02019R0881 — EL — 07.06.2019 — 000.001

---

Το κείμενο αυτό αποτελεί απλώς εργαλείο τεκμηρίωσης και δεν έχει καμία νομική ισχύ. Τα θεσμικά όργανα της Ένωσης δεν φέρουν καμία ευθύνη για το περιεχόμενό του. Τα αυθεντικά κείμενα των σχετικών πράξεων, συμπεριλαμβανομένων των προοιμίων τους, είναι εκείνα που δημοσιεύονται στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης και είναι διαθέσιμα στο EUR-Lex. Αυτά τα επίσημα κείμενα είναι άμεσα προσβάσιμα μέσω των συνδέσμων που περιέχονται στο παρόν έγγραφο

►B

ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2019/881 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ της 17ης Απριλίου 2019 σχετικά με τον ENISA («Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια») και με την πιστοποίηση της κυβερνοασφάλειας στον τομέα της τεχνολογίας πληροφοριών και επικοινωνιών και για την κατάργηση του κανονισμού (ΕΕ) αριθ. 526/2013 (πράξη για την κυβερνοασφάλεια) (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ) (ΕΕ L 151 της 7.6.2019, σ. 15)

Διορθώνεται από:

►C1	Διορθωτικό, ΕΕ L 180, 4.7.2019, σ.  31 (2019/881)

---

▼B

ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2019/881 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ

της 17ης Απριλίου 2019

σχετικά με τον ENISA («Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια») και με την πιστοποίηση της κυβερνοασφάλειας στον τομέα της τεχνολογίας πληροφοριών και επικοινωνιών και για την κατάργηση του κανονισμού (ΕΕ) αριθ. 526/2013 (πράξη για την κυβερνοασφάλεια)

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

ΤΙΤΛΟΣ I

ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 1

Αντικείμενο και πεδίο εφαρμογής

1.  Προκειμένου να διασφαλίζεται η ορθή λειτουργία της εσωτερικής αγοράς, σε συνδυασμό με την επίτευξη ενός υψηλού επιπέδου κυβερνοασφάλειας, κυβερνοανθεκτικότητας και κυβερνοεμπιστοσύνης εντός της Ένωσης, ο παρών κανονισμός θεσπίζει:

Το πλαίσιο που αναφέρεται στο στοιχείο β) του πρώτου εδαφίου εφαρμόζεται με την επιφύλαξη των ειδικών διατάξεων σε άλλες νομικές πράξεις της Ένωσης σχετικά με την εθελοντική ή την υποχρεωτική πιστοποίηση.

2.  Ο παρών κανονισμός δεν θίγει τις αρμοδιότητες των κρατών μελών σχετικά με δραστηριότητες που αφορούν τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και τις δραστηριότητες του κράτους σε τομείς του ποινικού δικαίου.

Άρθρο 2

Ορισμοί

Για τους σκοπούς του παρόντος κανονισμού, ισχύουν οι ακόλουθοι ορισμοί:

1)	«κυβερνοασφάλεια» : οι δραστηριότητες που απαιτούνται για την προστασία των συστημάτων δικτύου και πληροφοριών, των χρηστών των εν λόγω συστημάτων και άλλων επηρεαζόμενων από κυβερνοαπειλές προσώπων,

2)	«σύστημα δικτύου και πληροφοριών» : το σύστημα δικτύου και πληροφοριών όπως ορίζεται στο άρθρο 4 σημείο 1) της οδηγίας (ΕΕ) 2016/1148,

3)	«εθνική στρατηγική για την ασφάλεια συστημάτων δικτύου και πληροφοριών» : η εθνική στρατηγική για την ασφάλεια συστημάτων δικτύου και πληροφοριών όπως ορίζεται στο άρθρο 4 σημείο 3) της οδηγίας (ΕΕ) 2016/1148,

4)	«φορέας εκμετάλλευσης βασικών υπηρεσιών» : ο φορέας εκμετάλλευσης βασικών υπηρεσιών όπως ορίζεται στο άρθρο 4 σημείο 4) της οδηγίας (ΕΕ) 2016/1148,

5)	«πάροχος ψηφιακών υπηρεσιών» : ο πάροχος ψηφιακών υπηρεσιών όπως ορίζεται στο άρθρο 4 σημείο 6) της οδηγίας (ΕΕ) 2016/1148,

6)	«συμβάν» : το συμβάν όπως ορίζεται στο άρθρο 4 σημείο 7) της οδηγίας (ΕΕ) 2016/1148,

7)	«χειρισμός συμβάντων» : ο χειρισμός συμβάντων όπως ορίζεται στο άρθρο 4 σημείο 8) της οδηγίας (ΕΕ) 2016/1148,

8)	«κυβερνοαπειλή» : κάθε πιθανή περίσταση, πιθανό συμβάν ή πιθανή ενέργεια που θα μπορούσε να καταστρέψει, να διαταράξει ή να επιδράσει κατ’ άλλον τρόπο δυσμενώς στα συστήματα δικτύου και πληροφοριών, στους χρήστες των εν λόγω συστημάτων και σε άλλα πρόσωπα,

9)	«ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας» : πλήρες σύνολο κανόνων, τεχνικών απαιτήσεων, προτύπων και διαδικασιών που θεσπίζονται σε επίπεδο Ένωσης και που εφαρμόζονται στην πιστοποίηση ή την αξιολόγηση της συμμόρφωσης συγκεκριμένων προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ,

10)

«εθνικό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας» : πλήρες σύνολο κανόνων, τεχνικών απαιτήσεων, προτύπων και διαδικασιών που έχουν αναπτυχθεί και εγκριθεί από εθνική δημόσια αρχή και που εφαρμόζονται για την πιστοποίηση ή την αξιολόγηση της συμμόρφωσης των προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ που εμπίπτουν στο πεδίο εφαρμογής του συγκεκριμένου ►C1  σχήματος ◄ ,

11)

«ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας» : έγγραφο το οποίο εκδίδεται από τον αρμόδιο οργανισμό και βεβαιώνει ότι ένα συγκεκριμένο προϊόν ΤΠΕ, μια συγκεκριμένη υπηρεσία ΤΠΕ ή διαδικασία ΤΠΕ έχει αξιολογηθεί ως προς τη συμμόρφωση με συγκεκριμένες απαιτήσεις ασφαλείας που προβλέπει ένα ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας,

12)	«προϊόν ΤΠΕ» : στοιχείο ή ομάδα στοιχείων συστήματος δικτύου ή πληροφοριών,

13)	«υπηρεσία ΤΠΕ» : υπηρεσία που συνίσταται εξολοκλήρου ή κατά κύριο λόγο στη διαβίβαση, αποθήκευση, ανάκτηση ή επεξεργασία πληροφοριών μέσω συστημάτων δικτύου και πληροφοριών,

14)	«διαδικασία ΤΠΕ» : σύνολο δραστηριοτήτων που διεξάγονται για να σχεδιάζουν, να αναπτύσσουν, να παρέχουν ή να διατηρούν προϊόν ΤΠΕ ή υπηρεσία ΤΠΕ,

15)	«διαπίστευση» : η διαπίστευση όπως ορίζεται στο άρθρο 2 σημείο 10) του κανονισμού (ΕΚ) αριθ. 765/2008,

16)	«εθνικός οργανισμός διαπίστευσης» : ο εθνικός οργανισμός διαπίστευσης όπως ορίζεται στο άρθρο 2 σημείο 11) του κανονισμού (ΕΚ) αριθ. 765/2008,

17)	«αξιολόγηση της συμμόρφωσης» : η αξιολόγηση της συμμόρφωσης όπως ορίζεται στο άρθρο 2 σημείο 12) του κανονισμού (ΕΚ) αριθ. 765/2008,

18)	«οργανισμός αξιολόγησης της συμμόρφωσης» : ο οργανισμός αξιολόγησης της συμμόρφωσης όπως ορίζεται στο άρθρο 2 σημείο 13) του κανονισμού (ΕΚ) αριθ. 765/2008,

19)	«πρότυπο» : το πρότυπο όπως ορίζεται στο άρθρο 2 σημείο 1) του κανονισμού (ΕΕ) αριθ. 1025/2012,

20)	«τεχνική προδιαγραφή» : έγγραφο με το οποίο ορίζονται οι τεχνικές απαιτήσεις που πρέπει να πληρούνται από προϊόν ΤΠΕ, υπηρεσία ΤΠΕ ή διαδικασία ΤΠΕ ή οι σχετικές με αυτά διαδικασίες αξιολόγησης της συμμόρφωσης,

21)

«επίπεδο διασφάλισης» : η βάση για την εμπιστοσύνη ότι ένα προϊόν ΤΠΕ, μια υπηρεσία ΤΠΕ ή μια διαδικασία ΤΠΕ πληροί τις απαιτήσεις ασφαλείας συγκεκριμένου ευρωπαϊκού ►C1  σχήματος ◄ πιστοποίησης της κυβερνοασφάλειας, το οποίο δείχνει το επίπεδο στο οποίο έχει αξιολογηθεί ένα προϊόν ΤΠΕ, μια υπηρεσία ΤΠΕ ή μια διαδικασία ΤΠΕ αλλά δεν μετρά από μόνο του την ασφάλεια του σχετικού προϊόντος ΤΠΕ, υπηρεσίας ΤΠΕ ή διαδικασίας ΤΠΕ,

22)

«αυτοαξιολόγηση της συμμόρφωσης» : ενέργεια που πραγματοποιείται από κατασκευαστή ή πάροχο προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ, η οποία αξιολογεί κατά πόσο τα εν λόγω προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ ή διαδικασίες ΤΠΕ πληρούν τις απαιτήσεις συγκεκριμένου ευρωπαϊκού ►C1  σχήματος ◄ πιστοποίησης της κυβερνοασφάλειας.

ΤΙΤΛΟΣ II

ENISA (Ο ΟΡΓΑΝΙΣΜΟΣ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ ΓΙΑ ΤΗΝ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑ)

ΚΕΦΑΛΑΙΟ I

Εντολή και στόχοι

Άρθρο 3

Εντολή

1.  Ο ENISA αναλαμβάνει τα καθήκοντα που του ανατίθενται με τον παρόντα κανονισμό με σκοπό να επιτύχει ένα υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, μεταξύ άλλων υποστηρίζοντας ενεργά τα κράτη μέλη, τα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης για τη βελτίωση της κυβερνοασφάλειας. Ο ENISA ενεργεί ως σημείο αναφοράς για την παροχή συμβουλών και εμπειρογνωμοσύνης σχετικά με την κυβερνοασφάλεια για τα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης, καθώς και άλλους σχετικούς συμφεροντούχους στην Ένωση.

Ο ENISA συμβάλλει στη μείωση του κατακερματισμού της εσωτερικής αγοράς μέσω της εκτέλεσης των καθηκόντων που του ανατίθενται δυνάμει του παρόντος κανονισμού.

2.  Ο ENISA ασκεί καθήκοντα που του ανατίθενται με νομικές πράξεις της Ένωσης που καθορίζουν μέτρα για την προσέγγιση νόμων, κανονισμών και διοικητικών διατάξεων των κρατών μελών που σχετίζονται με την κυβερνοασφάλεια.

3.  Κατά την εκτέλεση των καθηκόντων του, ο ENISA ενεργεί ανεξάρτητα, αποφεύγοντας τις αλληλεπικαλύψεις των δραστηριοτήτων των κρατών μελών και λαμβάνοντας υπόψη την υπάρχουσα εμπειρογνωσία των κρατών μελών.

4.  Ο ENISA αναπτύσσει τους δικούς του αναγκαίους πόρους, συμπεριλαμβανομένων τεχνικών και ανθρώπινων ικανοτήτων και δεξιοτήτων, για να εκτελεί τα καθήκοντα που του ανατίθενται δυνάμει του παρόντος κανονισμού.

Άρθρο 4

Στόχοι

1.  Ο ENISA αποτελεί κέντρο εμπειρογνωσίας σε θέματα κυβερνοασφάλειας χάρη στην ανεξαρτησία του, την επιστημονική και τεχνική ποιότητα των συμβουλών και της επικουρίας που παρέχει, τις πληροφορίες που παρέχει, τη διαφάνεια των επιχειρησιακών διαδικασιών του, τις μεθόδους λειτουργίας και την επιμέλεια με την οποία εκτελεί τα καθήκοντά του.

2.  Ο ENISA επικουρεί τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης, καθώς και τα κράτη μέλη, στην ανάπτυξη και την εφαρμογή πολιτικών της Ένωσης που σχετίζονται με την κυβερνοασφάλεια, συμπεριλαμβανομένων των τομεακών πολιτικών για την κυβερνοασφάλεια.

3.  Ο ENISA στηρίζει την ανάπτυξη ικανοτήτων και την ετοιμότητα στην Ένωση, επικουρώντας τα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης, καθώς και τα κράτη μέλη και τους ιδιωτικούς και δημόσιους συμφεροντούχους, με σκοπό την ενίσχυση της προστασίας των συστημάτων δικτύου και πληροφοριών τους, την ανάπτυξη και τη βελτίωση της κυβερνοανθεκτικότητας και της ικανότητας ανταπόκρισης και την ανάπτυξη δεξιοτήτων και ικανοτήτων στο πεδίο της κυβερνοασφάλειας.

4.  Ο ENISA προάγει τη συνεργασία, συμπεριλαμβανομένης της ανταλλαγής πληροφοριών, και τον συντονισμό σε ενωσιακό επίπεδο ανάμεσα στα κράτη μέλη, τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης, καθώς και στους σχετικούς ιδιωτικούς και δημόσιους συμφεροντούχους σε θέματα που σχετίζονται με την κυβερνοασφάλεια.

5.  Ο ENISA συμβάλλει στην αύξηση των ικανοτήτων κυβερνοασφάλειας σε επίπεδο Ένωσης προκειμένου να στηρίζει τις ενέργειες των κρατών μελών όσον αφορά την πρόληψη και την αντιμετώπιση κυβερνοαπειλών, ιδίως σε περίπτωση διασυνοριακών συμβάντων.

6.  Ο ENISA προάγει τη χρήση της ευρωπαϊκής πιστοποίησης της κυβερνοασφάλειας προκειμένου να αποφευχθεί ο κατακερματισμός της εσωτερικής αγοράς. Ο ENISA συμβάλλει στη θέσπιση και τη διατήρηση ενός ευρωπαϊκού πλαισίου πιστοποίησης της κυβερνοασφάλειας σύμφωνα με τον τίτλο III του παρόντος κανονισμού, προκειμένου να αυξηθεί η διαφάνεια της κυβερνοασφάλειας των προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ και, επομένως, να ενισχυθεί η εμπιστοσύνη στην ψηφιακή εσωτερική αγορά και η ανταγωνιστικότητά της.

7.  Ο ENISA προάγει ένα υψηλό επίπεδο ευαισθητοποίησης ως προς την κυβερνοασφάλεια, συμπεριλαμβανομένης της κυβερνοϋγιεινής και του κυβερνογραμματισμού μεταξύ πολιτών, οργανισμών και επιχειρήσεων.

ΚΕΦΑΛΑΙΟ II

Καθήκοντα

Άρθρο 5

Χάραξη και εφαρμογή της πολιτικής και της νομοθεσίας της Ένωσης

Ο ENISA συμβάλλει στη χάραξη και την εφαρμογή της πολιτικής και του δικαίου της Ένωσης:

Άρθρο 6

Ανάπτυξη ικανοτήτων

1.  Ο ENISA επικουρεί:

2.  Ο ENISA στηρίζει την ανταλλαγή πληροφοριών στους τομείς και μεταξύ των τομέων, ιδίως στους τομείς που παρατίθενται στο παράρτημα II της οδηγίας (ΕΕ) 2016/1148, με την παροχή βέλτιστων πρακτικών και καθοδήγησης για τα διαθέσιμα εργαλεία, τις διαδικασίες, καθώς και για τον τρόπο αντιμετώπισης των ρυθμιστικών ζητημάτων που σχετίζονται με την ανταλλαγή πληροφοριών.

Άρθρο 7

Επιχειρησιακή συνεργασία σε επίπεδο Ένωσης

1.  Ο ENISA υποστηρίζει την επιχειρησιακή συνεργασία μεταξύ κρατών μελών, των θεσμικών και λοιπών οργάνων και οργανισμών της Ένωσης και μεταξύ συμφεροντούχων.

2.  Ο ENISA συνεργάζεται σε επιχειρησιακό επίπεδο και αναπτύσσει συνέργειες με τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης, συμπεριλαμβανομένων της CERT-EU, με τις υπηρεσίες που ασχολούνται με το κυβερνοέγκλημα και με τις εποπτικές αρχές που ασχολούνται με την προστασία της ιδιωτικής ζωής και των δεδομένων προσωπικού χαρακτήρα, με σκοπό την αντιμετώπιση κοινών προβλημάτων, μεταξύ άλλων μέσω:

3.  Ο ENISA παρέχει τη γραμματειακή υποστήριξη στο δίκτυο CSIRT δυνάμει του άρθρου 12 παράγραφος 2 της οδηγίας (ΕΕ) 2016/1148 και, υπό αυτήν την ιδιότητα, υποστηρίζει ενεργά την ανταλλαγή πληροφοριών και τη συνεργασία μεταξύ των μελών του.

4.  Ο ENISA στηρίζει τα κράτη μέλη όσον αφορά την επιχειρησιακή συνεργασία εντός του δικτύου CSIRT με:

Κατά την εκτέλεση των εν λόγω καθηκόντων, ο ENISA και η CERT-EU δεσμεύονται σε μια δομημένη συνεργασία προκειμένου να επωφελούνται από τις συνέργειες και να αποφεύγεται η αλληλεπικάλυψη δραστηριοτήτων.

5.  Ο ENISA διοργανώνει τακτικά ασκήσεις κυβερνοασφάλειας σε επίπεδο Ένωσης και παρέχει συνδρομή στα κράτη μέλη και τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης στην οργάνωση ασκήσεων κυβερνοασφάλειας κατόπιν αιτήματός τους. Οι εν λόγω ασκήσεις κυβερνοασφάλειας σε επίπεδο Ένωσης είναι δυνατόν να περιλαμβάνουν τεχνικά, επιχειρησιακά και στρατηγικά στοιχεία. Ανά διετία διοργανώνεται από τον ENISA γενική άσκηση μεγάλης κλίμακας.

Κατά περίπτωση, ο ENISA επίσης συμβάλλει και επικουρεί τη διοργάνωση των τομεακών ασκήσεων κυβερνοασφάλειας μαζί με αρμόδιους οργανισμούς που συμμετέχουν επίσης στις ασκήσεις κυβερνοασφάλειας σε επίπεδο Ένωσης.

6.  Ο ENISA εκπονεί τακτικά, σε στενή συνεργασία με τα κράτη μέλη, αναλυτική τεχνική έκθεση για την κατάσταση της κυβερνοασφάλειας στην ΕΕ όσον αφορά συμβάντα και κυβερνοαπειλές, με βάση πληροφορίες διαθέσιμες στο κοινό, τις αναλύσεις του και εκθέσεις που υποβάλλουν, μεταξύ άλλων, οι CSIRT των κρατών μελών ή τα ενιαία κέντρα επαφής που ιδρύθηκαν με την οδηγία (ΕΕ) 2016/1148, αμφότερα εθελοντικώς, το EC3 και η CERT-EU.

7.  Ο ENISA συμβάλλει στην ανάπτυξη μιας κοινής αντιμετώπισης, σε επίπεδο Ένωσης και κρατών μελών, των μεγάλης κλίμακας διασυνοριακών συμβάντων και κρίσεων που αφορούν την κυβερνοασφάλεια, κυρίως με:

Άρθρο 8

Αγορά, πιστοποίηση της κυβερνοασφάλειας και προτυποποίηση

1.  Ο ENISA υποστηρίζει και προάγει τη χάραξη και την εφαρμογή της πολιτικής της Ένωσης για την πιστοποίηση της κυβερνοασφάλειας για προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ και διαδικασίες ΤΠΕ, όπως καθορίζονται στον τίτλο III του παρόντος κανονισμού:

2.  Ο ENISA παρέχει τη γραμματειακή υποστήριξη στην ομάδα συμφεροντούχων για την πιστοποίηση της κυβερνοασφάλειας σύμφωνα με το άρθρο 22 παράγραφος 4.

3.  Ο ENISA συντάσσει και δημοσιεύει κατευθυντήριες γραμμές και αναπτύσσει ορθές πρακτικές, όσον αφορά τις απαιτήσεις κυβερνοασφάλειας για προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ και διαδικασίες ΤΠΕ, σε συνεργασία με τις εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας και με τον κλάδο, με τρόπο επίσημο και δομημένο και με διαφάνεια.

4.  Ο ENISA συμβάλλει στην επαρκή ανάπτυξη ικανοτήτων σχετικά με διαδικασίες αξιολόγησης και πιστοποίησης με τη συγκέντρωση και την έκδοση κατευθυντηρίων γραμμών, καθώς και με την παροχή στήριξης σε κράτη μέλη κατόπιν αιτήματός τους.

5.  Ο ENISA διευκολύνει την καθιέρωση και χρήση ευρωπαϊκών και διεθνών προτύπων για τη διαχείριση κινδύνου και την ασφάλεια των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ και των διαδικασιών ΤΠΕ.

6.  Ο ENISA εκπονεί, σε συνεργασία με τα κράτη μέλη και τον κλάδο, συμβουλές και κατευθυντήριες γραμμές σχετικά με τα τεχνικά πεδία που αφορούν τις απαιτήσεις ασφάλειας των φορέων εκμετάλλευσης βασικών υπηρεσιών και των παρόχων ψηφιακών υπηρεσιών, αλλά και ήδη υφιστάμενα πρότυπα, συμπεριλαμβανομένων των εθνικών προτύπων των κρατών μελών, δυνάμει του άρθρου 19 παράγραφος 2 της οδηγίας (ΕΕ) 2016/1148.

7.  Ο ENISA πραγματοποιεί και διαδίδει τακτικές αναλύσεις των κύριων τάσεων στην αγορά της κυβερνοασφάλειας από την πλευρά τόσο της ζήτησης όσο και της προσφοράς, με σκοπό την ενίσχυση της αγοράς κυβερνοασφάλειας εντός της Ένωσης.

Άρθρο 9

Γνώσεις και πληροφορίες

Ο ENISA:

Άρθρο 10

Ευαισθητοποίηση και εκπαίδευση

Ο ENISA:

Άρθρο 11

Έρευνα και καινοτομία

Αναφορικά με την έρευνα και καινοτομία, ο ENISA:

Άρθρο 12

Διεθνής συνεργασία

Ο ENISA συμβάλλει στις προσπάθειες της Ένωσης για συνεργασία της με τρίτες χώρες και διεθνείς οργανισμούς, μεταξύ άλλων εντός των σχετικών πλαισίων διεθνούς συνεργασίας, για την προώθηση της διεθνούς συνεργασίας σε θέματα που αφορούν την κυβερνοασφάλεια:

ΚΕΦΑΛΑΙΟ III

Οργάνωση του ENISA

Άρθρο 13

Δομή του ENISA

Η δομή διοίκησης και διαχείρισης του ENISA απαρτίζεται από:

Τμήμα 1

Διοικητικό Συμβούλιο

Άρθρο 14

Σύνθεση του διοικητικού συμβουλίου

1.  Το διοικητικό συμβούλιο απαρτίζεται από ένα μέλος που διορίζεται από κάθε κράτος μέλος και δύο μέλη που διορίζονται από την Επιτροπή. Όλα τα μέλη έχουν δικαίωμα ψήφου.

2.  Για κάθε μέλος του διοικητικού συμβουλίου υπάρχει αναπληρωματικό μέλος. Το εν λόγω αναπληρωματικό μέλος εκπροσωπεί το μέλος σε περίπτωση απουσίας του.

3.  Τα τακτικά και τα αναπληρωματικά μέλη του διοικητικού συμβουλίου διορίζονται με κριτήριο τη γνώση τους στον τομέα της κυβερνοασφάλειας, ενώ λαμβάνονται επίσης υπόψη οι σχετικές δεξιότητές τους στους τομείς της διαχείρισης, της διοίκησης και του προϋπολογισμού. Η Επιτροπή και τα κράτη μέλη καταβάλλουν προσπάθειες για να περιορίσουν την εναλλαγή των αντιπροσώπων τους στο διοικητικό συμβούλιο, προκειμένου να διασφαλίζεται η συνέχεια του έργου του διοικητικού συμβουλίου. Η Επιτροπή και τα κράτη μέλη επιδιώκουν την ισόρροπη εκπροσώπηση ανδρών και γυναικών στο διοικητικό συμβούλιο.

4.  Η θητεία των τακτικών και των αναπληρωματικών μελών του διοικητικού συμβουλίου είναι τετραετής. Η θητεία αυτή είναι ανανεώσιμη.

Άρθρο 15

Καθήκοντα του διοικητικού συμβουλίου

1.  Το διοικητικό συμβούλιο:

2.  Σύμφωνα με το άρθρο 110 του κανονισμού υπηρεσιακής κατάστασης, το διοικητικό συμβούλιο εκδίδει απόφαση με βάση το άρθρο 2 παράγραφος 1 του κανονισμού υπηρεσιακής κατάστασης των υπαλλήλων και το άρθρο 6 του καθεστώτος που εφαρμόζεται στο λοιπό προσωπικό, για τη μεταβίβαση των σχετικών εξουσιών αρμόδιας για τους διορισμούς αρχής στον εκτελεστικό διευθυντή, καθώς και για τον προσδιορισμό των προϋποθέσεων με βάση τις οποίες μπορεί να ανασταλεί η εν λόγω μεταβίβαση. Ο εκτελεστικός διευθυντής έχει το δικαίωμα να μεταβιβάζει περαιτέρω τις εν λόγω εξουσίες.

3.  Όταν το επιβάλλουν εξαιρετικές περιστάσεις, το διοικητικό συμβούλιο δύναται να εκδώσει απόφαση προσωρινής αναστολής της μεταβίβασης στον εκτελεστικό διευθυντή των εξουσιών αρμόδιας για τους διορισμούς αρχής και τυχόν εξουσιών αρμόδιας για τους διορισμούς αρχής που ο εκτελεστικός διευθυντής μεταβίβασε περαιτέρω και να τις ασκήσει αντ’ αυτού το ίδιο ή να τις αναθέσει σε ένα από τα μέλη του ή σε άλλο μέλος του προσωπικού πλην του εκτελεστικού διευθυντή.

Άρθρο 16

Πρόεδρος του διοικητικού συμβουλίου

Το διοικητικό συμβούλιο εκλέγει με πλειοψηφία των δύο τρίτων των μελών του πρόεδρο και αναπληρωτή πρόεδρο εκ των μελών του. Η θητεία τους είναι τεσσάρων ετών, η οποία μπορεί να ανανεωθεί μία φορά. Ωστόσο, εάν απωλέσουν την ιδιότητα του μέλους του διοικητικού συμβουλίου σε οποιαδήποτε στιγμή της θητείας τους, η θητεία τους λήγει την ίδια ημερομηνία αυτομάτως. Ο αναπληρωτής πρόεδρος αντικαθιστά αυτεπαγγέλτως τον πρόεδρο, εάν ο πρόεδρος δεν είναι σε θέση να εκτελέσει τα καθήκοντά του.

Άρθρο 17

Συνεδριάσεις του διοικητικού συμβουλίου

1.  Το διοικητικό συμβούλιο συγκαλείται από τον πρόεδρό του.

2.  Το διοικητικό συμβούλιο συνέρχεται σε τακτική συνεδρίαση τουλάχιστον δύο φορές ετησίως. Συνέρχεται επίσης σε έκτακτες συνεδριάσεις με πρωτοβουλία του προέδρου του, κατόπιν αιτήματος της Επιτροπής ή αιτήματος τουλάχιστον ενός τρίτου των μελών του.

3.  Ο εκτελεστικός διευθυντής συμμετέχει χωρίς δικαίωμα ψήφου στις συνεδριάσεις του διοικητικού συμβουλίου.

4.  Τα μέλη της συμβουλευτικής ομάδας του ENISA μπορούν να συμμετέχουν, κατόπιν πρόσκλησης από τον πρόεδρο, στις συνεδριάσεις του διοικητικού συμβουλίου, χωρίς δικαίωμα ψήφου.

5.  Τα τακτικά και τα αναπληρωματικά μέλη του διοικητικού συμβουλίου δύνανται να επικουρούνται στις συνεδριάσεις του διοικητικού συμβουλίου από συμβούλους ή εμπειρογνώμονες, με την επιφύλαξη του εσωτερικού κανονισμού του διοικητικού συμβουλίου.

6.  Ο ENISA παρέχει γραμματειακή υποστήριξη στο διοικητικό συμβούλιο.

Άρθρο 18

Κανόνες ψηφοφορίας του διοικητικού συμβουλίου

1.  Το διοικητικό συμβούλιο αποφασίζει με πλειοψηφία των μελών του.

2.  Απαιτείται πλειοψηφία δύο τρίτων των μελών του διοικητικού συμβουλίου για την έγκριση του ενιαίου εγγράφου προγραμματισμού και του ετήσιου προϋπολογισμού, καθώς και για τον διορισμό, την παράταση της θητείας και την παύση του εκτελεστικού διευθυντή.

3.  Κάθε μέλος διαθέτει μία ψήφο. Κατά την απουσία μέλους, το δικαίωμα ψήφου του δικαιούται να ασκήσει ο αναπληρωτής του.

4.  Ο πρόεδρος του διοικητικού συμβουλίου συμμετέχει στην ψηφοφορία.

5.  Ο εκτελεστικός διευθυντής δεν συμμετέχει στην ψηφοφορία.

6.  Λεπτομερέστερες ρυθμίσεις σχετικά με την ψηφοφορία, ιδίως όσον αφορά τις προϋποθέσεις υπό τις οποίες ένα μέλος μπορεί να ενεργεί εξ ονόματος άλλου μέλους, καθορίζονται στον εσωτερικό κανονισμό του διοικητικού συμβουλίου.

Τμήμα 2

Εκτελεστικό Συμβούλιο

Άρθρο 19

Εκτελεστικό συμβούλιο

1.  Το διοικητικό συμβούλιο επικουρείται από το εκτελεστικό συμβούλιο.

2.  Το εκτελεστικό συμβούλιο:

3.  Το εκτελεστικό συμβούλιο απαρτίζεται από πέντε μέλη. Τα εν λόγω μέλη διορίζονται εκ των μελών του διοικητικού συμβουλίου. Ένα από τα μέλη είναι ο πρόεδρος του διοικητικού συμβουλίου, που μπορεί να ασκεί και την προεδρία του εκτελεστικού συμβουλίου, και ένα άλλο είναι ένας από τους αντιπροσώπους της Επιτροπής. Οι διορισμοί των μελών του εκτελεστικού συμβουλίου επιδιώκουν την ισόρροπη εκπροσώπηση των φύλων στο εκτελεστικό συμβούλιο. Ο εκτελεστικός διευθυντής συμμετέχει στις συνεδριάσεις του εκτελεστικού συμβουλίου χωρίς δικαίωμα ψήφου.

4.  Η διάρκεια της θητείας των μελών του εκτελεστικού συμβουλίου είναι τετραετής. Η θητεία αυτή είναι ανανεώσιμη.

5.  Το εκτελεστικό συμβούλιο συνέρχεται τουλάχιστον μια φορά το τρίμηνο. Ο πρόεδρος του εκτελεστικού συμβουλίου συγκαλεί έκτακτες συνεδριάσεις μετά από αίτημα των μελών του.

6.  Το διοικητικό συμβούλιο θεσπίζει τον εσωτερικό κανονισμό του εκτελεστικού συμβουλίου.

7.  Όταν καθίσταται απαραίτητο, λόγω έκτακτης ανάγκης, το εκτελεστικό συμβούλιο δύναται να λάβει ορισμένες προσωρινές αποφάσεις εξ ονόματος του διοικητικού συμβουλίου, ιδίως σε θέματα διοικητικής διαχείρισης, συμπεριλαμβανομένης της αναστολής της μεταβίβασης εξουσιών αρμόδιας για τους διορισμούς αρχής, καθώς και σε θέματα προϋπολογισμού. Οποιεσδήποτε τέτοιες προσωρινές αποφάσεις κοινοποιούνται στο διοικητικό συμβούλιο χωρίς άσκοπη καθυστέρηση. Το διοικητικό συμβούλιο στη συνέχεια αποφασίζει την έγκριση ή την απόρριψη της προσωρινής απόφασης το αργότερο τρεις μήνες μετά τη λήψη της απόφασης. Το εκτελεστικό συμβούλιο δεν λαμβάνει αποφάσεις εκ μέρους του διοικητικού συμβουλίου οι οποίες απαιτούν την έγκριση πλειοψηφίας δύο τρίτων των μελών του διοικητικού συμβουλίου.

Τμήμα 3

Εκτελεστικός διευθυντής

Άρθρο 20

Καθήκοντα του εκτελεστικού διευθυντή

1.  Ο ENISA διοικείται από τον εκτελεστικό διευθυντή του, ο οποίος ενεργεί ανεξάρτητα κατά την άσκηση των καθηκόντων του. Ο εκτελεστικός διευθυντής λογοδοτεί στο διοικητικό συμβούλιο.

2.  Ο εκτελεστικός διευθυντής υποβάλλει έκθεση στο Ευρωπαϊκό Κοινοβούλιο σχετικά με την εκτέλεση των καθηκόντων του κατόπιν σχετικού αιτήματος. Το Συμβούλιο μπορεί να καλέσει τον εκτελεστικό διευθυντή να υποβάλει έκθεση σχετικά με την εκτέλεση των καθηκόντων του.

3.  Ο εκτελεστικός διευθυντής είναι υπεύθυνος για:

4.  Εφόσον κρίνεται αναγκαίο, και στο πλαίσιο της εντολής του ENISA, ο εκτελεστικός διευθυντής μπορεί να συγκροτεί ad hoc ομάδες εργασίας οι οποίες απαρτίζονται από εμπειρογνώμονες, μεταξύ άλλων εμπειρογνώμονες από τις αρμόδιες αρχές των κρατών μελών. Ο εκτελεστικός διευθυντής ενημερώνει σχετικά το διοικητικό συμβούλιο εκ των προτέρων. Οι διαδικασίες, ιδίως όσον αφορά τη σύνθεση των ομάδων εργασίας, τον διορισμό των εμπειρογνωμόνων των ομάδων εργασίας από τον εκτελεστικό διευθυντή και τη λειτουργία των ομάδων εργασίας, προσδιορίζονται στους εσωτερικούς κανόνες λειτουργίας του ENISA.

5.  Όποτε απαιτείται, για την αποτελεσματική και επαρκή άσκηση των καθηκόντων του ENISA και με βάση κατάλληλη ανάλυση κόστους-οφέλους, ο εκτελεστικός διευθυντής μπορεί να αποφασίσει την εγκαθίδρυση ενός ή περισσότερων τοπικών γραφείων σε ένα ή περισσότερα κράτη μέλη. Προτού λάβει απόφαση για εγκαθίδρυση τοπικού γραφείου, ο εκτελεστικός διευθυντής ζητεί τη γνώμη των σχετικών κρατών μελών, συμπεριλαμβανομένου του κράτους μέλους όπου βρίσκεται η έδρα του ENISA, και λαμβάνει εκ των προτέρων τη συγκατάθεση της Επιτροπής και του διοικητικού συμβουλίου. Σε περίπτωση διαφωνίας κατά τη διαδικασία διαβούλευσης μεταξύ του εκτελεστικού διευθυντή και των σχετικών κρατών μελών, το θέμα τίθεται προς συζήτηση στο Συμβούλιο. Ο αθροισμένος αριθμός των μελών του προσωπικού σε όλα τα τοπικά γραφεία διατηρείται στο ελάχιστον και δεν υπερβαίνει το 40 % του συνολικού αριθμού των μελών του προσωπικού του ENISA που βρίσκεται στο κράτος μέλος όπου βρίσκεται η έδρα του ENISA. Ο αριθμός των μελών του προσωπικού σε κάθε τοπικό γραφείο δεν υπερβαίνει το 10 % του συνολικού αριθμού των μελών του προσωπικού του ENISA που βρίσκεται στο κράτος μέλος όπου βρίσκεται η έδρα του ENISA.

Στην απόφαση ίδρυσης τοπικού γραφείου διευκρινίζεται το πεδίο εφαρμογής των δραστηριοτήτων που πρόκειται να αναλάβει το τοπικό γραφείο, ώστε να αποφεύγεται το αδικαιολόγητο κόστος και η επικάλυψη διοικητικών καθηκόντων του ENISA.

Τμήμα 4

Συμβουλευτική Ομάδα του ENISA, ομάδα συμφεροντούχων για την πιστοποίηση της κυβερνοασφάλειας και δίκτυο εθνικών υπαλλήλων-συνδέσμων

Άρθρο 21

Συμβουλευτική ομάδα του ENISA

1.  Το διοικητικό συμβούλιο, κατόπιν προτάσεως του εκτελεστικού διευθυντή, συγκροτεί με διαφανή τρόπο τη συμβουλευτική ομάδα του ENISA απαρτιζόμενη από εμπειρογνώμονες εγνωσμένου κύρους που αντιπροσωπεύουν τους σχετικούς συμφεροντούχους, όπως τον κλάδο ΤΠΕ, τους παρόχους δικτύων ή υπηρεσιών ηλεκτρονικών επικοινωνιών για το κοινό, μικρομεσαίες επιχειρήσεις, τους φορείς εκμετάλλευσης βασικών υπηρεσιών, ομάδες καταναλωτών, τους πανεπιστημιακούς που είναι ειδικοί στον τομέα της κυβερνοασφάλειας, και εκπροσώπους των αρμόδιων αρχών στις οποίες υποβάλλεται κοινοποίηση σύμφωνα με την οδηγία (ΕΕ) 2018/1972, ευρωπαϊκών οργανισμών τυποποίησης, όπως επίσης και των αρχών επιβολής του νόμου και των εποπτικών αρχών προστασίας δεδομένων. Το διοικητικό συμβούλιο επιδιώκει να διασφαλίζει κατάλληλη ισορροπία των φύλων και γεωγραφική ισορροπία, καθώς και ισορροπία μεταξύ των διαφόρων ομάδων συμφεροντούχων.

2.  Οι διαδικασίες της συμβουλευτικής ομάδας του ENISA, ιδίως όσον αφορά τη σύνθεσή του, την πρόταση του εκτελεστικού διευθυντή που αναφέρεται στην παράγραφο 1, τον αριθμό και τον διορισμό των μελών της, καθώς και τη λειτουργία της συμβουλευτικής ομάδας του ENISA, καθορίζονται στους εσωτερικούς κανόνες λειτουργίας του ENISA και δημοσιοποιούνται.

3.  Πρόεδρος της συμβουλευτικής ομάδας του ENISA είναι ο εκτελεστικός διευθυντής ή άλλο πρόσωπο διορισμένο από τον εκτελεστικό διευθυντή κατά περίπτωση.

4.  Η διάρκεια της θητείας των μελών της συμβουλευτικής ομάδας του ENISA είναι δυόμισι έτη. Τα μέλη του διοικητικού συμβουλίου δεν είναι μέλη της συμβουλευτικής ομάδας του ENISA. Οι εμπειρογνώμονες της Επιτροπής και των κρατών μελών έχουν δικαίωμα να παρίστανται στις συνεδριάσεις της συμβουλευτικής ομάδας του ENISA και να συμμετέχουν στις εργασίες της. Μπορούν να προσκαλούνται να παρίστανται σε συνεδριάσεις της συμβουλευτικής ομάδας του ENISA και να συμμετέχουν στις εργασίες της εκπρόσωποι άλλων φορέων που δεν είναι μέλη της και κρίνονται σχετικοί από τον εκτελεστικό διευθυντή.

5.  Η συμβουλευτική ομάδα του ENISA συμβουλεύει τον ENISA για την εκτέλεση των καθηκόντων του ENISA, με εξαίρεση την εφαρμογή των διατάξεων του τίτλου III του παρόντος κανονισμού. Παρέχει συμβουλές ειδικότερα στον εκτελεστικό διευθυντή κατά την κατάρτιση πρότασης για το ετήσιο πρόγραμμα εργασίας του ENISA και για τη διασφάλιση της επικοινωνίας με τους σχετικούς συμφεροντούχους επί των θεμάτων που σχετίζονται με το ετήσιο πρόγραμμα εργασίας.

6.  Η συμβουλευτική ομάδα του ENISA ενημερώνει τακτικά το διοικητικό συμβούλιο για τις δραστηριότητές της.

Άρθρο 22

Ομάδα συμφεροντούχων για την πιστοποίηση της κυβερνοασφάλειας

1.  Συστήνεται ομάδα συμφεροντούχων για την πιστοποίηση της κυβερνοασφάλειας.

2.  Η ομάδα συμφεροντούχων για την πιστοποίηση της κυβερνοασφάλειας απαρτίζεται από μέλη επιλεγόμενα από εμπειρογνώμονες εγνωσμένου κύρους που εκπροσωπούν τους σχετικούς συμφεροντούχους. Η Επιτροπή, κατόπιν διαφανούς και ανοικτής πρόσκλησης, επιλέγει, κατόπιν προτάσεως του ENISA, τα μέλη της ομάδας συμφεροντούχων για την πιστοποίηση της κυβερνοασφάλειας, διασφαλίζοντας ισορροπία μεταξύ των διάφορων ομάδων συμφεροντούχων, καθώς και κατάλληλη ισορροπία των φύλων και γεωγραφική ισορροπία.

3.  Η ομάδα συμφεροντούχων για την πιστοποίηση της κυβερνοασφάλειας:

4.  Η ομάδα συμφεροντούχων για την πιστοποίηση της ασφάλειας στον κυβερνοχώρο συμπροεδρεύεται από τους εκπροσώπους της Επιτροπής και του ENISA και ο ENISA εξασφαλίζει τη γραμματεία της.

Άρθρο 23

Δίκτυο εθνικών υπαλλήλων-συνδέσμων

1.  Το διοικητικό συμβούλιο, ενεργώντας κατόπιν πρότασης του εκτελεστικού διευθυντή, συγκροτεί δίκτυο εθνικών υπαλλήλων-συνδέσμων, αποτελούμενο από αντιπροσώπους όλων των κρατών μελών (εθνικοί υπάλληλοι-σύνδεσμοι). Κάθε κράτος μέλος ορίζει έναν αντιπρόσωπο στο δίκτυο εθνικών υπαλλήλων-συνδέσμων. Οι συνεδριάσεις του εθνικού δικτύου υπαλλήλων-συνδέσμων μπορούν να διεξάγονται με διάφορες συνθέσεις εμπειρογνωμόνων.

2.  Το δίκτυο εθνικών υπαλλήλων-συνδέσμων διευκολύνει ιδίως την ανταλλαγή πληροφοριών μεταξύ του ENISA και των κρατών μελών και υποστηρίζει τον ENISA για τη διάδοση των δραστηριοτήτων του, των πορισμάτων του και των συστάσεών του με αποδέκτες τους σχετικούς συμφεροντούχους στο σύνολο της Ένωσης.

3.  Οι εθνικοί υπάλληλοι-σύνδεσμοι ενεργούν ως σημείο επαφής σε εθνικό επίπεδο ώστε να διευκολύνεται η συνεργασία μεταξύ του ENISA και των εθνικών εμπειρογνωμόνων στο πλαίσιο της υλοποίησης του ετήσιου προγράμματος εργασίας του ENISA.

4.  Οι εθνικοί υπάλληλοι-σύνδεσμοι συνεργάζονται στενά με τους αντιπροσώπους των αντίστοιχων κρατών μελών τους στο διοικητικό συμβούλιο, ωστόσο το έργο του ίδιου του δικτύου εθνικών υπαλλήλων-συνδέσμων δεν επικαλύπτει το έργο του διοικητικού συμβουλίου ή άλλων φόρουμ της Ένωσης.

5.  Οι αρμοδιότητες και οι διαδικασίες του εθνικού δικτύου υπαλλήλων-συνδέσμων προσδιορίζονται στους εσωτερικούς κανόνες λειτουργίας του ENISA και δημοσιοποιούνται.

Τμήμα 5

Λειτουργία

Άρθρο 24

Ενιαίο έγγραφο προγραμματισμού

1.  Ο ENISA λειτουργεί σύμφωνα με το ενιαίο έγγραφο προγραμματισμού που περιέχει το ετήσιο και πολυετές πρόγραμμά του και περιλαμβάνει όλες τις προγραμματισμένες δραστηριότητές του.

2.  Κάθε χρόνο, ο εκτελεστικός διευθυντής συντάσσει σχέδιο ενιαίου εγγράφου προγραμματισμού που περιέχει το ετήσιο και πολυετές του πρόγραμμα με τον αντίστοιχο προγραμματισμό των οικονομικών και ανθρώπινων πόρων, σύμφωνα με το άρθρο 32 του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) αριθ. 1271/2013 της Επιτροπής ( 3 ) και λαμβάνοντας υπόψη τις κατευθυντήριες γραμμές της Επιτροπής.

3.  Έως τις 30 Νοεμβρίου κάθε έτους, το διοικητικό συμβούλιο εγκρίνει το ενιαίο έγγραφο προγραμματισμού που αναφέρεται στην παράγραφο 1 και το διαβιβάζει στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο και την Επιτροπή έως τις 31 Ιανουαρίου του επόμενου έτους, καθώς και κάθε μεταγενέστερη επικαιροποιημένη έκδοση του εγγράφου αυτού.

4.  Το ενιαίο έγγραφο προγραμματισμού οριστικοποιείται μετά την οριστική έκδοση του γενικού προϋπολογισμού της Ένωσης και, εάν χρειαστεί, προσαρμόζεται ανάλογα.

5.  Το ετήσιο πρόγραμμα εργασίας περιλαμβάνει λεπτομερείς στόχους και αναμενόμενα αποτελέσματα, καθώς και δείκτες επιδόσεων. Περιλαμβάνει επίσης περιγραφή των προς χρηματοδότηση δράσεων και αναφέρει τους οικονομικούς και ανθρώπινους πόρους που διατίθενται για κάθε δράση, σύμφωνα με τις αρχές κατάρτισης και διαχείρισης του προϋπολογισμού βάσει δραστηριοτήτων. Το ετήσιο πρόγραμμα εργασίας συνάδει με το πολυετές πρόγραμμα εργασίας που αναφέρεται στην παράγραφο 7. Αναφέρει σαφώς τα καθήκοντα που έχουν προστεθεί, μεταβληθεί ή απαλειφθεί σε σχέση με το προηγούμενο οικονομικό έτος.

6.  Όταν ανατίθεται στον ENISA νέο καθήκον, το διοικητικό συμβούλιο τροποποιεί το εγκεκριμένο ετήσιο πρόγραμμα εργασίας. Κάθε ουσιώδης τροποποίηση του ετήσιου προγράμματος εργασίας εγκρίνεται με την ίδια διαδικασία που εφαρμόζεται και στο αρχικό ετήσιο πρόγραμμα εργασίας. Το διοικητικό συμβούλιο μπορεί να εξουσιοδοτεί τον εκτελεστικό διευθυντή να επιφέρει μη ουσιώδεις τροποποιήσεις στο ετήσιο πρόγραμμα εργασίας.

7.  Το πολυετές πρόγραμμα εργασίας καθορίζει τον συνολικό στρατηγικό προγραμματισμό που περιλαμβάνει στόχους, αναμενόμενα αποτελέσματα και δείκτες επιδόσεων. Καθορίζει επίσης τον προγραμματισμό των πόρων, που περιλαμβάνει τον πολυετή προϋπολογισμό και το προσωπικό.

8.  Ο προγραμματισμός των πόρων επικαιροποιείται σε ετήσια βάση. Ο στρατηγικός προγραμματισμός επικαιροποιείται κατά περίπτωση και ιδίως εφόσον κρίνεται αναγκαίο για αντιμετώπιση θεμάτων που προκύπτουν από την αξιολόγηση που αναφέρεται στο άρθρο 67.

Άρθρο 25

Δήλωση συμφερόντων

1.  Τα μέλη του διοικητικού συμβουλίου, ο εκτελεστικός διευθυντής και οι υπάλληλοι που αποσπώνται προσωρινά από τα κράτη μέλη υποβάλλουν έκαστος δήλωση δεσμεύσεων και γραπτή δήλωση συμφερόντων όπου καταδεικνύεται η απουσία ή ύπαρξη οποιουδήποτε άμεσου ή έμμεσου συμφέροντος που θα μπορούσε να επηρεάσει την ανεξαρτησία τους. Οι δηλώσεις είναι ακριβείς και πλήρεις, υποβάλλονται σε ετήσια βάση εγγράφως, και ενημερώνονται όποτε είναι αναγκαίο.

2.  Τα μέλη του διοικητικού συμβουλίου, ο εκτελεστικός διευθυντής και οι εξωτερικοί εμπειρογνώμονες, οι οποίοι συμμετέχουν στις ad hoc ομάδες εργασίας δηλώνουν έκαστος με ακρίβεια και πληρότητα το αργότερο στην έναρξη κάθε συνεδρίασης οποιαδήποτε συμφέροντα τα οποία μπορούν ενδεχομένως να επηρεάσουν την ανεξαρτησία τους σε σχέση με τα θέματα της ημερήσιας διάταξης και δεν συμμετέχουν στη συζήτηση και την ψηφοφορία των εν λόγω θεμάτων.

3.  Ο ENISA θεσπίζει στους εσωτερικούς κανόνες λειτουργίας του τα πρακτικά μέτρα εφαρμογής των κανόνων για τις δηλώσεις συμφερόντων που αναφέρονται στις παραγράφους 1 και 2.

Άρθρο 26

Διαφάνεια

1.  Ο ENISA διεξάγει τις δραστηριότητές του με υψηλό επίπεδο διαφάνειας και σύμφωνα με το άρθρο 28.

2.  Ο ENISA μεριμνά ώστε να παρέχονται στο κοινό και σε κάθε ενδιαφερόμενο μέρος οι ενδεδειγμένες αντικειμενικές, αξιόπιστες και εύκολα προσβάσιμες πληροφορίες, ιδίως όσον αφορά τα αποτελέσματα των εργασιών του. Δημοσιοποιεί επίσης τις δηλώσεις συμφερόντων που υποβάλλονται δυνάμει του άρθρου 25.

3.  Το διοικητικό συμβούλιο, ενεργώντας κατόπιν προτάσεως του εκτελεστικού διευθυντή, μπορεί να επιτρέπει στα ενδιαφερόμενα μέρη να συμμετέχουν ως παρατηρητές σε ορισμένες δραστηριότητες του ENISA.

4.  Ο ENISA θεσπίζει, στους εσωτερικούς κανόνες λειτουργίας του, τα πρακτικά μέτρα εφαρμογής των κανόνων διαφάνειας που αναφέρονται στις παραγράφους 1 και 2.

Άρθρο 27

Εμπιστευτικότητα

1.  Με την επιφύλαξη του άρθρου 28, ο ENISA δεν αποκαλύπτει σε τρίτους πληροφορίες που επεξεργάζεται ή λαμβάνει και σχετικά με τις οποίες έχει υποβληθεί τεκμηριωμένο αίτημα για πλήρη ή μερική τήρηση του απορρήτου.

2.  Τα μέλη του διοικητικού συμβουλίου, ο εκτελεστικός διευθυντής, τα μέλη της συμβουλευτικής ομάδας του ENISA, οι εξωτερικοί εμπειρογνώμονες που συμμετέχουν στις ad hoc ομάδες εργασίας, καθώς και τα μέλη του προσωπικού του ENISA, συμπεριλαμβανομένων των υπαλλήλων που αποσπώνται προσωρινά από τα κράτη μέλη, συμμορφώνονται, ακόμη και μετά την παύση των καθηκόντων τους, στις απαιτήσεις τήρησης του απορρήτου του άρθρου 339 ΣΛΕΕ.

3.  Ο ENISA θεσπίζει, στους εσωτερικούς κανόνες λειτουργίας του, τα πρακτικά μέτρα εφαρμογής των κανόνων περί απορρήτου που προβλέπονται στις παραγράφους 1 και 2.

4.  Αν απαιτείται για την επιτέλεση των καθηκόντων του ENISA, το διοικητικό συμβούλιο αποφασίζει να επιτρέψει στον ENISA να χειρίζεται διαβαθμισμένες πληροφορίες. Σε αυτή την περίπτωση ο ENISA, κατόπιν συμφωνίας με τις υπηρεσίες της Επιτροπής, εγκρίνει κανόνες ασφάλειας εφαρμόζοντας τις αρχές ασφαλείας που ορίζονται στην απόφαση (ΕΚ, Ευρατόμ) 2015/443 της Επιτροπής ( 4 ) και στην απόφαση (ΕΚ, Ευρατόμ) 2015/444 της Επιτροπής ( 5 ). Οι εν λόγω κανόνες ασφάλειας περιλαμβάνουν διατάξεις που έχουν σχέση με την ανταλλαγή, την επεξεργασία και την αποθήκευση διαβαθμισμένων πληροφοριών.

Άρθρο 28

Πρόσβαση σε έγγραφα

1.  Ο κανονισμός (ΕΚ) αριθ. 1049/2001 εφαρμόζεται για τα έγγραφα που τηρεί ο ENISA.

2.  Το διοικητικό συμβούλιο εγκρίνει διατάξεις για την εφαρμογή του κανονισμού (ΕΚ) αριθ. 1049/2001 έως τις 28 Δεκεμβρίου 2019.

3.  Οι αποφάσεις που λαμβάνονται από τον ENISA σύμφωνα με το άρθρο 8 του κανονισμού (ΕΚ) αριθ. 1049/2001 είναι δυνατόν να αποτελέσουν αντικείμενο καταγγελίας στον Ευρωπαίο Διαμεσολαβητή σύμφωνα με το άρθρο 228 ΣΛΕΕ ή προσφυγής ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης σύμφωνα με το άρθρο 263 ΣΛΕΕ.

ΚΕΦΑΛΑΙΟ IV

Κατάρτιση και διάρθρωση του προϋπολογισμού του ENISA

Άρθρο 29

Κατάρτιση του προϋπολογισμού του ENISA

1.  Κάθε έτος, ο εκτελεστικός διευθυντής καταρτίζει σχέδιο κατάστασης προβλέψεων των εσόδων και εξόδων του ENISA για το επόμενο οικονομικό έτος και το διαβιβάζει στο διοικητικό συμβούλιο, μαζί με σχέδιο πίνακα προσωπικού. Τα έσοδα και τα έξοδα ισοσκελίζονται.

2.  Κάθε έτος, το διοικητικό συμβούλιο καταρτίζει, βάσει του σχεδίου κατάστασης προβλέψεων, την κατάσταση προβλέψεων των εσόδων και εξόδων του ENISA για το επόμενο οικονομικό έτος.

3.  Η κατάσταση προβλέψεων, η οποία αποτελεί μέρος του σχεδίου ενιαίου εγγράφου προγραμματισμού, διαβιβάζεται από το διοικητικό συμβούλιο έως την 31η Ιανουαρίου κάθε έτους στην Επιτροπή και στα τρίτα κράτη με τα οποία η Ένωση έχει συνάψει συμφωνίες όπως αναφέρονται στο άρθρο 42 παράγραφος 2.

4.  Βάσει της κατάστασης προβλέψεων, η Επιτροπή εγγράφει στο σχέδιο του γενικού προϋπολογισμού της Ένωσης τις προβλέψεις που κρίνει αναγκαίες για τον πίνακα προσωπικού και το ποσό της συνεισφοράς που θα βαρύνει τον γενικό προϋπολογισμό της Ένωσης, την οποία και υποβάλλει στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο, σύμφωνα με το άρθρο 314 ΣΛΕΕ.

5.  Το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο εγκρίνουν τις πιστώσεις για τη συνεισφορά από την Ένωση στον ENISA.

6.  Το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο εγκρίνουν τον πίνακα προσωπικού του ENISA.

7.  Το διοικητικό συμβούλιο εγκρίνει τον προϋπολογισμό του ENISA μαζί με το ενιαίο έγγραφο προγραμματισμού. Ο προϋπολογισμός του ENISA καθίσταται οριστικός μετά την οριστική έγκριση του γενικού προϋπολογισμού της Ένωσης. Εφόσον κρίνεται αναγκαίο, το διοικητικό συμβούλιο προσαρμόζει τον προϋπολογισμό και το ενιαίο έγγραφο προγραμματισμού του ENISA σύμφωνα με τον γενικό προϋπολογισμό της Ένωσης.

Άρθρο 30

Διάρθρωση του προϋπολογισμού του ENISA

1.  Με την επιφύλαξη άλλων πόρων, τα έσοδα του ENISA προέρχονται από:

Τα κράτη μέλη που παρέχουν εθελοντικές συνεισφορές βάσει του στοιχείου ε) του πρώτου εδαφίου δεν αξιώνουν ειδικά δικαιώματα ή υπηρεσίες ως συνέπεια αυτών των συνεισφορών.

2.  Στα έξοδα του ENISA συγκαταλέγονται οι δαπάνες προσωπικού, οι δαπάνες διοικητικής και τεχνικής υποστήριξης, τα έξοδα υποδομής και τα λειτουργικά έξοδα, καθώς και οι δαπάνες για τη σύναψη συμβάσεων με τρίτους.

Άρθρο 31

Εκτέλεση του προϋπολογισμού του ENISA

1.  Ο εκτελεστικός διευθυντής είναι υπεύθυνος για την εκτέλεση του προϋπολογισμού του ENISA.

2.  Ο εσωτερικός ελεγκτής της Επιτροπής ασκεί τις ίδιες εξουσίες έναντι του ENISA όπως και έναντι των υπηρεσιών της Επιτροπής.

3.  Ο υπόλογος του ENISA διαβιβάζει τους προσωρινούς λογαριασμούς για το οικονομικό έτος (έτος Ν) στον υπόλογο της Επιτροπής και στο Ελεγκτικό Συνέδριο έως την 1η Μαρτίου μετά τη λήξη του επόμενου οικονομικού έτους (έτος Ν + 1).

4.  Μετά την παραλαβή των παρατηρήσεων του Ελεγκτικού Συνεδρίου επί των προσωρινών λογαριασμών του ENISA σύμφωνα με το άρθρο 246 του κανονισμού (ΕΕ, Ευρατόμ) 2018/1046 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου ( 6 ), ο υπόλογος του ENISA καταρτίζει τους οριστικούς λογαριασμούς του ENISA με δική του ευθύνη και τους υποβάλλει στο διοικητικό συμβούλιο προς γνωμοδότηση.

5.  Το διοικητικό συμβούλιο γνωμοδοτεί επί των οριστικών λογαριασμών του ENISA.

6.  Έως την 31η Μαρτίου του έτους Ν + 1, ο εκτελεστικός διευθυντής διαβιβάζει την έκθεση σχετικά με τη δημοσιονομική και χρηματοοικονομική διαχείριση στο Ευρωπαϊκό Κοινοβούλιο, στο Συμβούλιο, στην Επιτροπή και στο Ελεγκτικό Συνέδριο.

7.  Έως την 1η Ιουλίου του έτους Ν + 1, ο υπόλογος του ENISA διαβιβάζει στο Ευρωπαϊκό Κοινοβούλιο, στο Συμβούλιο, στον υπόλογο της Επιτροπής και στο Ελεγκτικό Συνέδριο τους οριστικούς λογαριασμούς του ENISA, συνοδευόμενους από τη γνώμη του διοικητικού συμβουλίου.

8.  Την ίδια ημέρα που διαβιβάζει τους οριστικούς λογαριασμούς του ENISA, ο υπόλογος του ENISA διαβιβάζει επίσης στο Ελεγκτικό Συνέδριο, με κοινοποίηση στον υπόλογο της Επιτροπής, δήλωση πληρότητας σχετικά με τους οριστικούς αυτούς λογαριασμούς.

9.  Έως τις 15 Νοεμβρίου του έτους Ν + 1, ο εκτελεστικός διευθυντής δημοσιεύει τους οριστικούς λογαριασμούς του ENISA στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

10.  Έως τις 30 Σεπτεμβρίου του έτους Ν + 1, ο εκτελεστικός διευθυντής αποστέλλει στο Ελεγκτικό Συνέδριο απάντηση στις παρατηρήσεις του και αποστέλλει επίσης αντίγραφο της εν λόγω απάντησης στο διοικητικό συμβούλιο και την Επιτροπή.

11.  Ο εκτελεστικός διευθυντής υποβάλλει στο Ευρωπαϊκό Κοινοβούλιο, κατόπιν αιτήματος του τελευταίου, κάθε πληροφορία που απαιτείται για την ομαλή εφαρμογή της διαδικασίας απαλλαγής για το συγκεκριμένο οικονομικό έτος, σύμφωνα με το άρθρο 261 παράγραφος 3 του κανονισμού (ΕΕ, Ευρατόμ) 2018/1046.

12.  Έπειτα από σύσταση του Συμβουλίου, το Ευρωπαϊκό Κοινοβούλιο χορηγεί, πριν από τις 15 Μαΐου του έτους N + 2, απαλλαγή του εκτελεστικού διευθυντή για την εκτέλεση του προϋπολογισμού του οικονομικού έτους Ν.

Άρθρο 32

Δημοσιονομικοί κανόνες

Οι δημοσιονομικοί κανόνες που ισχύουν για τον ENISA θεσπίζονται από το διοικητικό συμβούλιο κατόπιν διαβούλευσης με την Επιτροπή. Οι εν λόγω κανόνες δεν αποκλίνουν από τον κατ’ εξουσιοδότηση κανονισμό (ΕΕ) αριθ. 1271/2013 παρά μόνο εάν το απαιτούν ειδικές ανάγκες λειτουργίας του ENISA και με προηγούμενη συμφωνία της Επιτροπής.

Άρθρο 33

Καταπολέμηση της απάτης

1.  Για τη διευκόλυνση της καταπολέμησης της απάτης, της διαφθοράς και άλλων παράνομων πράξεων δυνάμει του κανονισμού (ΕΕ, Ευρατόμ) αριθ. 883/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου ( 7 ), ο ENISA έως τις 28 Δεκεμβρίου 2019, προσχωρεί στη διοργανική συμφωνία της 25ης Μαΐου 1999 μεταξύ του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου της Ευρωπαϊκής Ένωσης και της Επιτροπής των Ευρωπαϊκών Κοινοτήτων σχετικά με τις εσωτερικές έρευνες που πραγματοποιούνται από την Ευρωπαϊκή Υπηρεσία Καταπολέμησης της Απάτης (OLAF) ( 8 ). Ο ENISA θεσπίζει τις ενδεδειγμένες διατάξεις που εφαρμόζονται σε όλους τους υπαλλήλους του ENISA, χρησιμοποιώντας το υπόδειγμα που περιλαμβάνεται στο παράρτημα της εν λόγω συμφωνίας.

2.  Το Ελεγκτικό Συνέδριο έχει αρμοδιότητα να ελέγχει, βάσει παραστατικών και πληροφοριών που συλλέχθηκαν ως αποτέλεσμα επιτόπιων εξακριβώσεων, όλους τους δικαιούχους, εργολάβους και υπεργολάβους που έλαβαν ενωσιακά κονδύλια από τον ENISA.

3.  Η OLAF μπορεί να διεξάγει έρευνες, συμπεριλαμβανομένων επιτόπιων ελέγχων και εξακριβώσεων, σύμφωνα με τις διατάξεις και τις διαδικασίες που καθορίζονται στον κανονισμό (ΕΕ, Ευρατόμ) αριθ. 883/2013 και στον κανονισμό (Ευρατόμ, ΕΚ) αριθ. 2185/96 του Συμβουλίου ( 9 ), για τη διαπίστωση τυχόν απάτης, διαφθοράς ή οποιασδήποτε άλλης παράνομης ενέργειας εις βάρος των οικονομικών συμφερόντων της Ένωσης σε σχέση με χρηματοδότηση που παρέχεται στο πλαίσιο επιχορήγησης ή σύμβασης χρηματοδοτούμενης από τον ENISA.

4.  Με την επιφύλαξη των παραγράφων 1, 2 και 3, οι συμφωνίες συνεργασίας με τρίτες χώρες ή με διεθνείς οργανισμούς, οι συμβάσεις, οι συμφωνίες επιχορήγησης και οι αποφάσεις επιχορήγησης του ENISA περιέχουν διατάξεις οι οποίες εξουσιοδοτούν ρητά το Ελεγκτικό Συνέδριο και την OLAF να διεξάγουν τους εν λόγω λογιστικούς ελέγχους και έρευνες, σύμφωνα με τις αντίστοιχες αρμοδιότητές τους.

ΚΕΦΑΛΑΙΟ V

Προσωπικό

Άρθρο 34

Γενικές διατάξεις

Στους υπαλλήλους του ENISA εφαρμόζονται ο κανονισμός υπηρεσιακής κατάστασης των υπαλλήλων και το καθεστώς που εφαρμόζεται στο λοιπό προσωπικό, καθώς και οι κανόνες που θεσπίστηκαν με συμφωνία μεταξύ των θεσμικών οργάνων της Ένωσης για την εφαρμογή του κανονισμού υπηρεσιακής κατάστασης των υπαλλήλων και του καθεστώτος που εφαρμόζεται στο λοιπό προσωπικό.

Άρθρο 35

Προνόμια και ασυλίες

Το πρωτόκολλο αριθ. 7 περί των προνομίων και ασυλιών της Ευρωπαϊκής Ένωσης το οποίο προσαρτάται στη ΣΕΕ και στη ΣΛΕΕ εφαρμόζεται στον ENISA και το προσωπικό του.

Άρθρο 36

Εκτελεστικός διευθυντής

1.  Ο εκτελεστικός διευθυντής προσλαμβάνεται ως έκτακτος υπάλληλος του ENISA σύμφωνα με το άρθρο 2 στοιχείο α) του καθεστώτος που εφαρμόζεται στο λοιπό προσωπικό.

2.  Ο εκτελεστικός διευθυντής διορίζεται από το διοικητικό συμβούλιο, από κατάλογο υποψηφίων που προτείνει η Επιτροπή, με ανοιχτή και διαφανή διαδικασία.

3.  Για τη σύναψη της σύμβασης πρόσληψης με τον εκτελεστικό διευθυντή, ο ENISA εκπροσωπείται από τον πρόεδρο του διοικητικού συμβουλίου.

4.  Πριν από τον διορισμό, ο υποψήφιος που έχει επιλεγεί από το διοικητικό συμβούλιο καλείται να προβεί σε δήλωση ενώπιον της σχετικής επιτροπής του Ευρωπαϊκού Κοινοβουλίου και να απαντήσει σε ερωτήσεις των βουλευτών.

5.  Η θητεία του εκτελεστικού διευθυντή είναι πενταετής. Πριν από τη λήξη αυτής της περιόδου, η Επιτροπή διεξάγει αξιολόγηση των επιδόσεων του εκτελεστικού διευθυντή και των μελλοντικών καθηκόντων και προκλήσεων του ENISA.

6.  Οι αποφάσεις του διοικητικού συμβουλίου σχετικά με τον διορισμό, την παράταση της θητείας ή την παύση του εκτελεστικού διευθυντή σύμφωνα με το άρθρο 18 παράγραφος 2.

7.  Το διοικητικό συμβούλιο μπορεί, με βάση πρόταση της Επιτροπής στην οποία λαμβάνεται υπόψη η αξιολόγηση που αναφέρεται στην παράγραφο 5, να παρατείνει άπαξ για μια πενταετία τη θητεία του εκτελεστικού διευθυντή.

8.  Το διοικητικό συμβούλιο γνωστοποιεί στο Ευρωπαϊκό Κοινοβούλιο την πρόθεσή του να παρατείνει τη θητεία του εκτελεστικού διευθυντή. Μέσα σε διάστημα τριών μηνών πριν από την παράταση της θητείας του, ο εκτελεστικός διευθυντής προβαίνει, αν λάβει σχετική πρόσκληση, σε δήλωση ενώπιον της σχετικής επιτροπής του Ευρωπαϊκού Κοινοβουλίου και απαντά σε ερωτήσεις των βουλευτών.

9.  Εκτελεστικός διευθυντής του οποίου η θητεία έχει ανανεωθεί δεν συμμετέχει στη διαδικασία επιλογής για την ίδια θέση.

10.  Ο εκτελεστικός διευθυντής μπορεί να απαλλαγεί από τα καθήκοντά του μόνο με απόφαση του διοικητικού συμβουλίου, κατόπιν πρότασης της Επιτροπής.

Άρθρο 37

Αποσπασμένοι εμπειρογνώμονες και λοιπό προσωπικό

1.  Ο ENISA μπορεί να χρησιμοποιεί αποσπασμένους εθνικούς εμπειρογνώμονες ή άλλο προσωπικό που δεν απασχολείται από τον ENISA. Στο προσωπικό αυτό δεν εφαρμόζονται ο κανονισμός υπηρεσιακής κατάστασης των υπαλλήλων και το καθεστώς που εφαρμόζεται στο λοιπό προσωπικό.

2.  Το διοικητικό συμβούλιο λαμβάνει απόφαση με την οποία καθορίζει τους κανόνες για την απόσπαση εθνικών εμπειρογνωμόνων στον ENISA.

ΚΕΦΑΛΑΙΟ VI

Γενικές διατάξεις που αφορούν τον ENISA

Άρθρο 38

Νομικό καθεστώς του ENISA

1.  Ο ENISA αποτελεί όργανο της Ένωσης και διαθέτει νομική προσωπικότητα.

2.  Σε κάθε κράτος μέλος, ο ENISA διαθέτει την ευρύτερη δυνατή νομική ικανότητα που παρέχεται στα νομικά πρόσωπα βάσει του εθνικού δικαίου. Δύναται ιδίως να αποκτά και να διαθέτει κινητή και ακίνητη περιουσία και να παρίσταται ενώπιον δικαστηρίου.

3.  Ο ENISA εκπροσωπείται από τον εκτελεστικό διευθυντή.

Άρθρο 39

Ευθύνη του ENISA

1.  Η συμβατική ευθύνη του ENISA διέπεται από το εφαρμοστέο στην οικεία σύμβαση δίκαιο.

2.  Το Δικαστήριο της Ευρωπαϊκής Ένωσης είναι αρμόδιο να αποφαίνεται δυνάμει ρήτρας διαιτησίας που περιλαμβάνεται σε σύμβαση που συνάπτει ο ENISA.

3.  Σε περίπτωση μη συμβατικής ευθύνης, ο ENISA αποκαθιστά, σύμφωνα με τις γενικές αρχές που είναι κοινές στο δίκαιο των κρατών μελών, οποιαδήποτε ζημία προκαλείται από αυτόν ή από τους υπαλλήλους του κατά την εκτέλεση των καθηκόντων τους.

4.  Το Δικαστήριο της Ευρωπαϊκής Ένωσης είναι αρμόδιο για την εκδίκαση οποιασδήποτε διαφοράς σχετική με την αποκατάσταση των ζημιών που αναφέρονται στην παράγραφο 3.

5.  Η προσωπική ευθύνη του προσωπικού του ENISA έναντι του ENISA διέπεται από τους σχετικούς όρους που ισχύουν για το προσωπικό του ENISA.

Άρθρο 40

Γλωσσικό καθεστώς

1.  Ο ENISA υπόκειται στις διατάξεις του κανονισμού αριθ. 1 του Συμβουλίου ( 10 ). Τα κράτη μέλη και οι άλλοι φορείς τους οποίους ορίζουν τα κράτη μέλη μπορούν να απευθύνονται στον ENISA και να λαμβάνουν απάντηση στην επίσημη γλώσσα των θεσμικών οργάνων της Ένωσης που επιλέγουν.

2.  Οι μεταφραστικές υπηρεσίες που απαιτούνται για τη λειτουργία του ENISA παρέχονται από το Μεταφραστικό Κέντρο των Οργάνων της Ευρωπαϊκής Ένωσης.

Άρθρο 41

Προστασία δεδομένων προσωπικού χαρακτήρα

1.  Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τον ENISA υπόκειται στον κανονισμό (ΕΕ) 2018/1725.

2.  Το διοικητικό συμβούλιο θεσπίζει τους κανόνες εφαρμογής που αναφέρονται στο άρθρο 45 παράγραφος 3 του κανονισμού (ΕΕ) 2018/1725. Το διοικητικό συμβούλιο μπορεί να θεσπίζει τις πρόσθετες διατάξεις που απαιτούνται για την εφαρμογή του κανονισμού (ΕΕ) 2018/1725 από τον ENISA.

Άρθρο 42

Συνεργασία με τρίτες χώρες και διεθνείς οργανισμούς

1.  Στον βαθμό που είναι αναγκαίο για την επίτευξη των στόχων που καθορίζονται στον παρόντα κανονισμό, ο ENISA δύναται να συνεργάζεται με τις αρμόδιες αρχές τρίτων χωρών ή με διεθνείς οργανισμούς ή και με τα δύο. Για τον σκοπό αυτό, ο ENISA δύναται, κατόπιν προηγούμενης έγκρισης της Επιτροπής, να συνάπτει συμφωνίες συνεργασίας με τις εν λόγω αρχές τρίτων χωρών και διεθνείς οργανισμούς. Οι εν λόγω συμφωνίες συνεργασίας δεν δημιουργούν έννομες υποχρεώσεις στην Ένωση και τα κράτη μέλη της.

2.  Ο ENISA είναι ανοικτός στη συμμετοχή τρίτων χωρών οι οποίες έχουν συνάψει σχετικές συμφωνίες με την Ένωση. Σύμφωνα με τις σχετικές διατάξεις των εν λόγω συμφωνιών, θεσπίζονται συμφωνίες συνεργασίας που ορίζουν, κυρίως, τη φύση, την έκταση και τον τρόπο συμμετοχής εκάστης των εν λόγω τρίτων χωρών στο έργο του ENISA και περιλαμβάνουν διατάξεις σχετικές με τη συμμετοχή στις πρωτοβουλίες που αναλαμβάνει ο ENISA, την οικονομική συμβολή και το προσωπικό. Στα ζητήματα προσωπικού, οι εν λόγω συμφωνίες συνεργασίας τηρούν πάντοτε τον κανονισμό υπηρεσιακής κατάστασης των υπαλλήλων και το καθεστώς που εφαρμόζεται στο λοιπό προσωπικό.

3.  Το διοικητικό συμβούλιο εγκρίνει στρατηγική σχέσεων με τρίτες χώρες και διεθνείς οργανισμούς σχετικά με ζητήματα για τα οποία είναι αρμόδιος ο ENISA. Η Επιτροπή διασφαλίζει ότι ο ENISA λειτουργεί εντός των ορίων της εντολής του και του υπάρχοντος θεσμικού πλαισίου, μέσω της σύναψης κατάλληλης συμφωνίας συνεργασίας με τον εκτελεστικό διευθυντή.

Άρθρο 43

Κανόνες ασφάλειας για την προστασία ευαίσθητων μη διαβαθμισμένων πληροφοριών και διαβαθμισμένων πληροφοριών

Κατόπιν διαβούλευσης με την Επιτροπή, ο ENISA θεσπίζει κανόνες ασφάλειας εφαρμόζοντας τις αρχές ασφάλειας που περιέχονται στους κανόνες ασφάλειας της Επιτροπής σχετικά με την προστασία των ευαίσθητων μη διαβαθμισμένων πληροφοριών και των ΔΠΕΕ που καθορίζονται στις αποφάσεις (ΕΚ, Ευρατόμ) 2015/443 και (ΕΚ, Ευρατόμ) 2015/444. Οι κανόνες ασφάλειας του ENISA περιέχουν διατάξεις για την ανταλλαγή, την επεξεργασία και την αποθήκευση τέτοιων πληροφοριών.

Άρθρο 44

Συμφωνία σχετικά με την έδρα και όροι λειτουργίας

1.  Οι απαραίτητες ρυθμίσεις για την εγκατάσταση του ENISA στο κράτος μέλος υποδοχής και τα μέσα που πρέπει να τίθενται στη διάθεσή του από το εν λόγω κράτος μέλος, παράλληλα με τους ειδικούς κανόνες που εφαρμόζονται στο κράτος μέλος υποδοχής όσον αφορά τον εκτελεστικό διευθυντή, τα μέλη του διοικητικού συμβουλίου, το προσωπικό του ENISA και τα μέλη των οικογενειών τους, ορίζονται σε συμφωνία για την έδρα η οποία συνάπτεται μεταξύ του ENISA και του κράτους μέλους υποδοχής, μόλις ληφθεί η έγκριση του διοικητικού συμβουλίου.

2.  Το κράτος μέλος υποδοχής του ENISA εξασφαλίζει τις καλύτερες δυνατές συνθήκες για τη διασφάλιση της εύρυθμης λειτουργίας του ENISA, λαμβάνοντας υπόψη την προσβασιμότητα του τόπου εγκατάστασης, την ύπαρξη κατάλληλων εκπαιδευτικών δυνατοτήτων για τα τέκνα των υπαλλήλων, την κατάλληλη πρόσβαση στην αγορά εργασίας, την κοινωνική ασφάλιση και την ιατροφαρμακευτική φροντίδα τόσο για τα τέκνα όσο και για τις συζύγους των μελών του προσωπικού.

Άρθρο 45

Διοικητικός έλεγχος

Οι δραστηριότητες του ENISA υπόκεινται στην εποπτεία του Ευρωπαίου Διαμεσολαβητή, σύμφωνα με τις διατάξεις του άρθρου 228 ΣΛΕΕ.

ΤΙΤΛΟΣ III

ΠΛΑΙΣΙΟ ΠΙΣΤΟΠΟΙΗΣΗΣ ΤΗΣ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ

Άρθρο 46

Ευρωπαϊκό πλαίσιο πιστοποίησης της κυβερνοασφάλειας

1.  Το ευρωπαϊκό πλαίσιο πιστοποίησης της κυβερνοασφάλειας θεσπίζεται με στόχο να βελτιωθούν οι συνθήκες για τη λειτουργία της εσωτερικής αγοράς μέσω αναβάθμισης του επιπέδου κυβερνοασφάλειας εντός της Ένωσης και επιτρέποντας εναρμονισμένη προσέγγιση, σε επίπεδο Ένωσης, των ευρωπαϊκών ►C1  σχημάτων ◄ πιστοποίησης της κυβερνοασφάλειας, με απώτερο στόχο τη δημιουργία ψηφιακής ενιαίας αγοράς για προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ και διαδικασίες ΤΠΕ.

2.  Το ευρωπαϊκό πλαίσιο πιστοποίησης της κυβερνοασφάλειας προβλέπει ένα μηχανισμό μέσω του οποίου θεσπίζονται ευρωπαϊκά ►C1  σχήματα ◄ πιστοποίησης της κυβερνοασφάλειας και βεβαιώνεται ότι τα προϊόντα ΤΠΕ, οι υπηρεσίες ΤΠΕ και οι διαδικασίες ΤΠΕ που έχουν αξιολογηθεί σύμφωνα με τα εν λόγω ►C1  σχήματα ◄ συμμορφώνονται με συγκεκριμένες απαιτήσεις ασφάλειας με σκοπό να διαφυλάσσεται η διαθεσιμότητα, η γνησιότητα, η ακεραιότητα και η εμπιστευτικότητα αποθηκευμένων ή διαβιβαζόμενων ή επεξεργασμένων δεδομένων ή των σχετικών λειτουργιών ή υπηρεσιών που παρέχονται ή είναι προσβάσιμες μέσω των εν λόγω προϊόντων, υπηρεσιών και διαδικασιών σε όλη τη διάρκεια του κύκλου ζωής τους.

Άρθρο 47

Το κυλιόμενο πρόγραμμα εργασίας της Ένωσης για την ευρωπαϊκή πιστοποίηση της κυβερνοασφάλειας

1.  Η Επιτροπή δημοσιεύει κυλιόμενο πρόγραμμα εργασίας ευρωπαϊκής πιστοποίησης της κυβερνοασφάλειας («κυλιόμενο πρόγραμμα εργασίας της Ένωσης») το οποίο προσδιορίζει στρατηγικές προτεραιότητες για το μέλλον των ευρωπαϊκών συστημάτων πιστοποίησης της κυβερνοασφάλειας.

2.  Το κυλιόμενο πρόγραμμα εργασίας της Ένωσης περιλαμβάνει ειδικότερα κατάλογο των προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ ή των κατηγοριών τους που μπορούν να έχουν όφελος από τη συμπερίληψή τους στο πεδίο εφαρμογής ευρωπαϊκού ►C1  σχήματος ◄ πιστοποίησης της κυβερνοασφάλειας.

3.  Η προσθήκη συγκεκριμένων προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ ή κατηγοριών τους στο κυλιόμενο πρόγραμμα εργασίας της Ένωσης αιτιολογείται βάσει ενός ή περισσότερων από τους ακόλουθους λόγους:

4.  Η Επιτροπή λαμβάνει δεόντως υπόψη τις γνωμοδοτήσεις της ΕΟΠΙΚ και της ομάδας συμφεροντούχων για την πιστοποίηση της ασφάλειας στον κυβερνοχώρο σχετικά με το σχέδιο κυλιόμενου προγράμματος εργασίας της Ένωσης.

5.  Το πρώτο κυλιόμενο πρόγραμμα εργασίας της Ένωσης δημοσιοποιείται έως τις 28 Ιουνίου 2020. Το κυλιόμενο πρόγραμμα εργασίας της Ένωσης επικαιροποιείται τουλάχιστον μια φορά ανά τριετία και αν κρίνεται απαραίτητο και πιο συχνά.

Άρθρο 48

Αίτημα για ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας

1.  Η Επιτροπή μπορεί να ζητήσει από τον ENISA να καταρτίσει υποψήφιο ►C1  σχήμα ◄ ή να επανεξετάσει υφιστάμενο ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας επί τη βάσει του κυλιόμενου προγράμματος εργασίας της Ένωσης.

2.  Σε δεόντως αιτιολογημένες περιπτώσεις, η Επιτροπή ή η ΕΟΠΙΚ δύνανται να ζητούν από τον ENISA να καταρτίσει υποψήφιο ►C1  σχήμα ◄ ή να επανεξετάσει υφιστάμενο ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας το οποίο δεν περιλαμβάνεται στο κυλιόμενο πρόγραμμα εργασίας της Ένωσης. Το κυλιόμενο πρόγραμμα εργασίας της Ένωσης επικαιροποιείται αναλόγως.

Άρθρο 49

Επεξεργασία, έγκριση και επανεξέταση ευρωπαϊκού ►C1  σχήματος ◄ πιστοποίησης της κυβερνοασφάλειας

1.  Κατόπιν αιτήματος της Επιτροπής σύμφωνα με το άρθρο 48, o ENISA επεξεργάζεται ένα υποψήφιο ►C1  σχήμα ◄ που πληροί τις απαιτήσεις που ορίζονται στα άρθρα 51, 52 και 54.

2.  Κατόπιν αιτήματος της ΕΟΠΙΚ σύμφωνα με το άρθρο 48 παράγραφος 2, o ENISA μπορεί να επεξεργάζεται ένα υποψήφιο ►C1  σχήμα ◄ που πληροί τις απαιτήσεις που ορίζονται στα άρθρα 51, 52 και 54. Σε περίπτωση που ο ENISA αρνηθεί το εν λόγω αίτημα, εκθέτει τους λόγους της άρνησής του. Κάθε απόφαση άρνησης τέτοιου αιτήματος λαμβάνεται από το διοικητικό συμβούλιο.

3.  Κατά την επεξεργασία υποψήφιου ►C1  σχήματος ◄ , ο ENISA διαβουλεύεται με όλους τους σχετικούς συμφεροντούχους μέσω επίσημης, ανοικτής, διαφανούς και χωρίς αποκλεισμούς διαδικασίας διαβούλευσης.

4.  Για κάθε υποψήφιο ►C1  σχήμα ◄ , ο ENISA συγκροτεί ad hoc ομάδα εργασίας σύμφωνα με το άρθρο 20 παράγραφος 4 με σκοπό να παρέχει στον ENISA ειδικές συμβουλές και εμπειρογνωμοσύνη.

5.  Ο ENISA συνεργάζεται στενά με την ΕΟΠΙΚ. Η ΕΟΠΙΚ παρέχει στον ENISA συνδρομή και εμπειρογνωμοσύνη σε σχέση με την επεξεργασία του υποψήφιου ►C1  σχήματος ◄ και εκδίδει γνώμη σχετικά με το υποψήφιο ►C1  σχήμα ◄ .

6.  Ο ENISA λαμβάνει ιδιαιτέρως υπόψη τη γνώμη της ΕΟΠΙΚ προτού διαβιβάσει στην Επιτροπή το υποψήφιο ►C1  σχήμα ◄ που επεξεργάστηκε σύμφωνα τις παραγράφους 3, 4 και 5. Η γνώμη της ΕΟΠΙΚ δεν δεσμεύει τον ENISA, η δε απουσία της εν λόγω γνώμης δεν κωλύει τη διαβίβαση του υποψήφιου ►C1  σχήματος ◄ από τον ENISA στην Επιτροπή.

7.  Η Επιτροπή, με βάση το υποψήφιο ►C1  σχήμα ◄ που προετοιμάζει ο ENISA, μπορεί να εκδίδει εκτελεστικές πράξεις οι οποίες προβλέπουν σε σχέση με ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας για προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ και διαδικασίες ΤΠΕ που πληρούν τις απαιτήσεις των άρθρων 51, 52 και 54. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 66 παράγραφος 2.

8.  Ο ENISA επανεξετάζει τουλάχιστον κάθε πέντε έτη όλα τα εγκριθέντα ευρωπαϊκά ►C1  σχήματα ◄ πιστοποίησης της κυβερνοασφάλειας, λαμβάνοντας υπόψη τις παρατηρήσεις από τα ενδιαφερόμενα μέρη. Εάν είναι αναγκαίο, η Επιτροπή ή η ΕΟΠΙΚ μπορεί να ζητήσει από τον ENISA να ξεκινήσει τη διαδικασία ανάπτυξης αναθεωρημένου υποψήφιου ►C1  σχήματος ◄ σύμφωνα με τα άρθρο 48 και το παρόν άρθρο.

Άρθρο 50

Δικτυακός τόπος των ευρωπαϊκών ►C1  σχημάτων ◄ πιστοποίησης της κυβερνοασφάλειας

1.  Ο ENISA διατηρεί ειδικά αφιερωμένο δικτυακό τόπο που έχει πληροφορίες και δημοσιότητα για τα ευρωπαϊκά ►C1  σχήματα ◄ πιστοποίησης της κυβερνοασφάλειας, τα ευρωπαϊκά πιστοποιητικά κυβερνοασφάλειας και τις δηλώσεις συμμόρφωσης ΕΕ και τα δημοσιοποιεί, συμπεριλαμβανομένων των πληροφοριών όσον αφορά τα ευρωπαϊκά ►C1  σχήματα ◄ πιστοποίησης της κυβερνοασφάλειας που δεν ισχύουν πλέον, τα ευρωπαϊκά πιστοποιητικά κυβερνοασφάλειας που έχουν ανακληθεί ή λήξει και τις δηλώσεις συμμόρφωσης ΕΕ, καθώς και το αποθετήριο συνδέσμων προς πληροφορίες για την κυβερνοασφάλεια, οι οποίες παρέχονται σύμφωνα με το άρθρο 55.

2.  Κατά περίπτωση, ο δικτυακός τόπος που αναφέρεται στην παράγραφο 1 δηλώνει επίσης τα εθνικά ►C1  σχήματα ◄ πιστοποίησης της κυβερνοασφάλειας που έχουν αντικατασταθεί από ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας.

Άρθρο 51

Στόχοι ασφάλειας για τα ευρωπαϊκά ►C1  σχήματα ◄ πιστοποίησης της κυβερνοασφάλειας

Ένα ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας σχεδιάζεται κατά τέτοιο τρόπο ώστε να επιτυγχάνει, κατά περίπτωση, τουλάχιστον τους ακόλουθους στόχους ασφάλειας:

Άρθρο 52

Επίπεδα διασφάλισης των ευρωπαϊκών ►C1  σχημάτων ◄ πιστοποίησης της κυβερνοασφάλειας

1.  Ένα ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας μπορεί να προσδιορίζει ένα ή περισσότερα από τα ακόλουθα επίπεδα διασφάλισης για προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ και διαδικασίες ΤΠΕ: «βασικό», «σημαντικό» ή «υψηλό». Το επίπεδο διασφάλισης είναι ανάλογο του επιπέδου του κινδύνου ο οποίος συνδέεται με την προβλεπόμενη χρήση του προϊόντος ΤΠΕ, της υπηρεσίας ΤΠΕ ή της διαδικασίας ΤΠΕ, από άποψη πιθανότητας και αντικτύπου ενός συμβάντος.

2.  Τα ευρωπαϊκά πιστοποιητικά κυβερνοασφάλειας και οι δηλώσεις συμμόρφωσης ΕΕ αναφέρουν οποιοδήποτε επίπεδο διασφάλισης που εξειδικεύεται στο ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας υπό το οποίο εκδόθηκε το ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας ή η δήλωση συμμόρφωσης ΕΕ.

3.  Οι απαιτήσεις ασφάλειας που αντιστοιχούν σε κάθε επίπεδο διασφάλισης παρέχονται στο σχετικό ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας, συμπεριλαμβανομένων των αντίστοιχων λειτουργιών ασφάλειας και της αντίστοιχης αυστηρότητας και βάθους της αξιολόγησης στην οποία θα υποβληθεί το προϊόν ΤΠΕ, η υπηρεσία ΤΠΕ ή η διαδικασία ΤΠΕ.

4.  Το πιστοποιητικό ή η δήλωση συμμόρφωσης ΕΕ αναφέρεται σε τεχνικές προδιαγραφές, πρότυπα και διαδικασίες που σχετίζονται με το εν λόγω πιστοποιητικό ή δήλωση, συμπεριλαμβανομένων των τεχνικών ελέγχων, σκοπός των οποίων είναι η μείωση του κινδύνου συμβάντων που αφορούν την κυβερνοασφάλεια ή η πρόληψή τους.

5.  Ένα ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας ή μία δήλωση συμμόρφωσης ΕΕ που αναφέρεται σε «βασικό» επίπεδο διασφάλισης παρέχει τη διασφάλιση ότι τα προϊόντα ΤΠΕ, οι υπηρεσίες ΤΠΕ και οι διαδικασίες ΤΠΕ για τα οποία εκδόθηκε το εν λόγω πιστοποιητικό ή η εν λόγω δήλωση συμμόρφωσης ΕΕ πληρούν τις αντίστοιχες απαιτήσεις ασφάλειας, συμπεριλαμβανομένων των λειτουργιών ασφάλειας, και ότι έχουν αξιολογηθεί σε επίπεδο με σκοπό την ελαχιστοποίηση των γνωστών βασικών κινδύνων των συμβάντων και των κυβερνοεπιθέσεων. Οι δραστηριότητες αξιολόγησης που πρόκειται να διεξαχθούν περιλαμβάνουν τουλάχιστον επανεξέταση της τεχνικής τεκμηρίωσης. Εφόσον δεν είναι κατάλληλη τέτοια επανεξέταση, διεξάγονται υποκατάστατες δραστηριότητες αξιολόγησης με ισοδύναμο αποτέλεσμα.

6.  Ένα ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας που αναφέρεται σε «σημαντικό» επίπεδο διασφάλισης παρέχει τη διασφάλιση ότι τα προϊόντα ΤΠΕ, οι υπηρεσίες ΤΠΕ και οι διαδικασίες ΤΠΕ για τα οποία εκδόθηκε το εν λόγω πιστοποιητικό πληρούν τις αντίστοιχες απαιτήσεις ασφάλειας, συμπεριλαμβανομένων των λειτουργιών ασφάλειας, και ότι έχουν αξιολογηθεί σε επίπεδο με σκοπό την ελαχιστοποίηση των γνωστών κινδύνων κυβερνοασφάλειας και του κινδύνου συμβάντων και κυβερνοεπιθέσεων που πραγματοποιούνται από δράστες με περιορισμένες δεξιότητες και πόρους. Οι δραστηριότητες αξιολόγησης που πρόκειται να διεξαχθούν περιλαμβάνουν τουλάχιστον τα ακόλουθα: επανεξέταση για να καταδειχθεί η απουσία γνωστών στο κοινό τρωτών σημείων και έλεγχος για να αποδειχθεί ότι τα προϊόντα ΤΠΕ, οι υπηρεσίες ΤΠΕ ή οι διαδικασίες ΤΠΕ εφαρμόζουν ορθά την αναγκαία λειτουργία ασφάλειας. Εφόσον οποιεσδήποτε τέτοιες δραστηριότητες αξιολόγησης δεν είναι κατάλληλες, διεξάγονται υποκατάστατες δραστηριότητες αξιολόγησης με ισοδύναμο αποτέλεσμα.

7.  Ένα ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας που αναφέρεται σε «υψηλό» επίπεδο διασφάλισης παρέχει τη διασφάλιση ότι τα προϊόντα ΤΠΕ, οι υπηρεσίες ΤΠΕ και οι διαδικασίες ΤΠΕ για τα οποία εκδόθηκε το εν λόγω πιστοποιητικό πληρούν τις αντίστοιχες απαιτήσεις ασφάλειας, συμπεριλαμβανομένων των λειτουργιών ασφάλειας, και ότι έχουν αξιολογηθεί σε επίπεδο με σκοπό την ελαχιστοποίηση του κινδύνου κυβερνοεπιθέσεων προηγμένης τεχνολογίας που πραγματοποιούνται από δράστες με σημαντικές δεξιότητες και πόρους. Οι δραστηριότητες αξιολόγησης που πρόκειται να διεξαχθούν περιλαμβάνουν τουλάχιστον τα ακόλουθα: επανεξέταση για να καταδειχθεί η απουσία γνωστών στο κοινό τρωτών σημείων, έλεγχος για να αποδειχθεί ότι τα προϊόντα ΤΠΕ, οι διαδικασίες ΤΠΕ και οι υπηρεσίες ΤΠΕ εφαρμόζουν ορθά την αναγκαία λειτουργία ασφάλειας προηγμένης τεχνολογίας και εκτίμηση της ανθεκτικότητάς τους σε επιδέξιους επιτιθέμενους μέσω δοκιμών διείσδυσης. Εφόσον οποιεσδήποτε τέτοιες δραστηριότητες αξιολόγησης δεν είναι κατάλληλες, διεξάγονται υποκατάστατες δραστηριότητες αξιολόγησης με ισοδύναμο αποτέλεσμα.

8.  Ένα ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας μπορεί να προσδιορίζει διάφορα επίπεδα αξιολόγησης ανάλογα με την αυστηρότητα και το βάθος της μεθοδολογίας αξιολόγησης που χρησιμοποιείται. Καθένα από τα επίπεδα αξιολόγησης αντιστοιχεί σε ένα από τα επίπεδα διασφάλισης και ορίζεται από κατάλληλο συνδυασμό συστατικών διασφάλισης.

Άρθρο 53

Αυτοαξιολόγηση της συμμόρφωσης

1.  Ένα ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας μπορεί να επιτρέπει την αυτοαξιολόγησης της συμμόρφωσης υπό την αποκλειστική ευθύνη του κατασκευαστή ή του παρόχου προϊόντων ΤΠΕΡ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ. Η αυτοαξιολόγηση της συμμόρφωσης επιτρέπεται μόνο σχετικά με προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ και διαδικασίες ΤΠΕ χαμηλού κινδύνου που αντιστοιχούν σε «βασικό» επίπεδο διασφάλισης.

2.  Ο κατασκευαστής ή ο πάροχος προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ μπορεί να εκδώσει δήλωση συμμόρφωσης ΕΕ στην οποία να αναφέρεται ότι έχει καταδειχθεί η εκπλήρωση των απαιτήσεων που ορίζονται στο ►C1  σχήμα ◄ . Με την έκδοση της εν λόγω δήλωσης, ο κατασκευαστής ή ο πάροχος προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ αναλαμβάνει την ευθύνη για τη συμμόρφωση του προϊόντος ΤΠΕ, της υπηρεσίας ΤΠΕ ή της διαδικασίας ΤΠΕ με τις απαιτήσεις που ορίζονται στο εν λόγω ►C1  σχήμα ◄ .

3.  Ο κατασκευαστής ή ο πάροχος προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ καθιστά τη δήλωση συμμόρφωσης ΕΕ, την τεχνική τεκμηρίωση και όλες τις άλλες σχετικές πληροφορίες που αφορούν τη συμμόρφωση των προϊόντων ΤΠΕ ή των υπηρεσιών ΤΠΕ με το ►C1  σχήμα ◄ διαθέσιμα στην εθνική αρχή πιστοποίησης της κυβερνοασφάλειας που αναφέρεται στο άρθρο 58 για περίοδο που καθορίζεται στο αντίστοιχο ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας. Αντίγραφο της δήλωσης συμμόρφωσης ΕΕ υποβάλλεται στην εθνική αρχή πιστοποίησης της κυβερνοασφάλειας και στον ENISA.

4.  Η έκδοση δήλωσης συμμόρφωσης ΕΕ είναι εθελοντική, εκτός αν άλλως ορίζεται στη νομοθεσία της Ένωσης ή στη νομοθεσία των κρατών μελών.

5.  Η δήλωση συμμόρφωσης ΕΕ αναγνωρίζεται σε όλα τα κράτη μέλη.

Άρθρο 54

Στοιχεία των ευρωπαϊκών ►C1  σχημάτων ◄ πιστοποίησης της κυβερνοασφάλειας

1.  Ένα ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας περιλαμβάνει τουλάχιστον τα ακόλουθα στοιχεία:

2.  Οι καθορισμένες απαιτήσεις του ευρωπαϊκού ►C1  σχήματος ◄ πιστοποίησης της κυβερνοασφάλειας συνάδουν με τυχόν εφαρμοστέες νομικές απαιτήσεις, ιδίως όσον αφορά απαιτήσεις προερχόμενες από το εναρμονισμένο ενωσιακό δίκαιο.

3.  Σε περίπτωση που κάτι τέτοιο προβλέπεται από συγκεκριμένη νομική πράξη της Ένωσης, πιστοποιητικό ή δήλωση συμμόρφωσης ΕΕ που εκδίδεται στο πλαίσιο ενός ευρωπαϊκού ►C1  σχήματος ◄ πιστοποίησης της κυβερνοασφάλειας μπορεί να χρησιμοποιείται για να καταδεικνύει το τεκμήριο συμμόρφωσης με τις απαιτήσεις της εν λόγω νομικής πράξης.

4.  Εφόσον δεν υπάρχει εναρμονισμένο ενωσιακό δίκαιο, το δίκαιο των κρατών μελών μπορεί επίσης να προβλέπει ότι ένα ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας μπορεί να χρησιμοποιείται για τη θέσπιση του τεκμήριου συμμόρφωσης με τις νομικές απαιτήσεις.

Άρθρο 55

Συμπληρωματικές πληροφορίες σχετικά με την κυβερνοασφάλεια για πιστοποιημένα προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ και διαδικασίες ΤΠΕ

1.  Ο κατασκευαστής ή ο πάροχος πιστοποιημένων προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ ή προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ για τα οποία έχει εκδοθεί δήλωση συμμόρφωσης ΕΕ δημοσιοποιεί τις ακόλουθες συμπληρωματικές πληροφορίες σχετικά με την κυβερνοασφάλεια:

2.  Οι πληροφορίες που αναφέρονται στην παράγραφο 1 διατίθενται σε ηλεκτρονική μορφή και παραμένουν διαθέσιμες και ενημερωμένες, στον βαθμό που απαιτείται, τουλάχιστον μέχρι τη λήξη του αντίστοιχου ευρωπαϊκού πιστοποιητικού κυβερνοασφάλειας ή της αντίστοιχης δήλωσης συμμόρφωσης ΕΕ.

Άρθρο 56

Πιστοποίηση της κυβερνοασφάλειας

1.  Τα προϊόντα ΤΠΕ, οι υπηρεσίες ΤΠΕ και οι διαδικασίες ΤΠΕ που έχουν πιστοποιηθεί στο πλαίσιο ενός ευρωπαϊκού ►C1  σχήματος ◄ πιστοποίησης της κυβερνοασφάλειας που εγκρίνεται δυνάμει του άρθρου 49 τεκμαίρονται ότι πληρούν τις απαιτήσεις ενός τέτοιου ►C1  σχήματος ◄ .

2.  Η πιστοποίηση της κυβερνοασφάλειας είναι εθελοντική, εκτός αν άλλως ορίζεται στο δίκαιο της Ένωσης ή στο δίκαιο των κρατών μελών.

3.  Η Επιτροπή αξιολογεί τακτικά την απόδοση και τη χρήση των εγκριθέντων ευρωπαϊκών ►C1  σχημάτων ◄ πιστοποίησης της κυβερνοασφάλειας, καθώς και αν συγκεκριμένα ευρωπαϊκά ►C1  σχήματα ◄ πιστοποίησης της κυβερνοασφάλειας πρόκειται να καταστούν υποχρεωτικά μέσω συναφούς ενωσιακού δικαίου προκειμένου να διασφαλίζεται επαρκές επίπεδο κυβερνοασφάλειας των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ και των διαδικασιών ΤΠΕ στην Ένωση και να βελτιωθεί η λειτουργία της εσωτερικής αγοράς. Η πρώτη τέτοια αξιολόγηση διενεργείται έως τις 31 Δεκεμβρίου 2023 και οι ακόλουθες αξιολογήσεις διενεργούνται τουλάχιστον ανά διετία εν συνεχεία. Η Επιτροπή, βασιζόμενη στα αποτελέσματα της εν λόγω αξιολόγησης, προσδιορίζει τα προϊόντα ΤΠΕ, τις υπηρεσίες ΤΠΕ και τις διαδικασίες ΤΠΕ που καλύπτονται από ήδη υφιστάμενο ►C1  σχήμα ◄ πιστοποίησης και τα οποία πρέπει να καλυφθούν από υποχρεωτικό ►C1  σχήμα ◄ πιστοποίησης.

Κατά προτεραιότητα, η Επιτροπή επικεντρώνει την προσοχή της στους τομείς που απαριθμούνται στο παράρτημα II της οδηγίας (ΕΕ) 2016/1148 και που αξιολογούνται το αργότερο δύο έτη μετά την έγκριση του πρώτου ευρωπαϊκού ►C1  σχήματος ◄ πιστοποίησης της κυβερνοασφάλειας.

Κατά την εκπόνηση της αξιολόγησης, η Επιτροπή:

4.  Οι οργανισμοί αξιολόγησης της συμμόρφωσης που αναφέρονται στο άρθρο 60 εκδίδουν ευρωπαϊκά πιστοποιητικά κυβερνοασφάλειας δυνάμει του παρόντος άρθρου που αναφέρονται σε «βασικό» ή «σημαντικό» επίπεδο διασφάλισης βάσει κριτηρίων περιλαμβανομένων στο ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας που θεσπίζεται από την Επιτροπή δυνάμει του άρθρου 49.

5.  Κατά παρέκκλιση από την παράγραφο 4, σε δεόντως αιτιολογημένες περιπτώσεις ένα ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας μπορεί να προβλέπει ότι τα ευρωπαϊκά πιστοποιητικά κυβερνοασφάλειας που προκύπτουν από το εν λόγω ►C1  σχήμα ◄ μπορούν να εκδίδονται μόνο από δημόσιο οργανισμό. Ένας τέτοιος οργανισμός μπορεί να είναι ένα από τα ακόλουθα:

6.  Όταν ένα ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας που εγκρίνεται δυνάμει του άρθρου 49 απαιτεί «υψηλό» επίπεδο διασφάλισης, το ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας δυνάμει του εν λόγω ►C1  σχήματος ◄ μπορεί να εκδοθεί μόνο από εθνική αρχή πιστοποίησης της κυβερνοασφάλειας ή στις ακόλουθες περιπτώσεις, από οργανισμό αξιολόγησης της συμμόρφωσης:

7.  Το φυσικό ή νομικό πρόσωπο που υποβάλλει τα προϊόντα ΤΠΕ, τις υπηρεσίες ΤΠΕ ή τις διαδικασίες ΤΠΕ προς πιστοποίηση θέτει στη διάθεση στην εθνική αρχή πιστοποίησης της κυβερνοασφάλειας που αναφέρεται στο άρθρο 58, σε περίπτωση που η εν λόγω αρχή είναι ο οργανισμός που εκδίδει το ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας, ή του οργανισμού αξιολόγησης της συμμόρφωσης που αναφέρεται στο άρθρο 60 όλες τις πληροφορίες που απαιτούνται για τη διενέργεια της πιστοποίησης.

8.  Ο κάτοχος ευρωπαϊκού πιστοποιητικού κυβερνοασφάλειας ενημερώνει την αρχή ή τον οργανισμό που αναφέρεται στην παράγραφο 7 για τυχόν τρωτά σημεία ή παρατυπίες που εντοπίστηκαν σε μεταγενέστερο στάδιο σχετικά με την ασφάλεια του πιστοποιημένου προϊόντος ΤΠΕ, υπηρεσίας ΤΠΕ ή διαδικασίας ΤΠΕ και μπορεί να έχουν αντίκτυπο στη συμμόρφωσή του με τις απαιτήσεις σχετικά με την πιστοποίηση. Η εν λόγω αρχή ή οργανισμός διαβιβάζει τις εν λόγω πληροφορίες χωρίς αδικαιολόγητη καθυστέρηση στην ενδιαφερόμενη εθνική αρχή πιστοποίησης της κυβερνοασφάλειας.

9.  Ένα ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας εκδίδεται για την περίοδο που προσδιορίζεται στο ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας και μπορεί να ανανεώνεται, με την προϋπόθεση ότι εξακολουθούν να πληρούνται οι σχετικές απαιτήσεις.

10.  Ένα ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας που εκδίδεται δυνάμει του παρόντος άρθρου αναγνωρίζεται σε όλα τα κράτη μέλη.

Άρθρο 57

Εθνικά ►C1  σχήματα ◄ πιστοποίησης της κυβερνοασφάλειας και σχετικά πιστοποιητικά

1.  Με την επιφύλαξη της παραγράφου 3 του παρόντος άρθρου, τα εθνικά ►C1  σχήματα ◄ πιστοποίησης της κυβερνοασφάλειας και οι σχετικές διαδικασίες για τα προϊόντα ΤΠΕ, τις υπηρεσίες ΤΠΕ και τις διαδικασίες ΤΠΕ που καλύπτονται από ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας παύουν να παράγουν αποτελέσματα από την ημερομηνία που ορίζεται στην εκτελεστική πράξη που εκδίδεται σύμφωνα με το άρθρο 49 παράγραφος 7. Τα εθνικά ►C1  σχήματα ◄ πιστοποίησης της κυβερνοασφάλειας και οι σχετικές διαδικασίες για τα προϊόντα ΤΠΕ, τις υπηρεσίες ΤΠΕ και τις διαδικασίες ΤΠΕ που δεν καλύπτονται από ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας εξακολουθούν να παράγουν αποτελέσματα.

2.  Τα κράτη μέλη δεν θεσπίζουν νέα εθνικά ►C1  σχήματα ◄ πιστοποίησης της κυβερνοασφάλειας για τα προϊόντα ΤΠΕ, τις υπηρεσίες ΤΠΕ και τις διαδικασίες ΤΠΕ που καλύπτονται ήδη από ισχύον ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας.

3.  Τα υφιστάμενα πιστοποιητικά που έχουν εκδοθεί στο πλαίσιο εθνικών ►C1  σχημάτων ◄ πιστοποίησης της κυβερνοασφάλειας και καλύπτονται από ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας παραμένουν σε ισχύ έως την ημερομηνία λήξης τους.

4.  Προκειμένου να αποφευχθεί ο κατακερματισμός της εσωτερικής αγοράς, τα κράτη μέλη ενημερώνουν την Επιτροπή και την ΕΟΠΙΚ σχετικά με οποιαδήποτε πρωτοβουλία για την κατάρτιση νέων εθνικών ►C1  σχημάτων ◄ πιστοποίησης της κυβερνοασφάλειας.

Άρθρο 58

Εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας

1.  Κάθε κράτος μέλος ορίζει μία ή περισσότερες εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας στο έδαφός του ή, με τη συμφωνία άλλου κράτους μέλους, ορίζει μία ή περισσότερες εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας που είναι εγκατεστημένες στο εν λόγω άλλο κράτος μέλος προκειμένου να είναι αρμόδιες για τα εποπτικά καθήκοντα στο κράτος μέλος που τις όρισε.

2.  Κάθε κράτος μέλος ενημερώνει την Επιτροπή για την ταυτότητα των οριζόμενων εθνικών αρχών πιστοποίησης της κυβερνοασφάλειας. Σε περίπτωση που κράτος μέλος ορίζει περισσότερες από μία αρχές, παρέχει επίσης ενημέρωση στην Επιτροπή σχετικά με τα καθήκοντα που ανατίθενται σε κάθε μία από τις εν λόγω αρχές.

3.  Με την επιφύλαξη του άρθρου 56 παράγραφος 5 στοιχείο α) και του άρθρου 56 παράγραφος 6, κάθε εθνική αρχή πιστοποίησης της κυβερνοασφάλειας είναι ανεξάρτητη από τις οντότητες τις οποίες επιβλέπει σε επίπεδο οργάνωσης, αποφάσεων χρηματοδότησης, νομικής διάρθρωσης και λήψης αποφάσεων.

4.  Τα κράτη μέλη διασφαλίζουν ότι οι δραστηριότητες των εθνικών αρχών πιστοποίησης της κυβερνοασφάλειας που σχετίζονται με την έκδοση ευρωπαϊκών πιστοποιητικών κυβερνοασφάλειας σύμφωνα που αναφέρονται στο άρθρο 56 παράγραφος 5 στοιχείο α) και στο άρθρο 56 παράγραφος 6 είναι αυστηρά διαχωρισμένες από τις εποπτικές δραστηριότητές τους που καθορίζονται στο παρόν άρθρο και ότι οι εν λόγω δραστηριότητες διενεργούνται ανεξάρτητα μεταξύ τους.

5.  Τα κράτη μέλη μεριμνούν ώστε οι εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας να έχουν στη διάθεσή τους επαρκείς πόρους για την άσκηση των αρμοδιοτήτων τους και να ασκούν, με αποδοτικό και αποτελεσματικό τρόπο, τα καθήκοντά τους.

6.  Για την αποτελεσματική εφαρμογή του παρόντος κανονισμού, οι εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας είναι σκόπιμο να συμμετέχουν στην ΕΟΠΙΚ με ενεργό, αποτελεσματικό, αποδοτικό και ασφαλή τρόπο.

7.  Οι εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας:

8.  Κάθε εθνική αρχή πιστοποίησης της κυβερνοασφάλειας έχει κατ’ ελάχιστον τις ακόλουθες εξουσίες:

9.  Οι εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας συνεργάζονται μεταξύ τους και με την Επιτροπή, ιδίως ανταλλάσσοντας πληροφορίες, εμπειρίες και ορθές πρακτικές όσον αφορά την πιστοποίηση της κυβερνοασφάλειας και τα τεχνικά ζητήματα που αφορούν την κυβερνοασφάλεια των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ και των διαδικασιών ΤΠΕ.

Άρθρο 59

Αξιολόγηση από ομοτίμους

1.  Με σκοπό την επίτευξη ισοδύναμων προτύπων σε ολόκληρη την Ένωση όσον αφορά τα ευρωπαϊκά πιστοποιητικά κυβερνοασφάλειας και τις δηλώσεις συμμόρφωσης ΕΕ, οι εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας υπόκεινται σε αξιολόγηση από ομοτίμους.

2.  Η αξιολόγηση από ομοτίμους πραγματοποιείται με βάση αυστηρά και διαφανή κριτήρια και διαδικασίες αξιολόγησης, ιδιαίτερα όσον αφορά τις απαιτήσεις σε επίπεδο διάρθρωσης, ανθρώπινων πόρων και διεργασίας, την εμπιστευτικότητα και τις καταγγελίες.

3.  Η αξιολόγηση από ομοτίμους καλύπτει:

4.  Αξιολόγηση από ομοτίμους διενεργείται από τουλάχιστον δύο εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας που ανήκουν σε άλλα κράτη μέλη και από την Επιτροπή με συχνότητα τουλάχιστον μία φορά ανά πέντε έτη. Ο ENISA δύναται να συμμετέχει στην αξιολόγηση από ομοτίμους.

5.  Η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις για την κατάρτιση σχεδίου αξιολογήσεων από ομοτίμους που να καλύπτει περίοδο τουλάχιστον πέντε ετών, να ορίζει τα κριτήρια για τη σύνθεση της ομάδας αξιολόγησης από ομοτίμους, τη μεθοδολογία που πρέπει να χρησιμοποιείται για την αξιολόγηση από ομοτίμους και το χρονοδιάγραμμα, τη συχνότητα και τα λοιπά καθήκοντα που σχετίζονται με αυτήν. Κατά την έγκριση των εν λόγω εκτελεστικών πράξεων, η Επιτροπή λαμβάνει δεόντως υπόψη τις απόψεις της ΕΟΠΙΚ. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 66 παράγραφος 2.

6.  Τα αποτελέσματα των αξιολογήσεων από ομοτίμους εξετάζονται από την ΕΟΠΙΚ, η οποία εκπονεί συνοπτικές εκθέσεις που μπορούν να καταστούν διαθέσιμες στο κοινό και, εφόσον απαιτείται, εκδίδει κατευθυντήριες γραμμές ή συστάσεις για δράσεις ή μέτρα που πρέπει να λάβουν οι ενδιαφερόμενοι φορείς.

Άρθρο 60

Οργανισμοί αξιολόγησης της συμμόρφωσης

1.  Οι οργανισμοί αξιολόγησης της συμμόρφωσης λαμβάνουν διαπίστευση από εθνικούς οργανισμούς διαπίστευσης που ορίζονται σύμφωνα με τον κανονισμό (ΕΚ) αριθ. 765/2008. Η εν λόγω διαπίστευση λαμβάνεται μόνο εφόσον ο οργανισμός αξιολόγησης της συμμόρφωσης πληροί τις απαιτήσεις που θεσπίζονται στο παράρτημα του παρόντος κανονισμού.

2.  Όταν εκδίδεται ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας από εθνική αρχή πιστοποίησης της κυβερνοασφάλειας δυνάμει του άρθρου 56 παράγραφος 5 στοιχείο α) και του άρθρου 56 παράγραφος 6, ο οργανισμός πιστοποίησης της εθνικής αρχής πιστοποίησης της κυβερνοασφάλειας λαμβάνει διαπίστευση ως οργανισμός αξιολόγησης της συμμόρφωσης δυνάμει της παραγράφου 1 του παρόντος άρθρου.

3.  Σε περιπτώσεις που ευρωπαϊκά ►C1  σχήματα ◄ πιστοποίησης της κυβερνοασφάλειας ορίζουν ειδικές ή επιπρόσθετες απαιτήσεις δυνάμει του άρθρου 54 παράγραφος 1 στοιχείο στ), μόνο οργανισμοί αξιολόγησης της συμμόρφωσης που πληρούν τις εν λόγω απαιτήσεις εγκρίνονται από την εθνική αρχή πιστοποίησης της κυβερνοασφάλειας για να εκτελούν καθήκοντα στο πλαίσιο των εν λόγω ►C1  συστημάτων ◄ .

4.  Η διαπίστευση που αναφέρεται στην παράγραφο 1 χορηγείται στους οργανισμούς αξιολόγησης της συμμόρφωσης για μέγιστο χρονικό διάστημα πέντε ετών και μπορεί να ανανεωθεί με τους ίδιους όρους, υπό την προϋπόθεση ότι ο οργανισμός αξιολόγησης της συμμόρφωσης εξακολουθεί να πληροί τις απαιτήσεις του παρόντος άρθρου. Οι εθνικοί οργανισμοί διαπίστευσης λαμβάνουν όλα τα ενδεδειγμένα μέτρα εντός εύλογου χρονικού πλαισίου προκειμένου να περιορίσουν, να αναστείλουν ή να ανακαλέσουν τη διαπίστευση οργανισμού αξιολόγησης της συμμόρφωσης που χορηγήθηκε βάσει της παραγράφου 1 όταν δεν πληρούνται ή δεν πληρούνται πλέον οι όροι για τη διαπίστευση ή όταν ο οργανισμός αξιολόγησης της συμμόρφωσης παραβιάζουν τον παρόντα κανονισμό.

Άρθρο 61

Κοινοποίηση

1.  Για κάθε ευρωπαϊκό ►C1  σχήμα ◄ πιστοποίησης της κυβερνοασφάλειας, οι εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας κοινοποιούν στην Επιτροπή τους οργανισμούς αξιολόγησης της συμμόρφωσης που είναι διαπιστευμένοι και, κατά περίπτωση, εξουσιοδοτημένοι δυνάμει του άρθρου 60 παράγραφος 3 να εκδίδουν ευρωπαϊκά πιστοποιητικά κυβερνοασφάλειας σε συγκεκριμένα επίπεδα διασφάλισης όπως αναφέρεται στο άρθρο 52. Η εθνική αρχή πιστοποίησης της κυβερνοασφάλειας κοινοποιεί στην Επιτροπή κάθε μεταγενέστερη σχετική μεταβολή, χωρίς αδικαιολόγητη καθυστέρηση.

2.  Με τη συμπλήρωση έτους από την έναρξη εφαρμογής ενός ευρωπαϊκού ►C1  σχήματος ◄ πιστοποίησης της κυβερνοασφάλειας, η Επιτροπή δημοσιεύει κατάλογο των κοινοποιηθέντων δυνάμει του εν λόγω ►C1  σχήματος ◄ οργανισμών αξιολόγησης της συμμόρφωσης στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

3.  Εάν η Επιτροπή λάβει κοινοποίηση μετά την πάροδο του αναφερόμενου στην παράγραφο 2 χρονικού διαστήματος, δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης τις τροποποιήσεις του καταλόγου των οργανισμών αξιολόγησης της συμμόρφωσης εντός δύο μηνών από την ημερομηνία παραλαβής της εν λόγω κοινοποίησης.

4.  Μια εθνική αρχή πιστοποίησης της κυβερνοασφάλειας μπορεί να υποβάλει στην Επιτροπή αίτημα διαγραφής οργανισμού αξιολόγησης της συμμόρφωσης, που κοινοποιήθηκε από την εν λόγω αρχή, από τον κατάλογο που αναφέρεται στην παράγραφο 2. Η Επιτροπή δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης τις αντίστοιχες τροποποιήσεις του εν λόγω καταλόγου εντός μηνός από την ημερομηνία παραλαβής του αιτήματος που υποβάλλεται από την εθνική αρχή πιστοποίησης της κυβερνοασφάλειας.

5.  Η Επιτροπή δύναται να εκδίδει εκτελεστικές πράξεις για τον καθορισμό των συνθηκών, της μορφής και των διαδικασιών που ισχύουν για τις κοινοποιήσεις που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 66 παράγραφος 2.

Άρθρο 62

Ευρωπαϊκή ομάδα πιστοποίησης της κυβερνοασφάλειας

1.  Συστήνεται ευρωπαϊκή ομάδα πιστοποίησης της κυβερνοασφάλειας («ΕΟΠΙΚ»).

2.  Η ΕΟΠΙΚ απαρτίζεται από αντιπροσώπους των εθνικών αρχών πιστοποίησης της κυβερνοασφάλειας ή αντιπροσώπους άλλων σχετικών εθνικών αρχών. Ένα μέλος της ΕΟΠΙΚ δεν αντιπροσωπεύει περισσότερα από δύο κράτη μέλη.

3.  Οι συμφεροντούχοι και οι σχετικοί τρίτοι μπορούν να καλούνται να παρίστανται στις συνεδριάσεις της ΕΟΠΙΚ και να συμμετέχουν στις εργασίες της.

4.  Η ΕΟΠΙΚ έχει τα ακόλουθα καθήκοντα:

5.  Με τη συνδρομή του ENISA, η Επιτροπή προεδρεύει της ΕΟΠΙΚ και της παρέχει γραμματειακή υποστήριξη σύμφωνα με το άρθρο 8 παράγραφος 1 στοιχείο ε).

Άρθρο 63

Δικαίωμα υποβολής καταγγελίας

1.  Τα φυσικά και τα νομικά πρόσωπα έχουν το δικαίωμα να υποβάλλουν καταγγελία προς τον εκδότη ευρωπαϊκού πιστοποιητικού κυβερνοασφάλειας ή, όταν η καταγγελία αφορά ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας εκδιδόμενο από οργανισμό αξιολόγησης της συμμόρφωσης ενεργούντα σύμφωνα με το άρθρο 56 παράγραφος 6, προς την αρμόδια εθνική αρχή πιστοποίησης της κυβερνοασφάλειας.

2.  Η αρχή ή ο οργανισμός στον οποίο έχει υποβληθεί η καταγγελία ενημερώνει τον καταγγέλλοντα για την πρόοδο της διαδικασίας και για τη ληφθείσα απόφαση και ενημερώνει τον καταγγέλλοντα για το δικαίωμα άσκησης πραγματικής δικαστικής προσφυγής όπως αναφέρεται στο άρθρο 64.

Άρθρο 64

Δικαίωμα πραγματικής δικαστικής προσφυγής

1.  Παρά τη δυνατότητα διοικητικών ή άλλων εξωδικαστικών λύσεων, τα φυσικά και τα νομικά πρόσωπα έχουν το δικαίωμα να ασκήσουν πραγματική δικαστική προσφυγή με αντικείμενο:

2.  Οι διαδικασίες που προβλέπονται στο παρόν άρθρο εκδικάζονται από τα δικαστήρια του κράτους μέλους όπου είναι εγκατεστημένη η αρχή ή ο οργανισμός κατά του οποίου ασκείται η δικαστική προσφυγή.

Άρθρο 65

Κυρώσεις

Τα κράτη μέλη καθορίζουν τους κανόνες για τις κυρώσεις οι οποίες επιβάλλονται σε περίπτωση παραβίασης του παρόντος τίτλου και παραβίασης των ευρωπαϊκών ►C1  σχημάτων ◄ πιστοποίησης της κυβερνοασφάλειας και λαμβάνουν όλα τα αναγκαία μέτρα προκειμένου να εξασφαλίσουν την επιβολή τους. Οι προβλεπόμενες κυρώσεις είναι αποτελεσματικές, αναλογικές και αποτρεπτικές. Τα κράτη μέλη κοινοποιούν στην Επιτροπή χωρίς καθυστέρηση τους εν λόγω κανόνες και μέτρα και την ενημερώνουν σχετικά με κάθε μεταγενέστερη τροποποίησή τους.

ΤΙΤΛΟΣ IV

ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 66

Διαδικασία επιτροπής

1.  Η Επιτροπή επικουρείται από επιτροπή. Η εν λόγω επιτροπή αποτελεί επιτροπή κατά την έννοια του κανονισμού (ΕΕ) αριθ. 182/2011.

2.  Όταν γίνεται αναφορά στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 5 παράγραφος 4 στοιχείο β) του κανονισμού (ΕΕ) αριθ. 182/2011.

Άρθρο 67

Αξιολόγηση και επανεξέταση

1.  Έως τις 28 Ιουνίου 2024 και στη συνέχεια ανά πενταετία, η Επιτροπή αξιολογεί τον αντίκτυπο, την αποτελεσματικότητα και την απόδοση του ENISA και των εργασιακών πρακτικών του, τη δυνατότητα για ενδεχόμενη τροποποίηση της εντολής του ENISA, και τις δημοσιονομικές επιπτώσεις οποιασδήποτε τέτοιας τροποποίησης. Στην αξιολόγηση λαμβάνονται υπόψη οι αντιδράσεις που έχουν παρασχεθεί στον ENISA σε σχέση με τις δραστηριότητές του. Σε περίπτωση που η Επιτροπή κρίνει ότι οι στόχοι, η εντολή και τα καθήκοντά που του έχουν ανατεθεί δεν δικαιολογούν πλέον τη συνέχιση της λειτουργίας του ENISA, η Επιτροπή μπορεί να εισηγηθεί την τροποποίηση του παρόντος κανονισμού ως προς τις διατάξεις που αφορούν τον ENISA.

2.  Η αξιολόγηση εξετάζει επίσης τον αντίκτυπο, την αποτελεσματικότητα και την απόδοση των διατάξεων του τίτλου III του παρόντος κανονισμού σε σχέση με τους στόχους αφενός της διασφάλισης επαρκούς επιπέδου κυβερνοασφάλειας των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ και των διαδικασιών ΤΠΕ στην Ένωση και αφετέρου της βελτίωσης της λειτουργίας της εσωτερικής αγοράς.

3.  Η αξιολόγηση εκτιμά κατά πόσον είναι απαραίτητες βασικές απαιτήσεις κυβερνοασφάλειας για την πρόσβαση στην εσωτερική αγορά, ώστε να αποφευχθεί η είσοδος προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ που δεν πληρούν τις βασικές απαιτήσεις κυβερνοασφάλειας στην αγορά της Ένωσης.

4.  Έως τις 28 Ιουνίου 2024 και στη συνέχεια ανά πενταετία, η Επιτροπή διαβιβάζει την έκθεση αξιολόγησης μαζί με τα συμπεράσματά της στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο και το διοικητικό συμβούλιο. Τα συμπεράσματα της εν λόγω έκθεσης δημοσιοποιούνται.

Άρθρο 68

Κατάργηση και διαδοχή

1.  Ο κανονισμός (ΕΕ) αριθ. 526/2013 καταργείται από τις 27 Ιουνίου 2019.

2.  Οι παραπομπές στον κανονισμό (ΕΕ) αριθ. 526/2013 και στον ENISA όπως συστάθηκε με τον εν λόγω κανονισμό θεωρείται ότι αποτελούν παραπομπές στον παρόντα κανονισμό και στον ENISA όπως συστήνεται με τον παρόντα κανονισμό.

3.  Ο ENISA όπως συστήνεται με τον παρόντα κανονισμό διαδέχεται τον ENISA όπως συστάθηκε με τον κανονισμό (ΕΕ) αριθ. 526/2013 όσον αφορά όλα τα δικαιώματα ιδιοκτησίας, τις συμφωνίες, τις νομικές υποχρεώσεις, τις συμβάσεις εργασίας, τις οικονομικές δεσμεύσεις και ευθύνες. Όλες οι αποφάσεις του διοικητικού συμβουλίου και του εκτελεστικού συμβουλίου που εκδόθηκαν σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 526/2013 παραμένουν σε ισχύ, εφόσον συμμορφώνονται με τον παρόντα κανονισμό.

4.  Ο ENISA ιδρύεται για απεριόριστο χρονικό διάστημα από τις 27 Ιουνίου 2019.

5.  Ο εκτελεστικός διευθυντής που διορίζεται βάσει του άρθρου 24 παράγραφος 4 του κανονισμού (ΕΕ) αριθ. 526/2013 παραμένει σε υπηρεσία και ασκεί τα καθήκοντα του εκτελεστικού διευθυντή όπως αναφέρονται στο άρθρο 20 του παρόντος κανονισμού για το υπόλοιπο της θητείας του. Οι λοιποί όροι της σύμβασής του παραμένουν αμετάβλητοι.

6.  Τα τακτικά μέλη του διοικητικού συμβουλίου και τα αναπληρωματικά μέλη τους που διορίζονται βάσει του άρθρου 6 του κανονισμού (ΕΕ) αριθ. 526/2013 παραμένουν σε υπηρεσία και ασκούν τα καθήκοντα του διοικητικού συμβουλίου όπως αναφέρονται στο άρθρο 15 του παρόντος κανονισμού για το υπόλοιπο της θητείας τους.

Άρθρο 69

Έναρξη ισχύος

1.  Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

2.  Τα άρθρα 58, 60, 61, 63, 64 και 65 εφαρμόζονται από τις 28 Ιουνίου 2021.

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

---

ΠΑΡΑΡΤΗΜΑ

ΑΠΑΙΤΗΣΕΙΣ ΠΟΥ ΠΡΕΠΕΙ ΝΑ ΠΛΗΡΟΥΝΤΑΙ ΑΠΟ ΤΟΥΣ ΟΡΓΑΝΙΣΜΟΥΣ ΑΞΙΟΛΟΓΗΣΗΣ ΤΗΣ ΣΥΜΜΟΡΦΩΣΗΣ

Οι οργανισμοί αξιολόγησης της συμμόρφωσης που επιθυμούν να αποκτήσουν διαπίστευση πληρούν τις ακόλουθες απαιτήσεις:

---

( 1 ) Κανονισμός (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Ιουλίου 2014, σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ (ΕΕ L 257 της 28.8.2014, σ. 73).

( 2 ) ΕΕ L 56 της 4.3.1968, σ. 1.

( 3 ) Κατ’ εξουσιοδότηση κανονισμός (ΕΕ) αριθ. 1271/2013 της Επιτροπής, της 30ής Σεπτεμβρίου 2013, για τη θέσπιση του δημοσιονομικού κανονισμού-πλαισίου για τους οργανισμούς που αναφέρονται στο άρθρο 208 του κανονισμού (ΕΕ, Ευρατόμ) αριθ. 966/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ΕΕ L 328 της 7.12.2013, σ. 42).

( 4 ) Απόφαση (ΕΚ, Ευρατόμ) 2015/443 της Επιτροπής, της 13ης Μαρτίου 2015, σχετικά με την ασφάλεια στην Επιτροπή (ΕΕ L 72 της 17.3.2015, σ. 41).

( 5 ) Απόφαση (ΕΚ, Ευρατόμ) 2015/444 της Επιτροπής, της 13ης Μαρτίου 2015, σχετικά με τους κανόνες ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών της ΕΕ (ΕΕ L 72 της 17.3.2015, σ. 53).

( 6 ) Κανονισμός (ΕΕ, Ευρατόμ) 2018/1046 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Ιουλίου 2018, σχετικά με τους δημοσιονομικούς κανόνες που εφαρμόζονται στον γενικό προϋπολογισμό της Ένωσης, την τροποποίηση των κανονισμών (ΕΕ) αριθ. 1296/2013, (ΕΕ) αριθ. 1301/2013, (ΕΕ) αριθ. 1303/2013, (ΕΕ) αριθ. 1304/2013, (ΕΕ) αριθ. 1309/2013, (ΕΕ) αριθ. 1316/2013, (ΕΕ) αριθ. 223/2014, (ΕΕ) αριθ. 283/2014 και της απόφασης αριθ. 541/2014/ΕΕ και για την κατάργηση του κανονισμού (ΕΕ, Ευρατόμ) αριθ. 966/2012 (ΕΕ L 193 της 30.7.2018, σ. 1).

( 7 ) Κανονισμός (ΕΕ, Ευρατόμ) αριθ. 883/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Σεπτεμβρίου 2013, σχετικά με τις έρευνες που πραγματοποιούνται από την Ευρωπαϊκή Υπηρεσία Καταπολέμησης της Απάτης (OLAF) και την κατάργηση του κανονισμού (ΕΚ) αριθ. 1073/1999 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και του κανονισμού (Ευρατόμ) αριθ. 1074/1999 του Συμβουλίου (ΕΕ L 248 της 18.9.2013, σ. 1).

( 8 ) ΕΕ L 136 της 31.5.1999, σ. 15.

( 9 ) Κανονισμός (Ευρατόμ, ΕΚ) αριθ. 2185/96 του Συμβουλίου, της 11ης Νοεμβρίου 1996, σχετικά με τους ελέγχους και εξακριβώσεις που διεξάγει επιτοπίως η Επιτροπή με σκοπό την προστασία των οικονομικών συμφερόντων των Ευρωπαϊκών Κοινοτήτων από απάτες και λοιπές παρατυπίες (ΕΕ L 292 της 15.11.1996, σ. 2).

( 10 ) Κανονισμός αριθ. 1 του Συμβουλίου περί καθορισμού του γλωσσικού καθεστώτος της Ευρωπαϊκής Οικονομικής Κοινότητας (EE 17 της 6.10.1958, σ. 385/58).