaatliche Vorschriften Sanktionen fest und treffen alle für deren Anwendung erforderlichen Vorkehrungen.

(2)   Die Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Für den Fall, dass der Wirtschaftsakteur nicht Folge leistet, müssen diese Sanktionen auch von wirksamen Abhilfemaßnahmen flankiert sein.

(3)   Die Mitgliedstaaten teilen der Kommission diese Vorschriften und Maßnahmen sowie spätere Änderungen unverzüglich mit.

(4)   Bei den Sanktionen sind der Umfang des Verstoßes (unter anderem dessen Ernsthaftigkeit und die Zahl der betroffenen nicht konformen Produkte bzw. Dienstleistungen) sowie die Zahl der betroffenen Personen zu berücksichtigen.

(5)   Dieser Artikel findet keine Anwendung auf Vergabeverfahren, die der Richtlinie 2014/24/EU oder der Richtlinie 2014/25/EU unterliegen.

Artikel 31

Umsetzung

(1)   Die Mitgliedstaaten erlassen und veröffentlichen bis zum 28. Juni 2022 die Rechts- und Verwaltungsvorschriften, die erforderlich sind, um dieser Richtlinie nachzukommen. Sie teilen der Kommission umgehend den Wortlaut dieser Vorschriften mit.

(2)   Sie wenden diese Vorschriften ab dem 28. Juni 2025 an.

(3)   Abweichend von Absatz 2 dieses Artikels können die Mitgliedstaaten beschließen, die Vorschriften hinsichtlich der Verpflichtungen nach Artikel 4 Absatz 8 spätestens 28. Juni 2027 anzuwenden.

(4)   Wenn die Mitgliedstaaten diese Vorschriften erlassen, nehmen sie in den Vorschriften selbst oder durch einen Hinweis bei der amtlichen Veröffentlichung auf diese Richtlinie Bezug. Die Mitgliedstaaten regeln die Einzelheiten dieser Bezugnahme.

(5)   Die Mitgliedstaaten teilen der Kommission den Wortlaut der wichtigsten nationalen Vorschriften mit, die sie auf dem unter diese Richtlinie fallenden Gebiet erlassen.

(6)   Die Mitgliedstaaten, die von der Möglichkeit gemäß Artikel 4 Absatz 4 Gebrauch machen, teilen der Kommission den Wortlaut der wichtigsten nationalen Vorschriften mit, die sie zu diesem Zweck erlassen, und sie berichten der Kommission über die Fortschritte bei deren Durchführung.

Artikel 32

Übergangsmaßnahmen

(1)   Unbeschadet des Absatzes 2 dieses Artikels sehen die Mitgliedstaaten einen Übergangszeitraum vor, der am 28. Juni 2030 endet und in dem die Dienstleistungserbringer ihre Dienstleistungen weiterhin unter Einsatz von Produkten erbringen können, die von ihnen bereits vor diesem Datum zur Erbringung ähnlicher Dienstleistungen rechtmäßig eingesetzt wurden.

Vor dem 28. Juni 2025 vereinbarte Dienstleistungsverträge dürfen bis zu ihrem Ablauf, allerdings nicht länger als fünf Jahre ab diesem Datum unverändert fortbestehen.

(2)   Die Mitgliedstaaten können festlegen, dass Selbstbedienungsterminals, die von den Dienstleistungserbringern vor dem 28. Juni 2025 rechtmäßig zur Erbringung von Dienstleistungen eingesetzt werden, bis zum Ende ihrer wirtschaftlichen Nutzungsdauer, aber nicht länger als 20 Jahre nach ihrer Ingebrauchnahme, weiter zur Erbringung vergleichbarer Dienstleistungen eingesetzt werden dürfen.

Artikel 33

Berichte und Überprüfung

(1)   Bis zum 28. Juni 2030 und danach alle fünf Jahre legt die Kommission dem Europäischen Parlament, dem Rat, dem Europäischen Wirtschafts- und Sozialausschuss und dem Ausschuss der Regionen einen Bericht über die Anwendung dieser Richtlinie vor.

(2)   In den Berichten wird vor dem Hintergrund der sozialen, wirtschaftlichen und technologischen Entwicklung unter anderem auf die Fortschritte bei der Barrierefreiheit von Produkten und Dienstleistungen, etwaige technologische Lock-in-Effekte oder Innovationshemmnisse sowie auf die Auswirkungen dieser Richtlinie auf Wirtschaftsakteure und auf Menschen mit Behinderungen eingegangen. In dem Bericht wird auch bewertet, ob die Anwendung von Artikel 4 Absatz 4 zur Angleichung unterschiedlicher Barrierefreiheitsanforderungen der baulichen Umwelt von Personenbeförderungsdiensten, Bankdienstleistungen für Verbraucher sowie Kundenbetreuungszentren von Läden der Anbieter elektronischer Kommunikationsdienste beigetragen hat, wenn möglich im Hinblick auf die Ermöglichung ihrer schrittweisen Angleichung an die Barrierefreiheitsanforderungen nach Anhang III.

Darüber hinaus wird im Bericht bewertet, ob diese Richtlinie und insbesondere die darin enthaltenen freiwilligen Bestimmungen zu einer Angleichung der Barrierefreiheitsanforderungen der baulichen Umwelt beigetragen haben, die Bauleistungen, die in den Geltungsbereich der Richtlinie 2014/23/EU des Europäischen Parlaments und des Rates (35), Richtlinie 2014/24/EU und Richtlinie 2014/25/EU fallen, darstellen.

Außerdem befassen sich die Berichte mit den Auswirkungen der Anwendung des Artikels 14 dieser Richtlinie auf das Funktionieren des Binnenmarkts, gegebenenfalls auch auf der Grundlage der gemäß Artikel 14 Absatz 8 gemeldeten Informationen, sowie mit der Ausnahmeregelung für Kleinstunternehmen. Im Fazit der Berichte wird geklärt, ob die mit dieser Richtlinie verfolgten Ziele erreicht wurden und ob es zweckmäßig wäre, neue Produkte und Dienstleistungen aufzunehmen, oder ob bestimmte Produkte oder Dienstleistungen vom Geltungsbereich dieser Richtlinie ausgenommen werden sollten, und es werden nach Möglichkeit — mit Blick auf eine etwaige Überarbeitung der Richtlinie die Bereiche genannt, in denen sich die Verwaltungsbelastung verringern lässt.

Die Kommission schlägt bei Bedarf angemessene Maßnahmen vor, wozu auch gesetzgeberische Maßnahmen zählen können.

(3)   Die Mitgliedstaaten übermitteln der Kommission rechtzeitig alle notwendigen Informationen, damit sie solche Berichte erstellen kann.

(4)   In ihrem Bericht berücksichtigt die Kommission die Standpunkte der wirtschaftlichen Interessenträger und der relevanten Nichtregierungsorganisationen, darunter auch Organisationen von Menschen mit Behinderungen.

Artikel 34

Diese Richtlinie tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Artikel 35

Diese Richtlinie ist an die Mitgliedstaaten gerichtet.

Geschehen zu Straßburg am 17. April 2019.

Im Namen des Europäischen Parlaments

Der Präsident

A. TAJANI

Im Namen des Rates

Der Präsident

G. CIAMBA


(1)  ABl. C 303 vom 19.8.2016, S. 103.

(2)  Standpunkt des Europäischen Parlaments vom 13. März 2019 (noch nicht im Amtsblatt veröffentlicht) und Beschluss des Rates vom 9. April 2019.

(3)  Richtlinie 2014/33/EU des Europäischen Parlaments und des Rates vom 26. Februar 2014 zur Harmonisierung der Rechtsvorschriften der Mitgliedstaaten über Aufzüge und Sicherheitsbauteile für Aufzüge (ABl. L 96 vom 29.3.2014, S. 251).

(4)  Verordnung (EG) Nr. 661/2009 des Europäischen Parlaments und des Rates vom 13. Juli 2009 über die Typgenehmigung von Kraftfahrzeugen, Kraftfahrzeuganhängern und von Anlagen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge hinsichtlich ihrer allgemeinen Sicherheit (ABl. L 200 vom 31.7.2009, S. 1).

(5)  Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation (ABl. L 321 vom 17.12.2018, S. 36).

(6)  Richtlinie 2010/13/EU des Europäischen Parlaments und des Rates vom 10. März 2010 zur Koordinierung bestimmter Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über die Bereitstellung audiovisueller Mediendienste (ABl. L 95 vom 15.4.2010, S. 1).

(7)  Richtlinie (EU) 2016/2102 des Europäischen Parlaments und des Rates vom 26. Oktober 2016 über den barrierefreien Zugang zu Websites und mobilen Anwendungen öffentlicher Stellen (ABl. L 327 vom 2.12.2016, S. 1).

(8)  Verordnung (EG) Nr. 261/2004 des Europäischen Parlaments und des Rates vom 11. Februar 2004 über eine gemeinsame Regelung für Ausgleichs- und Unterstützungsleistungen für Fluggäste im Fall der Nichtbeförderung und bei Annullierung oder großer Verspätung von Flügen und zur Aufhebung der Verordnung (EWG) Nr. 295/91 (ABl. L 46 vom 17.2.2004, S. 1).

(9)  Verordnung (EG) Nr. 1107/2006 des Europäischen Parlaments und des Rates vom 5. Juli 2006 über die Rechte von behinderten Flugreisenden und Flugreisenden mit eingeschränkter Mobilität (ABl. L 204 vom 26.7.2006, S. 1).

(10)  Verordnung (EG) Nr. 1371/2007 des Europäischen Parlaments und des Rates vom 23. Oktober 2007 über die Rechte und Pflichten der Fahrgäste im Eisenbahnverkehr (ABl. L 315 vom 3.12.2007, S. 14).

(11)  Verordnung (EU) Nr. 1177/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 über die Fahrgastrechte im See- und Binnenschiffsverkehr und zur Änderung der Verordnung (EG) Nr. 2006/2004 (ABl. L 334 vom 17.12.2010, S. 1).

(12)  Verordnung (EU) Nr. 181/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 über die Fahrgastrechte im Kraftomnibusverkehr und zur Änderung der Verordnung (EG) Nr. 2006/2004 (ABl. L 55 vom 28.2.2011, S. 1).

(13)  Richtlinie 2008/57/EG des Europäischen Parlaments und des Rates vom 17. Juni 2008 über die Interoperabilität des Eisenbahnsystems in der Gemeinschaft (Neufassung) (ABl. L 191 vom 18.7.2008, S. 1).

(14)  Richtlinie (EU) 2017/1564 des Europäischen Parlaments und des Rates vom 13. September 2017 über bestimmte zulässige Formen der Nutzung bestimmter urheberrechtlich oder durch verwandte Schutzrechte geschützter Werke und sonstiger Schutzgegenstände zugunsten blinder, sehbehinderter oder anderweitig lesebehinderter Personen und zur Änderung der Richtlinie 2001/29/EG zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft (ABl. L 242 vom 20.9.2017, S. 6).

(15)  Verordnung (EU) 2017/1563 des Europäischen Parlaments und des Rates vom 13. September 2017 über den grenzüberschreitenden Austausch von Kopien bestimmter urheberrechtlich oder durch verwandte Schutzrechte geschützter Werke und sonstiger Schutzgegenstände in einem barrierefreien Format zwischen der Union und Drittländern zugunsten blinder, sehbehinderter oder anderweitig lesebehinderter Personen (ABl. L 242 vom 20.9.2017, S. 1).

(16)  Richtlinie 93/42/EWG des Rates vom 14. Juni 1993 über Medizinprodukte (ABl. L 169 vom 12.7.1993, S. 1).

(17)  Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36).

(18)  Beschluss Nr. 768/2008/EG des Europäischen Parlaments und des Rates vom 9. Juli 2008 über einen gemeinsamen Rechtsrahmen für die Vermarktung von Produkten und Aufhebung des Beschlusses 93/465/EWG des Rates (ABl. L 218 vom 13.8.2008, S. 82).

(19)  Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates vom 25. Oktober 2012 zur europäischen Normung, zur Änderung der Richtlinien 89/686/EWG und 93/15/EWG des Rates sowie der Richtlinien 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG und 2009/105/EG des Europäischen Parlaments und des Rates und zur Aufhebung des Beschlusses 87/95/EWG des Rates und des Beschlusses Nr. 1673/2006/EG des Europäischen Parlaments und des Rates (ABl. L 316 vom 14.11.2012, S. 12).

(20)  Richtlinie 2011/83/EU des Europäischen Parlaments und des Rates vom 25. Oktober 2011 über die Rechte der Verbraucher, zur Abänderung der Richtlinie 93/13/EWG des Rates und der Richtlinie 1999/44/EG des Europäischen Parlaments und des Rates sowie zur Aufhebung der Richtlinie 85/577/EWG des Rates und der Richtlinie 97/7/EG des Europäischen Parlaments und des Rates (ABl. L 304 vom 22.11.2011, S. 64).

(21)  Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates (ABl. L 218 vom 13.8.2008, S. 30).

(22)  Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates vom 26. Februar 2014 über die öffentliche Auftragsvergabe und zur Aufhebung der Richtlinie 2004/18/EG (ABl. L 94 vom 28.3.2014, S. 65).

(23)  Richtlinie 2014/25/EU des Europäischen Parlaments und des Rates vom 26. Februar 2014 über die Auftragsvergabe in den Bereichen Wasser-, Energie- und Verkehrsversorgung und Postdienste und zur Aufhebung der Richtlinie 2004/17/EG (ABl. L 94 vom 28.3.2014, S. 243).

(24)  ABl. L 123 vom 12.5.2016, S. 1.

(25)  Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).

(26)  ABl. C 369 vom 17.12.2011, S. 14.

(27)  Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates vom 12. Dezember 2006 über Dienstleistungen im Binnenmarkt (ABl. L 376 vom 27.12.2006, S. 36).

(28)  Richtlinie 2008/48/EG des Europäischen Parlaments und des Rates vom 23. April 2008 über Verbraucherkreditverträge und zur Aufhebung der Richtlinie 87/102/EWG des Rates (ABl. L 133 vom 22.5.2008, S. 66).

(29)  Richtlinie 2014/17/ЕU des Europäischen Parlaments und des Rates vom 4. Februar 2014 über Wohnimmobilienkreditverträge für Verbraucher und zur Änderung der Richtlinien 2008/48/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 (ABl. L 60 vom 28.2.2014, S. 34).

(30)  Richtlinie 2014/65/EU des Europäischen Parlaments und des Rates vom 15. Mai 2014 über Märkte für Finanzinstrumente und zur Änderung der Richtlinien 2002/92/EG und 2011/61/EU (ABl. L 173 vom 12.6.2014, S. 349).

(31)  Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG (ABl. L 337 vom 23.12.2015, S. 35).

(32)  Richtlinie 2014/92/EU des Europäischen Parlaments und des Rates vom 23. Juli 2014 über die Vergleichbarkeit von Zahlungskontoentgelten, den Wechsel von Zahlungskonten und den Zugang zu Zahlungskonten mit grundlegenden Funktionen (ABl. L 257 vom 28.8.2014, S. 214).

(33)  Richtlinie 2009/110/EG des Europäischen Parlaments und des Rates vom 16. September 2009 über die Aufnahme, Ausübung und Beaufsichtigung der Tätigkeit von E-Geld-Instituten, zur Änderung der Richtlinien 2005/60/EG und 2006/48/EG sowie zur Aufhebung der Richtlinie 2000/46/EG (ABl. L 267 vom 10.10.2009, S. 7).

(34)  Richtlinie 2012/34/EU des Europäischen Parlaments und des Rates vom 21. November 2012 zur Schaffung eines einheitlichen Europäischen Eisenbahnraums (ABl. L 343 vom 14.12.2012, S. 32).

(35)  Richtlinie 2014/23/EU des Europäischen Parlaments und des Rates vom 26. Februar 2014 über die Konzessionsvergabe (ABl. L 94 vom 28.3.2014, S. 1).


ANHANG I

BARRIEREFREIHEITSANFORDERUNGEN FÜR PRODUKTE UND DIENSTLEISTUNGEN

Abschnitt I

Allgemeine Barrierefreiheitsanforderungen für alle Produkte, die gemäß Artikel 2 Absatz 1 unter diese Richtlinie fallen

Produkte sind so zu gestalten und herzustellen, dass Menschen mit Behinderungen sie voraussichtlich maximal nutzen, und sie sind möglichst in oder auf dem Produkt selbst mit barrierefrei zugänglichen Informationen zu ihrer Funktionsweise und ihren Barrierefreiheitsfunktionen auszustatten.

1.

Anforderungen an die Bereitstellung von Informationen

a)

Informationen zur Nutzung des Produkts auf dem Produkt selbst (Kennzeichnung, Gebrauchsanleitungen und Warnhinweise) müssen

i)

über mehr als einen sensorischen Kanal zur Verfügung gestellt werden,

ii)

in verständlicher Weise dargestellt werden,

iii)

den Nutzern auf eine Weise dargestellt werden, die sie wahrnehmen können,

iv)

in einer Schriftart mit angemessener Schriftgröße und geeigneter Schriftform unter Berücksichtigung der vorhersehbaren Nutzungsbedingungen und mit ausreichendem Kontrast sowie anpassbarem Abstand zwischen den Buchstaben, Zeilen und Absätzen dargestellt werden;

b)

Anleitungen für die Nutzung des Produkts, die nicht auf dem Produkt selbst angegeben sind, sondern durch die Nutzung des Produkts oder auf anderem Wege, beispielsweise über eine Website, bereitgestellt werden, wozu auch die Barrierefreiheitsfunktionen des Produkts, ihre Aktivierung und ihre Interoperabilität mit assistiven Lösungen gehören, sind bei Inverkehrbringen des Produkts öffentlich verfügbar und müssen

i)

über mehr als einen sensorischen Kanal zur Verfügung gestellt werden,

ii)

in verständlicher Weise dargestellt werden,

iii)

den Nutzern auf eine Weise dargestellt werden, die sie wahrnehmen können,

iv)

in einer Schriftart mit angemessener Schriftgröße und geeigneter Schriftform unter Berücksichtigung der vorhersehbaren Nutzungsbedingungen und mit ausreichendem Kontrast sowie anpassbarem Abstand zwischen den Buchstaben, Zeilen und Absätzen dargestellt werden,

v)

was den Inhalt betrifft, in Textformaten zur Verfügung gestellt werden, die sich zum Generieren alternativer assistiver Formate eignen, die in unterschiedlicher Form dargestellt werden und über mehr als einen sensorischen Kanal wahrgenommen werden können,

vi)

mit einer alternativen Darstellung angeboten werden, wenn Elemente mit Nicht-Text-Inhalten enthalten sind,

vii)

eine Beschreibung der Benutzerschnittstelle des Produkts enthalten (Handhabung, Steuerung und Feedback, Input und Output), die gemäß Nummer 2 bereitgestellt wird, wobei in der Beschreibung für jeden Punkt in Nummer 2 angegeben sein muss, ob das Produkt diese Funktionen aufweist,

viii)

eine Beschreibung der Produktfunktionalität enthalten, die anhand von Funktionen, die den Bedürfnissen von Menschen mit Behinderungen entsprechen, gemäß Nummer 2 bereitgestellt wird, wobei in der Beschreibung für jeden Punkt in Nummer 2 angegeben sein muss, ob das Produkt diese Funktionen aufweist,

ix)

eine Beschreibung der Soft- und Hardware-Schnittstelle des Produkts mit Hilfsmitteln enthalten, wobei die Beschreibung auch eine Liste derjenigen Hilfsmittel enthält, die zusammen mit dem Produkt getestet wurden.

2.

Gestaltung von Benutzerschnittstelle und Funktionalität

Das Produkt — einschließlich seiner Benutzerschnittstelle — muss in seinen Bestandteilen und Funktionen Merkmale aufweisen, die es für Menschen mit Behinderungen möglich machen, auf das Produkt zuzugreifen, es wahrzunehmen, zu bedienen, zu verstehen und zu regeln, indem Folgendes gewährleistet ist:

a)

Wenn das Produkt Kommunikation, einschließlich zwischenmenschlicher Kommunikation, Bedienung, Information, Steuerung und Orientierung ermöglicht, muss es dies über mehr als einen sensorischen Kanal tun; das schließt auch die Bereitstellung von Alternativen zu visuellen, auditiven, gesprochenen und taktilen Elementen ein;

b)

wenn gesprochene Sprache verwendet wird, müssen für die Kommunikation, Bedienung, Steuerung und Orientierung Alternativen zur gesprochenen und stimmlichen Eingabe zur Verfügung stehen;

c)

wenn visuelle Elemente verwendet werden, müssen für die Kommunikation, Information und Bedienung sowie zur Gewährleistung der Interoperabilität mit Programmen und Hilfsmitteln zur Navigation in der Schnittstelle eine flexible Einstellung der Größe, der Helligkeit und des Kontrastes ermöglicht werden;

d)

wenn mittels Farben Informationen mitgeteilt werden, über eine Handlung informiert wird, zu einer Reaktion aufgefordert wird oder Elemente identifiziert werden, müssen Alternativen zu Farben zur Verfügung stehen;

e)

wenn mittels hörbarer Signale Informationen mitgeteilt werden, über eine Handlung informiert wird, zu einer Reaktion aufgefordert wird oder Elemente identifiziert werden, müssen Alternativen zu hörbaren Signalen zur Verfügung stehen;

f)

wenn visuelle Elemente verwendet werden, müssen flexible Möglichkeiten für die Verbesserung der visuellen Schärfe zur Verfügung stehen;

g)

wenn Audio-Elemente verwendet werden, muss der Nutzer die Lautstärke und Geschwindigkeit regeln können, und es müssen erweiterte Audiofunktionen, wie die Verringerung von störenden Audiosignalen von Geräten in der Umgebung und auditive Klarheit, zur Verfügung stehen;

h)

wenn das Produkt manuell bedient und gesteuert werden muss, müssen sequenzielle Steuerung und Alternativen zur feinmotorischen Steuerung zur Verfügung stehen, ist eine gleichzeitige Steuerung mit Handgriffen zu vermeiden und sind taktil erkennbare Teile zu verwenden;

i)

Bedienungsformen, die eine übertrieben große Reichweite und große Kraftanstrengungen erfordern, sind zu vermeiden;

j)

das Auslösen fotosensitiver Anfälle ist zu vermeiden;

k)

bei Nutzung der Barrierefreiheitsfunktionen muss die Privatsphäre der Nutzer geschützt werden;

l)

es müssen Alternativen zur biometrischen Identifizierung und Steuerung angeboten werden;

m)

die Konsistenz der Funktionalitäten muss gewahrt werden, und es muss ausreichend Zeit und eine flexible Zeitmenge für die Interaktionen zur Verfügung stehen;

n)

das Produkt muss Software und Hardware für Schnittstellen zu den assistiven Technologien aufweisen;

o)

das Produkt erfüllt die folgenden branchenspezifischen Anforderungen:

i)

Selbstbedienungsterminals

sind mit Sprachausgabetechnologie ausgestattet,

müssen die Benutzung von Einzel-Kopfhörern ermöglichen,

müssen den Nutzer, wenn eine zeitlich begrenzte Eingabe erforderlich ist, über mehr als einen sensorischen Kanal darauf hinweisen,

müssen die Verlängerung der gegebenen Zeit ermöglichen,

müssen, wenn sie mit Tasten und Bedienelementen ausgestattet sind, so gestaltet sein, dass zwischen Tasten und Bedienelementen ausreichender Kontrast besteht und diese taktil erkennbar sind,

dürfen keine Aktivierung von Barrierefreiheitsfunktionen erfordern, damit der Terminal von einem Nutzer, der auf entsprechende Funktionen angewiesen ist, eingeschaltet werden kann,

müssen, wenn Audiosignale oder akustische Signale verwendet werden, Audiosignale oder akustische Signale verwenden, die mit auf Unionsebene verfügbaren Hilfsmitteln und Technologien, etwa mit Hörhilfetechnik (z. B. Hörgeräten, Telefonspulen, Cochlea-Implantaten und technischen Hörhilfen), kompatibel sind;

ii)

E-Book-Lesegeräte sind mit Sprachausgabetechnologie (TTS) ausgestattet;

iii)

Verbraucherendgeräte mit interaktivem Leistungsumfang, die zur Bereitstellung elektronischer Kommunikationsdienste eingesetzt werden,

müssen, wenn sie zusätzlich zu Sprache auch Text verwenden, die Verarbeitung von Text in Echtzeit und eine hohe Wiedergabequalität von Audiodaten unterstützen,

müssen, wenn sie zusätzlich zu Text und Sprache oder in Kombination damit auch Video verwenden, die Abwicklung von Gesamtgesprächsdiensten unterstützen, einschließlich synchronisierter Sprache, Text in Echtzeit und Video mit einer Bildauflösung, die die Verständigung über Gebärdensprache ermöglicht,

müssen eine effektive drahtlose Verbindung zu Hörhilfetechnik sicherstellen,

müssen so gestaltet sein, dass keine Interferenzen mit Hilfsmitteln auftreten.

iv)

Verbraucherendgeräte mit interaktivem Leistungsumfang, die für den Zugang zu audiovisuellen Mediendiensten verwendet werden, müssen Menschen mit Behinderungen die Barrierefreiheitskomponenten bereitstellen, die der Anbieter audiovisueller Mediendienste für den Benutzerzugang, die Auswahl von Optionen, die Steuerung, die Personalisierung und die Übertragung an Hilfsmittel zur Verfügung stellt.

3.

Unterstützungsdienste:

Wenn Unterstützungsdienste (Help-Desk, Call-Center, technische Unterstützung, Relaisdienste und Einweisungsdienste) verfügbar sind, stellen sie Informationen über die Barrierefreiheit und die Kompatibilität des Produkts mit assistiven Technologien mit barrierefreien Kommunikationsmitteln bereit.

Abschnitt II

Barrierefreiheitsanforderungen in Bezug auf die Produkte gemäß Artikel 2 Absatz 1, mit Ausnahme von Selbstbedienungsterminals gemäß Artikel 2 Absatz 1 Buchstabe b

Zusätzlich zu Anforderungen des Abschnitts I sind die Verpackung und die Anleitungen der unter diesen Abschnitt fallenden Produkte im Hinblick auf eine möglichst starke voraussichtliche Nutzung durch Menschen mit Behinderungen so zugänglich zu machen, dass sie barrierefrei sind. Dies bedeutet, dass

a)

die Produktverpackung mit den entsprechenden Informationen (beispielsweise zum Öffnen, zum Schließen, zur Verwendung, zur Entsorgung), einschließlich — sofern bereitgestellt — Informationen über die Barrierefreiheitsmerkmale des Produkts, barrierefrei sein müssen, wobei die Informationen nach Möglichkeit auf der Verpackung angebracht werden;

b)

die Anleitungen für Installation und Wartung, Lagerung und Entsorgung, die nicht auf dem Produkt selbst angebracht sind, sondern auf anderem Wege, beispielsweise über eine Website, bereitgestellt werden, bei Inverkehrbringen öffentlich zugänglich sein und den folgenden Anforderungen genügen müssen:

i)

Sie werden über mehr als einen sensorischen Kanal zur Verfügung gestellt,

ii)

sie werden in verständlicher Weise dargestellt,

iii)

sie werden den Nutzern auf eine Weise dargestellt, die sie wahrnehmen können,

iv)

sie werden in einer Schriftart mit angemessener Schriftgröße und geeigneter Schriftform unter Berücksichtigung der vorhersehbaren Nutzungsbedingungen und mit ausreichendem Kontrast sowie anpassbarem Abstand zwischen den Buchstaben, Zeilen und Absätzen dargestellt,

v)

der Inhalt der Anleitungen wird in Textformaten zur Verfügung gestellt, die sich zum Generieren alternativer assistiver Formate eignen, die in unterschiedlicher Form dargestellt werden und über mehr als einen sensorischen Kanal wahrgenommen werden können, und

vi)

es wird eine alternative Darstellung des Inhalts angeboten, wenn Elemente mit Nicht-Text-Inhalten enthalten sind.

Abschnitt III

Allgemeine Barrierefreiheitsanforderungen für alle Dienstleistungen, die gemäß Artikel 2 Absatz 2 unter diese Richtlinie fallen

Damit die Dienstleistungen so erbracht werden, dass Menschen mit Behinderungen sie voraussichtlich maximal nutzen,

a)

muss die Barrierefreiheit der zur Erbringung der Dienstleistung verwendeten Produkte gemäß Abschnitt I dieses Anhangs und gegebenenfalls Abschnitt II dieses Anhangs gewährleistet sein;

b)

muss die Bereitstellung von Informationen über die Funktionsweise der Dienstleistung sowie — für den Fall, dass für die Erbringung der Dienstleistung Produkte verwendet werden — die Bereitstellung von Informationen über deren Verbindung zu diesen Produkten sowie über deren Barrierefreiheitsmerkmale und deren Interoperabilität mit Hilfsmitteln und -einrichtungen folgenden Anforderungen genügen:

i)

Die Informationen werden über mehr als einen sensorischen Kanal bereitgestellt,

ii)

sie werden in verständlicher Weise dargestellt,

iii)

sie werden den Nutzern auf eine Weise dargestellt, die sie wahrnehmen können,

iv)

der Informationsinhalt wird in Textformaten zur Verfügung gestellt, die sich zum Generieren alternativer assistiver Formate eignen, die von Nutzern in unterschiedlicher Form dargestellt werden und über mehr als einen sensorischen Kanal wahrgenommen werden können,

v)

sie werden in einer Schriftart mit angemessener Schriftgröße und geeigneter Schriftform unter Berücksichtigung der vorhersehbaren Nutzungsbedingungen und mit ausreichendem Kontrast sowie anpassbarem Abstand zwischen den Buchstaben, Zeilen und Absätzen dargestellt,

vi)

es wird eine alternative Darstellung des Inhalts angeboten, wenn Elemente mit Nicht-Text-Inhalten enthalten sind, und

vii)

die für die Erbringung der Dienstleistung erforderlichen elektronischen Informationen werden auf kohärente und angemessene Weise bereitgestellt, indem sie wahrnehmbar, bedienbar, verständlich und robust gestaltet werden;

c)

müssen Websites einschließlich der zugehörigen Online-Anwendungen und auf Mobilgeräten angebotenen Dienstleistungen, einschließlich mobiler Apps, auf kohärente und angemessene Weise wahrnehmbar, bedienbar, verständlich und robust gestaltet werden;

d)

müssen, wenn Unterstützungsdienste (Help-Desk, Call-Center, technische Unterstützung, Relaisdienste und Einweisungsdienste) verfügbar sind, Informationen über die Barrierefreiheit und die Kompatibilität des Produkts mit assistiven Technologien mit barrierefreien Kommunikationsmitteln bereitgestellt werden.

Abschnitt IV

Zusätzliche Barrierefreiheitsanforderungen für bestimmte Dienstleistungen

Damit Dienstleistungen so erbracht werden, dass Menschen mit Behinderungen sie voraussichtlich maximal nutzen, müssen für die Ausführung der Dienstleistungen Funktionen, Vorgehensweisen, Strategien und Verfahren sowie Änderungen vorgesehen sein, die eine Anpassung an die Bedürfnisse von Menschen mit Behinderungen ermöglichen und die Interoperabilität mit assistiven Technologien gewährleisten:

a)

bei elektronischen Kommunikationsdiensten einschließlich der in Artikel 109 Absatz 2 der Richtlinie (EU) 2018/1972 genannten Notrufe:

i)

Bereitstellung von Text in Echtzeit zusätzlich zur Sprachkommunikation;

ii)

wenn Video bereitgestellt wird, zusätzlich zur Sprache Bereitstellung von Gesamtgesprächsdiensten;

iii)

Gewährleistung, dass Notrufkommunikation über Sprache, Text (einschließlich Text in Echtzeit) synchronisiert ist und — sofern Video bereitgestellt wird — auch als Gesamtgesprächsdienst synchronisiert ist und von den Anbietern elektronischer Kommunikationsdienste an die am besten geeignete Notrufabfragestelle übermittelt wird;

b)

bei Diensten, die den Zugang zu audiovisuellen Mediendiensten ermöglichen:

i)

Bereitstellung elektronischer Programmführer (EPG), die wahrnehmbar, bedienbar, verständlich und robust sind und Informationen über die Verfügbarkeit von Barrierefreiheit bereitstellen;

ii)

Gewährleistung, dass die Barrierefreiheitskomponenten (Zugangsdienste) der audiovisuellen Mediendienste wie Untertitel für Gehörlose und Schwerhörige, Audiodeskription, gesprochene Untertitel und Gebärdensprachdolmetschung, vollständig, in für eine korrekte Anzeige angemessener Qualität und audio- und videosynchronisiert gesendet werden und dem Nutzer ermöglichen, ihre Anzeige und Verwendung selbst zu regeln;

c)

bei Personenbeförderungsdiensten im Luft-, Bus-, Schienen- und Schiffsverkehr, ausgenommen Stadt- und Vorortverkehrsdienste sowie Regionalverkehrsdienste:

i)

Gewährleistung der Bereitstellung von Informationen über die Barrierefreiheit der Verkehrsmittel, der umliegenden Infrastruktur und Gebäude und über die Unterstützung für Menschen mit Behinderungen;

ii)

Gewährleistung der Bereitstellung von Informationen über intelligente Ticketterminals (für die elektronische Reservierung und Buchung von Fahrausweisen usw.), Reiseinformationen in Echtzeit (Fahrpläne, Informationen über Verkehrsstörungen, Anschlüsse, die Weiterreise mit anderen Verkehrsmitteln usw.) und zusätzliche Informationen zu den Dienstleistungen (die personelle Ausstattung von Bahnhöfen, defekte Aufzüge oder vorübergehend nicht verfügbare Dienstleistungen usw.);

d)

bei Stadt- und Vorortverkehrsdienste sowie Regionalverkehrsdiensten: Gewährleistung der Barrierefreiheit der zur Erbringung der Dienstleistung verwendeten Selbstbedienungsterminals gemäß Abschnitt I dieses Anhangs;

e)

bei Bankdienstleistungen für Verbraucher:

i)

Bereitstellung von Identifizierungsmethoden, elektronischen Signaturen, Sicherheit und Zahlungsdiensten, die wahrnehmbar, bedienbar, verständlich und robust sind;

ii)

Gewährleistung, dass die Informationen verständlich sind und ihr Schwierigkeitsgrad nicht über dem Sprachniveau B2 (Höhere Mittelstufe) des Gemeinsamen europäischen Referenzrahmens für Sprachen (GERR) des Europarats liegt.

f)

bei E-Books:

i)

sofern sie neben Text auch Audio-Inhalte enthalten, Gewährleistung der synchronisierten Bereitstellung von Text- und Audio-Inhalten;

ii)

Gewährleistung, dass die ordnungsgemäße Funktionsweise assistiver Technologien nicht durch die digitalen Dateien des E-Books verhindert wird;

iii)

Gewährleistung des Zugangs zu Inhalten, der Navigation im Dateiinhalt und des Layouts einschließlich dynamischer Layouts sowie Bereitstellung der Struktur, Flexibilität und Wahlfreiheit bei der Darstellung der Inhalte;

iv)

Ermöglichung alternativer Wiedergabearten für den Inhalt und Interoperabilität des Inhalts mit vielfältigen assistiven Technologien in wahrnehmbarer, verständlicher, bedienbarer und robuster Weise;

v)

Gewährleistung der Auffindbarkeit der Barrierefreiheitsmerkmale durch Bereitstellung von Informationen in Form von Metadaten;

vi)

Gewährleistung, dass Barrierefreiheitsfunktionen nicht durch den digitalen Urheberrechtsschutz blockiert werden;

g)

bei Dienstleistungen im elektronischen Geschäftsverkehr (E-Commerce):

i)

Bereitstellung der Informationen zur Barrierefreiheit der zum Verkauf stehenden Produkte und Dienstleistungen, wenn diese Informationen vom verantwortlichen Wirtschaftsakteur zur Verfügung gestellt werden;

ii)

Gewährleistung der Barrierefreiheit der Identifizierungs-, Sicherheits- und Zahlungsfunktionen, wenn diese nicht in Form eines Produkts, sondern im Rahmen einer Dienstleistung bereitgestellt werden, durch deren wahrnehmbare, bedienbare, verständliche und robuste Gestaltung;

iii)

Bereitstellung von Identifizierungsmethoden, elektronischen Signaturen und Zahlungsdiensten, die wahrnehmbar, bedienbar, verständlich und robust sind;

Abschnitt V

Spezifische Barrierefreiheitsanforderungen im Zusammenhang mit der Beantwortung von an die einheitliche europäische Notrufnummer 112 gerichteten Notrufen durch die am besten geeignete Notrufabfragestelle

Damit Menschen mit Behinderungen die einheitliche europäische Notrufnummer 112 voraussichtlich maximal nutzen, müssen für die Beantwortung von an sie gerichteten Notrufen durch die am besten geeignete Notrufabfragestelle Funktionen, Vorgehensweisen, Strategien und Verfahren sowie Änderungen vorgesehen sein, die eine Anpassung an die Bedürfnisse von Menschen mit Behinderungen ermöglichen.

An die einheitliche europäische Notrufnummer 112 gerichtete Notrufe werden angemessen beantwortet, in der Weise, die der Organisation der nationalen Notrufdienste am besten entspricht, durch die am besten geeignete Notrufabfragestelle unter Verwendung derselben Kommunikationsmittel wie für den Eingang des Notrufs, insbesondere durch synchronisierte Sprache und Text (einschließlich Text in Echtzeit) oder — sofern Video bereitgestellt wird — durch Sprache, Text (einschließlich Text in Echtzeit) und Video, die als Gesamtgesprächsdienst synchronisiert werden.

Abschnitt VI

Barrierefreiheitsanforderungen für Merkmale, Bestandteile oder Funktionen von Produkten und Dienstleistungen gemäß Artikel 24 Absatz 2

Damit die Erfüllung der in anderen Rechtsakten der Union enthaltenen einschlägigen Verpflichtungen in Bezug auf Merkmale, Bestandteile oder Funktionen von Produkten und Dienstleistungen vorausgesetzt werden kann, ist Folgendes erforderlich:

1.

Produkte:

a)

Die Barrierefreiheit der Informationen über die Funktionsweise und die Barrierefreiheitsmerkmale von Produkten entspricht den jeweiligen Elementen in Abschnitt I Nummer 1 dieses Anhangs, insbesondere Informationen zur Nutzung des Produkts auf dem Produkt selbst und Anleitungen für die Nutzung des Produkts, die nicht auf dem Produkt selbst angegeben sind, sondern durch die Nutzung des Produkts oder auf anderem Wege, beispielsweise über eine Website, bereitgestellt werden.

b)

Die Barrierefreiheit der Merkmale, Bestandteile und Funktionen der Benutzerschnittstelle und Funktionalität der Produkte entspricht den jeweiligen Barrierefreiheitsanforderungen für diese Benutzerschnittstellen und Funktionalitäten gemäß Abschnitt I Nummer 2 dieses Anhangs.

c)

Die Barrierefreiheit der Verpackung, einschließlich der entsprechenden Informationen und der Anleitungen für Installation und Wartung, Lagerung und Entsorgung, die nicht auf dem Produkt selbst angebracht sind, sondern auf anderem Wege, beispielsweise über eine Website, bereitgestellt werden, ausgenommen bei Selbstbedienungsterminals, entspricht den jeweiligen Barrierefreiheitsanforderungen gemäß Abschnitt II dieses Anhangs.

2.

Dienstleistungen:

 

Die Barrierefreiheit der Merkmale, Bestandteile und Funktionen von Dienstleistungen entspricht den jeweiligen Barrierefreiheitsanforderungen für diese Merkmale, Bestandteile und Funktionen gemäß den dienstleistungsbezogenen Abschnitten dieses Anhangs.

Abschnitt VII

Anforderungen an die Funktionalität

Wenn sich die in den Abschnitten I bis VI des Anhangs festgelegten Barrierefreiheitsanforderungen nicht auf eine oder mehrere die Gestaltung und Herstellung von Produkten oder die Erbringung von Dienstleistungen betreffende Funktion(en) beziehen, werden diese Funktionen oder Mittel im Interesse einer möglichst starken voraussichtlichen Nutzung durch Menschen mit Behinderungen durch Erfüllung der diesbezüglichen Anforderungen an die Funktionalität barrierefrei gestaltet.

Als Alternative zu einer oder mehreren speziellen technischen Anforderung(en) dürfen diese Anforderungen an die Funktionalität nur verwendet werden, wenn in den Barrierefreiheitsanforderungen auf sie verwiesen wird, und nur dann, wenn ihre Anwendung den Barrierefreiheitsanforderungen entspricht und sie feststellt, dass die Gestaltung und Herstellung der Produkte und die Erbringung der Dienstleistungen bei der voraussichtlichen Nutzung durch Menschen mit Behinderungen zu einer gleichwertigen oder besseren Barrierefreiheit führt.

a)   Nutzung bei fehlendem Sehvermögen

Wenn das Produkt oder die Dienstleistung visuelle Bedienungsformen bietet, muss mindestens eine Bedienungsform vorhanden sein, die kein Sehvermögen erfordert.

b)   Nutzung mit eingeschränktem Sehvermögen

Wenn das Produkt oder die Dienstleistung visuelle Bedienungsformen bietet, muss mindestens eine Bedienungsform vorhanden sein, die die Nutzung bei eingeschränktem Sehvermögen ermöglicht.

c)   Nutzung bei fehlendem Farbunterscheidungsvermögen

Wenn das Produkt oder die Dienstleistung visuelle Bedienungsformen bietet, muss mindestens eine Bedienungsform vorhanden sein, die keine Farbunterscheidung erfordert.

d)   Nutzung bei fehlendem Hörvermögen

Wenn das Produkt oder die Dienstleistung auditive Bedienungsformen bietet, muss mindestens eine Bedienungsform vorhanden sein, die kein Hörvermögen erfordert.

e)   Nutzung mit eingeschränktem Hörvermögen

Wenn das Produkt oder die Dienstleistung auditive Bedienungsformen bietet, muss mindestens eine Bedienungsform mit erweiterten Audiofunktionen vorhanden sein, die die Nutzung bei eingeschränktem Hörvermögen ermöglicht.

f)   Nutzung bei fehlendem Sprechvermögen

Wenn für das Produkt oder die Dienstleistung eine stimmliche Eingabe des Nutzers erforderlich ist, muss mindestens eine Bedienungsform vorhanden sein, die keine stimmliche Eingabe erfordert. Als stimmliche Eingabe gelten auch orale Laute wie Sprechen, Pfeifen oder Schnalzen.

g)   Nutzung bei eingeschränkten manuell-motorischen Fähigkeiten oder eingeschränkter Kraft

Wenn das Produkt oder die Dienstleistung manuell bedient werden muss, muss mindestens eine Bedienungsform vorhanden sein, die die Nutzung mithilfe anderer Bedienungsformen ermöglicht, die keine feinmotorische Steuerung und Bedienung, Handmuskelkraft oder gleichzeitige Bedienung von mehr als einem Bedienelement erfordern.

h)   Nutzung bei eingeschränkter Reichweite

Die Bedienelemente des Produkts müssen sich in der Reichweite aller Nutzer befinden. Wenn das Produkt oder die Dienstleistung manuelle Bedienungsformen bietet, muss mindestens eine Bedienungsform vorhanden sein, die die Bedienung bei eingeschränkter Reichweite und Kraft ermöglicht.

i)   Minimierung der Gefahr, dass ein fotosensitiver Anfall ausgelöst wird

Wenn das Produkt visuelle Bedienungsformen bietet, sind fotosensitive Anfälle auslösende Bedienungsformen zu vermeiden.

j)   Nutzung bei eingeschränkter Kognition

Das Produkt oder die Dienstleistung muss mit mindestens einer Bedienungsform ausgestattet sein, die Funktionen umfasst, die die Nutzung erleichtern und vereinfachen.

k)   Datenschutz

Wenn das Produkt oder die Dienstleistung Funktionen umfasst, die der Barrierefreiheit dienen, muss mindestens eine Bedienungsform vorhanden sein, mit der der Datenschutz der Nutzer bei Verwendung dieser Barrierefreiheitsfunktionen gewahrt ist.


ANHANG II

INDIKATIVE UNVERBINDLICHE BEISPIELE MÖGLICHER LÖSUNGEN, DIE ZUR ERFÜLLUNG DER BARRIEREFREIHEITSANFORDERUNGEN IN ANHANG I BEITRAGEN

ABSCHNITT I:

BEISPIELE FÜR ALLGEMEINE BARRIEREFREIHEITSANFORDERUNGEN FÜR ALLE PRODUKTE, DIE GEMÄß ARTIKEL 2 ABSATZ 1 UNTER DIESE RICHTLINIE FALLEN

ANFORDERUNGEN IN ANHANG I ABSCHNITT I

BEISPIELE

1.

Bereitstellung von Informationen

a)

i)

Bereitstellung visueller und taktiler Informationen oder visueller und auditiver Informationen, aus denen hervorgeht, an welcher Stelle die Karte in ein Selbstbedienungsterminal einzuführen ist, sodass blinde Menschen und gehörlose Menschen den Terminal nutzen können.

ii)

Konsequente bzw. klar und logisch strukturierte Verwendung derselben Begriffe, sodass Menschen, die eine geistige Beeinträchtigung haben, sie besser verstehen können.

iii)

Bereitstellung von Informationen in Form taktiler Reliefdarstellungen oder in akustischer Form zusätzlich zu einem Warnhinweis, sodass blinde Menschen sie wahrnehmen können.

iv)

Möglichkeit, dass Text für sehbehinderte Menschen lesbar ist.

b)

i)

Bereitstellung elektronischer Dateien, die über einen Computer mit Screenreader vorgelesen werden können, sodass blinde Menschen diese Informationen nutzen können.

ii)

Konsequente bzw. klar und logisch strukturierte Verwendung derselben Begriffe, sodass Menschen, die eine geistige Beeinträchtigung haben, sie besser verstehen können.

iii)

Bereitstellung einer Untertitelung von Anleitungsvideos.

iv)

Möglichkeit, dass der Text für sehbehinderte Menschen lesbar ist.

v)

Ausdruck in Braille-Schrift, damit blinde Menschen sie nutzen können.

vi)

Ergänzung eines Schaubilds durch eine Textbeschreibung, in der die wichtigsten Elemente genannt oder zentrale Vorgänge beschrieben werden.

vii)

Kein Beispiel angegeben

viii)

Kein Beispiel angegeben

ix)

Vorsehen einer Buchse und spezieller Software bei einem Geldautomaten, sodass ein Kopfhörer angeschlossen werden kann, über den der am Bildschirm angezeigte Text akustisch ausgegeben wird.

2.

Benutzerschnittstelle und Funktionalität

a)

Bereitstellung von Anweisungen in Form von gesprochener Sprache oder Texten oder einer Tastatur mit taktilen Markierungen, damit Blinde oder Hörgeschädigte mit dem Produkt in Interaktion treten können.

b)

Bei einem Selbstbedienungsterminal mit gesprochenen Anweisungen zum Beispiel Darstellung der Anweisungen auch in Form von Texten oder Bildern, damit auch Gehörlose den Terminal bedienen können.

c)

Möglichkeit, Text oder ein bestimmtes Piktogramm zu vergrößern oder den Kontrast zu erhöhen, sodass sehbehinderte Menschen die Informationen wahrnehmen können.

d)

Wahl einer Option nicht nur durch Drücken der roten oder der grünen Taste, sondern schriftliche Angabe der Optionen auf den Tasten, damit auch farbenblinde Menschen diese Entscheidung treffen können.

e)

Bei einem Computer nicht nur Ausgabe eines Fehlersignals, sondern auch schriftlicher oder bildlicher Hinweis auf den Fehler, damit Gehörlose verstehen können, dass ein Fehler vorliegt.

f)

Möglichkeit, bei Darstellungen im Vordergrund den Kontrast zu erhöhen, damit sie von Menschen mit Sehschwäche erkannt werden können.

g)

Möglichkeit, am Telefon die Lautstärke zu regeln und Interferenzen mit Hörgeräten zu reduzieren, damit das Telefon von Schwerhörigen verwendet werden kann.

h)

Vorsehen, dass Touchscreen-Tasten größer dimensioniert und klar voneinander getrennt angeordnet sind, damit sie von Menschen, die unter einem Tremor leiden, bedient werden können.

i)

Sicherstellung, dass die Bedienung von Tasten keinen zu hohen Kraftaufwand erfordert, damit sie von motorisch eingeschränkten Menschen bedient werden können.

j)

Verzicht auf flackernde Bilder, damit von fotosensitiven Anfällen betroffene Menschen nicht gefährdet werden.

k)

Möglichkeit, Kopfhörer zu verwenden, wenn bei einem Geldautomaten Informationen in gesprochener Sprache bereitgestellt werden.

l)

Möglichkeit für Nutzer, die ihre Hände nicht gebrauchen können, als Alternative zur Fingerabdruckidentifizierung zum Ver- und Entriegeln des Telefons ein Passwort zu verwenden.

m)

Sicherstellung, dass die Software vorhersehbar reagiert, wenn ein bestimmter Vorgang durchgeführt wird, und Bereitstellung von genügend Zeit für die Eingabe eines Passworts, damit es von Menschen mit einer geistigen Beeinträchtigung leicht bedient werden kann.

n)

Anbieten eines Anschlusses für eine aktualisierbare Darstellung in Braille-Schrift, damit blinde Menschen den Computer nutzen können.

o)

Beispiele sektorspezifischer Anforderungen

i)

Kein Beispiel angegeben

ii)

Kein Beispiel angegeben

iii)

Erster Gedankenstrich

Vorsehen, dass ein Mobiltelefon Echtzeitgespräche verarbeiten können soll, damit schwerhörige Menschen Informationen interaktiv austauschen können.

iii)

Vierter Gedankenstrich

Möglichkeit, dass gleichzeitig Video zur Darstellung von Zeichensprache und Text zum Verfassen einer Nachricht verwendet wird, damit zwei gehörlose Menschen miteinander oder mit hörenden Menschen kommunizieren können.

iv)

Sicherstellung, dass Untertitel für gehörlose Menschen über die Set-top-Box übertragen werden.

3.

Unterstützungsdienste: Kein Beispiel angegeben

 

 

ABSCHNITT II:

BEISPIELE FÜR BARRIEREFREIHEITSANFORDERUNGEN FÜR PRODUKTE GEMÄSS ARTIKEL 2 ABSATZ 1, MIT AUSNAHME VON SELBSTBEDIENUNGSTERMINALS GEMÄß ARTIKEL 2 ABSATZ 1 BUCHSTABE b

ANFORDERUNGEN IN ANHANG I ABSCHNITT II

BEISPIELE

Verpackung und Anleitungen von Produkten

a)

Angabe auf der Verpackung, dass das Telefon mit Barrierefreiheitsfunktionen für Menschen mit Behinderungen ausgestattet ist.

b)

i)

Bereitstellung elektronischer Dateien, die über einen Computer mit Screenreader vorgelesen werden können, sodass blinde Menschen diese Informationen nutzen können.

ii)

Konsequente bzw. klar und logisch strukturierte Verwendung derselben Begriffe, sodass Menschen, die eine geistige Beeinträchtigung haben, sie besser verstehen können.

iii)

Bereitstellung von Informationen in Form taktiler Reliefdarstellungen oder in akustischer Form im Falle eines Warnhinweises, sodass blinde Menschen diese Warnung zur Kenntnis nehmen können.

iv)

Vorsehen, dass der Text für sehbehinderte Menschen lesbar ist.

v)

Ausdruck in Braille-Schrift, damit blinde Menschen sie lesen können.

vi)

Ergänzung eines Schaubilds durch eine Textbeschreibung, in der die wichtigsten Elemente genannt oder zentrale Vorgänge beschrieben werden.

ABSCHNITT III:

BEISPIELE FÜR ALLGEMEINE BARRIEREFREIHEITSANFORDERUNGEN FÜR ALLE DIENSTLEISTUNGEN, DIE GEMÄß ARTIKEL 2 ABSATZ 2 UNTER DIESE RICHTLINIE FALLEN

ANFORDERUNGEN IN ANHANG I ABSCHNITT III

BEISPIELE

Erbringung von Dienstleistungen

a)

Kein Beispiel angegeben

b)