(1)

Τα συστήματα δικτύου και πληροφοριών και τα δίκτυα και οι υπηρεσίες ηλεκτρονικών επικοινωνιών διαδραματίζουν ζωτικό ρόλο στην κοινωνία και αποτελούν κεντρικό πυλώνα της οικονομικής ανάπτυξης. Η τεχνολογία πληροφοριών και επικοινωνιών (ΤΠΕ) ενισχύει τα σύνθετα συστήματα που στηρίζουν τις καθημερινές κοινωνικές δραστηριότητες, επιτρέπουν τη συνεχή λειτουργία των οικονομιών μας σε βασικούς τομείς όπως της υγείας, της ενέργειας, των οικονομικών και των μεταφορών και στηρίζουν ειδικότερα τη λειτουργία της εσωτερικής αγοράς.

(2)

Η χρήση συστημάτων δικτύου και πληροφοριών από τους πολίτες, τους οργανισμούς και τις επιχειρήσεις σε όλη την Ένωση είναι σήμερα ευρύτατα διαδεδομένη. Η ψηφιοποίηση και η συνδεσιμότητα καθίστανται πλέον βασικά χαρακτηριστικά στην περίπτωση ολοένα και περισσότερων προϊόντων και υπηρεσιών και με την έλευση του διαδικτύου των πραγμάτων (IoT), ένας εξαιρετικά μεγάλος αριθμός συνδεδεμένων ψηφιακών συσκευών αναμένεται να χρησιμοποιούνται στην Ένωση κατά την επόμενη δεκαετία. Αν και ολοένα μεγαλύτερος αριθμός συσκευών είναι συνδεδεμένες στο διαδίκτυο, η ασφάλεια και η ανθεκτικότητα δεν αποτελούν χαρακτηριστικά που διαθέτουν επαρκώς από τον σχεδιασμό τους, με αποτέλεσμα την ανεπαρκή κυβερνοασφάλειά τους. Στο πλαίσιο αυτό, η περιορισμένη χρήση της πιστοποίησης οδηγεί στο να έχουν οι μεμονωμένοι χρήστες και οι χρήστες από οργανισμούς και επιχειρήσεις ανεπαρκείς πληροφορίες σχετικά με τα χαρακτηριστικά κυβερνοασφάλειας των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ και των διαδικασιών ΤΠΕ, με αποτέλεσμα την υπονόμευση της εμπιστοσύνης στις ψηφιακές λύσεις. Τα συστήματα δικτύου και πληροφοριών έχουν τη δυνατότητα να υποστηρίζουν όλες τις πτυχές της ζωής μας και αποτελούν κινητήρια δύναμη της οικονομικής ανάπτυξης της Ένωσης. Είναι η βάση για την επίτευξη της ψηφιακής ενιαίας αγοράς.

(3)

Η αυξημένη ψηφιοποίηση και συνδεσιμότητα οδηγούν σε αυξημένους κινδύνους για την κυβερνοασφάλεια, με αποτέλεσμα να καθίσταται η κοινωνία εν γένει πιο ευάλωτη σε κυβερνοαπειλές και να οξύνονται οι κίνδυνοι που αντιμετωπίζουν τα φυσικά πρόσωπα, συμπεριλαμβανομένων των ευάλωτων προσώπων όπως τα παιδιά. Προκειμένου να μετριαστούν οι εν λόγω κίνδυνοι, είναι ανάγκη να αναληφθούν όλες οι απαραίτητες ενέργειες για τη βελτίωση της κυβερνοασφάλειας στην Ένωση με σκοπό τα συστήματα δικτύου και πληροφοριών, τα δίκτυα επικοινωνιών, τα ψηφιακά προϊόντα, υπηρεσίες και συσκευές που χρησιμοποιούν οι πολίτες, οι οργανισμοί και οι επιχειρήσεις – από τις μικρές και μεσαίες επιχειρήσεις (ΜΜΕ), όπως ορίζονται στη σύσταση 2003/361/ΕΚ της Επιτροπής (4), ως τους διαχειριστές υποδομών ζωτικής σημασίας – να προστατεύονται καλύτερα από τις κυβερνοαπειλές.

(4)

Διαθέτοντας τις σχετικές πληροφορίες στο ευρύ κοινό, ο Οργανισμός της Ευρωπαϊκής Ένωσης για την κυβερνοασφάλεια (ENISA), όπως ιδρύθηκε με τον κανονισμό (EE) αριθ. 526/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (5), συμβάλλει στην ανάπτυξη του κλάδου κυβερνοασφάλειας στην Ένωση, ιδίως για τις ΜΜΕ και τις νεοφυείς επιχειρήσεις. Ο ENISA θα πρέπει να επιδιώξει στενότερη συνεργασία με πανεπιστήμια και ερευνητικούς οργανισμούς ώστε να συμβάλει στη μείωση των εξαρτήσεων από προϊόντα και υπηρεσίες της κυβερνοασφάλειας από χώρες εκτός της Ένωσης και να ενισχύσει τις αλυσίδες εφοδιασμού εντός της Ένωσης.

(5)

Οι κυβερνοεπιθέσεις παρουσιάζουν αύξηση και μια συνδεδεμένη οικονομία και κοινωνία που είναι πιο ευάλωτη σε κυβερνοαπειλές και κυβερνοεπιθέσεις χρειάζεται ισχυρότερη άμυνα. Ωστόσο, αν και οι κυβερνοεπιθέσεις είναι συνήθως διασυνοριακές, οι αρμοδιότητες των αρχών για την κυβερνοασφάλεια και των αρχών επιβολής του νόμου, καθώς και τα πολιτικά μέτρα που λαμβάνουν οι εν λόγω αρχές, έχουν κυρίως εθνικό χαρακτήρα. Τα μεγάλης κλίμακας συμβάντα θα μπορούσαν να διαταράξουν την παροχή βασικών υπηρεσιών σε όλη την Ένωση. Τούτο απαιτεί αποτελεσματική και συντονισμένη απόκριση και διαχείριση κρίσεων σε επίπεδο Ένωσης, με βάση ειδικές πολιτικές και ευρύτερα μέσα διασφάλισης της Ευρωπαϊκής αλληλεγγύης και αμοιβαίας συνδρομής. Επιπλέον, η τακτική εκτίμηση της κατάστασης της κυβερνοασφάλειας και της ανθεκτικότητας στην Ένωση με βάση αξιόπιστα ενωσιακά δεδομένα, καθώς και η συστηματική πρόβλεψη των μελλοντικών εξελίξεων, προκλήσεων και απειλών, σε ενωσιακό και σε παγκόσμιο επίπεδο, είναι σημαντικές για τους υπευθύνους χάραξης πολιτικής, τη βιομηχανία και τους χρήστες.

(6)

Ενόψει των αυξημένων προκλήσεων που αντιμετωπίζει η Ένωση στον τομέα της κυβερνοασφάλειας, υπάρχει ανάγκη για ολοκληρωμένη σειρά μέτρων που βασίζονται σε προηγούμενες δράσεις της Ένωσης και ευνοούν τους αλληλοενισχυόμενους στόχους. Οι στόχοι αυτοί περιλαμβάνουν την περαιτέρω αύξηση των ικανοτήτων και της ετοιμότητας των κρατών μελών και των επιχειρήσεων, καθώς και τη βελτίωση της συνεργασίας, της ανταλλαγής πληροφοριών και του συντονισμού στα κράτη μέλη και στα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης. Επιπλέον, δεδομένης της διασυνοριακής φύσης των κυβερνοαπειλών, υπάρχει ανάγκη αύξησης των ικανοτήτων σε επίπεδο Ένωσης που θα μπορούσαν να συμπληρώσουν τη δράση των κρατών μελών, ιδίως σε περιπτώσεις μεγάλης κλίμακας διασυνοριακών συμβάντων και κρίσεων, λαμβάνοντας ταυτόχρονα υπόψη τη σημασία της διατήρησης και περαιτέρω ενίσχυσης των εθνικών ικανοτήτων αντιμετώπισης κυβερνοαπειλών σε κάθε κλίμακα.

(7)

Απαιτούνται επίσης επιπλέον προσπάθειες για την αύξηση της ευαισθητοποίησης των πολιτών, των οργανισμών και των επιχειρήσεων σε ζητήματα κυβερνοασφάλειας. Επιπλέον, δεδομένου ότι τα συμβάντα υπονομεύουν την εμπιστοσύνη στους παρόχους ψηφιακών υπηρεσιών και στην ίδια την ψηφιακή ενιαία αγορά, ιδίως μεταξύ των καταναλωτών, η εμπιστοσύνη θα πρέπει να ενισχυθεί περαιτέρω με την παροχή πληροφοριών με διαφάνεια σχετικά με το επίπεδο ασφάλειας των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ και των διαδικασιών ΤΠΕ που υπογραμμίζουν ότι ακόμη και ένα υψηλό επίπεδο πιστοποίησης κυβερνοασφάλειας δεν μπορεί να εγγυηθεί απολύτως την ασφάλεια των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ και των διαδικασιών ΤΠΕ. Στην αύξηση της εμπιστοσύνης μπορεί να συμβάλει η πιστοποίηση σε επίπεδο Ένωσης, με την παροχή κοινών απαιτήσεων κυβερνοασφάλειας και κριτηρίων αξιολόγησης για όλες τις εθνικές αγορές και τους τομείς.

(8)

Η κυβερνοασφάλεια δεν είναι μόνο ζήτημα τεχνολογίας, αλλά ζήτημα όπου σημαντικό ρόλο κατέχει η ανθρώπινη συμπεριφορά. Ως εκ τούτου, θα πρέπει να ενθαρρυνθεί η «κυβερνοϋγιεινή», δηλαδή απλά μέτρα ρουτίνας τα οποία, όταν εφαρμόζονται και εκτελούνται τακτικά από πολίτες, οργανισμούς και επιχειρήσεις, ελαχιστοποιούν την έκθεσή τους σε κινδύνους από κυβερνοαπειλές.

(9)

Για να ενισχυθούν οι ενωσιακές δομές κυβερνοασφάλειας, είναι σημαντικό να διατηρηθούν και να αναπτυχθούν οι ικανότητες των κρατών μελών για την ολοκληρωμένη αντιμετώπιση των κυβερνοαπειλών, συμπεριλαμβανομένων των διασυνοριακών συμβάντων.

(10)

Οι επιχειρήσεις και οι μεμονωμένοι καταναλωτές θα πρέπει να έχουν ακριβείς πληροφορίες σχετικά με το επίπεδο διασφάλισης στο οποίο έχει πιστοποιηθεί η ασφάλεια των οικείων προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ. Ταυτόχρονα, κανένα προϊόν ΤΠΕ ή υπηρεσία ΤΠΕ δεν είναι πλήρως κυβερνοασφαλές και πρέπει να προωθηθούν και να έχουν προτεραιότητα οι βασικοί κανόνες της κυβερνοϋγιεινής. Λόγω της αυξανόμενης προσφοράς συσκευών του IoT, υπάρχει μια σειρά μέτρων τα οποία ο ιδιωτικός τομέας μπορεί να λάβει σε εθελοντική βάση για να ενισχύσει την εμπιστοσύνη στην ασφάλεια των προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ.

(11)

Τα σύγχρονα προϊόντα και συστήματα ΤΠΕ συχνά ενσωματώνουν και βασίζονται σε μία ή περισσότερες τεχνολογίες και συνιστώσες τρίτων όπως ενότητες λογισμικού, βιβλιοθήκες ή διεπαφές προγραμματισμού εφαρμογών. Αυτή η σχέση, που καλείται «εξάρτηση», θα μπορούσε να δημιουργήσει πρόσθετους κινδύνους για την κυβερνοασφάλεια, καθώς τα τρωτά σημεία που βρίσκονται σε συνιστώσες τρίτων θα μπορούσαν επίσης να επηρεάσουν την ασφάλεια των προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ. Σε πολλές περιπτώσεις, ο προσδιορισμός και η τεκμηρίωση τέτοιων εξαρτήσεων παρέχει τη δυνατότητα στους τελικούς χρήστες των προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ να βελτιώσουν τις ενέργειές τους για τη διαχείριση κινδύνων που συνδέονται με την κυβερνοασφάλεια, βελτιώνοντας, για παράδειγμα, τις διαδικασίες που χρησιμοποιούν οι χρήστες για τη διαχείριση και διόρθωση των τρωτών σημείων της κυβερνοασφάλειας.

(12)

Οι οργανισμοί, οι κατασκευαστές ή οι πάροχοι υπηρεσιών που εμπλέκονται στον σχεδιασμό και στην ανάπτυξη προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ θα πρέπει να ενθαρρύνονται να εφαρμόζουν μέτρα, κατά τα πρώτα στάδια του σχεδιασμού και της ανάπτυξης, ώστε η ασφάλεια των εν λόγω προϊόντων, υπηρεσιών και διαδικασιών να προστατεύεται στον μέγιστο δυνατό βαθμό, κατά τρόπο που να θεωρείται δεδομένο ότι θα γίνουν κυβερνοεπιθέσεις και οι επιπτώσεις τους να προβλέπονται και να ελαχιστοποιούνται («ασφάλεια βάσει σχεδιασμού» - «security-by-design»). Μέριμνα για την ασφάλεια θα πρέπει να διασφαλίζεται καθ’ όλη τη διάρκεια ζωής του προϊόντος ΤΠΕ, της υπηρεσίας ΤΠΕ ή της διαδικασίας ΤΠΕ με συνεχή εξέλιξη των διαδικασιών σχεδιασμού και ανάπτυξης, ώστε να μειώνεται ο κίνδυνος βλάβης λόγω κακόβουλης εκμετάλλευσης.

(13)

Οι επιχειρήσεις, οι οργανισμοί και ο δημόσιος τομέας θα πρέπει να διαμορφώνουν τα προϊόντα ΤΠΕ, τις υπηρεσίες ΤΠΕ ή τις διαδικασίες ΤΠΕ που σχεδιάζουν κατά τρόπο που να διασφαλίζει υψηλότερο επίπεδο ασφάλειας το οποίο επιτρέπει στον πρώτο χρήστη να λαμβάνει μια προεπιλεγμένη ρύθμιση με τις πλέον ασφαλείς παραμέτρους («ασφάλεια εξ ορισμού»), μειώνοντας κατ’ αυτόν τον τρόπο την επιβάρυνση των χρηστών με την ανάγκη κατάλληλης ρύθμισης προϊόντος ΤΠΕ, υπηρεσίας ΤΠΕ ή διαδικασίας ΤΠΕ. Η ασφάλεια εξ ορισμού δεν θα πρέπει να απαιτεί εκτενή ρύθμιση ή ειδικές τεχνικές γνώσεις ή μη διαισθητική συμπεριφορά εκ μέρους του χρήστη και θα πρέπει να λειτουργεί εύκολα και αξιόπιστα όταν εφαρμόζεται. Εάν, κατά περίπτωση, η ανάλυση κινδύνου και χρηστικότητας καταλήξει στο συμπέρασμα ότι μια τέτοια προεπιλεγμένη ρύθμιση δεν είναι εφικτή, οι χρήστες θα πρέπει να παροτρύνονται να επιλέξουν την πιο ασφαλή ρύθμιση.

(14)

Με τον κανονισμό (ΕΚ) αριθ. 460/2004 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (6) δημιουργήθηκε ο ENISA με σκοπό να συμβάλλει στην επίτευξη των στόχων της διασφάλισης υψηλού και αποτελεσματικού επιπέδου ασφάλειας των δικτύων και των πληροφοριών εντός της Ένωσης και της ανάπτυξης μιας αντίληψης για την ασφάλεια των δικτύων και των πληροφοριών προς όφελος των πολιτών, των καταναλωτών, των επιχειρήσεων και των οργανισμών του δημόσιου τομέα. Ο κανονισμός (ΕΚ) αριθ. 1007/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (7) παρέτεινε τη θητεία του ENISA έως τον Μάρτιο του 2012. Ο κανονισμός (ΕΕ) αριθ. 580/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (8) παρέτεινε περαιτέρω τη θητεία του ENISA έως τις 13 Σεπτεμβρίου 2013. Ο κανονισμός (ΕΕ) αριθ. 526/2013 παρέτεινε τη θητεία του ENISA έως τις 19 Ιουνίου 2020.

(15)

Η Ένωση έχει λάβει ήδη σημαντικά μέτρα για τη διασφάλιση της κυβερνοασφάλειας και την ενίσχυση της εμπιστοσύνης στις ψηφιακές τεχνολογίες. Το 2013 θεσπίστηκε η Στρατηγική της Ευρωπαϊκής Ένωσης για την ασφάλεια στον κυβερνοχώρο με σκοπό τον προσανατολισμό των μέτρων πολιτικής της Ένωσης έναντι των κυβερνοαπειλών και των κυβερνοκινδύνων. Στο πλαίσιο της προσπάθειας της να προστατέψει καλύτερα τους πολίτες που είναι συνδεδεμένοι επιγραμμικά, η πρώτη νομική πράξη της Ένωσης στον τομέα της κυβερνοασφάλειας εκδόθηκε το 2016 υπό τη μορφή της οδηγίας (ΕΕ) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9). Η οδηγία (ΕΕ) 2016/1148 θέσπισε απαιτήσεις σχετικά με τις ικανότητες σε εθνικό επίπεδο στον τομέα της κυβερνοασφάλειας και τους πρώτους μηχανισμούς ενίσχυσης της στρατηγικής και επιχειρησιακής συνεργασίας μεταξύ των κρατών μελών και εισήγαγε υποχρεώσεις όσον αφορά μέτρα ασφάλειας και κοινοποιήσεις συμβάντων σε διάφορους τομείς που είναι ζωτικής σημασίας για την οικονομία και την κοινωνία, όπως αυτοί της ενέργειας, των μεταφορών, της προμήθειας και διανομής πόσιμου νερού, των τραπεζών, των υποδομών χρηματοπιστωτικών αγορών, της υγείας, της ψηφιακής υποδομής, καθώς και των βασικών παρόχων ψηφιακών υπηρεσιών (μηχανές αναζήτησης, υπηρεσίες νεφοϋπολογιστικής και επιγραμμικές αγορές).

Στον ENISA ανατέθηκε κεντρικός ρόλος στη στήριξη της εφαρμογής της εν λόγω οδηγίας. Επιπλέον, σημαντική προτεραιότητα του ευρωπαϊκού θεματολογίου για την ασφάλεια είναι η αποτελεσματική καταπολέμηση του κυβερνοεγκλήματος, συμβάλλοντας έτσι στον συνολικό στόχο της επίτευξης υψηλού επιπέδου κυβερνοασφάλειας. Άλλες νομικές πράξεις όπως ο κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (10) και οι οδηγίες του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 2002/58/ΕΚ (11) και (ΕΕ) 2018/1972 (12) επίσης συμβάλλουν σε ένα υψηλό επίπεδο κυβερνοασφάλειας στην ψηφιακή ενιαία αγορά.

(16)

Από τη θέσπιση της Στρατηγικής της Ευρωπαϊκής Ένωσης για την ασφάλεια στον κυβερνοχώρο το 2013 και την τελευταία επανεξέταση της εντολής του ENISA, το συνολικό πολιτικό πλαίσιο έχει αλλάξει σημαντικά καθώς το παγκόσμιο περιβάλλον έχει γίνει πιο αβέβαιο και λιγότερο ασφαλές. Υπό αυτές τις συνθήκες και σε συνάρτηση με τη θετική εξέλιξη του ρόλου του ENISA που αποτελεί σημείο αναφοράς για συμβουλές και εμπειρογνωσία και διευκολύνει τη συνεργασία και τη δημιουργία ικανοτήτων καθώς και στο πλαίσιο της νέας πολιτικής της Ένωσης για την κυβερνοασφάλεια, είναι απαραίτητο να επανεξεταστεί η εντολή του ENISA, να καθοριστεί ο ρόλος του στο οικοσύστημα της κυβερνοασφάλειας που έχει μεταβληθεί και να διασφαλιστεί η αποτελεσματική συμβολή του στην αντιμετώπιση από την Ένωση των προκλήσεων στον τομέα της κυβερνοασφάλειας που απορρέουν από τη ριζική μεταβολή της φύσης των κυβερνοαπειλών, οι οποίες, όπως αναγνωρίστηκε στο πλαίσιο της αξιολόγησης του ENISA, δεν αντιμετωπίζονται επαρκώς από την παρούσα εντολή.

(17)

Ο ENISA που ιδρύεται με τον παρόντα κανονισμό θα πρέπει να αποτελεί συνέχεια του ENISA όπως συστάθηκε δυνάμει του κανονισμού (ΕΕ) αριθ. 526/2013. Ο ENISA θα πρέπει να εκτελεί τα καθήκοντα που του ανατίθενται με τον παρόντα κανονισμό και άλλες νομικές πράξεις της Ένωσης στον τομέα της κυβερνοασφάλειας, μεταξύ άλλων, με την παροχή συμβουλών και εμπειρογνωμοσύνης και μέσω της λειτουργίας του ως κέντρου πληροφοριών και γνώσεων της Ένωσης. Θα πρέπει να προωθεί την ανταλλαγή βέλτιστων πρακτικών μεταξύ των κρατών μελών και των συμφεροντούχων του ιδιωτικού τομέα, να υποβάλλει προτάσεις πολιτικής στην Επιτροπή και τα κράτη μέλη, να λειτουργεί ως σημείο αναφοράς για τομεακές πρωτοβουλίες πολιτικής της Ένωσης όσον αφορά ζητήματα κυβερνοασφάλειας και να ενθαρρύνει την επιχειρησιακή συνεργασία μεταξύ των κρατών μελών και μεταξύ των κρατών μελών και των θεσμικών και λοιπών οργάνων και οργανισμών της Ένωσης.

(18)

Στο πλαίσιο της απόφασης 2004/97/ΕΚ, Ευρατόμ την οποία έλαβαν με κοινή συμφωνία οι αντιπρόσωποι των κρατών μελών, συνερχόμενοι σε επίπεδο αρχηγού κράτους ή κυβερνήσεως (13), οι αντιπρόσωποι των κρατών μελών αποφάσισαν ότι ο ENISA θα είχε την έδρα του σε ελληνική πόλη που θα καθοριζόταν από την ελληνική κυβέρνηση. Το κράτος μέλος υποδοχής του ENISA θα πρέπει να διασφαλίζει τις βέλτιστες δυνατές συνθήκες για την εύρυθμη και αποδοτική λειτουργία του ENISA. Για την απρόσκοπτη και αποτελεσματική εκτέλεση των καθηκόντων του, την πρόσληψη και τη διατήρηση προσωπικού και την αύξηση της αποτελεσματικότητας της δράσης δικτύωσης, είναι αναγκαίο να έχει ο ENISA τη βάση του σε κατάλληλο τόπο, που μεταξύ άλλων θα προσφέρει κατάλληλες μεταφορικές συνδέσεις και ευκολίες για τους συζύγους και τα τέκνα που θα συνοδεύουν το προσωπικό του ENISA. Οι απαιτούμενες διευθετήσεις θα πρέπει να θεσπισθούν με συμφωνία μεταξύ του ENISA και του κράτους μέλους υποδοχής, με προηγούμενη έγκριση του διοικητικού συμβουλίου του ENISA.

(19)

Δεδομένων των αυξανόμενων κινδύνων και προκλήσεων που αντιμετωπίζει η Ένωση στον τομέα της κυβερνοασφάλειας, θα πρέπει να αυξηθούν οι χρηματοδοτικοί και οι ανθρώπινοι πόροι του ENISA, κατ’ αντιστοιχία προς τον ενισχυμένο ρόλο και τα αυξημένα καθήκοντά του και την καθοριστική του θέση στο οικοσύστημα των οργανισμών που προασπίζονται το ψηφιακό οικοσύστημα της Ένωσης, επιτρέποντας στον ENISA να εκπληρώσει αποτελεσματικά τα καθήκοντα που του ανατίθενται βάσει του παρόντος κανονισμού.

(20)

Ο ENISA θα πρέπει, αφενός, να αναπτύσσει και να διατηρεί υψηλό επίπεδο εμπειρογνωσίας και, αφετέρου, να λειτουργεί ως σημείο αναφοράς, εμπνέοντας ασφάλεια και εμπιστοσύνη στην ενιαία αγορά χάρη στην ανεξαρτησία του, την ποιότητα των συμβουλών που παρέχει και των πληροφοριών που διαδίδει, τη διαφάνεια των διαδικασιών και μεθόδων λειτουργίας του και την επιμέλεια με την οποία εκτελεί τα καθήκοντά του. Ο ENISA θα πρέπει να στηρίζει ενεργά τις εθνικές προσπάθειες και να συμβάλλει προδραστικά στις προσπάθειες σε επίπεδο Ένωσης εκτελώντας παράλληλα τα καθήκοντά του σε στενή συνεργασία με τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και τα κράτη μέλη, αποφεύγοντας τυχόν αλληλεπικάλυψη εργασιών και προωθώντας τις συνέργειες. Επιπροσθέτως, ο ENISA θα πρέπει να αξιοποιεί τις εισροές από τον ιδιωτικό τομέα και άλλους σχετικούς συμφεροντούχους, καθώς και τη συνεργασία με αυτούς. Με μια σειρά καθηκόντων θα πρέπει να καθοριστεί ο τρόπος με τον οποίο ο ENISA οφείλει να επιτύχει τους στόχους του, ενώ θα πρέπει να καθίσταται δυνατή η ευελιξία στο έργο του.

(21)

Για να είναι σε θέση να παράσχει επαρκή υποστήριξη στην επιχειρησιακή συνεργασία μεταξύ των κρατών μελών, ο ENISA θα πρέπει να ενισχύσει περαιτέρω τις τεχνικές και ανθρώπινες ικανότητες και δεξιότητές του. Ο ENISA θα πρέπει να αυξήσει την τεχνογνωσία και τις ικανότητές του. Ο ENISA και τα κράτη μέλη, σε εθελοντική βάση, θα μπορούσαν να αναπτύξουν προγράμματα για την απόσπαση εθνικών εμπειρογνωμόνων στον ENISA, τη δημιουργία ομάδων εμπειρογνωμόνων και την ανταλλαγή προσωπικού.

(22)

Ο ENISA θα πρέπει να επικουρεί την Επιτροπή μέσω συμβουλών, γνωμοδοτήσεων και αναλύσεων σχετικά με θέματα της Ένωσης που αφορούν τη χάραξη, τις επικαιροποιήσεις και τις αναθεωρήσεις της πολιτικής και του δικαίου στο πεδίο της κυβερνοασφάλειας και τις ειδικές ανά τομέα πτυχές αυτού του πεδίου προκειμένου να ενισχύσει τη σημασία της πολιτικής και της νομοθεσίας της Ένωσης που σχετίζονται με την κυβερνοασφάλεια και να επιτρέψει τη συνεπή εφαρμογή της εν λόγω πολιτικής και νομοθεσίας σε εθνικό επίπεδο. Ο ENISA θα πρέπει να ενεργεί ως σημείο αναφοράς για τις συμβουλές και την εμπειρογνωσία για τομεακές πρωτοβουλίες πολιτικής και νομοθεσίας της Ένωσης σε περιπτώσεις που αφορούν ζητήματα κυβερνοασφάλειας. Ο ENISA θα πρέπει να ενημερώνει τακτικά το Ευρωπαϊκό Κοινοβούλιο για τις δραστηριότητές του.

(23)

Ο δημόσιος πυρήνας του ανοιχτού διαδικτύου, δηλαδή τα κύρια πρωτόκολλα και οι υποδομές του που είναι παγκόσμιο δημόσιο αγαθό, παρέχει τη βασική λειτουργικότητα του διαδικτύου στο σύνολό του και στηρίζει την κανονική του λειτουργία. Ο ENISA θα πρέπει να στηρίζει την ασφάλεια του δημόσιου πυρήνα του ανοιχτού διαδικτύου και τη σταθερότητα της λειτουργίας του, συμπεριλαμβανομένων, χωρίς να περιορίζεται σε αυτά, των βασικών πρωτοκόλλων (ιδίως DNS, BGP και IPv6), τη λειτουργίας του συστήματος ονομάτων τομέα (χώρου) (όπως της λειτουργίας όλων των τομέων ανωτάτου επιπέδου) και τη λειτουργίας της βασικής ζώνης.

(24)

Το βασικό καθήκον του ENISA είναι η προώθηση της συνεπούς εφαρμογής του σχετικού νομικού πλαισίου, ειδικότερα δε η αποτελεσματική εφαρμογή της οδηγίας (ΕΕ) 2016/1148 και άλλων συναφών νομικών εργαλείων που περιέχουν πτυχές της κυβερνοασφάλειας, που είναι απαραίτητη για την αύξηση της κυβερνοανθεκτικότητας. Υπό το πρίσμα του ταχέως εξελισσόμενου τοπίου των κυβερνοαπειλών, είναι σαφές ότι οφείλεται να παρέχεται στήριξη στα κράτη μέλη μέσω μιας πιο συνεκτικής διατομεακής προσέγγισης στην οικοδόμηση κυβερνοανθεκτικότητας.

(25)

Ο ENISA θα πρέπει να επικουρεί τα κράτη μέλη και τα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης στην προσπάθειά τους να οικοδομήσουν και να ενισχύσουν τις ικανότητες και την ετοιμότητά τους για την πρόληψη, τον εντοπισμό και την αντιμετώπιση κυβερνοαπειλών και συμβάντων και σε σχέση με την ασφάλεια συστημάτων δικτύου και πληροφοριών. Συγκεκριμένα, ο ENISA θα πρέπει να υποστηρίζει την ανάπτυξη και την ενίσχυση εθνικών και ενωσιακών ομάδων παρέμβασης για συμβάντα που αφορούν την ασφάλεια των υπολογιστών («CSIRT») που προβλέπονται στην οδηγία (ΕΕ) 2016/1148, με σκοπό την επίτευξη υψηλού κοινού επιπέδου ωριμότητάς τους στην Ένωση. Οι δραστηριότητες που διεξάγει ο ENISA σχετικά με τις επιχειρησιακές ικανότητες των κρατών μελών θα πρέπει να υποστηρίζουν ενεργά τις δράσεις που αναλαμβάνουν τα κράτη μέλη για να εκπληρώνουν τις υποχρεώσεις τους που απορρέουν από την οδηγία (ΕΕ) 2016/1148 και συνεπώς δεν θα πρέπει να τις υπερσκελίζουν.

(26)

Ο ENISA θα πρέπει επίσης να συμβάλλει στην ανάπτυξη και την επικαιροποίηση των στρατηγικών σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών σε επίπεδο Ένωσης και, κατόπιν αιτήματος, σε επίπεδο κρατών μελών, ιδίως όσον αφορά την κυβερνοασφάλεια, και να προωθεί τη διάδοση των εν λόγω στρατηγικών και να παρακολουθεί την πρόοδο της υλοποίησής τους. Ο ENISA θα πρέπει επίσης να συμβάλλει στην κάλυψη των αναγκών κατάρτισης και εκπαιδευτικού υλικού, μεταξύ άλλων των αναγκών των δημόσιων φορέων, και, όπου είναι σκόπιμο, σε μεγάλο βαθμό, να «εκπαιδεύει τους εκπαιδευτικούς», με βάση το πλαίσιο ψηφιακών ικανοτήτων για τους πολίτες και με σκοπό την παροχή συνδρομής στα κράτη μέλη και στα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης για την ανάπτυξη των δικών τους ικανοτήτων κατάρτισης.

(27)

Ο ENISA θα πρέπει να στηρίζει τα κράτη μέλη στον τομέα της ευαισθητοποίησης και της εκπαίδευσης για την κυβερνοασφάλεια διευκολύνοντας τον στενότερο συντονισμό και την ανταλλαγή βέλτιστων πρακτικών μεταξύ των κρατών μελών. Η υποστήριξη αυτή θα μπορούσε να συνίσταται στην ανάπτυξη ενός δικτύου εθνικών εκπαιδευτικών σημείων επαφής και στην ανάπτυξη μιας πλατφόρμας κατάρτισης για την κυβερνοασφάλεια. Το δίκτυο των εθνικών εκπαιδευτικών σημείων επαφής θα μπορούσε να λειτουργήσει στο πλαίσιο του δικτύου εθνικών υπαλλήλων-συνδέσμων και να αποτελέσει αφετηρία για τον μελλοντικό συντονισμό εντός των κρατών μελών.

(28)

Ο ENISA θα πρέπει να επικουρεί την ομάδα συνεργασίας που θεσπίστηκε με την οδηγία (ΕΕ) 2016/1148 στην εκτέλεση των καθηκόντων της, συγκεκριμένα μέσω της παροχής εμπειρογνωμοσύνης, συμβουλών και της διευκόλυνσης της ανταλλαγής βέλτιστων πρακτικών, μεταξύ άλλων όσον αφορά τον προσδιορισμό φορέων εκμετάλλευσης βασικών υπηρεσιών από τα κράτη μέλη, καθώς και όσον αφορά διασυνοριακές εξαρτήσεις σε σχέση με κινδύνους και συμβάντα.

(29)

Με στόχο να δοθούν κίνητρα για τη συνεργασία δημόσιου και ιδιωτικού τομέα και εντός του ιδιωτικού τομέα και ειδικότερα με σκοπό τη στήριξη της προστασίας των υποδομών ζωτικής σημασίας, ο ENISA θα πρέπει να στηρίζει την ανταλλαγή πληροφοριών στους τομείς και μεταξύ των τομέων, ιδίως σε αυτούς που αναφέρονται στον κατάλογο του παραρτήματος II της οδηγίας (ΕΕ) 2016/1148, προσφέροντας βέλτιστες πρακτικές και καθοδήγηση για τα διαθέσιμα εργαλεία και τη διαδικασία, καθώς και παρέχοντας καθοδήγηση για τον τρόπο με τον οποίον θα αντιμετωπίζονται κανονιστικά ζητήματα που σχετίζονται με την ανταλλαγή πληροφοριών, για παράδειγμα μέσω της διευκόλυνσης της θέσπισης τομεακών κέντρων κοινοχρησίας και ανάλυσης πληροφοριών.

(30)

Καθώς οι πιθανές αρνητικές επιπτώσεις των τρωτών σημείων προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ αυξάνονται συνεχώς, ο εντοπισμός και η διόρθωση αυτών των τρωτών σημείων παίζουν σημαντικό ρόλο στη μείωση του συνολικού κινδύνου για την κυβερνοασφάλεια. Η συνεργασία μεταξύ οργανισμών, κατασκευαστών ή παρόχων τρωτών προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ, καθώς και μελών της ερευνητικής κοινότητας για την κυβερνοασφάλεια και των κυβερνήσεων που εντοπίζουν τρωτά σημεία έχει αποδειχθεί ότι αυξάνει σημαντικά τόσο τα ποσοστά εντοπισμού όσο και τη διόρθωση των τρωτών σημείων προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ. Συντονισμένη δημοσιοποίηση τρωτών σημείων σημαίνει μια διαρθρωμένη διαδικασία συνεργασίας στην οποία τα τρωτά σημεία αναφέρονται στον ιδιοκτήτη του συστήματος πληροφοριών, παρέχοντας στον οργανισμό την ευκαιρία να διαγνώσει και να διορθώσει το τρωτό σημείο πριν να αποκαλυφθούν σε τρίτα μέρη ή στο ευρύ κοινό λεπτομερείς πληροφορίες σχετικά με τα τρωτά σημεία. Η διαδικασία προβλέπει επίσης τον συντονισμό μεταξύ του «εντοπιστή» και του οργανισμού όσον αφορά τη δημοσιοποίηση των εν λόγω τρωτών σημείων. Οι πολιτικές της συντονισμένης δημοσιοποίησης τρωτών σημείων θα μπορούσαν να διαδραματίσουν σημαντικό ρόλο στις προσπάθειες των κρατών μελών για την ενίσχυση της κυβερνοασφάλειας.

(31)

Ο ENISA θα πρέπει να συγκεντρώνει και να αναλύει εθνικές εκθέσεις από τις CSIRT και τη διοργανική ομάδα αντιμετώπισης έκτακτων αναγκών στην πληροφορική για τα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης που θεσπίστηκε με τον διακανονισμό μεταξύ του Ευρωπαϊκού Κοινοβουλίου, του Ευρωπαϊκού Συμβουλίου, του Συμβουλίου της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Επιτροπής, του Δικαστηρίου της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κεντρικής Τράπεζας, του Ευρωπαϊκού Ελεγκτικού Συνεδρίου, της Ευρωπαϊκής Υπηρεσίας Εξωτερικής Δράσης, της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής, της Ευρωπαϊκής Επιτροπής των Περιφερειών και της Ευρωπαϊκής Τράπεζας Επενδύσεων σχετικά με την οργάνωση και τη λειτουργία ομάδας αντιμετώπισης έκτακτων αναγκών στην πληροφορική για τα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης (CERT-ΕΕ) (14) οι οποίες ανταλλάσσονται σε εθελοντική βάση με σκοπό τη συμβολή στον καθορισμό κοινών διαδικασιών, γλώσσας και ορολογίας για την ανταλλαγή πληροφοριών. Υπό αυτές τις συνθήκες ο ENISA θα πρέπει να εξασφαλίζει τη συμμετοχή του ιδιωτικού τομέα στο πλαίσιο της οδηγίας (ΕΕ) 2016/1148 που καθορίζει τους λόγους εθελούσιας ανταλλαγής τεχνικών πληροφοριών σε επιχειρησιακό επίπεδο εντός του δικτύου ομάδων απόκρισης συμβάντων που αφορούν την ασφάλεια των υπολογιστών («δίκτυο CSIRT») που δημιουργήθηκε με την εν λόγω οδηγία.

(32)

Ο ENISA θα πρέπει να συμβάλλει στην αντιμετώπιση σε επίπεδο Ένωσης σε περίπτωση μεγάλης κλίμακας διασυνοριακών συμβάντων και κρίσεων που αφορούν την κυβερνοασφάλεια. Το εν λόγω καθήκον θα πρέπει να εκτελείται σύμφωνα με την εντολή του ENISA όπως αυτή καθορίζεται από τον παρόντα κανονισμό και με βάση μια προσέγγιση που θα αποφασιστεί από τα κράτη μέλη στο πλαίσιο της σύστασης (ΕΕ) 2017/1584 της Επιτροπής (15) και των συμπερασμάτων του Συμβουλίου της 26ης Ιουνίου 2018 για τη συντονισμένη αντιμετώπιση σε επίπεδο ΕΕ συμβάντων και κρίσεων ασφάλειας μεγάλης κλίμακας στον κυβερνοχώρο. Το εν λόγω καθήκον θα μπορούσε να περιλαμβάνει τη συλλογή σχετικών πληροφοριών και έναν διευκολυντικό ρόλο ανάμεσα στο δίκτυο CSIRT και στην τεχνική κοινότητα, καθώς και στους αρμόδιους λήψης αποφάσεων που έχουν την ευθύνη διαχείρισης κρίσεων. Επιπλέον, ο ENISA θα πρέπει να στηρίζει την επιχειρησιακή συνεργασία μεταξύ των κρατών μελών, όταν ζητείται από ένα ή περισσότερα κράτη μέλη, στον χειρισμό συμβάντων από τεχνικής άποψης, μέσω της διευκόλυνσης της σχετικής ανταλλαγής τεχνικών λύσεων μεταξύ των κρατών μελών και μέσω της παροχής εισροών σε δημόσιες επικοινωνίες. Ο ENISA θα πρέπει να στηρίζει την επιχειρησιακή συνεργασία δοκιμάζοντας τις ρυθμίσεις μιας τέτοιας συνεργασίας μέσω τακτικών ασκήσεων κυβερνοασφάλειας.

(33)

Για τη στήριξη της επιχειρησιακής συνεργασίας, ο ENISA θα πρέπει να χρησιμοποιεί τη διαθέσιμη τεχνική και επιχειρησιακή εμπειρογνωσία της CERT-EU μέσω διαρθρωμένης συνεργασίας. Η διαρθρωμένη αυτή συνεργασία θα μπορούσε να ενισχύσει την εμπειρογνωσία του ENISA. Όπου συντρέχει περίπτωση, θα πρέπει να θεσπίζονται συγκεκριμένες ρυθμίσεις μεταξύ των δύο οντοτήτων με σκοπό τον καθορισμό της πρακτικής εφαρμογής της εν λόγω συνεργασίας και την αποφυγή της αλληλεπικάλυψης δραστηριοτήτων.

(34)

Εκτελώντας το καθήκον του που αφορά τη στήριξη της επιχειρησιακής συνεργασίας στο πλαίσιο του δικτύου των CSIRT, ο ENISA θα πρέπει να μπορεί να παρέχει στήριξη στα κράτη μέλη κατόπιν αιτήματός τους, όπως για παράδειγμα παρέχοντας συμβουλές για το πώς να βελτιώσουν τις ικανότητές τους να προλαμβάνουν, να εντοπίζουν και να αντιμετωπίζουν συμβάντα, διευκολύνοντας τον τεχνικό χειρισμό συμβάντων που έχουν σημαντικό ή ουσιαστικό αντίκτυπο ή διασφαλίζοντας τη διενέργεια αναλύσεων σχετικά με κυβερνοαπειλές και συμβάντα. Ο ENISA θα πρέπει να διευκολύνει τον τεχνικό χειρισμό συμβάντων που έχουν σημαντικό ή ουσιαστικό αντίκτυπο, παρέχοντας ειδικότερα στήριξη στην εθελούσια ανταλλαγή τεχνικών λύσεων μεταξύ των κρατών μελών ή παράγοντας συνδυαστικές τεχνικές πληροφορίες, όπως τεχνικές λύσεις που ανταλλάσσουν σε εθελοντική βάση τα κράτη μέλη. Η σύσταση (ΕΕ) 2017/1584 συνιστά ότι τα κράτη μέλη πρέπει να συνεργάζονται με καλή πίστη και να ανταλλάσσουν μεταξύ τους και με τον ENISA, χωρίς αδικαιολόγητη καθυστέρηση, πληροφορίες σχετικά με μεγάλης κλίμακας συμβάντα και κρίσεις που αφορούν την κυβερνοασφάλεια. Τέτοιου είδους πληροφορίες θα βοηθήσουν περαιτέρω τον ENISA στην εκπλήρωση του καθήκοντός του για τη στήριξη της επιχειρησιακής συνεργασίας.

(35)

Στο πλαίσιο της τακτικής συνεργασίας σε τεχνικό επίπεδο με σκοπό τη στήριξη της ευαισθητοποίησης ως προς την κατάσταση στην Ένωση, ο ENISA θα πρέπει, σε στενή συνεργασία με τα κράτη μέλη, να εκπονεί τακτική αναλυτική τεχνική έκθεση για την κατάσταση της κυβερνοασφάλειας στην ΕΕ όσον αφορά συμβάντα και κυβερνοαπειλές, με βάση τις πληροφορίες που είναι δημόσια διαθέσιμες, τις αναλύσεις του και εκθέσεις του που έχει μοιραστεί με τις CSIRT των κρατών μελών ή τα εθνικά ενιαία κέντρα επαφής για την ασφάλεια των συστημάτων δικτύου και πληροφοριών («ενιαία κέντρα επαφής») που προβλέπονται στην οδηγία (ΕΕ) 2016/1148, όλα σε εθελοντική βάση, το Ευρωπαϊκό Κέντρο για τα Κυβερνοεγκλήματα (EC3) στη Ευρωπόλ, τη CERT-EU και, όπου συντρέχει περίπτωση, το Κέντρο ανάλυσης πληροφοριών και κατάστασης της Ευρωπαϊκής Ένωσης (EU INTCEN) στην Ευρωπαϊκή Υπηρεσία Εξωτερικής Δράσης. Η εν λόγω έκθεση θα πρέπει να διατίθεται στο Συμβούλιο, στην Επιτροπή, στον Ύπατο Εκπρόσωπο της Ένωσης για θέματα εξωτερικής πολιτικής και πολιτικής ασφαλείας και στο δίκτυο CSIRT.

(36)

Η στήριξη από τον ENISA για τις εκ των υστέρων τεχνικές έρευνες συμβάντων με σημαντικό ή ουσιαστικό αντίκτυπο οι οποίες αναλαμβάνονται κατόπιν αιτήματος των ενδιαφερόμενων κρατών μελών θα πρέπει να επικεντρώνεται στην πρόληψη μελλοντικών συμβάντων. Τα ενδιαφερόμενα κράτη μέλη θα πρέπει να παρέχουν τις απαραίτητες πληροφορίες και συνδρομή προκειμένου να μπορεί ο ENISA να στηρίζει αποτελεσματικά την εκ των υστέρων τεχνική έρευνα.

(37)

Τα κράτη μέλη μπορούν να καλούν τις επιχειρήσεις τις οποίες αφορά το συμβάν να συνεργάζονται παρέχοντας τις απαραίτητες πληροφορίες και συνδρομή στον ENISA με την επιφύλαξη του δικαιώματός τους να προστατεύουν εμπορικά ευαίσθητες πληροφορίες και πληροφορίες που αφορούν τη δημόσια ασφάλεια.

(38)

Για την καλύτερη κατανόηση των προκλήσεων στον τομέα της κυβερνοασφάλειας και με σκοπό την παροχή στρατηγικών μακροπρόθεσμων συμβουλών στα κράτη μέλη και τα θεσμικά όργανα και λοιπά όργανα και οργανισμούς της Ένωσης, ο ENISA πρέπει να αναλύει τους υφιστάμενους και αναδυόμενους κινδύνους για την κυβερνοασφάλεια. Για τον σκοπό αυτό, ο ENISA θα πρέπει, σε συνεργασία με τα κράτη μέλη και, αν κρίνεται σκόπιμο, με τα στατιστικά όργανα και λοιπά όργανα, να συλλέγει τις σχετικές πληροφορίες που είναι διαθέσιμες στο κοινό ή ανταλλάσσονται σε εθελοντική βάση και να διενεργεί αναλύσεις των αναδυόμενων τεχνολογιών, καθώς και να παρέχει αξιολογήσεις για συγκεκριμένα θέματα σχετικά με τις αναμενόμενες κοινωνικές, νομικές, οικονομικές και ρυθμιστικές επιπτώσεις των τεχνολογικών καινοτομιών στην ασφάλεια δικτύων και πληροφοριών, ιδίως στην κυβερνοασφάλεια. Ο ENISA θα πρέπει επιπλέον να στηρίζει τα κράτη μέλη και τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης κατά τον προσδιορισμό των αναδυόμενων κινδύνων στην κυβερνοασφάλεια και την πρόληψη των συμβάντων, πραγματοποιώντας αναλύσεις των κυβερνοαπειλών, των τρωτών σημείων και των συμβάντων στον κυβερνοχώρο.

(39)

Προκειμένου να αυξήσει την ανθεκτικότητα της Ένωσης, ο ENISA θα πρέπει να αναπτύξει εμπειρογνωμοσύνη στον τομέα της κυβερνοασφάλειας των υποδομών, ιδίως για τη στήριξη των τομέων που παρατίθενται στον κατάλογο του παραρτήματος II της οδηγίας (ΕΕ) 2016/1148 και εκείνων που χρησιμοποιούνται από τους παρόχους ψηφιακών υπηρεσιών που παρατίθενται στον κατάλογο του παραρτήματος III της εν λόγω οδηγίας, παρέχοντας συμβουλές, εκδίδοντας κατευθυντήριες γραμμές και ανταλλάσσοντας βέλτιστες πρακτικές. Με στόχο τη διασφάλιση ευκολότερης πρόσβασης σε καλύτερα διαρθρωμένες πληροφορίες σχετικά με τους κινδύνους και τα πιθανά διορθωτικά μέτρα που αφορούν την κυβερνοασφάλεια, ο ENISA θα πρέπει να αναπτύξει και να διατηρεί τον «κόμβο πληροφοριών» της Ένωσης, μια μονοαπευθυντική πύλη που παρέχει στο κοινό πληροφορίες σχετικά με την κυβερνοασφάλεια που δημιουργούνται στην Ένωση και προέρχονται από τα θεσμικά και λοιπά όργανα και οργανισμούς. Η διευκόλυνση της πρόσβασης σε καλύτερα δομημένες πληροφορίες σχετικά με τους κινδύνους για την κυβερνοασφάλεια και τις πιθανές διορθωτικές ενέργειες θα μπορούσε επίσης να βοηθήσει τα κράτη μέλη να ενισχύσουν τις ικανότητές τους και να ευθυγραμμίσουν τις πρακτικές τους, βελτιώνοντας έτσι τη συνολική τους ανθεκτικότητα έναντι των κυβερνοεπιθέσεων.

(40)

Ο ENISA θα πρέπει να συμβάλλει στην ευαισθητοποίηση του κοινού όσον αφορά τους κινδύνους κυβερνοασφάλειας, μεταξύ άλλων με πανενωσιακή εκστρατεία ευαισθητοποίησης προάγοντας την εκπαίδευση, και στην παροχή καθοδήγησης όσον αφορά τις ορθές πρακτικές για μεμονωμένους χρήστες στοχεύοντας σε πολίτες, οργανώσεις και επιχειρήσεις. Ο ENISA θα πρέπει επίσης να συμβάλλει στην προώθηση βέλτιστων πρακτικών και λύσεων, συμπεριλαμβανομένης της κυβερνοϋγιεινής και του κυβερνογραμματισμού, σε επίπεδο πολιτών, οργανώσεων και επιχειρήσεων, συλλέγοντας και αναλύοντας δημόσια διαθέσιμες πληροφορίες σχετικά με σημαντικά συμβάντα και συντάσσοντας και δημοσιεύοντας εκθέσεις και καθοδήγηση για πολίτες, οργανισμούς και επιχειρήσεις, και στη βελτίωση του συνολικού επιπέδου ετοιμότητας και ανθεκτικότητάς τους. Ο ENISA θα πρέπει να προσπαθεί επίσης να παρέχει στους καταναλωτές σχετικές πληροφορίες για τα ισχύοντα συστήματα πιστοποίησης, για παράδειγμα μέσω κατευθυντήριων γραμμών και συστάσεων. Επιπλέον, ο ENISA θα πρέπει να διοργανώνει, σύμφωνα με το σχέδιο δράσης για την ψηφιακή εκπαίδευση που συστάθηκε με την ανακοίνωση της Επιτροπής της 17ης Ιανουαρίου 2018 και σε συνεργασία με τα κράτη μέλη και τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης, τακτικές εκστρατείες προβολής και ενημέρωσης του κοινού που θα απευθύνονται στους τελικούς χρήστες, με στόχο την προώθηση ασφαλέστερων ατομικών συμπεριφορών στον κυβερνοχώρο και τον ψηφιακό γραμματισμό και την ευαισθητοποίηση σχετικά με τις ενδεχόμενες κυβερνοαπειλές, συμπεριλαμβανομένων των επιγραμμικών εγκληματικών δραστηριοτήτων όπως οι επιθέσεις ηλεκτρονικού «ψαρέματος» (phishing), δίκτυα προγραμμάτων ρομπότ (botnet), χρηματοπιστωτική και τραπεζική απάτη και περιστατικά απάτης με δεδομένα, καθώς και την προώθηση βασικών συμβουλών για την πολυπαραγοντική πιστοποίηση γνησιότητας, τη δημιουργία patch ασφαλείας (patching), την κρυπτογράφηση, την ανωνυμοποίηση και την προστασία των δεδομένων.

(41)

Ο ENISA θα πρέπει να διαδραματίζει κεντρικό ρόλο στην επιτάχυνση της ευαισθητοποίησης των τελικών χρηστών ως προς την ασφάλεια των συσκευών και την ασφαλή χρήση των υπηρεσιών και θα πρέπει να προάγει σε επίπεδο Ένωσης την ασφάλεια βάσει σχεδιασμού και την προστασία της ιδιωτικής ζωής εκ σχεδιασμού (privacy-by-design). Προς επίτευξη του στόχου αυτού, ο ENISA θα πρέπει να αξιοποιεί τις διαθέσιμες βέλτιστες πρακτικές και εμπειρίες, ιδίως τις βέλτιστες πρακτικές και εμπειρίες ακαδημαϊκών ιδρυμάτων και ερευνητών στον τομέα της ασφάλειας ΤΠ.

(42)

Προκειμένου να υποστηρίζει τις επιχειρήσεις που δραστηριοποιούνται στον τομέα της κυβερνοασφάλειας, καθώς και τους χρήστες λύσεων σχετικών με την κυβερνοασφάλεια, ο ENISA θα πρέπει να αναπτύξει και να διατηρεί ένα «παρατηρητήριο αγοράς», διενεργώντας τακτικές αναλύσεις και διαδίδοντας πληροφορίες για τις κύριες τάσεις στην αγορά της κυβερνοασφάλειας, τόσο από την πλευρά της ζήτησης όσο και από την πλευρά της προσφοράς.

(43)

Ο ENISA θα πρέπει να συμβάλλει στις προσπάθειες της Ένωσης για συνεργασία με διεθνείς οργανισμούς, καθώς και εντός των συναφών διεθνών πλαισίων συνεργασίας στον τομέα της κυβερνοασφάλειας. Ειδικότερα, ο ENISA θα πρέπει να συμβάλλει, κατά περίπτωση, στη συνεργασία με οργανισμούς όπως ο ΟΟΣΑ, ο ΟΑΣΕ και το ΝΑΤΟ. Η συνεργασία αυτή θα μπορούσε να περιλαμβάνει κοινές ασκήσεις κυβερνοασφάλειας και κοινό συντονισμό της αντιμετώπισης συμβάντων. Οι εν λόγω δραστηριότητες οφείλουν να πραγματοποιούνται με πλήρη σεβασμό των αρχών της συμμετοχικότητας, της αμοιβαιότητας και της αυτονομίας λήψης αποφάσεων της Ένωσης, χωρίς να θίγεται ο ιδιαίτερος χαρακτήρας της πολιτικής ασφάλειας και άμυνας κάθε κράτους μέλους.

(44)

Για να διασφαλίσει την πλήρη επιτυχία των στόχων του, ο ENISA θα πρέπει να συνεργάζεται με σχετικές εποπτικές αρχές της Ένωσης και με άλλες αρμόδιες αρχές στην Ένωση, τα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης, συμπεριλαμβανομένης της CERT-EU, του EC3, του Ευρωπαϊκού Οργανισμού Άμυνας (ΕΟΑ), του Ευρωπαϊκού Οργανισμού Παγκόσμιου Δορυφορικού Συστήματος Πλοήγησης (Ευρωπαϊκός Οργανισμός GNSS), του Φορέα Ευρωπαϊκών Ρυθμιστικών Αρχών για τις Ηλεκτρονικές Επικοινωνίες (BEREC), του Ευρωπαϊκού Οργανισμού για τη λειτουργική διαχείριση συστημάτων ΤΠ μεγάλης κλίμακας στον χώρο Ελευθερίας, Ασφάλειας και Δικαιοσύνης (eu-LISA), της Ευρωπαϊκής Κεντρικής Τράπεζας (ΕΚΤ), της Ευρωπαϊκής Αρχής Τραπεζών (ΕΑΤ), του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, του Οργανισμού Συνεργασίας των Ρυθμιστικών Αρχών Ενέργειας (ACER), του Οργανισμού Ασφάλειας της Αεροπορίας της Ευρωπαϊκής Ένωσης (ΕΟΑΑ) και οποιουδήποτε άλλους οργανισμού της Ένωσης που εμπλέκεται στην κυβερνοασφάλεια. Ο ENISA θα πρέπει επίσης να συνεργάζεται με αρχές που ασχολούνται με την προστασία των δεδομένων, προκειμένου να ανταλλάσσει τεχνογνωσία και βέλτιστες πρακτικές, και να παρέχει συμβουλές σε θέματα κυβερνοασφάλειας που ενδέχεται να έχουν επιπτώσεις στο έργο τους. Οι εκπρόσωποι των εθνικών και των ενωσιακών αρχών επιβολής του νόμου και προστασίας δεδομένων θα πρέπει να έχουν δικαίωμα εκπροσώπησης στη συμβουλευτική ομάδα του ENISA. Όταν ο ENISA συνεργάζεται με αρχές επιβολής του νόμου για θέματα ασφάλειας των δικτύων και των πληροφοριών τα οποία ενδέχεται να έχουν επιπτώσεις στο έργο τους, θα πρέπει να σέβεται τους υπάρχοντες διαύλους πληροφοριών και τα υφιστάμενα δίκτυα.

(45)

Θα μπορούσαν να δημιουργηθούν εταιρικές σχέσεις με ακαδημαϊκά ιδρύματα που αναλαμβάνουν ερευνητικές πρωτοβουλίες στους σχετικούς τομείς και οι πληροφορίες από τις οργανώσεις καταναλωτών και άλλους φορείς θα πρέπει να φτάνουν μέσω κατάλληλων διαύλων και να λαμβάνονται υπόψη.

(46)

Ο ENISA, υπό την ιδιότητά του ως Γραμματεία του δικτύου CSIRT, θα πρέπει να στηρίζει τις CSIRT των κρατών μελών και τη CERT-EU στην επιχειρησιακή συνεργασία σχετικά με τα σχετικά καθήκοντα του δικτύου CSIRT, όπως αναφέρεται στην οδηγία (ΕΕ) 2016/1148. Ακόμη, ο ENISA θα πρέπει να προωθεί και να υποστηρίζει τη συνεργασία μεταξύ των οικείων CSIRT σε περίπτωση συμβάντων, επιθέσεων ή διαταραχών στη λειτουργία των δικτύων ή στην υποδομή την οποία διαχειρίζονται ή προστατεύουν οι CSIRT και αφορούν ή μπορούν να αφορούν τουλάχιστον δύο CSIRT, λαμβάνοντας δεόντως υπόψη τις τυποποιημένες επιχειρησιακές διαδικασίες του δικτύου CSIRT.

(47)

Προκειμένου να αυξηθεί η ετοιμότητα της Ένωσης στην απόκριση σε συμβάντα, ο ENISA θα πρέπει να διοργανώνει σε τακτική βάση ασκήσεις για την κυβερνοασφάλεια σε επίπεδο Ένωσης και, κατόπιν αιτήματος, να στηρίζει τα κράτη μέλη και τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης στη διοργάνωση τέτοιων ασκήσεων. Ανά διετία θα πρέπει να διοργανώνονται γενικές ασκήσεις μεγάλης κλίμακας οι οποίες περιλαμβάνουν τεχνικά, επιχειρησιακά και στρατηγικά στοιχεία. Επιπλέον, ο ENISA θα πρέπει να μπορεί να διοργανώνει τακτικά λιγότερο εκτενείς ασκήσεις με τον ίδιο στόχο, δηλαδή να αυξηθεί η ετοιμότητα της Ένωσης στην απόκριση σε συμβάντα.

(48)

Ο ENISA θα πρέπει να αναπτύσσει περαιτέρω και να διατηρεί την εμπειρογνωσία του στην πιστοποίηση της κυβερνοασφάλειας προκειμένου να υποστηρίζει την ενωσιακή πολιτική στον τομέα αυτό. Ο ENISA θα πρέπει να αξιοποιεί τις υφιστάμενες βέλτιστες πρακτικές και να προάγει την εισαγωγή πιστοποίησης για την κυβερνοασφάλεια εντός της Ένωσης, μεταξύ άλλων συμβάλλοντας στη θέσπιση και τη διατήρηση ενός πλαισίου πιστοποίησης της κυβερνοασφάλειας σε ενωσιακό επίπεδο (ευρωπαϊκό πλαίσιο πιστοποίησης για την κυβερνοασφάλεια), προκειμένου να αυξηθεί η διαφάνεια της εξασφάλισης της κυβερνοασφάλειας για προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ και διαδικασίες ΤΠΕ, ενισχύοντας κατ’ αυτόν τον τρόπο την εμπιστοσύνη στην ψηφιακή εσωτερική αγορά και στην ανταγωνιστικότητά της.

(49)

Οι αποδοτικές πολιτικές κυβερνοασφάλειας θα πρέπει να βασίζονται σε σωστά εκπονηθείσες μεθόδους εκτίμησης κινδύνου, τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα. Οι μέθοδοι εκτίμησης κινδύνου χρησιμοποιούνται σε διαφορετικά επίπεδα και δεν υπάρχουν κοινές πρακτικές όσον αφορά την αποδοτική εφαρμογή τους. Η προώθηση και ανάπτυξη βέλτιστων πρακτικών για την εκτίμηση κινδύνου και για διαλειτουργικές λύσεις διαχείρισης κινδύνου σε οργανισμούς του δημοσίου και του ιδιωτικού τομέα θα βελτιώσει το επίπεδο κυβερνοασφάλειας στην Ένωση. Για τον σκοπό αυτό, ο ENISA θα πρέπει να υποστηρίζει τη συνεργασία μεταξύ των συμφεροντούχων του δημόσιου και του ιδιωτικού τομέα σε επίπεδο Ένωσης και να διευκολύνει τις προσπάθειές τους σχετικά με την καθιέρωση και χρήση ευρωπαϊκών και διεθνών προτύπων για τη διαχείριση κινδύνου και τη μετρήσιμη ασφάλεια ηλεκτρονικών προϊόντων, συστημάτων, δικτύων και υπηρεσιών που, μαζί με το λογισμικό, αποτελούν τα συστήματα δικτύου και πληροφοριών.

(50)

Ο ENISA θα πρέπει να παροτρύνει τα κράτη μέλη, τους κατασκευαστές ή τους παρόχους προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ να ανεβάζουν το γενικό επίπεδο των προτύπων ασφάλειας, έτσι ώστε όλοι οι χρήστες του διαδικτύου να μπορούν να λαμβάνουν τα αναγκαία μέτρα για να εξασφαλίζουν την προσωπική τους κυβερνοασφάλεια, και θα πρέπει να παρέχει κίνητρα για να το πράξουν. Πιο συγκεκριμένα, οι κατασκευαστές και οι πάροχοι προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ θα πρέπει να παρέχουν τις τυχόν αναγκαίες ενημερώσεις και να ανακαλούν, να αποσύρουν ή να ανακυκλώνουν προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ ή διαδικασίες ΤΠΕ που δεν πληρούν τα πρότυπα κυβερνοασφάλειας, ενώ οι εισαγωγείς και οι διανομείς θα πρέπει να διασφαλίζουν ότι τα προϊόντα ΤΠΕ, οι υπηρεσίες ΤΠΕ και οι διαδικασίες ΤΠΕ που διαθέτουν στην αγορά της Ένωσης συμμορφώνονται με τις ισχύουσες απαιτήσεις και δεν παρουσιάζουν κίνδυνο για τους καταναλωτές της Ένωσης.

(51)

Σε συνεργασία με τις αρμόδιες αρχές, ο ENISA θα πρέπει να μπορεί να διαδίδει πληροφορίες όσον αφορά το επίπεδο κυβερνοασφάλειας των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ και των διαδικασιών ΤΠΕ που διατίθενται στην εσωτερική αγορά και να εκδίδει προειδοποιήσεις που στοχεύουν τους κατασκευαστές ή τους παρόχους προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ και απαιτούν από αυτούς να βελτιώνουν την ασφάλεια των οικείων προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ, συμπεριλαμβανομένης της κυβερνοασφάλειας.

(52)

Ο ENISA θα πρέπει να συνυπολογίζει πλήρως τις τρέχουσες δραστηριότητες έρευνας, ανάπτυξης και τεχνολογικής αξιολόγησης, ιδίως εκείνες που πραγματοποιούνται στο πλαίσιο διαφόρων ερευνητικών πρωτοβουλιών της Ένωσης, προκειμένου να συμβουλεύει τα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης και, όπου είναι σκόπιμο, τα κράτη μέλη, εφόσον το ζητήσουν, σχετικά με τις ερευνητικές ανάγκες και προτεραιότητες στον τομέα της κυβερνοασφάλειας. Προκειμένου να προσδιορίζονται οι ερευνητικές ανάγκες και προτεραιότητες, ο ENISA θα πρέπει επίσης να συμβουλεύεται τις οικείες ομάδες χρηστών. Ειδικότερα, θα μπορούσε να καθιερωθεί συνεργασία με το Ευρωπαϊκό Συμβούλιο Έρευνας, το Ευρωπαϊκό Ινστιτούτο Καινοτομίας και Τεχνολογίας και το Ινστιτούτο Μελετών της Ευρωπαϊκής Ένωσης για Θέματα Ασφάλειας.

(53)

Ο ENISA θα πρέπει να διαβουλεύεται τακτικά με τους οργανισμούς τυποποίησης, ιδίως τους ευρωπαϊκούς, κατά την προετοιμασία των ευρωπαϊκών συστημάτων πιστοποίησης της κυβερνοασφάλειας.

(54)

Οι κυβερνοαπειλές είναι παγκόσμιο ζήτημα. Υπάρχει ανάγκη στενότερης διεθνούς συνεργασίας για τη βελτίωση των προτύπων κυβερνοασφάλειας, συμπεριλαμβανομένης της ανάγκης ορισμού κοινών προτύπων συμπεριφοράς και υιοθέτησης δεοντολογικών κανόνων, της χρήσης διεθνών προτύπων και της από κοινού χρήσης πληροφοριών, για την προώθηση ταχύτερης διεθνούς συνεργασίας για την αντιμετώπιση θεμάτων ασφάλειας δικτύων και πληροφοριών και για την προώθηση κοινής παγκόσμιας προσέγγισης τέτοιων θεμάτων. Για τον σκοπό αυτό, ο ENISA θα πρέπει να υποστηρίζει την εκτενέστερη ευρωπαϊκή συμμετοχή και τη συνεργασία με τρίτες χώρες και διεθνείς οργανισμούς, παρέχοντας την απαιτούμενη εμπειρογνωμοσύνη και δυνατότητα ανάλυσης στα σχετικά θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης, κατά περίπτωση.

(55)

Ο ENISA θα πρέπει να είναι ικανός να ανταποκρίνεται σε συγκεκριμένα αιτήματα παροχής συμβουλών και επικουρίας που υποβάλλουν τα κράτη μέλη και τα θεσμικά και λοιπά όργανα και οι οργανισμοί της Ένωσης και εμπίπτουν στην εντολή του ENISA.

(56)

Είναι λογικό και ενδεδειγμένο να εφαρμοστούν ορισμένες αρχές σε σχέση με τη διακυβέρνηση του ENISA για τη συμμόρφωση στην κοινή δήλωση και την κοινή προσέγγιση που συμφωνήθηκαν τον Ιούλιο του 2012 στη διοργανική ομάδα εργασίας για τους αποκεντρωμένους οργανισμούς της Ένωσης, η οποία έχει ως αποστολή τον εξορθολογισμό των δραστηριοτήτων των αποκεντρωμένων οργανισμών και τη βελτίωση της απόδοσής τους. Οι συστάσεις στην κοινή δήλωση και στην κοινή προσέγγιση θα πρέπει επίσης να αντικατοπτρίζονται, κατά περίπτωση, στα προγράμματα εργασιών του ENISA, στις αξιολογήσεις του ENISA και στις πρακτικές του ENISA όσον αφορά την υποβολή εκθέσεων και την άσκηση της διοίκησης.

(57)

Το διοικητικό συμβούλιο, που απαρτίζεται από εκπροσώπους των κρατών μελών και της Επιτροπής, θα πρέπει να καθορίζει τη γενική κατεύθυνση των εργασιών του ENISA και να διασφαλίζει ότι ο Οργανισμός εκτελεί τα καθήκοντά του σύμφωνα με τον παρόντα κανονισμό. Θα πρέπει να εκχωρηθούν στο διοικητικό συμβούλιο οι αναγκαίες εξουσίες για την κατάρτιση του προϋπολογισμού, τον έλεγχο της εκτέλεσης του προϋπολογισμού, την έγκριση κατάλληλων δημοσιονομικών κανόνων, τη θέσπιση διαφανών διαδικασιών εργασίας για τη λήψη αποφάσεων από τον ENISA, την έγκριση του ενιαίου εγγράφου προγραμματισμού του ENISA, την έγκριση του εσωτερικού κανονισμού του Οργανισμού, καθώς και τον διορισμό του εκτελεστικού διευθυντή και τη λήψη απόφασης για παράταση και λήξη της θητείας του εκτελεστικού διευθυντή.

(58)

Για την ορθή και αποτελεσματική λειτουργία του ENISA, η Επιτροπή και τα κράτη μέλη θα πρέπει να εξασφαλίζουν ότι τα πρόσωπα που θα διορισθούν στο διοικητικό συμβούλιο έχουν την κατάλληλη επαγγελματική εμπειρογνωσία και πείρα. Η Επιτροπή και τα κράτη μέλη θα πρέπει επίσης να καταβάλλουν προσπάθειες για τον περιορισμό της εναλλαγής των αντίστοιχων αντιπροσώπων τους στο διοικητικό συμβούλιο, προκειμένου να εξασφαλίζεται η συνέχεια του έργου του.

(59)

Για την ομαλή λειτουργία του ENISA, ο εκτελεστικός διευθυντής του επιβάλλεται να διορίζεται βάσει προσόντων και αποδεδειγμένων διοικητικών και διευθυντικών ικανοτήτων, καθώς και βάσει ικανοτήτων και πείρας στον τομέα της κυβερνοασφάλειας. Τα καθήκοντα του εκτελεστικού διευθυντή θα πρέπει να εκτελούνται με πλήρη ανεξαρτησία. Ο εκτελεστικός διευθυντής θα πρέπει να εκπονεί πρόταση για το ετήσιο πρόγραμμα εργασίας του ENISA, κατόπιν προηγούμενης διαβούλευσης με την Επιτροπή, και να λαμβάνει όλα τα αναγκαία μέτρα για να διασφαλίζει την ορθή εκτέλεση του εν λόγω προγράμματος εργασίας. Ο εκτελεστικός διευθυντής θα πρέπει να καταρτίζει ετήσια έκθεση προς υποβολή στο διοικητικό συμβούλιο η οποία περιλαμβάνει την υλοποίηση του ετήσιου προγράμματος εργασίας του ENISA, να εκπονεί σχέδιο της κατάστασης των εκτιμώμενων εσόδων και εξόδων του ENISA και να εκτελεί τον προϋπολογισμό. Επιπλέον, ο εκτελεστικός διευθυντής θα πρέπει να έχει τη δυνατότητα να συγκροτεί ad hoc ομάδες εργασίας για την αντιμετώπιση ειδικών θεμάτων, ιδίως θεμάτων επιστημονικής, τεχνικής, νομικής ή κοινωνικοοικονομικής φύσης. Ειδικότερα, όσον αφορά την επεξεργασία συγκεκριμένου υποψήφιου ευρωπαϊκού συστήματος πιστοποίησης της κυβερνοασφάλειας («υποψήφιο σύστημα»), θεωρείται αναγκαία η συγκρότηση ad hoc ομάδας εργασίας. Ο εκτελεστικός διευθυντής θα πρέπει να διασφαλίζει ότι τα μέλη των ad hoc ομάδων εργασίας επιλέγονται σύμφωνα με τα υψηλότερα πρότυπα εμπειρογνωσίας, με στόχο τη διασφάλιση ισορροπίας όσον αφορά τα δύο φύλα και κατάλληλης ισορροπίας, αναλόγως του συγκεκριμένου θέματος προς συζήτηση, των δημόσιων διοικήσεων των κρατών μελών, των θεσμικών οργάνων και λοιπών οργάνων και οργανισμών της Ένωσης και του ιδιωτικού τομέα, συμπεριλαμβανομένου του επιχειρηματικού κλάδου, των χρηστών και των πανεπιστημιακών που είναι ειδικοί στο πεδίο της ασφάλειας δικτύων και πληροφοριών.

(60)

Το εκτελεστικό συμβούλιο θα πρέπει να συμβάλλει στην αποτελεσματική λειτουργία του διοικητικού συμβουλίου. Στο πλαίσιο των προπαρασκευαστικών εργασιών του που σχετίζονται με τις αποφάσεις του διοικητικού συμβουλίου, το εκτελεστικό συμβούλιο θα πρέπει να εξετάζει λεπτομερώς τις σχετικές πληροφορίες, να διερευνά τις διαθέσιμες επιλογές και να παρέχει συμβουλές και λύσεις για την εκπόνηση των αποφάσεων του διοικητικού συμβουλίου.

(61)

Ο ENISA θα πρέπει να διαθέτει μια συμβουλευτική ομάδα του ENISA ως συμβουλευτικό όργανο, προκειμένου να διασφαλίζει τον τακτικό διάλογο με τον ιδιωτικό τομέα, τις οργανώσεις καταναλωτών και άλλους σχετικούς συμφεροντούχους. Η συμβουλευτική ομάδα του ENISA, η οποία συγκροτείται από το διοικητικό συμβούλιο κατόπιν πρότασης του εκτελεστικού διευθυντή, θα πρέπει να επικεντρώνεται σε θέματα που αφορούν τους συμφεροντούχους και να τα θέτει υπόψη του ENISA. Θα πρέπει να ζητείται η γνώμη της συμβουλευτικής ομάδας του ENISA ιδίως όσον αφορά το σχέδιο ετήσιου προγράμματος εργασίας του ENISA. Η σύνθεση της συμβουλευτικής ομάδας του ENISA και τα καθήκοντα με τα οποία επιφορτίζεται θα πρέπει να διασφαλίζουν επαρκή αντιπροσώπευση των συμφεροντούχων στις εργασίες του ENISA.

(62)

Θα πρέπει να συσταθεί ομάδα συμφεροντούχων για την πιστοποίηση της κυβερνοασφάλειας προκειμένου να βοηθήσει τον ENISA και την Επιτροπή διευκολύνοντας τη διαβούλευση σχετικών συμφεροντούχων. Η ομάδα συμφεροντούχων για την πιστοποίηση της κυβερνοασφάλειας θα πρέπει να απαρτίζεται από μέλη που εκπροσωπούν σε ισορροπημένη αναλογία τον κλάδο, τόσο από την πλευρά της ζήτησης όσο και από την πλευρά της προσφοράς προϊόντων ΤΠΕ και υπηρεσιών ΤΠΕ, συμπεριλαμβανομένων ιδίως των ΜΜΕ, των παρόχων ψηφιακών υπηρεσιών, των Ευρωπαϊκών και διεθνών οργανισμών τυποποίησης, των οργανισμών διαπίστευσης, των εποπτικών αρχών προστασίας δεδομένων και των οργανισμών αξιολόγησης της συμμόρφωσης δυνάμει του κανονισμού (ΕΚ) αριθ. 765/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (16) και της ακαδημαϊκής κοινότητας καθώς και των οργανώσεων καταναλωτών.

(63)

Ο ENISA θα πρέπει να θεσπίσει και να εφαρμόζει κανόνες για την πρόληψη και τη διαχείριση συγκρούσεων συμφερόντων. Ο ENISA θα πρέπει επίσης να εφαρμόζει τη σχετική νομοθεσία της Ένωσης για την πρόσβαση του κοινού σε έγγραφα κατά τα οριζόμενα στον κανονισμό (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (17). Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τον ENISA θα πρέπει να υπόκειται στον κανονισμό (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (18). Ο ENISA θα πρέπει να συμμορφώνεται με τις διατάξεις που ισχύουν για τα θεσμικά όργανα και λοιπά όργανα και οργανισμούς της Ένωσης, καθώς και με την εθνική νομοθεσία σχετικά με τον χειρισμό πληροφοριών, ιδίως των ευαίσθητων μη διαβαθμισμένων πληροφοριών και των διαβαθμισμένων πληροφοριών της Ευρωπαϊκής Ένωσης (EUCI).

(64)

Προκειμένου να διασφαλισθεί η πλήρης αυτονομία και ανεξαρτησία του ENISA και για να είναι σε θέση να ασκήσει πρόσθετα καθήκοντα, ακόμα κι αν αυτά είναι έκτακτα και απρόβλεπτα, θα πρέπει να διατεθεί στον ENISA επαρκής και αυτόνομος προϋπολογισμός του οποίου τα έσοδα θα πρέπει να προέρχονται πρωτίστως από εισφορές της Ένωσης και από εισφορές τρίτων χωρών που συμμετέχουν στις εργασίες του ENISA. Ο κατάλληλος προϋπολογισμός είναι πρωταρχικής σημασίας για να διασφαλιστεί ότι ο ENISA διαθέτει επαρκείς ικανότητες για την εκπλήρωση όλων των αυξανόμενων καθηκόντων του και την επίτευξη των στόχων του. Η πλειονότητα των υπαλλήλων του ENISA θα πρέπει να εμπλέκεται άμεσα στην επιτέλεση των επιχειρησιακών καθηκόντων στο πλαίσιο της εντολής του ENISA. Θα πρέπει να επιτρέπεται στο κράτος μέλος υποδοχής και σε οποιοδήποτε άλλο κράτος μέλος να συνεισφέρει εθελοντικά στον προϋπολογισμό του ENISA. Η δημοσιονομική διαδικασία της Ένωσης θα πρέπει να παραμένει σε ισχύ όσον αφορά τις επιδοτήσεις που βαρύνουν τον γενικό προϋπολογισμό της Ένωσης. Επιπλέον, το Ευρωπαϊκό Ελεγκτικό Συνέδριο θα πρέπει να προβαίνει σε έλεγχο των λογαριασμών του ENISA για να εξασφαλίζει διαφάνεια και λογοδοσία.

(65)

Η πιστοποίηση της κυβερνοασφάλειας παίζει σημαντικό ρόλο στην ενίσχυση της αξιοπιστίας και της ασφάλειας για τα προϊόντα ΤΠΕ, τις υπηρεσίες ΤΠΕ και τις διαδικασίες ΤΠΕ. Η ψηφιακή ενιαία αγορά, και πιο συγκεκριμένα η οικονομία δεδομένων και το IoT, μπορούν να ευδοκιμήσουν μόνο αν υπάρχει εμπιστοσύνη από το ευρύ κοινό ότι αυτά τα προϊόντα, αυτές οι υπηρεσίες και διαδικασίες παρέχουν ένα ορισμένο επίπεδο κυβερνοασφάλειας. Τα συνδεδεμένα και αυτοματοποιημένα αυτοκίνητα, οι ηλεκτρονικές ιατρικές συσκευές, τα συστήματα ελέγχου βιομηχανικού αυτοματισμού και τα ευφυή δίκτυα είναι μόνο μερικά παραδείγματα τομέων όπου η πιστοποίηση χρησιμοποιείται ήδη ευρέως ή ενδέχεται να χρησιμοποιηθεί στο εγγύς μέλλον. Οι τομείς που ρυθμίζονται από την οδηγία (ΕΕ) 2016/1148 είναι επίσης τομείς στους οποίους η πιστοποίηση της κυβερνοασφάλειας είναι καίριας σημασίας.

(66)

Στην ανακοίνωση που εξέδωσε το 2016 με τίτλο «Ενίσχυση του συστήματος κυβερνοανθεκτικότητας της Ευρώπης και προώθηση ανταγωνιστικού και καινοτόμου κλάδου ασφάλειας στον κυβερνοχώρο», η Επιτροπή επισήμανε την ανάγκη για υψηλής ποιότητας, οικονομικά και διαλειτουργικά προϊόντα και λύσεις για την κυβερνοασφάλεια. Η προμήθεια προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ εντός της ενιαίας αγοράς παραμένει πολύ κατακερματισμένη γεωγραφικά. Αυτό οφείλεται στο γεγονός ότι ο κλάδος της κυβερνοασφάλειας στην Ευρώπη έχει αναπτυχθεί στο παρελθόν σε μεγάλο βαθμό με βάση τη ζήτηση από τις εθνικές κυβερνήσεις. Επιπλέον, η έλλειψη διαλειτουργικών λύσεων (τεχνικών προτύπων), πρακτικών και μηχανισμών πιστοποίησης σε επίπεδο Ένωσης συμπεριλαμβάνεται στα λοιπά κενά που επηρεάζουν την ενιαία αγορά στον τομέα της κυβερνοασφάλειας. Το γεγονός αυτό καθιστά δύσκολο τον ανταγωνισμό των ευρωπαϊκών επιχειρήσεων σε εθνικό, ενωσιακό και παγκόσμιο επίπεδο. Μειώνει επίσης την επιλογή βιώσιμων και χρήσιμων τεχνολογιών κυβερνοασφάλειας στις οποίες έχουν πρόσβαση άτομα και επιχειρήσεις. Ομοίως, στην ανακοίνωση του 2017 για την Ενδιάμεση επανεξέταση της εφαρμογής της στρατηγικής για την ψηφιακή ενιαία αγορά - Μια συνδεδεμένη ψηφιακή ενιαία αγορά για όλους, η Επιτροπή επισήμανε την ανάγκη για ασφαλή συνδεδεμένα προϊόντα και συστήματα και ανέφερε ότι η δημιουργία ενός ευρωπαϊκού πλαισίου ασφάλειας ΤΠΕ βάσει του οποίου θεσπίζονται κανόνες για τον τρόπο οργάνωσης της πιστοποίησης ασφάλειας ΤΠΕ στην Ένωση μπορεί να διαφυλάξει την εμπιστοσύνη στο διαδίκτυο, καθώς και να αντιμετωπίσει τον υφιστάμενο κατακερματισμό της εσωτερικής αγοράς.

(67)

Επί του παρόντος, η πιστοποίηση της κυβερνοασφάλειας για τα προϊόντα ΤΠΕ, τις υπηρεσίες ΤΠΕ και τις διαδικασίες ΤΠΕ χρησιμοποιείται μόνο σε περιορισμένη κλίμακα. Όπου υπάρχει, πρόκειται κυρίως για χρήση σε επίπεδο κράτους μέλους ή στο πλαίσιο συστημάτων κατευθυνόμενων από τη βιομηχανία. Στο πλαίσιο αυτό, ένα πιστοποιητικό που εκδίδεται από μια εθνική αρχή πιστοποίησης της κυβερνοασφάλειας δεν αναγνωρίζεται καταρχήν στα άλλα κράτη μέλη. Επομένως, οι εταιρείες ενδέχεται να πρέπει να πιστοποιούν τα προϊόντα ΤΠΕ, τις υπηρεσίες ΤΠΕ και τις ΤΠΕ διαδικασίες τους στα διάφορα κράτη μέλη όπου δραστηριοποιούνται, για παράδειγμα με σκοπό τη συμμετοχή τους σε εθνικές διαδικασίες προμηθειών, κάτι που συνεπάγεται πρόσθετο κόστος για τις εταιρείες. Επιπλέον, ενώ νέα συστήματα κάνουν την εμφάνισή τους, δεν φαίνεται να υπάρχει συνεκτική και ολιστική προσέγγιση όσον αφορά τα οριζόντια ζητήματα κυβερνοασφάλειας, για παράδειγμα στο πεδίο του IoT. Τα υφιστάμενα συστήματα παρουσιάζουν σοβαρές αδυναμίες και διαφορές ως προς την κάλυψη των προϊόντων, τα επίπεδα διασφάλισης, τα ουσιαστικά κριτήρια και την πραγματική χρήση, εμποδίζοντας τους μηχανισμούς αμοιβαίας αναγνώρισης εντός της Ένωσης.

(68)

Έχουν καταβληθεί προσπάθειες προκειμένου να διασφαλιστεί η αμοιβαία αναγνώριση πιστοποιητικών στην Ένωση. Ωστόσο, οι προσπάθειες δεν στέφθηκαν με πλήρη επιτυχία. Το πιο αξιοσημείωτο παράδειγμα προς αυτήν την κατεύθυνση είναι η συμφωνία αμοιβαίας αναγνώρισης (MRA) της Ομάδας Ανώτερων Υπαλλήλων για την Ασφάλεια των Συστημάτων Πληροφοριών (SOG-IS). Παρότι αντιπροσωπεύει το πιο σημαντικό μοντέλο συνεργασίας και αμοιβαίας αναγνώρισης στο πεδίο της πιστοποίησης της ασφάλειας, η SOG-IS καλύπτει ορισμένα μόνο από τα κράτη μέλη. Αυτό το γεγονός περιορίζει την αποτελεσματικότητα της συμφωνίας αμοιβαίας αναγνώρισης της SOG-IS από την άποψη της εσωτερικής αγοράς.

(69)

Επομένως, είναι απαραίτητη η έγκριση κοινής προσέγγισης και η θέσπιση ενός ευρωπαϊκού πλαισίου πιστοποίησης της κυβερνοασφάλειας που αφενός θα προβλέπει τις κύριες οριζόντιες απαιτήσεις για τα ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας που πρόκειται να αναπτυχθούν και αφετέρου θα καθιστά δυνατή την αναγνώριση των ευρωπαϊκών πιστοποιητικών κυβερνοασφάλειας και των δηλώσεων συμμόρφωσης ΕΕ για προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ ή διαδικασίες ΤΠΕ και τη χρήση τους σε όλα τα κράτη μέλη. Εν προκειμένω, είναι σημαντικό να αξιοποιηθούν τα υπάρχοντα εθνικά και διεθνή συστήματα, καθώς και τα καθεστώτα αμοιβαίας αναγνώρισης, ιδίως της SOG-IS, και να καταστεί δυνατή η ομαλή μετάβαση από τα υφιστάμενα συστήματα στο πλαίσιο τέτοιων καθεστώτων σε συστήματα σύμφωνα με το νέο ευρωπαϊκό πλαίσιο πιστοποίησης της κυβερνοασφάλειας. Το ευρωπαϊκό πλαίσιο πιστοποίησης της κυβερνοασφάλειας θα πρέπει να έχει διττό σκοπό. Αφενός θα πρέπει να συμβάλλει στην ενίσχυση της εμπιστοσύνης σε προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ και διαδικασίες ΤΠΕ που έχουν λάβει πιστοποίηση βάσει των ευρωπαϊκών συστημάτων πιστοποίησης της κυβερνοασφάλειας. Αφετέρου, θα πρέπει να συμβάλλει στην αποφυγή συγκρουόμενων ή αλληλεπικαλυπτόμενων συστημάτων εθνικής πιστοποίησης της κυβερνοασφάλειας και, ως εκ τούτου, να περιορίζει το κόστος για τις επιχειρήσεις που δραστηριοποιούνται στην ψηφιακή ενιαία αγορά. Τα ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας δεν θα πρέπει να κάνουν διακρίσεις και θα πρέπει να βασίζονται σε ευρωπαϊκά ή διεθνή πρότυπα, εκτός αν αυτά τα πρότυπα είναι αναποτελεσματικά ή ακατάλληλα για να καλύψουν τους σχετικούς θεμιτούς στόχους της Ένωσης.

(70)

Το ευρωπαϊκό πλαίσιο πιστοποίησης της κυβερνοασφάλειας θα πρέπει να θεσπιστεί με ενιαίο τρόπο σε όλα τα κράτη μέλη, ώστε να αποφεύγεται η αναζήτηση της πιο συμφέρουσας πιστοποίησης (certification shopping), με βάση τα διάφορα επίπεδα αυστηρότητας σε διαφορετικά κράτη μέλη.

(71)

Τα ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας θα πρέπει να βασίζονται στα ήδη υπάρχοντα σε διεθνές και εθνικό επίπεδο και, εφόσον απαιτείται, στις τεχνικές προδιαγραφές από φόρουμ και κοινοπραξίες, αντλώντας διδάγματα από τα ισχυρά σημεία και αξιολογώντας και διορθώνοντας τις αδυναμίες.

(72)

Οι ευέλικτες λύσεις για την κυβερνοασφάλεια είναι απαραίτητες ώστε ο κλάδος να προλαμβάνει κυβερνοαπειλές και, ως εκ τούτου, κάθε σύστημα πιστοποίησης θα πρέπει είναι σχεδιασμένο έτσι ώστε να αποφεύγεται ο κίνδυνος να καταστεί γρήγορα παρωχημένο.

(73)

Η Επιτροπή θα πρέπει να εξουσιοδοτηθεί να εγκρίνει ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας όσον αφορά συγκεκριμένες ομάδες προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ. Τα εν λόγω συστήματα θα πρέπει να εφαρμόζονται και να επιβλέπονται από εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας και τα πιστοποιητικά που εκδίδονται στο πλαίσιο αυτών των συστημάτων θα πρέπει να είναι έγκυρα και να αναγνωρίζονται στο σύνολο της Ένωσης. Τα συστήματα πιστοποίησης που εφαρμόζονται από τη βιομηχανία ή άλλους ιδιωτικούς οργανισμούς δεν θα πρέπει να εμπίπτουν στο πεδίο εφαρμογής του παρόντος κανονισμού. Ωστόσο, οι οργανισμοί που εφαρμόζουν τέτοια συστήματα θα πρέπει να μπορούν να προτείνουν στην Επιτροπή να εξετάσει αυτά τα συστήματα προκειμένου να εγκριθούν ως ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας.

(74)

Οι διατάξεις του παρόντος κανονισμού δεν θα πρέπει να θίγουν το ενωσιακό δίκαιο που προβλέπει συγκεκριμένους κανόνες για την πιστοποίηση προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ. Πιο συγκεκριμένα, ο κανονισμός (ΕΕ) 2016/679 περιλαμβάνει διατάξεις για τη θέσπιση μηχανισμών πιστοποίησης και σφραγίδων και σημάτων προστασίας των δεδομένων, προκειμένου να αποδεικνύεται η συμμόρφωση με τον εν λόγω κανονισμό των πράξεων επεξεργασίας από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία. Αυτοί οι μηχανισμοί πιστοποίησης και οι σφραγίδες και τα σήματα προστασίας των δεδομένων θα πρέπει να επιτρέπουν στα υποκείμενα των δεδομένων να αξιολογούν ταχέως το επίπεδο προστασίας των δεδομένων των σχετικών προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ. Ο παρών κανονισμός ισχύει με την επιφύλαξη της πιστοποίησης των πράξεων επεξεργασίας των δεδομένων δυνάμει του κανονισμού (ΕΕ) 2016/679, μεταξύ άλλων όταν τέτοιες πράξεις βρίσκονται ενσωματωμένες σε προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ και διαδικασίες ΤΠΕ.

(75)

Σκοπός των ευρωπαϊκών συστημάτων πιστοποίησης της κυβερνοασφάλειας θα πρέπει να είναι να διασφαλίζουν ότι τα προϊόντα ΤΠΕ, οι υπηρεσίες ΤΠΕ και οι διαδικασίες ΤΠΕ που πιστοποιούνται στο πλαίσιο τέτοιων συστημάτων συμμορφώνονται με συγκεκριμένες απαιτήσεις, σκοπός των οποίων είναι η προστασία της διαθεσιμότητας, της αυθεντικότητας, της ακεραιότητας και της εμπιστευτικότητας αποθηκευμένων, διαβιβαζόμενων ή επεξεργασμένων δεδομένων ή των σχετικών λειτουργιών ή των σχετικών υπηρεσιών που παρέχονται ή είναι προσβάσιμες μέσω των εν λόγω προϊόντων, υπηρεσιών και διαδικασιών καθ’ όλη τη διάρκεια του κύκλου ζωής τους. Στον παρόντα κανονισμό δεν είναι δυνατόν να καθοριστούν λεπτομερώς οι απαιτήσεις κυβερνοασφάλειας που σχετίζονται με το σύνολο των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ και των διαδικασιών ΤΠΕ. Τα προϊόντα ΤΠΕ, οι υπηρεσίες ΤΠΕ και οι διαδικασίες ΤΠΕ και οι σχετικές με τα εν λόγω προϊόντα ανάγκες κυβερνοασφάλειας ποικίλουν σε τέτοιο βαθμό ώστε είναι πολύ δύσκολο να προβλεφθούν γενικές απαιτήσεις κυβερνοασφάλειας που να ισχύουν σε κάθε περίσταση. Επομένως, είναι απαραίτητο να υιοθετηθεί μια ευρεία και γενική έννοια της κυβερνοασφάλειας για τους σκοπούς της πιστοποίησης, η οποία θα πρέπει να συμπληρώνεται από ένα σύνολο συγκεκριμένων στόχων κυβερνοασφάλειας που οφείλεται να συνεκτιμώνται κατά τον σχεδιασμό των ευρωπαϊκών συστημάτων πιστοποίησης της κυβερνοασφάλειας. Οι ρυθμίσεις με τις οποίες οφείλεται να επιτυγχάνονται αυτοί οι στόχοι για συγκεκριμένα προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ και διαδικασίες ΤΠΕ θα πρέπει να διευκρινίζονται περαιτέρω αναλυτικώς στο επίπεδο του επιμέρους συστήματος πιστοποίησης που εγκρίνεται από την Επιτροπή, για παράδειγμα με αναφορά σε πρότυπα ή τεχνικές προδιαγραφές, εάν δεν υπάρχουν διαθέσιμα κατάλληλα πρότυπα.

(76)

Οι τεχνικές προδιαγραφές που θα χρησιμοποιηθούν στα ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας θα πρέπει να τηρούν τις απαιτήσεις που καθορίζονται στο παράρτημα II του κανονισμού (ΕΕ) αριθ. 1025/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (19). Ορισμένες αποκλίσεις από τις εν λόγω απαιτήσεις θα μπορούσαν εντούτοις να θεωρηθούν αναγκαίες σε δεόντως αιτιολογημένες περιπτώσεις όταν οι εν λόγω τεχνικές προδιαγραφές πρόκειται να χρησιμοποιηθούν σε ευρωπαϊκό σύστημα πιστοποίησης της κυβερνοασφάλειας αναφερόμενο σε «υψηλό» επίπεδο διασφάλισης. Οι λόγοι των αποκλίσεων αυτών θα πρέπει να καθίστανται διαθέσιμοι στο κοινό.

(77)

Η αξιολόγηση της συμμόρφωσης είναι διαδικασία αξιολόγησης του κατά πόσον πληρούνται οι ειδικές προδιαγραφές που αφορούν ένα προϊόν ΤΠΕ, μια υπηρεσία ΤΠΕ ή μια διαδικασία ΤΠΕ. Η εν λόγω διαδικασία διεξάγεται από ανεξάρτητο τρίτο μέρος, άλλο από τον κατασκευαστή ή τον πάροχο των προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ που αξιολογούνται. Θα πρέπει να εκδίδεται ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας κατόπιν της επιτυχούς αξιολόγησης προϊόντος ΤΠΕ, υπηρεσίας ΤΠΕ ή διαδικασίας ΤΠΕ. Ένα ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας θα πρέπει να θεωρείται ως επιβεβαίωση ότι η αξιολόγηση έχει διενεργηθεί με σωστό τρόπο. Ανάλογα με το επίπεδο διασφάλισης, το ευρωπαϊκό σύστημα πιστοποίησης για την κυβερνοασφάλεια θα πρέπει να επισημαίνει αν το ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας οφείλει να εκδοθεί από ιδιωτικό ή δημόσιο φορέα. Η αξιολόγηση της συμμόρφωσης και η πιστοποίηση δεν μπορούν να εγγυηθούν από μόνες τους ότι τα προϊόντα ΤΠΕ, οι υπηρεσίες ΤΠΕ και οι διαδικασίες ΤΠΕ που έχουν λάβει πιστοποίηση είναι κυβερνοασφαλή. Πρόκειται μάλλον για διαδικασίες και τεχνικές μεθοδολογίες που βεβαιώνουν ότι τα προϊόντα ΤΠΕ, οι υπηρεσίες ΤΠΕ και οι διαδικασίες ΤΠΕ έχουν δοκιμαστεί και ότι συμμορφώνονται με ορισμένες απαιτήσεις κυβερνοασφάλειας που προβλέπονται αλλού, για παράδειγμα σε τεχνικά πρότυπα.

(78)

Η επιλογή από τους χρήστες των ευρωπαϊκών πιστοποιητικών κυβερνοασφάλειας της κατάλληλης πιστοποίησης και των συναφών απαιτήσεων ασφάλειας θα πρέπει να βασίζεται σε ανάλυση των κινδύνων σχετικά με τη χρήση των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ ή των διαδικασιών ΤΠΕ. Κατά συνέπεια, το επίπεδο διασφάλισης θα πρέπει να είναι ανάλογο με το επίπεδο του κινδύνου που συνδέεται με την προβλεπόμενη χρήση του προϊόντος ΤΠΕ, της υπηρεσίας ΤΠΕ ή της διαδικασίας ΤΠΕ.

(79)

Τα ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας θα μπορούσαν να προβλέπουν ότι η αξιολόγηση της συμμόρφωσης πραγματοποιείται υπό την αποκλειστική ευθύνη του κατασκευαστή ή του παρόχου προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ («αυτοαξιολόγηση της συμμόρφωσης»). Σε αυτές τις περιπτώσεις, θα πρέπει να αρκεί ο κατασκευαστής ή ο πάροχος προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ να διενεργεί ο ίδιος όλους τους ελέγχους προκειμένου να διασφαλίσει τη συμμόρφωση των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ ή των διαδικασιών ΤΠΕ με το ευρωπαϊκό σύστημα πιστοποίησης όσον αφορά την κυβερνοασφάλεια. Η αυτοαξιολόγηση της συμμόρφωσης θα πρέπει να θεωρείται κατάλληλη για τα προϊόντα ΤΠΕ, τις υπηρεσίες ΤΠΕ ή τις διαδικασίες ΤΠΕ χαμηλής πολυπλοκότητας που ενέχουν χαμηλό κίνδυνο για το κοινό, όπως οι απλοί μηχανισμοί σχεδιασμού και παραγωγής. Επιπλέον, η αυτοαξιολόγηση της συμμόρφωσης θα πρέπει να επιτρέπεται μόνο για προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ ή διαδικασίες ΤΠΕ που αντιστοιχούν στο «βασικό» επίπεδο διασφάλισης.

(80)

Τα ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας θα μπορούσαν να επιτρέπουν τόσο την αυτοαξιολόγηση της συμμόρφωσης όσον και την πιστοποίηση προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ. Στην περίπτωση αυτή, το σύστημα θα πρέπει να προβλέπει σαφή και κατανοητά για τους καταναλωτές ή άλλους χρήστες μέσα ώστε να γίνεται διάκριση μεταξύ προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ σχετικά με την αξιολόγηση των οποίων υπεύθυνος είναι ο κατασκευαστής ή ο πάροχος και προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ που λαμβάνουν πιστοποίηση από τρίτο μέρος.

(81)

Ο κατασκευαστής ή ο πάροχος προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ που προβαίνει σε αυτοαξιολόγηση της συμμόρφωσης θα πρέπει να μπορεί να καταρτίζει και να υπογράφει τη δήλωση συμμόρφωσης ΕΕ στο πλαίσιο της διαδικασίας αξιολόγησης της συμμόρφωσης. Η δήλωση συμμόρφωσης ΕΕ είναι έγγραφο που αναφέρει ότι συγκεκριμένο προϊόν ΤΠΕ, υπηρεσία ΤΠΕ ή διαδικασία ΤΠΕ συμμορφώνεται με τις απαιτήσεις του ευρωπαϊκού συστήματος πιστοποίησης της κυβερνοασφάλειας. Με την έκδοση και την υπογραφή της δήλωσης συμμόρφωσης ΕΕ, ο κατασκευαστής ή ο πάροχος προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ αναλαμβάνει την ευθύνη για τη συμμόρφωση του προϊόντος ΤΠΕ, της υπηρεσίας ΤΠΕ ή της διαδικασίας ΤΠΕ με τις νομικές απαιτήσεις του ευρωπαϊκού συστήματος πιστοποίησης της κυβερνοασφάλειας. Αντίγραφο της δήλωσης συμμόρφωσης ΕΕ θα πρέπει να υποβάλλεται στην εθνική αρχή πιστοποίησης της κυβερνοασφάλειας και στον ENISA.

(82)

Οι κατασκευαστές ή οι πάροχοι προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ θα πρέπει να καθιστούν τη δήλωση συμμόρφωσης ΕΕ, την τεχνική τεκμηρίωση και όλες τις άλλες σχετικές πληροφορίες που αφορούν τη συμμόρφωση των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ ή των διαδικασιών ΤΠΕ με το ευρωπαϊκό σύστημα πιστοποίησης της κυβερνοασφάλειας διαθέσιμα στην αρμόδια εθνική αρχή πιστοποίησης της κυβερνοασφάλειας για διάστημα που προβλέπεται στο σχετικό ευρωπαϊκό σύστημα πιστοποίησης της κυβερνοασφάλειας. Η τεχνική τεκμηρίωση θα πρέπει να προσδιορίζει τις απαιτήσεις που ισχύουν δυνάμει του συστήματος και να καλύπτει τον σχεδιασμό, την κατασκευή και τη λειτουργία του προϊόντος ΤΠΕ, της υπηρεσίας ΤΠΕ ή της διαδικασίας ΤΠΕ στον βαθμό που αυτό απαιτείται για την αυτοαξιολόγηση της συμμόρφωσης. Η τεχνική τεκμηρίωση θα πρέπει να καταρτίζεται με τρόπο ώστε να είναι δυνατή η αξιολόγηση του κατά πόσον ένα προϊόν ΤΠΕ, μια υπηρεσία ΤΠΕ ή μια διαδικασία ΤΠΕ συμμορφώνεται με τις απαιτήσεις που ισχύουν δυνάμει του εν λόγω συστήματος.

(83)

Η διακυβέρνηση του ευρωπαϊκού πλαισίου πιστοποίησης της κυβερνοασφάλειας λαμβάνει υπόψη τη συμμετοχή των κρατών μελών, καθώς και την κατάλληλη συμμετοχή των συμφεροντούχων, και καθορίζει τον ρόλο της Επιτροπής κατά τη διάρκεια του σχεδιασμού και της διαμόρφωσης της πρότασης, της αίτησης, της προετοιμασίας, της έγκρισης και της αναθεώρησης ευρωπαϊκού συστήματος πιστοποίησης της κυβερνοασφάλειας.

(84)

Η Επιτροπή θα πρέπει να καταρτίσει, με τη στήριξη της ευρωπαϊκής ομάδας πιστοποίησης της κυβερνοασφάλειας («ΕΟΠΙΚ») και της ομάδας συμφεροντούχων για την πιστοποίηση της κυβερνοασφάλειας και μετά από ανοικτή και ευρεία διαβούλευση, ένα κυλιόμενο πρόγραμμα εργασίας της Ένωσης για τα ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας και να το δημοσιεύσει υπό μορφή μη δεσμευτικού μέσου. Το κυλιόμενο πρόγραμμα εργασίας της Ένωσης θα πρέπει να είναι στρατηγικό έγγραφο που επιτρέπει ιδίως στον κλάδο, στις εθνικές αρχές και στους οργανισμούς τυποποίησης να προετοιμάζονται εκ των προτέρων για μελλοντικά ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας. Το κυλιόμενο πρόγραμμα εργασίας της Ένωσης θα πρέπει να περιλαμβάνει πολυετή επισκόπηση των αιτημάτων για υποψήφια συστήματα που η Επιτροπή προτίθεται να υποβάλει στον ENISA για επεξεργασία με βάση συγκεκριμένους λόγους. Η Επιτροπή θα πρέπει να λαμβάνει υπόψη το κυλιόμενο πρόγραμμα εργασίας της Ένωσης κατά την εκπόνηση του κυλιόμενου προγράμματός της για την τυποποίηση όσον αφορά τις ΤΠΕ και τα αιτήματα τυποποίησης σε ευρωπαϊκούς οργανισμούς τυποποίησης. Λόγω της ταχείας εισαγωγής και υιοθέτησης νέων τεχνολογιών, λόγω της εμφάνισης άγνωστων μέχρι τώρα κινδύνων για την κυβερνοασφάλεια και λόγω νομοθετικών εξελίξεων και εξελίξεων στην αγορά, η Επιτροπή ή η ΕΟΠΙΚ θα πρέπει να έχει το δικαίωμα να ζητά από τον ENISA να επεξεργάζεται υποψήφια συστήματα τα οποία δεν έχουν περιληφθεί στο κυλιόμενο πρόγραμμα εργασίας της Ένωσης. Στις περιπτώσεις αυτές, η Επιτροπή και η ΕΟΠΙΚ θα πρέπει επίσης να αξιολογεί την αναγκαιότητα του εν λόγω αιτήματος, λαμβάνοντας υπόψη τους γενικούς στόχους και σκοπούς του παρόντος κανονισμού και την ανάγκη διασφάλισης της συνέχειας όσον αφορά τον σχεδιασμό και τη χρήση των πόρων του ENISA.

Κατόπιν τέτοιου αιτήματος, ο ENISA θα πρέπει να επεξεργάζεται, χωρίς αδικαιολόγητη καθυστέρηση, τα υποψήφια συστήματα για συγκεκριμένα προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ και διαδικασίες ΤΠΕ. Η Επιτροπή θα πρέπει να αξιολογεί τις θετικές και αρνητικές συνέπειες του αιτήματός της στη συγκεκριμένη αγορά, ιδίως τις συνέπειές του για τις ΜΜΕ, την καινοτομία, τους φραγμούς εισόδου στην εν λόγω αγορά και το κόστος για τους τελικούς χρήστες. Η Επιτροπή, με γνώμονα το υποψήφιο σύστημα που επεξεργάζεται ο ENISA, θα πρέπει να εξουσιοδοτείται να εγκρίνει το ευρωπαϊκό σύστημα πιστοποίησης της κυβερνοασφάλειας μέσω εκτελεστικών πράξεων. Λαμβάνοντας υπόψη τον γενικό σκοπό και τους στόχους ασφάλειας που καθορίζονται στον παρόντα κανονισμό, τα ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας που εγκρίνονται από την Επιτροπή θα πρέπει να ορίζουν ένα ελάχιστο σύνολο στοιχείων όσον αφορά το αντικείμενο, το πεδίο εφαρμογής και τη λειτουργία του επιμέρους συστήματος. Στα εν λόγω στοιχεία θα πρέπει να περιλαμβάνονται, μεταξύ άλλων, το πεδίο εφαρμογής και το αντικείμενο της πιστοποίησης της κυβερνοασφάλειας, συμπεριλαμβανομένων των καλυπτόμενων κατηγοριών προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ, ο λεπτομερής καθορισμός των απαιτήσεων κυβερνοασφάλειας, για παράδειγμα με αναφορά σε πρότυπα ή τεχνικές προδιαγραφές, τα συγκεκριμένα κριτήρια αξιολόγησης και οι μέθοδοι αξιολόγησης, καθώς και το επιθυμητό επίπεδο διασφάλισης («βασικό», «σημαντικό» ή «υψηλό») και τα επίπεδα αξιολόγησης, κατά περίπτωση. Ο ENISA θα πρέπει να δύναται να αρνηθεί αίτημα της ΕΟΠΙΚ. Οι εν λόγω αποφάσεις θα πρέπει να λαμβάνονται από το διοικητικό συμβούλιο και θα πρέπει να είναι δεόντως αιτιολογημένες.

(85)

Ο ENISA θα πρέπει να διατηρεί δικτυακό τόπο που να παρέχει πληροφορίες για τα ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας και να τα δημοσιεύει, ο οποίος θα πρέπει να περιλαμβάνει, μεταξύ άλλων, τα αιτήματα για την επεξεργασία υποψήφιου συστήματος, καθώς και τις παρατηρήσεις που υποβλήθηκαν κατά τη διαδικασία διαβούλευσης που διενήργησε ο ENISA στη φάση της προετοιμασίας. Ο δικτυακός τόπος θα πρέπει επίσης να παρέχει πληροφορίες σχετικά με τα ευρωπαϊκά πιστοποιητικά κυβερνοασφάλειας και τις δηλώσεις συμμόρφωσης ΕΕ που εκδίδονται δυνάμει του παρόντος κανονισμού, μεταξύ άλλων πληροφορίες όσον αφορά την ανάκληση και τη λήξη των εν λόγω ευρωπαϊκών πιστοποιητικών κυβερνοασφάλειας και δηλώσεων συμμόρφωσης ΕΕ. Ο δικτυακός τόπος θα πρέπει επίσης να αναφέρει τα εθνικά συστήματα πιστοποίησης κυβερνοασφάλειας που έχουν αντικατασταθεί από ευρωπαϊκό σύστημα πιστοποίησης της κυβερνοασφάλειας.

(86)

Το επίπεδο διασφάλισης ευρωπαϊκού συστήματος πιστοποίησης αποτελεί τη βάση για την εμπιστοσύνη ότι ένα προϊόν ΤΠΕ, μια υπηρεσία ΤΠΕ ή μια διαδικασία ΤΠΕ πληροί τις απαιτήσεις ασφαλείας συγκεκριμένου ευρωπαϊκού συστήματος πιστοποίησης της κυβερνοασφάλειας. Προκειμένου να διασφαλισθεί η συνοχή του πλαισίου ευρωπαϊκής πιστοποίησης κυβερνοασφάλειας, ένα ευρωπαϊκό σύστημα πιστοποίησης κυβερνοασφάλειας θα πρέπει να μπορεί να προσδιορίζει τα επίπεδα διασφάλισης των ευρωπαϊκών πιστοποιητικών κυβερνοασφάλειας και τις δηλώσεις συμμόρφωσης ΕΕ που εκδίδονται στο πλαίσιο του εν λόγω συστήματος. Κάθε ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας θα μπορεί να αναφέρεται σε ένα από τα επίπεδα διασφάλισης: «βασικό», «ουσιαστικό» ή «υψηλό», ενώ η δήλωση συμμόρφωσης ΕΕ θα μπορεί να αναφέρεται μόνο στο «βασικό» επίπεδο διασφάλισης. Τα επίπεδα διασφάλισης θα παρέχουν την αντίστοιχη αυστηρότητα και βάθος για την αξιολόγηση του προϊόντος ΤΠΕ, της υπηρεσίας ΤΠΕ ή της διαδικασίας ΤΠΕ και θα προσδιορίζονται βάσει σχετικών με αυτά τεχνικών προδιαγραφών, προτύπων και διαδικασιών, συμπεριλαμβανομένων των τεχνικών ελέγχων, σκοπός των οποίων είναι η άμβλυνση ή η πρόληψη συμβάντων. Κάθε επίπεδο διασφάλισης θα πρέπει να είναι συνεπές μεταξύ των διαφόρων τομέων όπου εφαρμόζεται η πιστοποίηση.

(87)

Το ευρωπαϊκό σύστημα πιστοποίησης της κυβερνοασφάλειας μπορεί να προσδιορίζει διάφορα επίπεδα αξιολόγησης ανάλογα με την αυστηρότητα και το βάθος της μεθοδολογίας αξιολόγησης που χρησιμοποιείται. Τα επίπεδα αξιολόγησης θα πρέπει να αντιστοιχούν σε ένα από τα επίπεδα διασφάλισης και να συνδέονται με κατάλληλο συνδυασμό συστατικών στοιχείων διασφάλισης. Για όλα τα επίπεδα διασφάλισης, το προϊόν ΤΠΕ, η υπηρεσία ΤΠΕ ή η διαδικασία ΤΠΕ θα πρέπει να περιέχει μια σειρά ασφαλών λειτουργιών, όπως προσδιορίζονται από το σύστημα, στις οποίες μπορούν να περιλαμβάνονται: εξαρχής ρυθμίσεις ασφαλείας, υπογεγραμμένος κώδικας, ασφαλής επικαιροποίηση/ενημέρωση και περιορισμοί εκμετάλλευσης, καθώς και πλήρεις προστασίες μνήμης σωρού ή συστοιχίας. Οι λειτουργίες αυτές θα πρέπει να έχουν αναπτυχθεί και να διατηρούνται με τη χρήση προσεγγίσεων ανάπτυξης και συναφών εργαλείων που επικεντρώνονται στην ασφάλεια κατά τρόπον ώστε να διασφαλίζεται η αξιόπιστη ενσωμάτωση αποτελεσματικών μηχανισμών λογισμικού και υλισμικού.

(88)

Για το «βασικό» επίπεδο διασφάλισης, η αξιολόγηση θα πρέπει να καθοδηγείται τουλάχιστον από τα ακόλουθα συστατικά στοιχεία διασφάλισης: η αξιολόγηση θα πρέπει τουλάχιστον να περιλαμβάνει επανεξέταση των τεχνικών τεκμηριώσεων του προϊόντος ΤΠΕ, της υπηρεσίας ΤΠΕ ή της διαδικασίας ΤΠΕ την οποία διενεργεί ο οργανισμός αξιολόγησης της συμμόρφωσης. Όταν η πιστοποίηση περιλαμβάνει διαδικασίες ΤΠΕ, θα πρέπει να υπόκειται σε τεχνική επανεξέταση η μέθοδος που χρησιμοποιείται για τον σχεδιασμό, την ανάπτυξη και τη διατήρηση προϊόντος ΤΠΕ ή υπηρεσίας ΤΠΕ. Στις περιπτώσεις που ευρωπαϊκό σύστημα πιστοποίησης της κυβερνοασφάλειας προβλέπει αυτοαξιολόγηση της συμμόρφωσης, θα πρέπει να αρκεί το γεγονός ότι ο κατασκευαστής ή ο πάροχος προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ έχει προβεί σε αυτοαξιολόγηση της συμμόρφωσης των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ ή των διαδικασιών ΤΠΕ με το σύστημα πιστοποίησης.

(89)

Για το «ουσιαστικό» επίπεδο διασφάλισης, η αξιολόγηση θα πρέπει, επιπλέον των απαιτήσεων για το «βασικό» επίπεδο διασφάλισης, να καθοδηγείται τουλάχιστον από την επαλήθευση της συμμόρφωσης των λειτουργιών ασφαλείας του προϊόντος ΤΠΕ, της υπηρεσίας ΤΠΕ ή της διαδικασίας ΤΠΕ με την οικεία τεχνική τεκμηρίωση.

(90)

Για το «υψηλό» επίπεδο διασφάλισης, η αξιολόγηση θα πρέπει, επιπλέον των απαιτήσεων για το «ουσιαστικό» επίπεδο διασφάλισης, να καθοδηγείται τουλάχιστον από δοκιμή απόδοσης, με την οποία αξιολογείται η ανθεκτικότητα των λειτουργιών ασφαλείας του προϊόντος ΤΠΕ, της υπηρεσίας ΤΠΕ ή της διαδικασίας ΤΠΕ έναντι περίτεχνων κυβερνοεπιθέσεων που πραγματοποιούν πρόσωπα τα οποία διαθέτουν σημαντικές δεξιότητες και πόρους.

(91)

Η προσφυγή στην ευρωπαϊκή πιστοποίηση της κυβερνοασφάλειας και στις δηλώσεις συμμόρφωσης ΕΕ θα πρέπει να παραμένει εθελοντική, εκτός αν ορίζεται άλλως στο ενωσιακό δίκαιο ή στη νομοθεσία των κρατών μελών που έχει εκδοθεί σύμφωνα με το ενωσιακό δίκαιο. Ελλείψει εναρμονισμένου ενωσιακού δικαίου, τα κράτη μέλη μπορούν να θεσπίζουν εθνικούς τεχνικούς κανονισμούς που προβλέπουν υποχρεωτική πιστοποίηση στο πλαίσιο ευρωπαϊκού συστήματος πιστοποίησης της κυβερνοασφάλειας σύμφωνα με την οδηγία (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (20). Τα κράτη μέλη μπορούν επίσης να προσφεύγουν στην ευρωπαϊκή πιστοποίηση της κυβερνοασφάλειας στο πλαίσιο των δημόσιων συμβάσεων και της οδηγίας 2014/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (21).

(92)

Σε ορισμένους τομείς, μπορεί να χρειαστεί στο μέλλον να επιβληθούν συγκεκριμένες απαιτήσεις κυβερνοασφάλειας και η πιστοποίησή τους να γίνει υποχρεωτική για ορισμένα προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ ή διαδικασίες ΤΠΕ, προκειμένου να βελτιωθεί το επίπεδο κυβερνοασφάλειας στην Ένωση. Η Επιτροπή θα πρέπει να παρακολουθεί τακτικά τις επιπτώσεις των εγκριθέντων ευρωπαϊκών συστημάτων πιστοποίησης κυβερνοασφάλειας στη διαθεσιμότητα ασφαλών προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ στην εσωτερική αγορά και θα πρέπει να αξιολογεί τακτικά το επίπεδο χρησιμοποίησης των συστημάτων πιστοποίησης από τους κατασκευαστές ή τους παρόχους προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ στην Ένωση. Η αποτελεσματικότητα των ευρωπαϊκών συστημάτων πιστοποίησης κυβερνοασφάλειας και το κατά πόσο συγκεκριμένα καθεστώτα θα πρέπει να καταστούν υποχρεωτικά θα πρέπει να αξιολογείται υπό το πρίσμα της νομοθεσίας της Ένωσης που αφορά την κυβερνοασφάλεια, ιδίως της οδηγίας (EE) 2016/1148, λαμβάνοντας υπόψη την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούνται από τους φορείς εκμετάλλευσης βασικών υπηρεσιών.

(93)

Τα ευρωπαϊκά πιστοποιητικά κυβερνοασφάλειας και οι δηλώσεις συμμόρφωσης ΕΕ θα πρέπει να βοηθούν τους τελικούς χρήστες να κάνουν εμπεριστατωμένες επιλογές. Συνεπώς, τα προϊόντα ΤΠΕ, οι υπηρεσίες ΤΠΕ και οι διαδικασίες ΤΠΕ που έχουν υποβληθεί σε πιστοποίηση ή για τα οποία έχει εκδοθεί δήλωση συμμόρφωσης ΕΕ θα πρέπει να συνοδεύονται από δομημένες πληροφορίες, προσαρμοσμένες στο αναμενόμενο τεχνικό επίπεδο του τελικού χρήστη για τον οποίον προορίζονται. Όλες αυτές οι πληροφορίες θα πρέπει να είναι διαθέσιμες επιγραμμικά και, κατά περίπτωση, σε υλική μορφή. Ο τελικός χρήστης θα πρέπει να έχει πρόσβαση σε πληροφορίες όσον αφορά τον αριθμό αναφοράς του συστήματος πιστοποίησης, το επίπεδο διασφάλισης, την περιγραφή των κινδύνων για την κυβερνοασφάλεια που συνδέονται με το προϊόν ΤΠΕ, την υπηρεσία ΤΠΕ ή τη διαδικασία ΤΠΕ και τον οργανισμό ή φορέα έκδοσης ή θα πρέπει να μπορεί να αποκτά αντίγραφο του ευρωπαϊκού πιστοποιητικού κυβερνοασφάλειας. Επιπλέον, ο τελικός χρήστης θα πρέπει να ενημερώνεται για την πολιτική στήριξης της κυβερνοασφάλειας, δηλαδή για πόσο χρονικό διάστημα ο τελικός χρήστης μπορεί να αναμένει ότι θα λαμβάνει ενημερώσεις ή διορθώσεις σχετικές με την κυβερνοασφάλεια, του κατασκευαστή ή του παρόχου προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ. Κατά περίπτωση, θα πρέπει να παρέχεται καθοδήγηση σχετικά με ενέργειες ή ρυθμίσεις που μπορεί να εκτελέσει ο τελικός χρήστης για να διατηρήσει ή να αυξήσει την κυβερνοασφάλεια του προϊόντος ΤΠΕ ή της υπηρεσίας ΤΠΕ και θα πρέπει να παρέχονται πληροφορίες επαφής ενός ενιαίου σημείου επαφής στο οποίο μπορεί να αναφέρει συμβάν και από το οποίο μπορεί να λαμβάνει στήριξη σε περίπτωση κυβερνοεπιθέσεων (πέραν της αυτόματης αναφοράς). Οι εν λόγω πληροφορίες θα πρέπει να επικαιροποιούνται τακτικά και να διατίθενται σε δικτυακό τόπο που να παρέχει πληροφορίες σχετικά με ευρωπαϊκά συστήματα πιστοποίησης κυβερνοασφάλειας.

(94)

Προκειμένου να επιτυγχάνονται οι στόχοι του παρόντος κανονισμού και να αποφεύγεται ο κατακερματισμός της εσωτερικής αγοράς, τα εθνικά συστήματα πιστοποίησης της κυβερνοασφάλειας ή οι διαδικασίες για τα προϊόντα ΤΠΕ, τις υπηρεσίες ΤΠΕ ή τις διαδικασίες ΤΠΕ που καλύπτονται από ευρωπαϊκό σύστημα πιστοποίησης της κυβερνοασφάλειας θα πρέπει να παύουν να ισχύουν από την ημερομηνία που ορίζεται με εκτελεστικές πράξεις από την Επιτροπή. Επιπλέον, τα κράτη μέλη δεν θα πρέπει να θεσπίζουν νέα εθνικά συστήματα πιστοποίησης κυβερνοασφάλειας για προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ ή διαδικασίες ΤΠΕ που καλύπτονται ήδη από υφιστάμενο ευρωπαϊκό σύστημα πιστοποίησης της κυβερνοασφάλειας. Ωστόσο, τα κράτη μέλη δεν θα πρέπει να εμποδίζονται να θεσπίζουν ή να διατηρούν εθνικά συστήματα πιστοποίησης κυβερνοασφάλειας για σκοπούς εθνικής ασφάλειας. Τα κράτη μέλη θα πρέπει να ενημερώνουν την Επιτροπή και την ΕΟΠΙΚ για τυχόν πρόθεσή τους να καταρτίσουν νέα εθνικά συστήματα πιστοποίησης της κυβερνοασφάλειας. Η Επιτροπή και η ΕΟΠΙΚ θα πρέπει να αξιολογούν τις επιπτώσεις των νέων εθνικών συστημάτων πιστοποίησης της κυβερνοασφάλειας στην εύρυθμη λειτουργία της εσωτερικής αγοράς και υπό το πρίσμα τυχόν στρατηγικού συμφέροντος να ζητείται, αντί του εθνικού συστήματος, ένα ευρωπαϊκό σύστημα πιστοποίησης της κυβερνοασφάλειας.

(95)

Τα ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας σκοπό έχουν να συμβάλλουν στην εναρμόνιση των πρακτικών κυβερνοασφάλειας εντός της Ένωσης. Είναι ανάγκη να συμβάλλουν στην αύξηση του επιπέδου κυβερνοασφάλειας εντός της Ένωσης. Ο σχεδιασμός των ευρωπαϊκών συστημάτων πιστοποίησης της κυβερνοασφάλειας θα πρέπει να λαμβάνει υπόψη και να επιτρέπει την ανάπτυξη καινοτομιών στον τομέα της κυβερνοασφάλειας.

(96)

Τα ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας θα πρέπει να λαμβάνουν υπόψη τις τρέχουσες μεθόδους ανάπτυξης υλικού και λογισμικού και, ιδίως, τον αντίκτυπο των συχνών ενημερώσεων λογισμικού ή υλικολογισμικού σε ατομικά ευρωπαϊκά πιστοποιητικά κυβερνοασφάλειας. Τα ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας θα πρέπει να προσδιορίζουν τις συνθήκες υπό τις οποίες, λόγω μιας ενημέρωσης, μπορεί να απαιτηθεί το προϊόν ΤΠΕ, η υπηρεσία ΤΠΕ ή η διαδικασία ΤΠΕ να λάβει εκ νέου πιστοποίηση ή το πεδίο εφαρμογής του συγκεκριμένου ευρωπαϊκού πιστοποιητικού κυβερνοασφάλειας να περιοριστεί, λαμβάνοντας υπόψη ενδεχόμενες δυσμενείς επιπτώσεις της ενημέρωσης στη συμμόρφωση με τις απαιτήσεις ασφάλειας του εν λόγω πιστοποιητικού.

(97)

Αφού εγκριθεί ένα ευρωπαϊκό σύστημα πιστοποίησης της κυβερνοασφάλειας, οι πάροχοι ή οι κατασκευαστές προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ θα πρέπει να είναι σε θέση να υποβάλλουν αιτήσεις πιστοποίησης των οικείων προϊόντων ΤΠΕ ή υπηρεσιών ΤΠΕ σε οργανισμό αξιολόγησης της συμμόρφωσης της επιλογής τους οπουδήποτε στην Ένωση. Οι οργανισμοί αξιολόγησης της συμμόρφωσης θα πρέπει να είναι διαπιστευμένοι από εθνικό οργανισμό διαπίστευσης, ώστε να πληρούν ορισμένες καθορισμένες απαιτήσεις που προβλέπονται στον παρόντα κανονισμό. Η διαπίστευση θα πρέπει να εκδίδεται για μέγιστη περίοδο πέντε ετών και θα πρέπει να μπορεί να ανανεωθεί με τους ίδιους όρους, υπό την προϋπόθεση ότι ο οργανισμός αξιολόγησης της συμμόρφωσης εξακολουθεί να πληροί τις σχετικές απαιτήσεις. Οι εθνικοί οργανισμοί διαπίστευσης θα πρέπει να περιορίζουν, να αναστέλλουν ή να ανακαλούν τη διαπίστευση ενός οργανισμού αξιολόγησης της συμμόρφωσης σε περίπτωση που οι όροι διαπίστευσης δεν πληρούνται ή έχουν πάψει να πληρούνται ή σε περίπτωση που ο οργανισμός αξιολόγησης της συμμόρφωσης παραβαίνει τον παρόντα κανονισμό.

(98)

Οι αναφορές της εθνικής νομοθεσίας σε εθνικά πρότυπα τα οποία έχουν παύσει να ισχύουν λόγω της έναρξης ισχύος ενός ευρωπαϊκού συστήματος πιστοποίησης κυβερνοασφάλειας μπορεί να αποτελέσουν πηγή σύγχυσης. Επομένως, η θέσπιση ευρωπαϊκού συστήματος πιστοποίησης της κυβερνοασφάλειας θα πρέπει να αντανακλάται στην εθνική νομοθεσία των κρατών μελών.

(99)

Για να επιτευχθούν ισοδύναμα πρότυπα σε ολόκληρη την Ένωση, να διευκολυνθεί η αμοιβαία αναγνώριση και να προαχθεί η γενική αποδοχή των ευρωπαϊκών πιστοποιητικών κυβερνοασφάλειας και των δηλώσεων συμμόρφωσης ΕΕ, είναι απαραίτητο να τεθεί σε εφαρμογή ένα σύστημα αξιολόγησης από ομοτίμους μεταξύ εθνικών αρχών πιστοποίησης της κυβερνοασφάλειας. Η αξιολόγηση από ομοτίμους θα πρέπει να καλύπτει τις διαδικασίες για την εποπτεία της συμμόρφωσης των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ και των διαδικασιών ΤΠΕ με τα ευρωπαϊκά πιστοποιητικά κυβερνοασφάλειας, για την παρακολούθηση των υποχρεώσεων των κατασκευαστών ή των παρόχων προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ οι οποίοι προβαίνουν σε αυτοαξιολόγηση της συμμόρφωσης, για την παρακολούθηση των οργανισμών αξιολόγησης της συμμόρφωσης, καθώς και της καταλληλότητας της εμπειρογνωσίας του προσωπικού των οργανισμών που εκδίδουν πιστοποιητικά για το «υψηλό» επίπεδο διασφάλισης. Η Επιτροπή θα πρέπει να μπορεί να θεσπίσει, με εκτελεστικές πράξεις, τουλάχιστον πενταετές σχέδιο για τις αξιολογήσεις από ομοτίμους, καθώς και να θεσπίσει κριτήρια και μεθοδολογίες για τη λειτουργία του συστήματος αξιολόγησης από ομοτίμους.

(100)

Με την επιφύλαξη του γενικού συστήματος αξιολόγησης από ομοτίμους που θα πρέπει να τεθεί σε εφαρμογή σε όλες τις εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας εντός του ευρωπαϊκού πλαισίου πιστοποίησης της κυβερνοασφάλειας, ορισμένα ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας μπορούν να περιλαμβάνουν μηχανισμό αξιολόγησης από ομοτίμους για τους οργανισμούς έκδοσης ευρωπαϊκών πιστοποιητικών κυβερνοασφάλειας για προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ και διαδικασίες ΤΠΕ με «υψηλό» επίπεδο διασφάλισης στο πλαίσιο των εν λόγω συστημάτων. Η ΕΟΠΙΚ θα πρέπει να στηρίξει την εφαρμογή τέτοιων μηχανισμών αξιολόγησης από ομοτίμους. Οι αξιολογήσεις από ομοτίμους θα πρέπει ιδίως να αξιολογούν εάν οι σχετικοί οργανισμοί εκτελούν τα καθήκοντά τους εναρμονισμένα και μπορούν να περιλαμβάνουν μηχανισμούς προσφυγής. Τα αποτελέσματα των αξιολογήσεων από ομοτίμους θα πρέπει να δημοσιοποιούνται. Οι ενδιαφερόμενοι οργανισμοί μπορούν να λαμβάνουν κατάλληλα μέτρα για να προσαρμόσουν ανάλογα τις πρακτικές και την εμπειρογνωσία τους.

(101)

Τα κράτη μέλη θα πρέπει να ορίζουν μία ή περισσότερες εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας, οι οποίες θα εποπτεύουν τη συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό. Η εθνική αρχή πιστοποίησης της κυβερνοασφάλειας μπορεί να είναι μια υπάρχουσα ή μια νέα αρχή. Ένα κράτος μέλος θα πρέπει επίσης να είναι σε θέση να ορίζει, κατόπιν συμφωνίας με άλλο κράτος μέλος, μια ή περισσότερες εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας στην επικράτεια του εν λόγω άλλου κράτους μέλους.

(102)

Οι εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας θα πρέπει ιδίως να παρακολουθούν και να εφαρμόζουν τις υποχρεώσεις των κατασκευαστών ή των παρόχων προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ που είναι εγκατεστημένοι στα αντίστοιχα εδάφη τους σχετικά με τη δήλωση συμμόρφωσης ΕΕ, να επικουρούν τους εθνικούς οργανισμούς διαπίστευσης στην παρακολούθηση και την εποπτεία των δραστηριοτήτων των οργανισμών αξιολόγησης της συμμόρφωσης με την παροχή εμπειρογνωμοσύνης και σχετικών πληροφοριών, να εξουσιοδοτούν τους οργανισμούς αξιολόγησης της συμμόρφωσης για την εκτέλεση των καθηκόντων τους όταν οι εν λόγω οργανισμοί πληρούν τις επιπρόσθετες απαιτήσεις που ορίζονται σε ευρωπαϊκό σύστημα πιστοποίησης της κυβερνοασφάλειας και να παρακολουθούν τις σχετικές εξελίξεις στον τομέα της πιστοποίησης της κυβερνοασφάλειας. Οι εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας θα πρέπει επίσης να χειρίζονται τις καταγγελίες που υποβάλλονται από φυσικά ή νομικά πρόσωπα σε σχέση με ευρωπαϊκά πιστοποιητικά κυβερνοασφάλειας που έχουν εκδοθεί από τις εν λόγω αρχές ή σε σχέση με ευρωπαϊκά πιστοποιητικά κυβερνοασφάλειας που έχουν εκδοθεί από οργανισμούς αξιολόγησης της συμμόρφωσης, όταν τα εν λόγω πιστοποιητικά δείχνουν «υψηλό» επίπεδο διασφάλισης, να εξετάζουν, στον βαθμό που κρίνεται απαραίτητο, το αντικείμενο της καταγγελίας και να ενημερώνουν τον καταγγέλλοντα όσον αφορά την πρόοδο και το αποτέλεσμα της έρευνας εντός εύλογου χρονικού διαστήματος. Επιπλέον, οι εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας θα πρέπει να συνεργάζονται με άλλες εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας ή άλλες δημόσιες αρχές, μεταξύ άλλων ανταλλάσσοντας πληροφορίες σχετικά με την πιθανή μη συμμόρφωση προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ με τις απαιτήσεις του παρόντος κανονισμού ή συγκεκριμένων ευρωπαϊκών συστημάτων πιστοποίησης της κυβερνοασφάλειας. Η Επιτροπή θα πρέπει να διευκολύνει την εν λόγω ανταλλαγή πληροφοριών παρέχοντας ένα γενικό ηλεκτρονικό σύστημα υποστήριξης πληροφοριών, για παράδειγμα το σύστημα πληροφοριών και επικοινωνίας για την εποπτεία της αγοράς (ICSMS) και το σύστημα ταχείας ανταλλαγής πληροφοριών για τους κινδύνους που προκύπτουν από τη χρήση προϊόντων καταναλωτή (RAPEX) που ήδη χρησιμοποιούνται από τις αρχές εποπτείας της αγοράς σύμφωνα με τον κανονισμό (ΕΚ) αριθ. 765/2008.

(103)

Για να διασφαλιστεί η συνεκτική εφαρμογή του ευρωπαϊκού πλαισίου πιστοποίησης της κυβερνοασφάλειας, θα πρέπει να δημιουργηθεί ΕΟΠΙΚ η οποία θα απαρτίζεται από εκπροσώπους των εθνικών αρχών πιστοποίησης της κυβερνοασφάλειας ή άλλων αρμόδιων εθνικών αρχών. Κύρια καθήκοντα της ΕΟΠΙΚ θα είναι να συμβουλεύει και να επικουρεί την Επιτροπή στην προσπάθειά της να διασφαλίζει τη συνεπή υλοποίηση και εφαρμογή του ευρωπαϊκού πλαισίου πιστοποίησης της κυβερνοασφάλειας, να παρέχει συνδρομή και να συνεργάζεται στενά με τον ENISA κατά την επεξεργασία των υποψήφιων συστημάτων πιστοποίησης κυβερνοασφάλειας, σε δεόντως αιτιολογημένες περιπτώσεις να ζητεί από τον ENISA την επεξεργασία ενός υποψήφιου συστήματος, να εκδίδει γνώμες απευθυνόμενες στον ENISA για τα υποψήφια συστήματα και να εκδίδει γνώμες απευθυνόμενες στην Επιτροπή όσον αφορά τη διατήρηση και την επανεξέταση υφιστάμενων ευρωπαϊκών συστημάτων πιστοποίησης της κυβερνοασφάλειας. Η ΕΟΠΙΚ θα πρέπει να διευκολύνει την ανταλλαγή βέλτιστων πρακτικών και εμπειρογνωμοσύνης μεταξύ των διάφορων εθνικών αρχών πιστοποίησης της κυβερνοασφάλειας οι οποίες είναι αρμόδιες για την εξουσιοδότηση των οργανισμών αξιολόγησης της συμμόρφωσης και την έκδοση των ευρωπαϊκών πιστοποιητικών κυβερνοασφάλειας.

(104)

Για να προάγει την ευαισθητοποίηση και να διευκολύνει την αποδοχή μελλοντικών ευρωπαϊκών συστημάτων πιστοποίησης της κυβερνοασφάλειας, η Επιτροπή μπορεί να εκδίδει γενικές ή ειδικές ανά τομέα κατευθυντήριες γραμμές για την κυβερνοασφάλεια, π.χ. σχετικά με τις ορθές πρακτικές ή την υπεύθυνη συμπεριφορά για την κυβερνοασφάλεια, υπογραμμίζοντας το θετικό αποτέλεσμα από τη χρήση πιστοποιημένων προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ.

(105)

Προκειμένου να διευκολυνθεί περαιτέρω το εμπόριο και αναγνωρίζοντας ότι οι αλυσίδες εφοδιασμού ΤΠΕ είναι παγκόσμιες, η Ένωση μπορεί να συνάπτει, σύμφωνα με το άρθρο 218 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ), συμφωνίες αμοιβαίας αναγνώρισης για τα ευρωπαϊκά πιστοποιητικά κυβερνοασφάλειας. Η Επιτροπή, λαμβάνοντας υπόψη τις συμβουλές του ENISA και της ομάδας πιστοποίησης της κυβερνοασφάλειας, δύναται να συστήσει την έναρξη των σχετικών διαπραγματεύσεων. Κάθε ευρωπαϊκό σύστημα πιστοποίησης της κυβερνοασφάλειας θα πρέπει να προβλέπει ειδικούς όρους για τις εν λόγω συμφωνίες αμοιβαίας αναγνώρισης με τρίτες χώρες.

(106)

Για τη διασφάλιση ενιαίων προϋποθέσεων εφαρμογής του παρόντος κανονισμού, θα πρέπει να ανατεθούν εκτελεστικές αρμοδιότητες στην Επιτροπή. Οι εν λόγω αρμοδιότητες θα πρέπει να ασκούνται σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (22).

(107)

Η διαδικασία εξέτασης θα πρέπει να χρησιμοποιείται για την έγκριση εκτελεστικών πράξεων σχετικά με τα ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας για προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ ή διαδικασίες ΤΠΕ, για την έγκριση εκτελεστικών πράξεων σχετικά με τις ρυθμίσεις για τη διενέργεια ερευνών από τον ENISA, για την έγκριση εκτελεστικών πράξεων σχετικά με σχέδιο για την αξιολόγηση από ομοτίμους των εθνικών αρχών πιστοποίησης της κυβερνοασφάλειας, καθώς και για την έγκριση εκτελεστικών πράξεων σχετικά με τις περιστάσεις, τους μορφότυπους και τις διαδικασίες που ισχύουν για τις κοινοποιήσεις των διαπιστευμένων οργανισμών αξιολόγησης της συμμόρφωσης από τις εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας στην Επιτροπή.

(108)

Το έργο του ENISA θα πρέπει να υπόκειται σε τακτική και ανεξάρτητη αξιολόγηση. Στην εν λόγω αξιολόγηση θα πρέπει να λαμβάνονται υπόψη οι στόχοι του ENISA, οι εργασιακές πρακτικές του και η συνάφεια των καθηκόντων του, ιδίως των καθηκόντων του που αφορούν την επιχειρησιακή συνεργασία σε επίπεδο Ένωσης. Η εν λόγω αξιολόγηση θα πρέπει επίσης να εκτιμά τον αντίκτυπο, την αποτελεσματικότητα και την αποδοτικότητα του ευρωπαϊκού πλαισίου πιστοποίησης της κυβερνοασφάλειας. Σε περίπτωση επανεξέτασης, η Επιτροπή θα πρέπει να εξετάζει πώς μπορεί να ενισχυθεί ο ρόλος του ENISA ως σημείου αναφοράς για συμβουλές και εμπειρογνωσία και θα πρέπει επίσης να εξετάζει τη δυνατότητα ανάθεσης στον ENISA υποστηρικτικού ρόλου για την αξιολόγηση προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ τρίτων χωρών που δεν είναι σύμφωνα με τους ενωσιακούς κανόνες, όταν τα εν λόγω προϊόντα, οι υπηρεσίες και οι διαδικασίες εισέρχονται στην Ένωση.

(109)

Δεδομένου ότι οι στόχοι του παρόντος κανονισμού δεν μπορούν να επιτευχθούν επαρκώς από τα κράτη μέλη, μπορούν όμως, εξαιτίας της κλίμακας και των επιπτώσεών του, να επιτευχθούν καλύτερα σε επίπεδο της Ένωσης, η Ένωση δύναται να λάβει μέτρα σύμφωνα με την αρχή της επικουρικότητας του άρθρου 5 της Συνθήκης για την Ευρωπαϊκή Ένωση (ΣΕΕ). Σύμφωνα με την αρχή της αναλογικότητας, όπως διατυπώνεται στο ίδιο άρθρο, ο παρών κανονισμός δεν υπερβαίνει τα αναγκαία όρια για την επίτευξη των στόχων αυτών.

(110)

Ο κανονισμός (ΕΕ) αριθ. 526/2013 θα πρέπει να καταργηθεί,