Käesolev tekst on üksnes dokumenteerimisvahend ning sel ei ole mingit õiguslikku mõju. Liidu institutsioonid ei vastuta selle teksti sisu eest. Asjakohaste õigusaktide autentsed versioonid, sealhulgas nende preambulid, on avaldatud Euroopa Liidu Teatajas ning on kättesaadavad EUR-Lexi veebisaidil. Need ametlikud tekstid on vahetult kättesaadavad käesolevasse dokumenti lisatud linkide kaudu

EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS (EL) 2019/881,

17. aprill 2019,

mis käsitleb ENISAt (Euroopa Liidu Küberturvalisuse Amet) ning info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist ja millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 (küberturvalisuse määrus)

(EMPs kohaldatav tekst)

I JAOTIS

ÜLDSÄTTED

Artikkel 1

Reguleerimisese ja kohaldamisala

Et tagada siseturu nõuetekohane toimimine ja püüelda samas küberturvalisuse, kübervastupidavusvõime ja usalduse kõrge taseme poole liidus, sätestatakse käesolevas määruses:

ENISA (Euroopa Liidu Küberturvalisuse Amet) eesmärgid, ülesanded ja organisatsioonilised aspektid, ning

▼M1

Euroopa küberturvalisuse sertifitseerimise kavade kehtestamise raamistik, et kindlustada liidus IKT-toodete, -teenuste, -protsesside ning hallatud turbeteenuste küberturvalisuse piisav tase ning vältida siseturu killustatust seoses küberturvalisuse sertifitseerimise kavadega liidus.

▼B

Esimese lõigu punktis b osutatud raamistiku kohaldamine ei piira muude liidu õigusaktide erinormide kohaldamist, mis puudutavad vabatahtlikku või kohustuslikku sertifitseerimist.

Käesolev määrus ei piira liikmesriikide pädevust seoses tegevusega, mis on seotud avaliku julgeoleku, riigikaitse, riikliku julgeoleku ja riigi tegevusega kriminaalõiguse valdkonnas.

Artikkel 2

Mõisted

Käesolevas määruses kasutatakse järgmisi mõisteid:

1)	„küberturvalisus“ – tegevused, mis on vajalikud, et kaitsta võrgu- ja infosüsteeme, nende kasutajaid ja teisi isikuid küberohtude eest;

2)	„võrgu- ja infosüsteem“ – direktiivi (EL) 2016/1148 artikli 4 punktis 1 määratletud võrgu- ja infosüsteem;

3)	„riiklik võrgu- ja infosüsteemide turvalisuse strateegia“ – direktiivi (EL) 2016/1148 artikli 4 punktis 3 määratletud riiklik võrgu- ja infosüsteemide turvalisuse strateegia;

4)	„oluliste teenuste operaator“ – direktiivi (EL) 2016/1148 artikli 4 punktis 4 määratletud oluliste teenuste operaator;

5)	„digitaalse teenuse osutaja“ – direktiivi (EL) 2016/1148 artikli 4 punktis 6 määratletud digitaalse teenuse osutaja;

6)	„intsident“ – direktiivi (EL) 2016/1148 artikli 4 punktis 7 määratletud intsident;

7)	„intsidendi käsitlemine“ – direktiivi (EL) 2016/1148 artikli 4 punktis 8 määratletud intsidendi käsitlemine;

8)	„küberoht“ – võimalik asjaolu, sündmus või tegevus, mis võib kahjustada või häirida võrgu- ja infosüsteeme, nende kasutajaid ja teisi isikuid või neile muul viisil halba mõju avaldada;

▼M1

„Euroopa küberturvalisuse sertifitseerimise kava“ – liidu tasandil kindlaks määratud reeglite, tehniliste nõuete, standardite ja menetluste põhjalik kogum, mida kasutatakse konkreetsete IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste sertifitseerimiseks või nende vastavuse hindamiseks;

10)

„riiklik küberturvalisuse sertifitseerimise kava“ – riigi ametiasutuse välja töötatud ja kehtestatud reeglite, tehniliste nõuete, standardite ja menetluste põhjalik kogum, mida kasutatakse konkreetse kava kohaldamisalasse kuuluvate IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste sertifitseerimiseks või nende vastavuse hindamiseks;

11)	„Euroopa küberturvalisuse sertifikaat“ – asjakohase asutuse välja antud dokument, mis kinnitab, et hinnatud on asjaomase IKT-toote, -teenuse, -protsessi või hallatud turbeteenuse vastavust Euroopa küberturvalisuse sertifitseerimise kavas kindlaks määratud konkreetsetele turvanõuetele;

▼B

12)	„IKT-toode“ – võrgu- või infosüsteemi element või elementide rühm;

13)	„IKT-teenus“ – teenus, mis koosneb täielikult või peamiselt võrgu- ja infosüsteemide kaudu teabe edastamisest, säilitamisest, väljavõtmisest või töötlemisest;

14)	„IKT-protsess“ – tegevused, mille käigus projekteeritakse või töötatakse välja IKT-toode või -teenus, seda tarnitakse või hallatakse;

▼M1

14a)

„hallatud turbeteenus“ – kolmandale isikule osutatav teenus, mis seisneb küberturvalisuse riskihaldusega seotud tegevuse, näiteks intsidentide käsitlemise, läbistustestimise, turvaauditite ja tehnilise toega seotud konsultatsioonide, sealhulgas eksperdinõu pakkumise korraldamises või nende korraldamiseks toe pakkumises;

▼B

15)	„akrediteerimine“ – määruse (EÜ) nr 765/2008 artikli 2 punktis 10 määratletud akrediteerimine;

16)	„riiklik akrediteerimisasutus“ – määruse (EÜ) nr 765/2008 artikli 2 punktis 11 määratletud riiklik akrediteerimisasutus;

17)	„vastavushindamine“ – määruse (EÜ) nr 765/2008 artikli 2 punktis 12 määratletud vastavushindamine;

18)	„vastavushindamisasutus“ – määruse (EÜ) nr 765/2008 artikli 2 punktis 13 määratletud vastavushindamisasutus;

19)	„standard“ – määruse (EL) nr 1025/2012 artikli 2 punktis 1 määratletud standard;

▼M1

20)	„tehniline spetsifikatsioon“ – dokument, milles nähakse ette IKT-tootele, -teenusele, -protsessile või hallatud turbeteenusele esitatavad tehnilised nõuded või nendega seotud vastavushindamismenetlus;

21)

„usaldusväärsuse tase“ – alus kindlustundele, et IKT-toode, -teenus, -protsess või hallatud turbeteenus vastab konkreetse Euroopa küberturvalisuse sertifitseerimise kava turvanõuetele, näidates ühtlasi, millisel tasemel on seda hinnatud; usaldusväärsuse tase ei mõõda IKT-toote, -teenuse, -protsessi või hallatud turbeteenuse enda turvalisust;

22)

„vastavuse enesehindamine“ – IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuse tootja või pakkuja või hallatud turbeteenuse osutajate tegevus, millega hinnatakse nende IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste vastavust teatavatele Euroopa küberturvalisuse sertifitseerimise kavas kindlaks määratud nõuetele.

▼B

II JAOTIS

ENISA (EUROOPA LIIDU KÜBERTURVALISUSE AMET)

I PEATÜKK

Volitused ja eesmärgid

Artikkel 3

Volitused

ENISA täidab talle käesoleva määrusega pandud ülesandeid, et saavutada küberturvalisuse kõrge ühine tase kogu liidus, muu hulgas toetades aktiivselt liikmesriike ja liidu institutsioone, organeid ja asutusi küberturvalisuse parandamisel. ENISA tegutseb küberturvalisuse vallas liidu institutsioonidele, organitele ja asutustele ning teistele asjaomastele liidu sidusrühmadele nõu andva ja oskusteavet pakkuva kontaktüksusena.

ENISA aitab käesoleva määrusega talle pandud ülesannete täitmisega kaasa siseturu killustatuse vähendamisele.

ENISA täidab ülesandeid, mis pannakse talle liidu õigusaktidega, milles sätestatakse meetmed liikmesriikide küberturvalisusega seotud õigus- ja haldusnormide lähendamiseks.

Oma ülesannete täitmisel tegutseb ENISA sõltumatult, vältides seejuures liikmesriikide tegevuse dubleerimist ja võttes arvesse olemasolevat liikmesriikide oskusteavet.

ENISA arendab talle kuuluvaid, käesoleva määrusega talle pandud ülesannete täitmiseks vajalikke vahendeid, sealhulgas tehnilist ja inimvõimekust ning oskusi.

Artikkel 4

Eesmärgid

ENISA on küberturvalisuse alaste teadmiste keskus tänu oma sõltumatusele, antava nõu ja abi ning levitatava teabe teaduslikule ja tehnilisele kvaliteedile, töökorra läbipaistvusele, töömeetoditele ja oma ülesannete hoolikale täitmisele.

ENISA aitab liidu institutsioonidel, organitel ja asutustel ning liikmesriikidel töötada välja ja rakendada liidu küberturvalisuse alaseid poliitikameetmeid, sealhulgas küberturvalisuse valdkondlikke poliitikameetmeid.

ENISA toetab suutlikkuse ja valmisoleku arendamist kogu liidus sellega, et aitab liidu institutsioonidel, organitel ja asutustel ja liikmesriikidel ning avaliku ja erasektori sidusrühmadel suurendada nende võrgu- ja infosüsteemide kaitset, arendada ja parandada kübervastupanuvõimet ja reageerimissuutlikkust ning arendada küberturvalisuse valdkonna oskusi ja pädevusi.

ENISA edendab liidu tasandil küberturvalisusega seotud küsimuste alast koostööd, sealhulgas teabe jagamist, ja koordineerimist liikmesriikide, liidu institutsioonide, organite ja asutuste ning asjaomaste era- ja avaliku sektori sidusrühmade seas.

ENISA aitab kaasa küberturvalisuse alase suutlikkuse suurendamisele liidu tasandil, et toetada liikmesriikide tegevust küberohtude ennetamisel ja neile reageerimisel, seda eeskätt piiriüleste intsidentide puhul.

▼M1

ENISA edendab Euroopa küberturvalisuse sertifitseerimise kasutamist, et vältida siseturu killustatust. ENISA aitab kaasa Euroopa küberturvalisuse sertifitseerimise raamistiku loomisele ja haldamisele kooskõlas käesoleva määruse III jaotisega, et suurendada IKT-toodete, -teenuste, -protsesside ning hallatud turbeteenuste küberturvalisuse läbipaistvust ning suurendada seeläbi usaldust digitaalse siseturu vastu ja selle konkurentsivõimet.

▼B

ENISA edendab kodanike, organisatsioonide ja ettevõtjate heal tasemel küberturvalisuse alast teadlikkust, sealhulgas küberhügieeni ja küberkirjaoskust.

II PEATÜKK

Ülesanded

Artikkel 5

Liidu poliitikameetmete ja õiguse arendamine ja rakendamine

ENISA aitab liidu poliitikameetmete ja õiguse arendamisele ja rakendamisele kaasa järgmiselt:

abistab ja annab nõu, eeskätt esitades oma sõltumatu arvamuse ja analüüsi, ning teeb ettevalmistavat tööd liidu poliitikameetmete ja õiguse arendamise ja läbivaatamise jaoks küberturvalisuse valdkonnas, samuti valdkonnaspetsiifiliste poliitiliste ja õiguslike algatuste jaoks, kui need puudutavad küberturvalisusega seotud küsimusi;

aitab liikmesriikidel järjekindlalt rakendada küberturvalisusega seotud liidu poliitikameetmeid ja õigust eeskätt seoses direktiiviga (EL) 2016/1148, kasutades selleks muu hulgas arvamusi, suuniseid, nõuandeid ja parimaid tavasid sellistes küsimustes nagu riskihaldus, intsidentidest teatamine ja teabe jagamine, ning soodustades pädevate asutuste vahel asjakohaste parimate tavade jagamist;

aitab liikmesriikidel ning liidu institutsioonidel, organitel ja asutustel välja töötada ja edendada küberturvalisuse alaseid poliitikameetmeid, mis on seotud interneti avaliku tuuma üldise kättesaadavuse ja terviklikkuse säilitamisega;

annab oma panuse direktiivi (EL) 2016/1148 artikli 11 alusel moodustatud koostöörühma töösse, pakkudes selleks oma oskusteavet ja abi;

toetab:

liidu poliitikameetmete arendamist ja rakendamist e-identimise ja usaldusteenuste valdkonnas, eeskätt andes nõu ja tehnilisi suuniseid ning soodustades pädevate asutuste vahel parimate tavade vahetamist;

elektroonilise side suurema turvalisuse edendamist, muu hulgas andes nõu ja oskusteavet ning soodustades pädevate asutuste vahel parimate tavade jagamist;

liikmesriike andmekaitse ja eraelu puutumatusega seotud liidu poliitikameetmete ja õiguse spetsiifiliste küberturvalisuse aspektide rakendamisel, sealhulgas andes taotluse korral nõu Euroopa Andmekaitsenõukogule;

toetab liidu poliitikameetmetega seotud tegevuse regulaarset läbivaatamist ning koostab selleks igal aastal aruande vastava õigusraamistiku rakendamise seisu kohta seoses järgmisega:

teave liikmesriikide intsidente käsitlevate teadete kohta, mille ühtsed kontaktpunktid on esitanud koostöörühmale vastavalt direktiivi (EL) 2016/1148 artikli 10 lõikele 3;

kokkuvõtted usaldusteenuse osutajatelt saadud turvarikkumise või tervikluse kao teadetest, mille järelevalveasutused esitavad ENISA-le vastavalt Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 ( 1 ) artikli 19 lõikele 3;

üldkasutatavate elektroonilise side võrkude või üldkasutatavate elektroonilise side teenuste pakkujate edastatud teated turvaintsidentide kohta, mille pädevad asutused esitavad ENISA-le vastavalt direktiivi (EL) 2018/1972 artiklile 40.

Artikkel 6

Suutlikkuse arendamine

ENISA abistab:

liikmesriike nende tegevuses, et parandada küberohtude ja intsidentide ennetamist, avastamist, analüüsimist ja neile reageerimise suutlikkust, pakkudes liikmesriikidele teadmisi ja oskusteavet;

liikmesriike ning liidu institutsioone, organeid ja asutusi turvanõrkuste avalikustamise poliitikameetmete vabatahtlikkuse alusel loomisel ja rakendamisel;

liidu institutsioone, organeid ja asutusi nende tegevuses, et parandada küberohtude ja intsidentide ennetamist, avastamist, analüüsimist ja neile reageerimise suutlikkust, eeskätt pakkudes asjakohast toetust CERT-EUle;

liikmesriike riiklike CSIRTide väljatöötamisel, kui nad seda taotlevad vastavalt direktiivi (EL) 2016/1148 artikli 9 lõikele 5;

liikmesriike riiklike võrgu- ja infosüsteemide turvalisuse strateegiate väljatöötamisel, kui nad seda taotlevad vastavalt direktiivi (EL) 2016/1148 artikli 7 lõikele 2, ning edendab nimetatud strateegiate levitamist ja sedastab nende rakendamisel tehtavad edusammud kogu liidus, et propageerida parimaid tavasid;

liidu institutsioone liidu küberturvalisuse alaste strateegiate väljatöötamisel ja läbivaatamisel, nende levitamisel ja nende rakendamisel tehtavate edusammude jälgimisel;

riiklikke ja liidu CSIRTe nende suutlikkuse arendamisel, muu hulgas edendades dialoogi ja teabevahetust tagamaks vastavalt tehnika tasemele, et iga CSIRTi võimekus vastab ühistele miinimumsuutlikkuse nõuetele ning et iga CSIRT toimib kooskõlas parimate tavadega;

liikmesriike, korraldades korrapäraselt ja vähemalt iga kahe aasta järel liidu tasandil artikli 7 lõikes 5 osutatud küberturvalisuse õppuseid ja andes õppuste hindamise ja õppuste käigus omandatud kogemuste põhjal soovitusi poliitika kujundamiseks;

asjaomaseid avalik-õiguslikke asutusi, pakkudes neile asjakohasel juhul koostöös sidusrühmadega küberturvalisuse alast koolitust;

koostöörühma parimate tavade vahetamisel eeskätt seoses oluliste teenuste operaatorite identifitseerimisega liikmesriikide poolt, sealhulgas mis puudutab riskide ja intsidentidega seotud piiriüleseid sõltuvusseoseid vastavalt direktiivi (EL) 2016/1148 artikli 11 lõike 3 punktile l.

ENISA toetab teabe jagamist sektorite siseselt ja sektorite vahel, eeskätt direktiivi (EL) 2016/1148 II lisas loetletud valdkondades, levitades häid tavasid ja andes suuniseid kättesaadavate töövahendite ja menetluste kohta ning selle kohta, kuidas lahendada teabe jagamisega seotud regulatiivsed küsimused.

Artikkel 7

Operatiivkoostöö liidu tasandil

ENISA toetab operatiivkoostööd liikmesriikide, liidu institutsioonide, organite ja asutuste ning sidusrühmade vahel.

ENISA teeb operatiivtasandil koostööd ja loob koostoimet liidu institutsioonide, organite ja asutustega (sealhulgas CERT-EUga), nende talitustega, kelle tegevus puudutab küberkuritegevust, ning järelevalveasutustega, kes tegelevad eraelu puutumatuse ja isikuandmete kaitsega, et lahendada ühist muret tekitavaid küsimusi, sealhulgas järgmisel moel:

oskusteabe ja parimate tavade vahetamine;

nõu ja suuniste andmine küberturvalisusega seotud asjaomastes küsimustes;

konkreetsete ülesannete täitmise praktilise korra kehtestamine pärast komisjoniga konsulteerimist.

ENISA tagab CSIRTide võrgustiku sekretariaaditeenused vastavalt direktiivi (EL) 2016/1148 artikli 12 lõikele 2 ning toetab seda ülesannet täites aktiivselt teabe jagamist ja koostööd võrgustiku liikmete vahel.

ENISA toetab liikmesriike CSIRTide võrgustikus toimuvas operatiivkoostöös järgmiselt:

annab nõu, kuidas parandada intsidentide ennetamise, avastamise ja neile reageerimise suutlikkust ning annab ühe või mitme liikmesriigi taotluse korral nõu seoses konkreetse küberohuga;

annab ühe või mitme liikmesriigi taotluse korral abi märkimisväärse või olulise mõjuga intsidentide hindamisel, pakkudes oskusteavet ja soodustades selliste intsidentide tehnilist käsitlemist, muu hulgas toetades eeskätt asjaomase teabe ja tehniliste lahenduste vabatahtlikku jagamist liikmesriikide vahel;

analüüsib turvanõrkuseid ja intsidente, võttes aluseks üldsusele kättesaadava teabe või liikmesriikide poolt vabatahtlikult sel eesmärgil esitatava teabe, ning

toetab ühe või mitme liikmesriigi taotluse korral selliste intsidentide tehnilist järeluurimist, millel on märkimisväärne või oluline mõju direktiivi (EL) 2016/1148 tähenduses.

Et saada kasu koostoimest ning vältida tegevuse dubleerimist, teevad ENISA ja CERT-EU neid ülesandeid täites struktureeritud koostööd.

ENISA korraldab korrapäraselt liidu tasandi küberõppusi ning toetab liikmesriike ja liidu institutsioone, organeid ja asutusi nende taotluse korral küberturvalisuse õppuste korraldamisel. Liidu tasandi küberturvalisuse õppused võivad hõlmata tehnilisi, operatiivseid ja strateegilisi elemente. Iga kahe aasta järel korraldab ENISA põhjaliku suurõppuse.

Lisaks annab ENISA asjakohasel juhul oma panuse valdkondlike küberõppuste korraldamisse ja aitab neid korraldada koos asjaomaste organisatsioonidega, kes võivad osaleda ka liidu tasandi küberturvalisuse õppustel.

ENISA koostab tihedas koostöös liikmesriikidega korrapäraselt ELi küberturvalisuse tehnilise olukorra põhjalikke aruandeid intsidentide ja küberohtude kohta, võttes aluseks üldiselt kättesaadava teabe, omaenda tehtud analüüsid ja aruanded, mida jagavad muu hulgas liikmesriikide CSIRTid või direktiivi (EL) 2016/1148 kohased ühtsed kontaktpunktid (mõlemad vabatahtlikkuse alusel), ning EC3 ja CERT-EU.

ENISA annab oma panuse, et töötada välja liidu ja liikmesriikide tasandi koostööl põhinev reageering ulatuslikele piiriülestele intsidentidele ja küberturvalisusega seotud kriisidele, tehes selleks peamiselt järgmist:

koondab ja analüüsib riiklikest allikatest pärit üldkasutatavaid ja vabatahtlikult jagatud aruandeid, et aidata kaasa ühise olukorrateadlikkuse kujundamisele;

tagab teabe tõhusa liikumise ja eskaleerimismehhanismide olemasolu CSIRTide võrgustiku ning liidu tasandi tehniliste ja poliitiliste otsuste tegijate vahel;

hõlbustab taotluse korral intsidendi või kriisi tehnilist lahendamist, sealhulgas toetades eeskätt tehniliste lahenduste vabatahtlikku jagamist liikmesriikide vahel;

toetab liidu institutsioone, organeid ja asutusi ning taotluse korral liikmesriike intsidenti või kriisi puudutava avaliku teabevahetuse puhul;

testib sellistele intsidentidele või kriisidele reageerimiseks mõeldud koostööplaane liidu tasandil ja toetab liikmesriike nende taotluse korral koostööplaanide testimisel riiklikul tasandil.

Artikkel 8

Turg, küberturvalisuse sertifitseerimine ja standardimine

▼M1

ENISA toetab ja edendab käesoleva määruse III jaotises sätestatud IKT-toodete, -teenuste, -protsesside ning hallatud turbeteenuste küberturvalisuse sertifitseerimise alaste liidu poliitikameetmete arendamist ja rakendamist järgmiselt:

▼B

jälgib pidevalt arengut seonduvates standardimise valdkondades ja soovitab asjakohaseid ►C1 tehnilisi spetsifikatsioone ◄ artikli 54 lõike 1 punkti c kohaste Euroopa küberturvalisuse sertifitseerimise kavade väljatöötamiseks, kui standardid puuduvad;

▼M1

koostab IKT-toodete, -teenuste, -protsesside ning hallatud turbeteenuste Euroopa küberturvalisuse sertifitseerimise ettevalmistavad kavad („ettevalmistavad kavad“) kooskõlas artikliga 49;

▼B

hindab vastu võetud Euroopa küberturvalisuse sertifitseerimise kavasid kooskõlas artikli 49 lõikega 8;

osaleb artikli 59 lõike 4 kohaselt vastastikustes hindamistes;

aitab komisjonil pakkuda sekretariaaditeenuseid Euroopa küberturvalisuse sertifitseerimise rühmale vastavalt artikli 62 lõikele 5.

ENISA pakub sekretariaaditeenuseid sidusrühmade küberturvalisuse sertifitseerimise rühmale vastavalt artikli 22 lõikele 4.

▼M1

ENISA koostab ja avaldab suuniseid ning töötab välja häid tavasid IKT-toodete, -teenuste, -protsesside ning hallatud turbeteenuste küberturvalisuse nõuete kohta, tehes selleks ametlikult, struktureeritult ja läbipaistvalt koostööd riiklike küberturvalisuse sertifitseerimise asutuste ja tööstusega.

▼B

ENISA aitab kaasa hindamise ja sertifitseerimise protsessidega seotud suutlikkuse arendamisele, koostades ja andes suuniseid ning toetades liikmesriike nende taotluse korral.

▼M1

ENISA hõlbustab riskihalduse ning IKT-toodete, -teenuste, -protsesside ning hallatud turbeteenuste turvalisuse Euroopa ja rahvusvaheliste standardite koostamist ja kasutuselevõtmist.

▼B

ENISA koostab koostöös liikmesriikide ja tööstusega nõuandeid ja suuniseid oluliste teenuste operaatoritele ja digitaalsete teenuste osutajatele esitatavate turvalisusnõuetega seotud tehniliste valdkondade, aga ka juba olemasolevate standardite, kaasa arvatud liikmesriikide riiklike standardite kohta vastavalt direktiivi (EL) 2016/1148 artikli 19 lõikele 2.

ENISA analüüsib korrapäraselt nii nõudluse kui ka pakkumise poole peamisi suundumusi küberturvalisuse turul ja levitab analüüsi tulemusi, et arendada küberturvalisuse turgu liidus.

Artikkel 9

Teadmised ja teave

ENISA:

analüüsib kujunemisjärgus tehnoloogiaid ja annab teemapõhiseid hinnanguid sellele, milline on tehnoloogiliste uuenduste eeldatav sotsiaalne, õiguslik, majanduslik ja regulatiivne mõju küberturvalisusele;

koostab pikaajalisi strateegilisi analüüse küberohtude ja intsidentide kohta, et teha kindlaks väljakujunevad suundumused ja aidata ennetada intsidente;

koostöös liikmesriikide ametiasutuste ja asjaomaste sidusrühmade ekspertidega annab nõu ja suuniseid ning levitab parimaid tavasid võrgu- ja infosüsteemide turvalisuse kohta, eeskätt selles osas, mis puudutab nende infrastruktuuride turvalisust, mis toetavad direktiivi (EL) 2016/1148 II lisas loetletud sektoreid ja mida kasutavad kõnealuse direktiivi III lisas loetletud digitaalsete teenuste osutajad;

koondab, korraldab ja teeb avalikkusele spetsiaalse portaali kaudu kättesaadavaks liidu institutsioonide, organite ja asutuste ning vabatahtlikkuse alusel liikmesriikide ning era- ja avaliku sektori sidusrühmade poolt esitatud teavet küberturvalisuse kohta;

kogub ja analüüsib avalikult kättesaadavat teavet oluliste intsidentide kohta ning koostab aruandeid, et anda suuniseid kodanikele, organisatsioonidele ja ettevõtjatele kogu liidus.

Artikkel 10

Teadlikkuse suurendamine ja haridus

ENISA:

parandab üldsuse teadlikkust küberturvalisuse riskidest ja annab kodanikele, organisatsioonidele ja ettevõtjatele suuniseid individuaalsete kasutajate heade tavade, sealhulgas küberhügieeni ja küberkirjaoskuse kohta;

korraldab koostöös liikmesriikide, liidu institutsioonide, organite, asutuste ja tööstusega korrapäraselt teavituskampaaniaid, et suurendada küberturvalisust ja selle nähtavust liidus, ja soodustab ulatuslikku avalikku arutelu;

abistab liikmesriike nende jõupingutustes, et suurendada küberturvalisuse alast teadlikkust ja edendada küberturvalisuse alast haridust;

toetab liikmesriikidevahelist tihedamat koordineerimist ja parimate tavade vahetamist küberturvalisuse alase teadlikkuse ja hariduse valdkonnas.

Artikkel 11

Teadusuuringud ja innovatsioon

Teadusuuringute ja innovatsiooni vallas ENISA:

annab liidu institutsioonidele, organitele ja asutustele ning liikmesriikidele nõu küberturvalisuse valdkonnas vajalike teadusuuringute ja prioriteetide kohta, et võimaldada tulemuslikku reageerimist praegustele ja tulevastele riskidele ja küberohtudele, sealhulgas seoses uue ja kujunemisjärgus info- ja kommunikatsioonitehnoloogiaga, ning riskiennetustehnoloogia tõhusat kasutamist;

osaleb teadusuuringute ja innovatsiooni rahastamise programmide rakendamisetapis, kui komisjon on talle delegeerinud asjakohased volitused, või tegutseb toetusesaajana;

annab küberturvalisuse valdkonnas panuse strateegilisse teadusuuringute ja innovatsiooni liidu tasandi tegevuskavasse.

Artikkel 12

Rahvusvaheline koostöö

ENISA annab panuse liidu jõupingutustesse teha koostööd kolmandate riikide ja rahvusvaheliste organisatsioonidega ning asjaomastes rahvusvahelistes koostööraamistikes, et edendada rahvusvahelist koostööd küberturvalisusega seotud küsimustes, sealhulgas:

osaleb asjakohasel juhul vaatlejana rahvusvaheliste õppuste korraldamises ning analüüsib selliste õppuste tulemusi ja annab nende kohta aru haldusnõukogule;

soodustab komisjoni taotluse korral parimate tavade vahetamist;

pakub komisjonile taotluse korral oskusteavet;

koostöös artikli 62 kohaselt moodustatud Euroopa küberturvalisuse sertifitseerimise rühmaga annab komisjonile nõu ja pakub komisjonile toetust küsimustes, mis puudutavad kolmandate riikidega sõlmitavaid küberturvalisuse sertifikaatide vastastikuse tunnustamise lepinguid.

III PEATÜKK

ENISA töökorraldus

Artikkel 13

ENISA struktuur

ENISA haldus- ja juhtimisstruktuuri kuuluvad:

haldusnõukogu;

juhatus;

tegevdirektor;

ENISA nõuanderühm;

riiklike kontaktametnike võrgustik.

1. jagu

Haldusnõukogu

Artikkel 14

Haldusnõukogu koosseis

Haldusnõukogusse kuulub igast liikmesriigist üks esindaja, kes on määratud liikmesriigi poolt, ning kaks komisjoni esindajat, kes on määratud komisjoni poolt. Kõigil liikmetel on hääleõigus.

Igal haldusnõukogu liikmel on asendusliige. Asendusliige esindab liiget tema äraolekul.

Haldusnõukogu liikmed ja nende asendusliikmed määratakse ametisse lähtuvalt nende küberturvalisuse alastest teadmistest, võttes arvesse nende asjaomaseid juhtimis-, haldus- ja eelarvealaseid oskusi. Komisjon ja liikmesriigid püüavad piirata oma esindajate vahetumist haldusnõukogus, et tagada selle töö järjepidevus. Komisjoni ja liikmesriikide eesmärk on saavutada haldusnõukogus sooline tasakaal.

Haldusnõukogu liikmete ja asendusliikmete ametiaeg on neli aastat. Neid võib ametisse tagasi nimetada.

Artikkel 15

Haldusnõukogu ülesanded

Haldusnõukogu:

määrab kindlaks ENISA tegevuse üldise suuna ning tagab, et ENISA tegutseb kooskõlas käesolevas määruses sätestatud normide ja põhimõtetega; samuti tagab haldusnõukogu, et ENISA tegevus on kooskõlas liikmesriikide ja liidu tasandi tegevusega;

võtab vastu artiklis 24 osutatud ENISA ühtse programmdokumendi kavandi enne, kui see esitatakse arvamuse saamiseks komisjonile;

võtab komisjoni arvamust arvestades vastu ENISA ühtse programmdokumendi;

teeb järelevalvet ühtses programmdokumendis sisalduva iga-aastase ja mitmeaastase tööprogrammi rakendamise üle;

võtab vastu ENISA aastaeelarve ja täidab muid ENISA eelarvega seotud ülesandeid vastavalt IV peatükile;

annab hinnangu konsolideeritud aastaaruandele ENISA tegevuse kohta, mis hõlmab raamatupidamisaruannet ja milles kirjeldatakse, kuidas ENISA on täitnud oma tulemuslikkuse näitajaid, ja võtab selle vastu ning saadab nii aastaaruande kui ka sellele antud hinnangu hiljemalt järgmise aasta 1. juuliks Euroopa Parlamendile, nõukogule, komisjonile ja kontrollikojale ning avalikustab selle;

võtab vastavalt artiklile 32 vastu ENISA suhtes kohaldatavad finantsreeglid;

võtab vastu pettustevastase strateegia, mis on proportsionaalses vastavuses pettuste riskiga, pidades silmas rakendatavate meetmete tasuvusanalüüsi;

võtab vastu normid oma liikmete huvide konfliktide vältimiseks ja lahendamiseks;

tagab, et Euroopa Pettustevastase Ameti (OLAF) juurdlustest ning erinevatest sise- ja välisauditite aruannetest ja hindamistest tulenevate järelduste ja soovituste põhjal võetakse piisavad järelmeetmed;

võtab vastu oma kodukorra, milles muu hulgas käsitletakse esialgsete otsuste tegemist konkreetsete ülesannete delegeerimise kohta vastavalt artikli 19 lõikele 7;

kasutab kooskõlas käesoleva artikli lõikega 2 ENISA töötajate suhtes nõukogu määrusega (EMÜ, Euratom, ESTÜ) nr 259/68 ( 2 ) kehtestatud Euroopa Liidu ametnike personalieeskirjade ja muude teenistujate teenistustingimustega („personalieeskirjad“ ja „muude teenistujate teenistustingimused“) ametisse nimetavale asutusele ja ametiisikule ning teenistuslepingute sõlmimise pädevust omavale asutusele või ametiisikule antud volitusi („ametisse nimetava asutuse volitused“);

võtab personalieeskirjade artiklis 110 sätestatud korras vastu personalieeskirjade ja muude teenistujate teenistustingimuste rakendussätted;

nimetab kooskõlas artikliga 36 ametisse tegevdirektori ning kohasel juhul pikendab tema ametiaega või tagandab ta ametist;

nimetab ametisse peaarvepidaja, kes võib olla komisjoni peaarvepidaja, kes on oma ülesannete täitmisel täiesti sõltumatu;

teeb kõik otsused ENISA sisestruktuuri kehtestamise ja vajaduse korral selle muutmise kohta, võttes arvesse ENISA tegevusega seotud vajadusi ja usaldusväärset eelarvehaldust;

annab loa kehtestada töökord seoses artikliga 7;

annab loa kehtestada koostöökord või sõlmida koostöökokkulepe vastavalt artiklile 42.

Haldusnõukogu võtab kooskõlas personalieeskirjade artikliga 110 vastu personalieeskirjade artikli 2 lõikel 1 ja muude teenistujate teenistustingimuste artiklil 6 põhineva otsuse, millega delegeeritakse asjakohased ametisse nimetava asutuse volitused tegevdirektorile ja määratakse kindlaks tingimused, mille alusel võib volituste delegeerimise peatada. Tegevdirektoril on õigus need volitused edasi delegeerida.

Erandlike asjaolude korral võib haldusnõukogu võtta vastu otsuse, millega ajutiselt peatatakse tegevdirektorile delegeeritud ja tema poolt edasi delegeeritud ametisse nimetava asutuse volitused ning täidetakse kõnealuseid volitusi ise või delegeeritakse need ühele oma liikmetest või mõnele töötajale, välja arvatud tegevdirektorile.

Artikkel 16

Haldusnõukogu esimees

Haldusnõukogu valib oma liikmete seast kahekolmandikulise häälteenamusega esimehe ja aseesimehe, kelle ametiaeg on neli aastat ja kelle võib ühe korra ametisse tagasi nimetada. Kui nende liikmesus haldusnõukogus lõpeb mis tahes ajal nende ametiaja jooksul, lõpeb nende ametiaeg automaatselt samal päeval. Aseesimees asendab esimeest ex officio juhul, kui esimehel ei ole võimalik oma ülesandeid täita.

Artikkel 17

Haldusnõukogu koosolekud

Haldusnõukogu koosoleku kutsub kokku haldusnõukogu esimees.

Haldusnõukogul on aastas vähemalt kaks korralist koosolekut. Haldusnõukogu korraldab erakorralisi koosolekuid oma esimehe, komisjoni või vähemalt ühe kolmandiku liikmete nõudmisel.

Tegevdirektor osaleb haldusnõukogu koosolekutel ilma hääleõiguseta.

ENISA nõuanderühma liikmed võivad esimehe kutsel osaleda haldusnõukogu koosolekutel ilma hääleõiguseta.

Haldusnõukogu liikmed ja nende asendusliikmed võivad vastavalt haldusnõukogu kodukorrale kasutada haldusnõukogu koosolekutel nõustajate või ekspertide abi.

Haldusnõukogule osutab sekretariaaditeenust ENISA.

Artikkel 18

Haldusnõukogu hääletuskord

Haldusnõukogu võtab otsused vastu oma liikmete häälteenamusega.

Ühtse programmdokumendi ja aastaeelarve vastuvõtmiseks ning tegevdirektori ametisse nimetamiseks, tema ametiaja pikendamiseks ja ametist tagandamiseks on vaja haldusnõukogu liikmete kahekolmandikulist häälteenamust.

Igal liikmel on üks hääl. Liikme puudumise korral võib hääleõigust kasutada tema asendusliige.

Haldusnõukogu esimees osaleb hääletamisel.

Tegevdirektor ei osale hääletamisel.

Haldusnõukogu kodukorraga kehtestatakse üksikasjalikum hääletamiskord, eelkõige tingimused, mille korral üks liige võib tegutseda teise liikme nimel.

2. jagu

Juhatus

Artikkel 19

Juhatus

Haldusnõukogu abistab juhatus.

Juhatus:

valmistab ette haldusnõukogus vastu võetavad otsused;

tagab koos haldusnõukoguga, et OLAFi juurdlustest ning erinevatest sise- ja välisauditite aruannetest ja hindamistest tulenevate järelduste ja soovituste põhjal võetakse piisavad järelmeetmed;

abistab ja nõustab tegevdirektorit haldusnõukogu haldus- ja eelarveküsimusi käsitlevate otsuste rakendamisel vastavalt artiklile 20, ilma et see piiraks tegevdirektori ülesandeid, mis on sätestatud artiklis 20.

Juhatusse kuuluvad viis liiget. Juhatuse liikmed nimetatakse haldusnõukogu liikmete seast. Üheks liikmeks peab olema haldusnõukogu esimees, kes võib ka juhatust juhtida, ning üks liige peab olema komisjoni esindaja. Juhatuse liikmete ametisse nimetamisel püütakse saavutada tasakaalustatud sooline esindatus juhatuses. Tegevdirektor osaleb juhatuse koosolekutel ilma hääleõiguseta.

Juhatuse liikmete ametiaeg on neli aastat. Neid võib ametisse tagasi nimetada.

Juhatuse koosolekud toimuvad vähemalt üks kord kolme kuu tagant. Juhatuse esimees kutsub juhatuse liikmete taotlusel kokku täiendavaid koosolekuid.

Haldusnõukogu kehtestab juhatuse kodukorra.

Kiireloomulistel juhtudel võib juhatus vajaduse korral teha haldusnõukogu nimel teatavaid esialgseid otsuseid, eeskätt haldusküsimustes, sealhulgas ametisse nimetava asutuse volituste delegeerimise peatamise ja eelarveküsimuste kohta. Haldusnõukogu teavitatakse sellistest esialgsetest otsustest viivitamata. Haldusnõukogu otsustab seejärel hiljemalt kolme kuu möödumisel pärast esialgse otsuse tegemist, kas see heaks kiita või tagasi lükata. Juhatus ei tee haldusnõukogu nimel otsuseid, mille tegemiseks on vaja haldusnõukogu kahekolmandikulist häälteenamust.

3. jagu

Tegevdirektor

Artikkel 20

Tegevdirektori ülesanded

ENISAt juhib tegevdirektor, kes on oma ülesannete täitmisel sõltumatu. Tegevdirektor annab aru haldusnõukogule.

Tegevdirektor annab Euroopa Parlamendile viimase taotluse korral aru oma ülesannete täitmise kohta. Nõukogu võib kutsuda tegevdirektori oma ülesannete täitmisest aru andma.

Tegevdirektor vastutab järgmiste tegevuste eest:

juhib ENISA igapäevast tööd;

rakendab haldusnõukogus vastuvõetud otsuseid;

koostab ühtse programmdokumendi kavandi ja esitab selle heakskiitmiseks haldusnõukogule enne, kui see esitatakse komisjonile;

rakendab ühtset programmdokumenti ja annab haldusnõukogule selle kohta aru;

koostab ENISA konsolideeritud aastaaruande, sealhulgas ENISA iga-aastase tööprogrammi rakendamise kohta, ning esitab selle hindamiseks ja vastuvõtmiseks haldusnõukogule;

koostab järelhindamise järelduste põhjal võetavaid järelmeetmeid sisaldava tegevuskava ning esitab iga kahe aasta järel komisjonile aruande edusammude kohta;

koostab sise- või välisauditi aruannete ja hindamiste ning OLAFi juurdluste järelduste põhjal järelmeetmete võtmiseks tegevuskava ning annab tehtud edusammudest kaks korda aastas aru komisjonile ja korrapäraselt haldusnõukogule;

koostab artiklis 32 osutatud ENISA suhtes kohaldatavate finantsreeglite kavandi;

koostab ENISA tulude ja kulude eelarvestuse projekti ning täidab ENISA eelarvet;

kaitseb liidu finantshuve, kohaldades pettuste, korruptsiooni ja muu ebaseadusliku tegevuse vastu ennetusmeetmeid, tehes tõhusaid kontrolle, nõudes õigusnormide rikkumise tuvastamise korral tagasi alusetult väljamakstud summad ning kohaldades asjakohasel juhul tõhusaid, proportsionaalseid ja hoiatavaid haldus- ja rahalisi karistusi;

koostab ENISA pettustevastase strateegia ja esitab selle heakskiitmiseks haldusnõukogule;

arendab ja hoiab kontakte äriringkondade ja tarbijaorganisatsioonidega, et tagada korrapärane dialoog asjaomaste sidusrühmadega;

vahetab korrapäraselt arvamusi ja teavet liidu institutsioonide, organite ja asutustega seoses nende tegevusega küberturvalisuse vallas, et tagada sidusus liidu poliitika väljatöötamisel ja rakendamisel;

täidab muid käesoleva määrusega tegevdirektorile pandud ülesandeid.

Vajaduse korral ning kooskõlas ENISA eesmärkide ja ülesannetega võib tegevdirektor moodustada ajutisi töörühmi, kuhu kuuluvad eksperdid, sealhulgas liikmesriikide pädevate asutuste eksperdid. Tegevdirektor teavitab sellest eelnevalt haldusnõukogu. ENISA sise-eeskirjas sätestatakse eeskätt töörühmade koosseisu, tegevdirektori poolt töörühmade ekspertide määramist ja töörühmade tegevust käsitlev kord.

Vajaduse korral ja kohasele kulude-tulude analüüsile tuginedes võib tegevdirektor otsustada ENISA ülesannete tõhusaks ja tulemuslikuks täitmiseks asutada ühes või mitmes liikmesriigis ühe kohaliku kontori või mitu kohalikku kontorit. Enne kui tegevdirektor otsustab asutada kohaliku kontori, peab ta küsima asjaomaste liikmesriikide, sealhulgas ENISA asukohaliikmesriigi arvamust ning saama komisjonilt ja haldusnõukogult eelneva nõusoleku. Kui konsulteerimise käigus lähevad tegevdirektori ja asjaomaste liikmesriikide arvamused lahku, esitatakse küsimus arutamiseks nõukogule. Töötajate koguarv kõigis kohalikes kontorites peab olema minimaalne ega tohi moodustada kokku rohkem kui 40 % ENISA asukohaliikmesriigis asuvate ENISA töötajate koguarvust. Ühegi kohaliku kontori puhul ei tohi töötajate arv olla suurem kui 10 % ENISA asukohaliikmesriigis asuvate ENISA töötjate koguarvust.

Kohaliku kontori asutamise otsuses määratakse kindlaks kohaliku kontori tegevuse ulatus, et vältida tarbetuid kulusid ja ENISA haldusülesannete dubleerimist.

4. jagu

ENISA nõuanderühm, sidusrühmade küberturvalisuse sertifitseerimise rühm ja liikmesriikide kontaktametnike võrgustik

Artikkel 21

ENISA nõuanderühm

Haldusnõukogu moodustab tegevdirektori ettepaneku põhjal läbipaistval viisil ENISA nõuanderühma, mis koosneb asjaomaseid sidusrühmi, näiteks IKT tööstust, avalikkusele kättesaadavate elektroonilise side võrkude või teenuste pakkujaid, VKEsid, oluliste teenuste operaatoreid, tarbijarühmi ja küberturvalisusega tegelevaid akadeemilisi eksperte esindavatest tunnustatud ekspertidest ning direktiivi (EL) 2018/1972 kohaselt teavitatavate pädevate asutuste, Euroopa standardiorganisatsioonide ning õiguskaitseasutuste ja andmekaitse järelevalveasutuste esindajatest. Haldusnõukogu eesmärk on tagada asjakohane sooline ja geograafiline tasakaal ning tasakaal erinevate sidusrühmade vahel.

ENISA sise-eeskirjas sätestatakse eeskätt ENISA nõuanderühma koosseisu, lõikes 1 osutatud tegevdirektori ettepanekut, liikmete arvu ja nimetamist ning ENISA nõuanderühma tegevust käsitlev kord ning see avalikustatakse.

ENISA nõuanderühma juhatab tegevdirektor või isik, kelle tegevdirektor nimetab igal üksikjuhul eraldi.

ENISA nõuanderühma liikmete ametiaeg on kaks ja pool aastat. Haldusnõukogu liige ei või olla ENISA nõuanderühma liige. Komisjoni ja liikmesriikide ekspertidel on õigus viibida ENISA nõuanderühma koosolekutel ning osaleda selle töös. Kui tegevdirektor peab seda asjakohaseks, võib kutsuda ENISA nõuanderühma koosolekutel ning selle töös osalema teiste asutuste esindajaid, kes ei ole ENISA nõuanderühma liikmed.

ENISA nõuanderühm nõustab ENISAt tema ülesannete täitmisel, välja arvatud seoses käesoleva määruse III jaotise kohaldamisega. Eelkõige annab ENISA nõuanderühm tegevdirektorile soovitusi ENISA iga-aastase tööprogrammi ettepaneku koostamiseks ning tagab teabevahetuse asjaomaste sidusrühmadega iga-aastase tööprogrammiga seotud küsimustes.

ENISA nõuanderühm teavitab korrapäraselt haldusnõukogu oma tegevusest.

Artikkel 22

Sidusrühmade küberturvalisuse sertifitseerimise rühm

Moodustatakse sidusrühmade küberturvalisuse sertifitseerimise rühm.

Sidusrühmade küberturvalisuse sertifitseerimise rühm koosneb asjaomaseid sidusrühmi esindavatest tunnustatud ekspertidest. Komisjon valib sidusrühmade küberturvalisuse sertifitseerimise rühma liikmed ENISA ettepaneku põhjal läbipaistva ja avatud valikumenetluse teel, tagades tasakaalu erinevate sidusrühmade vahel ning asjakohase soolise ja geograafilise tasakaalu.

Sidusrühmade küberturvalisuse sertifitseerimise rühm:

annab komisjonile nõu strateegilistes küsimustes seoses Euroopa küberturvalisuse sertifitseerimise raamistikuga;

annab ENISA-le taotluse korral nõu üldistes ja strateegilistes küsimustes seoses turu, küberturvalisuse sertifitseerimise ja standardimisega seonduvate ENISA ülesannetega;

abistab komisjoni artiklis 47 osutatud liidu jooksva tööprogrammi koostamisel;

esitab artikli 47 lõike 4 kohaselt arvamuse liidu jooksva tööprogrammi kohta ning

annab kiireloomulistel juhtudel komisjonile ja Euroopa küberturvalisuse sertifitseerimise rühmale nõu seoses vajadusega täiendavate liidu jooksva tööprogrammiga hõlmamata sertifitseerimise kavade järele, nagu on sätestatud artiklites 47 ja 48.

Sidusrühmade küberturvalisuse sertifitseerimise rühma juhivad koos komisjoni ja ENISA esindajad ning sellele osutab sekretariaaditeenuseid ENISA.

Artikkel 23

Liikmesriikide kontaktametnike võrgustik

Haldusnõukogu loob tegevdirektori ettepanekul liikmesriikide kontaktametnike võrgustiku, mis koosneb kõigi liikmesriikide esindajatest („liikmesriikide kontaktametnikud“). Iga liikmesriik nimetab liikmesriikide kontaktametnike võrgustikku ühe esindaja. Liikmesriikide kontaktametnike võrgustiku koosolekuid võib pidada erinevates ekspertide koosseisudes.

Eelkõige soodustab liikmesriikide kontaktametnike võrgustik ENISA ja liikmesriikide vahelist teabevahetust ning toetab ENISAt tema tegevust ja töö tulemusi käsitleva teabe ning soovituste levitamisel asjaomastele sidusrühmadele kogu liidus.

Liikmesriikide kontaktametnikud tegutsevad riigi tasandil kontaktpunktina, et hõlbustada ENISA ja riiklike ekspertide koostööd ENISA iga-aastase tööprogrammi rakendamisel.

Kuigi liikmesriikide kontaktametnikud teevad tihedat koostööd oma liikmesriigi haldusnõukogu esindajatega, ei dubleeri liikmesriikide kontaktametnike võrgustik ei haldusnõukogu ega teiste liidu foorumite tööd.

Liikmesriikide kontaktametnike võrgustiku ülesanded ja menetlused sätestatakse ENISA sise-eeskirjas ja need avalikustatakse.

5. jagu

Tegevus

Artikkel 24

Ühtne programmdokument

ENISA tegutseb kooskõlas ühtse programmdokumendiga, mis sisaldab ENISA iga-aastast ja mitmeaastast tööprogrammi ning mis hõlmab kõiki ENISA kavandatud tegevusi.

Tegevdirektor koostab igal aastal ühtse programmdokumendi kavandi, mis sisaldab iga-aastast ja mitmeaastast tööprogrammi ning sellele vastavat finants- ja inimressursside kavandamist ning mis on kooskõlas komisjoni delegeeritud määruse (EL) nr 1271/2013 ( 3 ) artikliga 32 ja milles võetakse arvesse komisjoni kehtestatud suuniseid.

Haldusnõukogu võtab lõikes 1 osutatud ühtse programmdokumendi vastu iga aasta 30. novembriks ning saadab Euroopa Parlamendile, nõukogule ja komisjonile hiljemalt järgmise aasta 31. jaanuariks programmdokumendi ja kõik selle hilisemad ajakohastatud versioonid.

Ühtne programmdokument muutub lõplikuks pärast liidu üldeelarve lõplikku vastuvõtmist ja vajaduse korral kohandatakse seda vastavalt.

Iga-aastane tööprogramm sisaldab üksikasjalikke eesmärke ja oodatavaid tulemusi, sealhulgas tulemusnäitajaid. Samuti sisaldab see rahastatavate meetmete kirjeldust koos igale meetmele eraldatavate rahaliste vahendite ja inimressurssidega vastavalt tegevuspõhise eelarvestamise ja juhtimise põhimõtetele. Iga-aastane tööprogramm peab olema kooskõlas lõikes 7 osutatud mitmeaastase tööprogrammiga. Selles näidatakse selgelt ära ülesanded, mis võrreldes eelmise eelarveaastaga on lisatud või välja jäetud või mida on muudetud.

Kui ENISA-le pannakse uus ülesanne, muudab haldusnõukogu vastuvõetud iga-aastast tööprogrammi. Kõik iga-aastase tööprogrammi olulised muudatused võetakse vastu sama korra kohaselt nagu algne iga-aastane tööprogramm. Haldusnõukogu võib delegeerida tegevdirektorile õiguse teha iga-aastases tööprogrammis vähetähtsaid muudatusi.

Mitmeaastases tööprogrammis esitatakse üldine strateegiline programm, sealhulgas eesmärgid, oodatavad tulemused ja tulemusnäitajad. Selles esitatakse ka vahendite eraldamise programm, sealhulgas mitmeaastase eelarve ja töötajate jaoks.

Vahendite eraldamise programmi ajakohastatakse igal aastal. Strateegilist programmi ajakohastatakse, kui selle järele on vajadus, eeskätt artiklis 67 osutatud hindamise tulemuste arvesse võtmiseks.

Artikkel 25

Huvide deklaratsioon

Haldusnõukogu liikmed, tegevdirektor ning liikmesriikide poolt ajutiselt lähetatud ametnikud esitavad kohustuste deklaratsiooni ning deklaratsiooni, milles nad kinnitavad, et neil puudub või on olemas otsene või kaudne huvi, mida võib pidada nende sõltumatust kahjustavaks. Deklaratsioon peab olema täpne ja täielik, see esitatakse kirjalikult kord aastas ja vajaduse korral seda ajakohastatakse.

Haldusnõukogu liikmed, tegevdirektor ning ajutistes töörühmades osalevad väliseksperdid teevad hiljemalt iga koosoleku alguses täpse ja täieliku deklaratsiooni oma huvide kohta, mida võib pidada päevakorraküsimusega seoses nende sõltumatust kahjustavaks, ning nad ei võta osa selliste küsimuste arutamisest ega hääletusest.

ENISA sätestab oma sise-eeskirjas lõigetes 1 ja 2 osutatud huvide deklaratsioone käsitlevate normide rakendamise praktilise korra.

Artikkel 26

Läbipaistvus

ENISA viib oma tegevust läbi maksimaalselt läbipaistvalt ning kooskõlas artikliga 28.

ENISA tagab üldsusele ja huvitatud isikutele asjakohase, objektiivse, usaldusväärse ja kergesti juurdepääsetava teabe andmise, eelkõige ENISA töötulemuste kohta. Samuti avalikustab ENISA artikli 25 kohaselt esitatud huvide deklaratsioonid.

Haldusnõukogu võib tegevdirektori ettepanekul lubada huvitatud isikutel jälgida ENISA mõne tegevusega seotud menetlust.

ENISA sätestab oma sise-eeskirjas lõigetes 1 ja 2 osutatud läbipaistvusnormide rakendamise praktilise korra.

Artikkel 27

Konfidentsiaalsus

Ilma et see piiraks artikli 28 kohaldamist, ei anna ENISA kolmandatele isikutele tema poolt töödeldavat või saadud teavet, mille kohta on esitatud põhjendatud taotlus käsitleda seda teavet konfidentsiaalsena.

Haldusnõukogu liikmed, tegevdirektor, ENISA nõuanderühma liikmed, ajutistes töörühmades osalevad väliseksperdid ning ENISA töötajad, sealhulgas liikmesriikide poolt ajutiselt lähetatud ametnikud järgivad ELi toimimise lepingu artiklis 339 sätestatud konfidentsiaalsuse nõudeid, ja seda ka pärast nende töökohustuste lõppemist.

ENISA sätestab oma sise-eeskirjas lõigetes 1 ja 2 osutatud konfidentsiaalsuse nõuete rakendamise praktilise korra.

Haldusnõukogu otsustab lubada ENISA-l käidelda salastatud teavet, kui see on vajalik ENISA ülesannete täitmiseks. Sellisel juhul võtab haldusnõukogu kokkuleppel komisjoni talitustega vastu julgeolekunormid, millega kohaldatakse komisjoni otsustes (EL, Euratom) 2015/443 ( 4 ) ja 2015/444 ( 5 ) sätestatud julgeolekupõhimõtteid. Nimetatud julgeolekunormid hõlmavad salastatud teabe vahetust, töötlemist ja säilitamist käsitlevaid sätteid.

Artikkel 28

Juurdepääs dokumentidele

ENISA valduses olevate dokumentide suhtes kohaldatakse määrust (EÜ) nr 1049/2001.

Haldusnõukogu võtab vastu menetluse määruse (EÜ) nr 1049/2001 rakendamiseks hiljemalt 28. detsembriks 2019.

Määruse (EÜ) nr 1049/2001 artikli 8 kohaselt vastu võetud ENISA otsuste peale võib esitada vastavalt ELi toimimise lepingu artiklile 228 kaebuse Euroopa ombudsmanile või pöörduda vastavalt ELi toimimise lepingu artiklile 263 Euroopa Liidu Kohtusse.

IV PEATÜKK

ENISA eelarve koostamine ja struktuur

Artikkel 29

ENISA eelarve koostamine

Igal aastal koostab tegevdirektor ENISA järgmise eelarveaasta tulude ja kulude eelarvestuse projekti ning saadab selle koos ametikohtade loetelu kavaga haldusnõukogule. Tulud ja kulud peavad olema tasakaalus.

Haldusnõukogu koostab igal aastal eelarvestuse projekti põhjal ENISA järgmise eelarveaasta tulude ja kulude eelarvestuse projekti.

Haldusnõukogu saadab eelarvestuse projekti, mis on osa ühtse programmdokumendi kavandist, hiljemalt iga aasta 31. jaanuariks komisjonile ja kolmandatele riikidele, kellega liit on sõlminud artikli 42 lõikes 2 osutatud kokkulepped.

Eelarvestuse projektist lähtudes sisestab komisjon liidu üldeelarve projekti kalkulatsioonid, mida ta peab ametikohtade loetelu põhjal vajalikuks, ja liidu üldeelarvest makstava toetuse suuruse, ning esitab selle kooskõlas ELi toimimise lepingu artikliga 314 Euroopa Parlamendile ja nõukogule.

Euroopa Parlament ja nõukogu kinnitavad liidu poolt ENISA toetuseks eraldatavad assigneeringud.

Euroopa Parlament ja nõukogu kinnitavad ENISA ametikohtade loetelu.

Haldusnõukogu kinnitab ENISA eelarve koos ühtse programmdokumendiga. ENISA eelarve muutub lõplikuks pärast liidu üldeelarve lõplikku vastuvõtmist. Haldusnõukogu kohandab vajaduse korral ENISA eelarvet ja ühtset programmdokumenti kooskõlas liidu üldeelarvega.

Artikkel 30

ENISA eelarve struktuur

Ilma et see piiraks muid sissetulekuallikaid, koosnevad ENISA tulud järgmistest vahenditest:

toetus liidu üldeelarvest;

tulu, mis on ette nähtud konkreetsete kuluartiklite rahastamiseks kooskõlas artiklis 32 osutatud finantsreeglitega;

liidu rahalised vahendid delegeerimiskokkulepete või sihtotstarbeliste toetuste vormis kooskõlas artiklis 32 osutatud finantsreeglitega ja liidu poliitikameetmeid toetavate asjakohaste õigusaktide sätetega;

ENISA töös osalevate kolmandate riikide rahaline osalus, millele on osutatud artiklis 42;

liikmesriikide vabatahtlikud rahalised või mitterahalised osamaksed.

Esimese lõigu punkti e kohaseid vabatahtlikke osamakseid tegevatel liikmesriikidel ei ole õigust nõuda sellest tulenevalt teatavaid õigusi või teenuseid.

ENISA kulud hõlmavad muu hulgas personali- ja halduskulusid, tehnilise abi kulusid, taristu kulusid, tegevuskulusid ning kulusid, mis tulenevad kolmandate isikutega sõlmitud lepingutest.

Artikkel 31

ENISA eelarve täitmine

ENISA eelarve täitmise eest vastutab tegevdirektor.

Komisjoni siseaudiitoril on ENISA suhtes samad volitused kui komisjoni talituste suhtes.

ENISA peaarvepidaja saadab eelarveaasta (aasta N) esialgse raamatupidamise aastaaruande komisjoni peaarvepidajale ja kontrollikojale järgmise eelarveaasta (aasta N + 1) 1. märtsiks.

Pärast seda, kui peaarvepidaja on saanud Euroopa Parlamendi ja nõukogu määruse (EL, Euratom) 2018/1046 ( 6 ) artikli 246 kohaselt kontrollikoja tähelepanekud ENISA esialgse raamatupidamise aastaaruande kohta, koostab ta omal vastutusel ENISA lõpliku raamatupidamise aastaaruande ning saadab selle haldusnõukogule arvamuse saamiseks.

Haldusnõukogu esitab oma arvamuse ENISA lõpliku raamatupidamise aastaaruande kohta.

Hiljemalt aasta N + 1 31. märtsiks saadab tegevdirektor eelarve täitmise ja finantsjuhtimise aruande Euroopa Parlamendile, nõukogule, komisjonile ja kontrollikojale.

ENISA peaarvepidaja saadab aasta N + 1 1. juuliks ENISA lõpliku raamatupidamisaruande ja haldusnõukogu arvamuse Euroopa Parlamendile, nõukogule, komisjoni peaarvepidajale ja kontrollikojale.

ENISA lõpliku raamatupidamisaruande esitamise tähtpäevaga samaks kuupäevaks saadab peaarvepidaja kontrollikojale esitiskirja kõnealuse raamatupidamisaruande kohta ning selle koopia komisjoni peaarvepidajale.

Tegevdirektor avaldab lõpliku raamatupidamisaruande aasta N + 1 15. novembriks Euroopa Liidu Teatajas.

10.

Tegevdirektor saadab hiljemalt N + 1 aasta 30. septembriks kontrollikojale vastuse selle tähelepanekute kohta ning vastuse koopia haldusnõukogule ja komisjonile.

11.

Euroopa Parlamendi taotluse korral esitab tegevdirektor Euroopa Parlamendile määruse (EL, Euratom) 2018/1046 artikli 261 lõike 3 kohaselt kogu teabe, mida on vaja asjaomast eelarveaastat käsitleva eelarve täitmisele heakskiidu andmise menetluse tõrgeteta läbiviimiseks.

12.

Euroopa Parlament annab nõukogu soovituse põhjal heakskiidu tegevdirektori tegevusele aasta N eelarve täitmise kohta enne aasta N + 2 15. maid.

Artikkel 32

Finantsreeglid

Haldusnõukogu võtab pärast komisjoniga konsulteerimist vastu ENISA suhtes kohaldatavad finantsreeglid. Need ei või lahkneda delegeeritud määrusest (EL) nr 1271/2013, välja arvatud juhul, kui see on konkreetselt vajalik ENISA toimimiseks ja komisjon on selleks eelnevalt nõusoleku andnud.

Artikkel 33

Pettustevastane võitlus

Selleks et hõlbustada võitlust pettuste, korruptsiooni ja muu ebaseadusliku tegevuse vastu vastavalt Euroopa Parlamendi ja nõukogu määrusele (EL, Euratom) nr 883/2013 ( 7 ), ühineb ENISA hiljemalt 28. detsembriks 2019 Euroopa Parlamendi, Euroopa Liidu Nõukogu ja Euroopa Ühenduste Komisjoni 25. mai 1999. aasta institutsioonidevahelise kokkuleppega, mis käsitleb Euroopa Pettustevastase Ameti (OLAF) sisejuurdlust ( 8 ). ENISA võtab vastu kõikide oma töötajate suhtes kohaldatavad asjakohased sätted, kasutades kõnealuse kokkuleppe lisas esitatud vormi.

Kontrollikojal on õigus auditeerida nii dokumentide alusel kui ka kontrollida kohapeal kõiki toetusesaajaid, töövõtjaid ja alltöövõtjaid, keda ENISA on rahastanud liidu vahenditest.

OLAF võib korraldada uurimisi, sealhulgas kohapealseid kontrolle ja inspekteerimisi vastavalt määruse (EL, Euratom) nr 883/2013 ja nõukogu määruse (Euratom, EÜ) nr 2185/96 ( 9 ) sätetele ja neis määrustes sätestatud korras, et teha kindlaks, kas ENISA rahastatava toetuse või lepinguga seoses on esinenud pettust, korruptsiooni või muud liidu finantshuve kahjustavat ebaseaduslikku tegevust.

Ilma et see piiraks lõigete 1, 2 ja 3 kohaldamist, sisaldavad ENISA ning kolmandate riikide ja rahvusvaheliste organisatsioonide vahelised koostöölepingud ning ENISA lepingud, toetuslepingud ja toetuse määramise otsused sätteid, mis annavad kontrollikojale ja OLAFile sõnaselgelt õiguse korraldada oma vastava pädevuse piires sellist auditeerimist ja uurimist.

V PEATÜKK

Töötajad

Artikkel 34

Üldsätted

ENISA töötajate suhtes kohaldatakse personalieeskirju ja muude teenistujate teenistustingimusi ning personalieeskirjade ja muude teenistujate teenistustingimuste täitmiseks liidu institutsioonide kokkuleppel vastu võetud sätteid.

Artikkel 35

Privileegid ja immuniteedid

ENISA ja selle töötajate suhtes kohaldatakse ELi lepingule ja ELi toimimise lepingule lisatud protokolli nr 7 Euroopa Liidu privileegide ja immuniteetide kohta.

Artikkel 36

Tegevdirektor

Tegevdirektor võetakse tööle muude teenistujate teenistustingimuste artikli 2 punkti a kohase ENISA ajutise töötajana.

Tegevdirektori nimetab ametisse haldusnõukogu komisjoni esitatud kandidaatide nimekirjast pärast avatud ja läbipaistvat valikumenetlust.

Tegevdirektoriga töölepingu sõlmimisel esindab ENISAt haldusnõukogu esimees.

Enne ametisse nimetamist kutsutakse haldusnõukogu valitud kandidaat esinema Euroopa Parlamendi pädeva komisjoni ette ja vastama parlamendiliikmete küsimustele.

Tegevdirektori ametiaeg on viis aastat. Ametiaja lõpuks hindab komisjon tegevdirektori tegevust ning ENISA edasisi ülesandeid ja väljakutseid.

Tegevdirektori ametisse nimetamise, ametiaja pikendamise ja ametist tagandamise otsused teeb haldusnõukogu vastavalt artikli 18 lõikele 2.

Komisjoni ettepanekul, milles võetakse arvesse lõikes 5 osutatud hinnangut, võib haldusnõukogu pikendada tegevdirektori ametiaega üks kord viie aasta võrra.

Haldusnõukogu teatab tegevdirektori ametiaja pikendamise kavatsusest Euroopa Parlamendile. Kolme kuu jooksul enne ametiaja pikendamist esineb tegevdirektor Euroopa Parlamendi pädeva komisjoni kutsel selle ees ja vastab parlamendiliikmete küsimustele.

Tegevdirektor, kelle ametiaega on pikendatud, ei või edaspidi osaleda samale ametikohale korraldatavas valikumenetluses.

10.

Tegevdirektori võib ametist tagandada üksnes otsusega, mille haldusnõukogu teeb komisjoni ettepaneku alusel.

Artikkel 37

Lähetatud riiklikud eksperdid ja muud töötajad

ENISA võib kasutada lähetatud riiklikke eksperte või muid ENISA-väliseid töötajaid. Sellise töötajate suhtes ei kohaldata personalieeskirju ega muude teenistujate teenistustingimusi.

Haldusnõukogu võtab vastu otsuse, milles sätestatakse riiklike ekspertide ENISAsse lähetamist käsitlevad normid.

VI PEATÜKK

Üldsätted

Artikkel 38

ENISA õiguslik seisund

ENISA on liidu asutus ja juriidiline isik.

ENISA-l on igas liikmesriigis kõige laialdasem õigusvõime, mis vastavalt liikmesriigi õigusele on juriidilistel isikutel. Eelkõige võib ENISA omandada ja võõrandada vallas- ja kinnisvara ning olla kohtus menetlusosaliseks.

ENISAt esindab tegevdirektor.

Artikkel 39

ENISA vastutus

ENISA lepingulist vastutust reguleerib asjaomase lepingu suhtes kohaldatav õigus.

ENISA sõlmitud lepingus sisalduva vahekohtuklausli alusel kohtuotsuste tegemine kuulub Euroopa Liidu Kohtu pädevusse.

Lepinguvälise vastutuse korral heastab ENISA vastavalt liikmesriikide õiguse ühistele üldpõhimõtetele kõik kahjud, mida ENISA või tema töötajad on oma ülesannete täitmisel tekitanud.

Lõikes 3 osutatud kahjude hüvitamisega seotud vaidluste lahendamine kuulub Euroopa Liidu Kohtu pädevusse.

ENISA töötajate isiklikku vastutust ENISA ees reguleeritakse ENISA töötajate suhtes kohaldatavate sätetega.

Artikkel 40

Kasutatavad keeled

ENISA suhtes kohaldatakse nõukogu määrust nr 1 ( 10 ). Liikmesriigid ja nende poolt määratud asutused võivad pöörduda ENISA poole ja saada vastuse nende poolt valitud liidu institutsioonide ametlikus keeles.

ENISA toimimiseks vajalikke tõlketeenuseid osutab Euroopa Liidu Asutuste Tõlkekeskus.

Artikkel 41

Isikuandmete kaitse

ENISA kohaldab isikuandmete töötlemise suhtes määrust (EL) 2018/1725.

Haldusnõukogu võtab vastu määruse (EL) 2018/1725 artikli 45 lõikes 3 osutatud rakenduseeskirja. Haldusnõukogu võib võtta vastu täiendavaid meetmeid, mis on vajalikud ENISA poolt määruse (EL) 2018/1725 kohaldamiseks.

Artikkel 42

Koostöö kolmandate riikide ja rahvusvaheliste organisatsioonidega

Niivõrd kui see on vajalik käesoleva määruse eesmärkide saavutamiseks, võib ENISA teha koostööd kolmandate riikide pädevate asutuste ja rahvusvaheliste organisatsioonidega. Selleks võib ENISA komisjoni eelneval nõusolekul leppida kolmandate riikide asutuste ja rahvusvaheliste organisatsioonidega kokku koostöökorras. Kõnealune koostöökord ei too liidule ega selle liikmesriikidele kaasa õiguslikke kohustusi.

ENISA on osalemiseks avatud nendele kolmandatele riikidele, kes on sõlminud liiduga vastavad lepingud. Kõnealuste lepingute asjakohaste sätete alusel lepitakse kokku koostöökorras, milles täpsustatakse eelkõige nende kolmandate riikide poolt ENISA töös osalemise olemus, ulatus ja viis, sealhulgas sätted, mis käsitlevad ENISA käivitatud algatustes osalemist, rahalist osalust ja töötajaid. Personaliküsimustes peab kõnealune koostöökord olema igal juhul kooskõlas personalieeskirjade ja muude teenistujate teenistustingimustega.

Haldusnõukogu võtab vastu strateegia, mis käsitleb suhteid kolmandate riikide ja rahvusvaheliste organisatsioonidega ENISA pädevusse kuuluvates küsimustes. Komisjon tagab, et ENISA tegutseb oma volituste piires ja olemasolevas institutsioonilises raamistikus, leppides tegevdirektoriga kokku asjakohases töökorras.

Artikkel 43

Julgeolekunormid salastamata tundliku teabe ja salastatud teabe kaitse kohta

Pärast komisjoniga konsulteerimist võtab ENISA vastu julgeolekunormid, mille abil kohaldatakse julgeolekupõhimõtteid, mis sisalduvad komisjoni julgeolekunormides, mis käsitlevad salastamata tundliku teabe ja salastatud teabe kaitset, nagu on sätestatud otsustes (EL, Euratom) 2015/443 ja 2015/444. ENISA julgeolekunormid hõlmavad muu hulgas sätteid sellise teabe vahetamise, töötlemise ja säilitamise kohta.

Artikkel 44

Peakorterileping ja tegutsemistingimused

Vajalikud kokkulepped, milles käsitletakse ENISA-le asukohaliikmesriigis antavaid ruume ja pakutavat taristut ning ENISA asukohaliikmesriigis tegevdirektori, haldusnõukogu liikmete, ENISA töötajate ja nende pereliikmete suhtes kohaldatavaid erinorme, sätestatakse ENISA ja vastuvõtva liikmesriigi vahelises peakorterilepingus, mis sõlmitakse pärast haldusnõukogu heakskiidu saamist.

ENISA asukohaliikmesriik tagab ENISA-le parimad võimalikud tegutsemistingimused, et tagada ENISA nõuetekohane toimimine, võttes arvesse asukoha ligipääsetavust, sobivate haridusasutuste olemasolu töötajate laste jaoks, töötajate laste ja abikaasade piisavat juurdepääsu tööturule, sotsiaalkindlustusele ja arstiabile.

Artikkel 45

Halduskontroll

ENISA tegevuse üle teeb järelevalvet Euroopa ombudsman ELi toimimise lepingu artikli 228 kohaselt.

III JAOTIS

KÜBERTURVALISUSE SERTIFITSEERIMISE RAAMISTIK

▼M1

Artikkel 46

Euroopa küberturvalisuse sertifitseerimise raamistik

Kehtestatakse Euroopa küberturvalisuse sertifitseerimise raamistik, et parandada siseturu toimimise tingimusi, tõstes liidus küberturvalisuse taset ja võimaldades liidu tasandil ühtlustatud lähenemisviisi Euroopa küberturvalisuse sertifitseerimise kavadele, eesmärgiga luua IKT-toodete, -teenuste, -protsesside ning hallatud turbeteenuste jaoks digitaalne ühtne turg.

Euroopa küberturvalisuse sertifitseerimise raamistik näeb ette mehhanismi, et kehtestada Euroopa küberturvalisuse sertifitseerimise kavad, millega kinnitatakse, et kooskõlas selliste kavadega hinnatud IKT-tooted, -teenused ja -protsessid vastavad kindlaksmääratud turvanõuetele, mille eesmärk on kaitsta salvestatud, edastatud või töödeldud andmete või kõnealuste toodete, teenuste ja protsesside funktsioonide või nende poolt pakutavate või nende kaudu juurdepääsetavate teenuste käideldavust, autentsust, terviklust või konfidentsiaalsust kogu nende olelusringi kestel. Lisaks kinnitatakse sellega, et kooskõlas selliste kavadega hinnatud hallatud turbeteenused vastavad kindlaksmääratud turvanõuetele, mille eesmärk on kaitsta hallatud turbeteenuste pakkumisega seoses juurdepääsetavate, töödeldavate, salvestatavate või edastatavate andmete käideldavust, autentsust, terviklust ja konfidentsiaalsust, ning et neid hallatud turbeteenuseid pakuvad pidevalt vajaliku pädevuse, erialateadmiste ja kogemustega töötajad, kellel on piisaval ja sobival tasemel tehnilised teadmised ning erialane kohusetunne.

▼B

Artikkel 47

Euroopa küberturvalisuse sertifitseerimise liidu jooksev tööprogramm

Komisjon avaldab Euroopa küberturvalisuse sertifitseerimise liidu jooksva tööprogrammi („liidu jooksev tööprogramm“), milles määratakse kindlaks tulevaste Euroopa küberturvalisuse sertifitseerimise kavade strateegilised prioriteedid.

▼M1

Eelkõige sisaldab liidu jooksev tööprogramm IKT-toodete, -teenuste, -protsesside ning hallatud turbeteenuste või nende kategooriate loetelu, mis võivad saada kasu Euroopa küberturvalisuse sertifitseerimise kava kohaldamisalasse kuulumisest.

IKT-toote, -teenuse, -protsessi või hallatud turbeteenuse või nende kategooria lisamine liidu jooksvasse tööprogrammi peab olema põhjendatud vähemalt ühel järgneval alusel:

konkreetse IKT-toote, -teenuse, -protsessi või hallatud turbeteenuse kategooriat hõlmavate riiklike küberturvalisuse sertifitseerimise kavade olemasolu või nende väljatöötamine, eriti seoses killustatuse ohuga;

▼B

asjakohane liidu või liikmesriigi õigus või poliitikameede;

nõudlus turul;

▼M1

ca)

tehnoloogia areng ning rahvusvaheliste küberturvalisuse sertifitseerimise kavade ning rahvusvaheliste standardite ja tööstuses kasutatavate standardite olemasolu ja arendamine;

▼B

areng küberohtude vallas;

taotlus Euroopa küberturvalisuse sertifitseerimise rühma poolt välja pakutud konkreetse ettevalmistava kava koostamiseks.

Komisjon võtab arvesse Euroopa küberturvalisuse sertifitseerimise rühma ja sidusrühmade küberturvalisuse sertifitseerimise rühma esitatud arvamusi liidu jooksva tööprogrammi kavandi kohta.

Esimene liidu jooksev tööprogramm avaldatakse hiljemalt 28. juuniks 2020. Liidu jooksvat tööprogrammi ajakohastatakse vähemalt iga kolme aasta järel ja vajaduse korral sagedamini.

Artikkel 48

Euroopa küberturvalisuse sertifitseerimise kava taotlemine

Komisjon võib esitada ENISA-le taotluse koostada liidu jooksva tööprogrammi alusel ettevalmistav kava või vaadata olemasolev Euroopa küberturvalisuse sertifitseerimise kava liidu jooksva tööprogrammi alusel läbi.

Põhjendatud juhtudel võib komisjon või Euroopa küberturvalisuse sertifitseerimise rühm esitada ENISA-le taotluse koostada ettevalmistav kava või vaadata läbi liidu jooksvasse tööprogrammi mitte kuuluv olemasolev Euroopa küberturvalisuse sertifitseerimise kava. Vastavalt sellele ajakohastatakse liidu jooksvat tööprogrammi.

Artikkel 49

Euroopa küberturvalisuse sertifitseerimise kavade koostamine, vastuvõtmine ja läbivaatamine

▼M1

Artikli 48 kohase komisjoni taotluse põhjal koostab ENISA ettevalmistava kava, mis vastab artiklites 51, 51a, 52 ja 54 sätestatud kohaldatavatele nõuetele.

Artikli 48 lõike 2 kohase Euroopa küberturvalisuse sertifitseerimise rühma taotluse põhjal võib ENISA koostada ettevalmistava kava, mis vastab artiklites 51, 51a, 52 ja 54 sätestatud kohaldatavatele nõuetele. Kui ENISA jätab taotluse rahuldamata, peab ta seda põhjendama. Taotluse rahuldamata jätmise otsuse teeb haldusnõukogu.

Ettevalmistavat kava koostades konsulteerib ENISA aegsasti kõigi asjaomaste sidusrühmadega ametliku, avatud, läbipaistva ja kaasava konsulteerimisprotsessi raames. Kui ENISA edastab lõike 6 kohaselt komisjonile ettevalmistava kava, esitab ta ühtlasi teabe selle kohta, mil viisil ta on käesolevat lõiget järginud.

Iga ettevalmistava kava puhul moodustab ENISA kooskõlas artikli 20 lõikega 4 ajutise töörühma, et pakkuda ENISA-le spetsiifilist nõu ja oskusteavet. Nimetatud ajutistesse töörühmadesse kuuluvad asjakohasel juhul ja ilma et see piiraks artikli 20 lõikes 4 sätestatud menetlusi ja kaalutlusõigust, liikmesriikide ametiasutuste, liidu institutsioonide, organite ja asutuste ning erasektori eksperdid.

▼B

ENISA teeb tihedat koostööd Euroopa küberturvalisuse sertifitseerimise rühmaga. Euroopa küberturvalisuse sertifitseerimise rühm pakub ENISA-le abi ja eksperdinõu seoses ettevalmistava kava koostamisega ning võtab ettevalmistava kava kohta vastu arvamuse.

ENISA võtab enne lõigete 3, 4 ja 5 kohaselt koostatud ettevalmistava kava edastamist komisjonile võimalikult suurel määral arvesse Euroopa küberturvalisuse sertifitseerimise rühma arvamust. Euroopa küberturvalisuse sertifitseerimise rühma arvamus ei ole ENISA-le siduv ja selle arvamuse puudumine ei takista ENISA-l edastada ettevalmistavat kava komisjonile.

▼M1

Komisjon võib ENISA koostatud ettevalmistava kava põhjal võtta vastu rakendusakte, millega nähakse ette artiklites 51, 51a, 52 ja 54 sätestatud asjakohastele nõuetele vastavad Euroopa küberturvalisuse sertifitseerimise kavad IKT-toodete, -teenuste, -protsesside ning hallatud turbeteenuste jaoks. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 66 lõikes 2 osutatud kontrollimenetlusega.

▼B

ENISA hindab vähemalt iga viie aasta järel iga vastuvõetud Euroopa küberturvalisuse sertifitseerimise kava, võttes arvesse huvitatud isikutelt saadud tagasisidet. Vajaduse korral võib komisjon või Euroopa küberturvalisuse sertifitseerimise rühm taotleda, et ENISA alustaks kooskõlas artikliga 48 ja käesoleva artikliga muudetud ettevalmistava kava koostamist.

▼M1

Artikkel 49a

Euroopa küberturvalisuse sertifitseerimise kavasid käsitlev teave ja konsulteerimine

Komisjon teeb artiklis 48 osutatud taotlust, milles ta palub ENISA-l koostada ettevalmistav kava või vaadata läbi olemasolev Euroopa küberturvalisuse sertifitseerimise kava, käsitleva teabe avalikult kättesaadavaks.

Selle aja jooksul, mil ENISA koostab artikli 49 kohast ettevalmistavat kava, võivad Euroopa Parlament, nõukogu või mõlemad korra kvartalis taotleda komisjonilt kui Euroopa küberturvalisuse sertifitseerimise rühma juhatajalt ja ENISA-lt asjakohase teabe esitamist ettevalmistava kava projekti kohta. ENISA võib Euroopa Parlamendi või nõukogu taotlusel ja kokkuleppel komisjoniga ning ilma et see piiraks artikli 27 kohaldamist, teha Euroopa Parlamendile ja nõukogule kättesaadavaks ettevalmistava kava projekti asjakohased osad nõutava konfidentsiaalsusega kooskõlas oleval ja asjakohasel juhul piiratud viisil.

Selleks et tõhustada dialoogi liidu institutsioonide vahel ning aidata kaasa ametlikule, avatud, läbipaistvale ja kaasavale konsultatsiooniprotsessile, võivad Euroopa Parlament, nõukogu või mõlemad kutsuda komisjoni ja ENISAt arutama küsimusi, mis on seotud IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste Euroopa küberturvalisuse sertifitseerimise kavade toimimisega.

Asjakohasel juhul võtab komisjon käesoleva määruse hindamisel artikli 67 kohaselt arvesse elemente, mis tulenevad Euroopa Parlamendi ja nõukogu seisukohtadest käesoleva artikli lõikes 3 osutatud küsimustes.

▼B

Artikkel 50

Euroopa küberturvalisuse sertifitseerimise kavade veebisait

ENISA haldab spetsiaalset veebisaiti, mis pakub teavet Euroopa küberturvalisuse sertifitseerimise kavade, Euroopa küberturvalisuse sertifikaatide ja ELi vastavusdeklaratsioonide, kaasa arvatud kehtetute Euroopa küberturvalisuse sertifitseerimise kavade ning kehtetuks tunnistatud ja lõppenud kehtivusajaga Euroopa küberturvalisuse sertifikaatide ja ELi vastavusdeklaratsioonide kohta, ja tutvustab neid, ning sisaldab linke artikli 55 kohasele küberturvalisuse alasele teabele.

Kui see on asjakohane, märgitakse lõikes 1 osutatud veebisaidil ära ka riiklikud küberturvalisuse sertifitseerimise kavad, mis on asendatud Euroopa küberturvalisuse sertifitseerimise kavaga.

Artikkel 51

▼M1

IKT-toodete, -teenuste ja -protsesside Euroopa küberturvalisuse sertifitseerimise kavade turvalisusega seotud eesmärgid

IKT-toodete, -teenuste või -protsesside Euroopa küberturvalisuse sertifitseerimise kava peab olema koostatud nii, et saavutada kohaldataval juhul vähemalt järgmised turvalisusega seotud eesmärgid:

▼B

kaitsta salvestatud, edastatud või muul moel töödeldud andmeid juhusliku või volitamata salvestamise, töötlemise, juurdepääsu või avalikustamise eest kogu IKT-toote, -teenuse või -protsessi olelusringi kestel;

kaitsta salvestatud, edastatud või muul moel töödeldud andmeid juhusliku või volitamata hävitamise, kaotsimineku või muutmise või ebapiisava kättesaadavuse eest kogu IKT-toote, -teenuse või -protsessi olelusringi kestel;

volitatud kasutajatel, programmidel ja masinatel on juurdepääs üksnes neile andmetele, teenustele või funktsioonidele, millele neil on juurdepääsuõigused;

teha kindlaks ja dokumenteerida teadaolevad sõltuvusseosed ja turvanõrkused;

salvestada teave selle kohta, millal ja kes on pääsenud juurde millistele andmetele, teenustele või funktsioonidele, on neid kasutanud või muul viisil töödelnud;

on võimalik kontrollida, millal ja kes on pääsenud juurde millistele andmetele, teenustele või funktsioonidele, on neid kasutanud või muul viisil töödelnud;

kontrollida, et IKT-toodetel, -teenustel ja -protsessidel ei ole teadaolevaid turvanõrkuseid;

taastada füüsilise või tehnilise intsidendi korral õigeaegselt andmete, teenuste ja funktsioonide käideldavus ja neile juurdepääs;

IKT-tooted, -teenused ja -protsessid on vaikimisi ja sisseprojekteeritult turvalised;

IKT-toodetele, -teenustele ja -protsessidele pakutakse ajakohastatud tark- ja riistvara, mis ei sisalda avalikult teadaolevaid turvanõrkuseid, ning et olemas on mehhanismid turvaliseks uuendamiseks.

▼M1

Artikkel 51a

Hallatud turbeteenuste Euroopa küberturvalisuse sertifitseerimise kavade turvalisusega seotud eesmärgid

Hallatud turbeteenuse Euroopa küberturvalisuse sertifitseerimise kava peab olema koostatud nii, et saavutada kohaldataval juhul vähemalt järgmised turvalisusega seotud eesmärgid:

hallatud turbeteenuseid pakutakse vajalikul tasemel pädevuse, erialateadmiste ja kogemustega, muu hulgas peavad töötajatel, kelle ülesanne on kõnealuseid teenuseid pakkuda, olema asjaomases valdkonnas piisaval ja sobival tasemel tehnilised teadmised ja pädevus ning piisav ja asjakohane kogemus ning suurim erialane kohusetunne;

hallatud turbeteenuse osutaja on kehtestanud sobivad sisemenetlused, mis tagavad, et hallatud turbeteenuseid pakutakse igal ajal piisava ja sobiva kvaliteediga;

hallatud turbeteenuste pakkumisega seoses juurdepääsetavad või salvestatavad, edastatavad või muul moel töödeldavad andmed on kaitstud juhusliku või volitamata juurdepääsu, salvestamise, avaldamise, hävitamise, muul viisil töötlemise, kaotsimineku, muutmise või kättesaamatuse eest;

füüsilise või tehnilise intsidendi korral taastatakse aegsasti andmete, teenuste ja funktsioonide käideldavus ja neile juurdepääs;

volitatud kasutajatel, programmidel ja masinatel on juurdepääs üksnes neile andmetele, teenustele või funktsioonidele, millele neil on õigus juurde pääseda;

on dokumenteeritud ja võimalik kontrollida, millal ja kes on pääsenud juurde millistele andmetele, teenustele või funktsioonidele, on neid kasutanud või muul viisil töödelnud;

hallatud turbeteenuste pakkumisel kasutatud IKT-tooted, -teenused ja -protsessid on sisseprojekteeritult ja vaikimisi turvalised, neil ei ole teadaolevaid turvanõrkusi ning kohaldataval juhul on neile paigaldatud kõige värskem turvauuendus ning need ei sisalda avalikult teadaolevaid turvanõrkusi.

▼B

Artikkel 52

Euroopa küberturvalisuse sertifitseerimise kavade usaldusväärsuse tasemed

▼M1

Euroopa küberturvalisuse sertifitseerimise kavas võidakse määrata IKT-toodetele, -teenustele, -protsessidele ning hallatud turbeteenustele üks või mitu järgmist usaldusväärsuse taset: baastase, märkimisväärne tase või kõrge tase. Usaldusväärsuse tase peab vastama IKT-toote, -teenuse, -protsessi või hallatud turbeteenuse ettenähtud kasutamisega seotud riskitasemele, võttes arvesse intsidendi tõenäosust ja mõju.

▼B

Euroopa küberturvalisuse sertifikaadid ja ELi vastavusdeklaratsioonid osutavad sellise Euroopa küberturvalisuse sertifitseerimise kavas määratud usaldusväärsuse tasemele, mille alusel Euroopa küberturvalisuse sertifikaat või ELi vastavusdeklaratsioon välja anti.

▼M1

Euroopa küberturvalisuse sertifitseerimise kavas määratakse kindlaks igale usaldusväärsuse tasemele vastavad turvanõuded, sealhulgas turvafunktsioonid ja IKT-toote, -teenuse, -protsessi või hallatud turbeteenuse hindamise rangus ja põhjalikkus.

▼B

Euroopa küberturvalisuse sertifikaadis või ELi vastavusdeklaratsioonis osutatakse sellega seotud ►C1 tehnilistele spetsifikatsioonidele ◄ , standarditele ja menetlustele, sealhulgas tehnilisele kontrollile, mille eesmärk on vähendada küberturvalisuse intsidentide riski või ennetada küberturvalisuse intsidente.

▼M1

Euroopa küberturvalisuse sertifikaat või ELi vastavusdeklaratsioon, mis osutab usaldusväärsuse baastasemele, annab kindluse, et IKT-tooted, -teenused, -protsessid või hallatud turbeteenused, mille kohta kõnealune sertifikaat või ELi vastavusdeklaratsioon on välja antud, vastavad asjaomastele turvanõuetele, sealhulgas turvafunktsioonidele, ning et neid on hinnatud tasemel, mille eesmärk on minimeerida intsidentide ja küberrünnete teadaolevaid põhilisi riske. Hindamine hõlmab vähemalt tehnilise dokumentatsiooni läbivaatamist. Kui tehnilise dokumentatsiooni läbivaatamine ei ole asjakohane, tuleb selle asemel kasutada muud samaväärse mõjuga hindamist.

Euroopa küberturvalisuse sertifikaat, mis osutab märkimisväärsele usaldusväärsuse tasemele, annab kindluse, et IKT-tooted, -teenused, -protsessid või hallatud turbeteenused, mille kohta kõnealune sertifikaat on välja antud, vastavad asjaomastele turvanõuetele, sealhulgas turvafunktsioonidele, ning et neid on hinnatud tasemel, mille eesmärk on minimeerida teadaolevaid küberturvalisuse riske ning piiratud oskuste ja vahenditega isikute poolt toimepandavate intsidentide ja küberrünnete riske. Hindamine hõlmab vähemalt järgmist: kontroll, mis tõendab, et ei esine avalikult teadaolevaid turvanõrkusi, ning testid, mis tõendavad, et IKT-tooted, -teenused, -protsessid või hallatud turbeteenused täidavad korrektselt vajalikke turvafunktsioone. Kui selline hindamine ei ole asjakohane, tuleb selle asemel kasutada muud samaväärse mõjuga hindamist.

Euroopa küberturvalisuse sertifikaat, mis osutab kõrgele usaldusväärsuse tasemele, annab kindluse, et IKT-tooted, -teenused, -protsessid või hallatud turbeteenused, mille kohta kõnealune sertifikaat on välja antud, vastavad asjaomastele turvanõuetele, sealhulgas turbefunktsioonidele, ning et neid on hinnatud tasemel, mille eesmärk on minimeerida märkimisväärsete oskuste ja vahenditega isikute poolt toimepandavate tipptasemel küberrünnete riski. Hindamine hõlmab vähemalt järgmist: kontroll, mis tõendab, et ei esine avalikult teadaolevaid turvanõrkusi, testid, mis tõendavad, et IKT-tooted, -teenused, -protsessid või hallatud turbeteenused täidavad vajalikke turvafunktsioone korrektselt ja tipptasemel ning nende oskuslikele häkkeritele vastupanemise võime hindamine läbistustestimise kaudu. Kui selline hindamine ei ole asjakohane, tuleb selle asemel kasutada muud samaväärse mõjuga hindamist.

▼B

Euroopa küberturvalisuse sertifitseerimise kavas võidakse määratleda mitmeid hindamistasemeid, sõltuvalt kasutatava hindamismetoodika rangusest ja põhjalikkusest. Iga hindamistase vastab ühele usaldusväärsuse tasemele ja see määratakse kindlaks usaldusväärsuse komponentide asjakohase kombinatsiooni kaudu.

Artikkel 53

Vastavuse enesehindamine

▼M1

Euroopa küberturvalisuse sertifitseerimise kavas võidakse lubada vastavuse enesehindamise läbiviimist IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste tootja või pakkuja ainuvastutusel. Vastavuse enesehindamine on lubatud üksnes väikese riskiga IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste suhtes, mis vastavad usaldusväärsuse baastasemele.

IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste tootja või pakkuja võib anda välja ELi vastavusdeklaratsiooni, milles kinnitatakse, et kavas kindlaks määratud nõuded on täidetud. ELi vastavusdeklaratsiooni väljaandmisega võtab IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste tootja või pakkuja vastutuse IKT-toote, -teenuse, -protsessi või hallatud turbeteenuse vastavuse eest kõnealuses kavas kindlaks määratud nõuetele.

IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste tootja või pakkuja hoiab ELi vastavusdeklaratsiooni, tehnilist dokumentatsiooni ja muud asjaomast teavet, mis puudutab IKT-toodete, -teenuste ja -protsesside või hallatud turbeteenuste vastavust kavale, asjaomases Euroopa küberturvalisuse sertifitseerimise kavas kindlaks määratud tähtaja jooksul kättesaadavana artikli 58 kohaselt määratud riikliku küberturvalisuse sertifitseerimise asutusele. ELi vastavusdeklaratsiooni koopia esitatakse riiklikule küberturvalisuse sertifitseerimise asutusele ja ENISA-le.

▼B

ELi vastavusdeklaratsiooni väljaandmine on vabatahtlik, kui liidu ega liikmesriikide õiguses ei ole sätestatud teisiti.

ELi vastavusdeklaratsioone tunnustatakse kõikides liikmesriikides.

Artikkel 54

Euroopa küberturvalisuse sertifitseerimise kavade elemendid

Euroopa küberturvalisuse sertifitseerimise kava sisaldab vähemalt järgmisi elemente:

▼M1

sertifitseerimiskava sisu ja ulatus, sealhulgas hõlmatud IKT-toodete, -teenuste ja -protsesside või hallatud turbeteenuste liik või kategooria;

▼B

kava eesmärgi selge kirjeldus ja kirjeldus selle kohta, kuidas valitud standardid, hindamismeetodid ja usaldusväärsuse tasemed vastavad kava kavandatud kasutajate vajadustele;

viide hindamises kohaldatud rahvusvahelistele, Euroopa või riiklikele standarditele, või kui sellised standardid ei ole kättesaadavad või asjakohased, siis viide ►C1 tehnilisele spetsifikatsioonile ◄ , mis vastab määruse (EL) nr 1025/2012 II lisas sätestatud nõuetele, või kui selline kirjeldus ei ole kättesaadav, siis viide Euroopa küberturvalisuse sertifitseerimise kavas kindlaks määratud tehnilisele kirjeldusele või muudele küberturvalisuse nõuetele;

asjakohasel juhul üks või mitu usaldusväärsuse taset;

märge selle kohta, kas vastavuse enesehindamine on kava puhul lubatud;

asjakohasel juhul vastavushindamisasutuste suhtes kohaldatavad eri- või täiendavad nõuded, et tagada nende tehniline pädevus hinnata küberturvalisuse nõudeid;

▼M1

konkreetsed hindamiskriteeriumid ja -meetodid, sealhulgas hindamise liigid, tõendamaks, et artiklites 51 ja 51a osutatud turvalisusega seotud kohaldatavad eesmärgid on täidetud;

▼B

asjakohasel juhul sertifitseerimiseks vajalik teave, mille taotleja peab vastavushindamisasutustele esitama või muul viisil kättesaadavaks tegema;

kui kava näeb ette märgi või märgistuse, tingimused märgi või märgistuse kasutamiseks;

▼M1

reeglid, mille abil jälgida IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste Euroopa küberturvalisuse sertifikaatide nõuetele või ELi vastavusdeklaratsiooni nõuetele vastavust, sealhulgas mehhanismid, millega kinnitatakse kindlaksmääratud küberturvalisuse nõuete jätkuvat täitmist;

▼B

asjakohasel juhul tingimused Euroopa küberturvalisuse sertifikaatide väljaandmiseks, säilitamiseks, jätkamiseks ja kehtivuse pikendamiseks ning tingimused sertifitseerimise ulatuse laiendamiseks või kitsendamiseks;

▼M1

reeglid, mis käsitlevad sertifitseeritud või ELi vastavusdeklaratsiooni saanud IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste kava nõuetele mittevastavuse tagajärgi;

▼B

eeskiri selle kohta, kuidas tuleks IKT-toodete, -teenuste ja -protsesside varem avastamata küberturvalisuse nõrkustest teada anda ja kuidas neid menetleda;

asjakohasel juhul eeskiri andmete säilitamise kohta vastavushindamisasutuste poolt;

▼M1

teave sama liiki või samasse kategooriasse kuuluvaid IKT-tooteid, -teenuseid, -protsesse või hallatud turbeteenuseid, turvanõudeid, hindamiskriteeriumeid ja -meetodeid ning usaldusväärsuse tasemeid hõlmavate riiklike või rahvusvaheliste küberturvalisuse sertifitseerimise kavade kohta;

▼B

väljaantavate Euroopa küberturvalisuse sertifikaatide ja ELi vastavusdeklaratsiooni sisu ja vorming;

▼M1

ELi vastavusdeklaratsiooni, tehnilise dokumentatsiooni ning IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste tootja või pakkuja poolt kättesaadavaks tehtava muu asjaomase teabe kättesaadavuse tähtaeg;

▼B

kava kohaselt välja antud Euroopa küberturvalisuse sertifikaatide maksimaalne kehtivusaeg;

kava kohaselt välja antud, muudetud ja kehtetuks tunnistatud Euroopa küberturvalisuse sertifikaatide avalikustamispoliitika;

sertifitseerimise kavade kolmandate riikidega vastastikuse tunnustamise tingimused;

asjakohasel juhul kavas kehtestatud vastastikuse hindamise mehhanismi käsitlev eeskiri asutuste jaoks, kes annavad kooskõlas artikli 56 lõikega 6 välja Euroopa küberturvalisuse sertifikaate kõrge usaldusväärsuse taseme jaoks. See mehhanism ei piira artiklis 59 ette nähtud vastastikust hindamist;

vorming ja menetlused, mida kasutavad IKT-toodete, -teenuste või -protsesside tootjad või pakkujad täiendava küberturvalisuse alase teabe esitamisel ja ajakohastamisel kooskõlas artikliga 55.

Euroopa küberturvalisuse sertifitseerimise kavas kirjeldatud nõuded peavad olema kooskõlas kohaldatavate õiguslike nõuetega, eelkõige liidu ühtlustatud õigusnormidest tulenevate nõuetega.

Kui konkreetses liidu õigusaktis on nii sätestatud, võib Euroopa küberturvalisuse sertifitseerimise kava kohaselt välja antud sertifikaati või ELi vastavusdeklaratsiooni kasutada kõnealuse õigusakti nõuetele vastavuse eelduse tõendamiseks.

Liidu ühtlustatud õigusnormide puudumisel võib liikmesriik oma õiguses sätestada, et Euroopa küberturvalisuse sertifitseerimise kava võib kasutada selleks, et luua õiguslikele nõuetele vastavuse eeldus.

Artikkel 55

Täiendav küberturvalisuse alane teave sertifitseeritud IKT-toodete, -teenuste ja -protsesside kohta

Sertifitseeritud või ELi vastavusdeklaratsiooni saanud IKT-toodete, -teenuste ja -protsesside tootja või pakkuja teeb avalikkusele kättesaadavaks järgmise täiendava küberturvalisuse alase teabe:

suunised ja soovitused, mis aitavad lõppkasutajal IKT-tooteid või -teenuseid turvaliselt konfigureerida, paigaldada, kasutusele võtta ning neid käitada ja hooldada;

ajavahemik, mille jooksul pakutakse lõppkasutajatele turvalisuse alast tuge, eelkõige võimaldades saada küberturvalisuse alaseid uuendusi;

tootja või pakkuja kontaktandmed ja aktsepteeritavad viisid lõppkasutajatelt ja küberturvalisusega tegelevatelt teadlastelt turvanõrkuste kohta teabe saamiseks;

viited internetis asuvatele andmebaasidele, kus on loetletud IKT-toote, -teenuse või -protsessiga seotud avalikult teada antud turvanõrkused ja asjakohased küberturvalisuse alased nõuanded.

Lõikes 1 osutatud teave peab olema kättesaadav elektroonilisel kujul ning see peab olema kättesaadav ja seda tuleb ajakohastada vajaduse korral vähemalt kuni vastava Euroopa küberturvalisuse sertifikaadi või ELi vastavusdeklaratsiooni kehtivuse lõppemiseni.

Artikkel 56

Küberturvalisuse sertifitseerimine

▼M1

Kui IKT-tooted, -teenused, -protsessid ning hallatud turbeteenused on sertifitseeritud Euroopa küberturvalisuse sertifitseerimise kava kohaselt, mis on vastu võetud vastavalt artiklile 49, eeldatakse, et nad vastavad kõnealuse kava nõuetele.

▼B

Küberturvalisuse sertifitseerimine on vabatahtlik, kui liidu või liikmesriikide õiguses ei ole sätestatud teisiti.

►M1 Komisjon hindab korrapäraselt vastuvõetud Euroopa küberturvalisuse sertifitseerimise kavade tulemuslikkust ja kasutamist ning seda, kas konkreetne Euroopa küberturvalisuse sertifitseerimise kava tuleb teha asjakohase liidu õigusaktiga kohustuslikuks, et tagada liidus IKT-toodete, -teenuste ja -protsesside ning alates 4. veebruarist 2025 hallatud turbeteenuse küberturvalisuse piisav tase ning parandada siseturu toimimist. Esimene selline hindamine tuleb läbi viia 31. detsembriks 2023 ja seejärel vähemalt iga kahe aasta järel. Komisjon teeb hindamise tulemuste põhjal kindlaks olemasoleva sertifitseerimiskavaga hõlmatud IKT-tooted, -teenused, -protsessid ning hallatud turbeteenused, mis peavad olema kohustusliku sertifitseerimiskavaga hõlmatud. ◄

Esmajärjekorras keskendub komisjon direktiivi (EL) 2016/1148 II lisas loetletud sektoritele, mida hinnatakse hiljemalt kahe aasta möödumisel esimese Euroopa küberturvalisuse sertifitseerimise kava vastuvõtmisest.

Hinnangu koostamisel teeb komisjon järgmist:

▼M1

võtab arvesse mõju, mida avaldavad meetmed kõnealuste IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste tootjatele või pakkujatele ja kasutajatele kulude seisukohast, ning sotsiaalset ja majanduslikku kasu, mis tuleneb hinnatud IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste turvalisuse taseme eeldatavast paranemisest;

▼B

võtab arvesse asjaomase liikmesriikide ja kolmandate riikide õiguse olemasolu ja rakendamist;

konsulteerib kõigi asjaomaste sidusrühmade ja liikmesriikidega avatud, läbipaistval ja kaasaval viisil;

▼M1

võtab arvesse rakendamise tähtpäevi, üleminekumeetmeid ja -tähtaegu, eelkõige meetme võimaliku mõju osas IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste tootjatele ja pakkujatele, sealhulgas VKEde, sealhulgas mikroettevõtjate erihuvid ja -vajadused;

▼B

pakub välja võimalusi, kuidas minna kõige kiiremini ja tõhusamalt vabatahtlikelt sertifitseerimiskavadelt üle kohustuslikele sertifitseerimiskavadele.

Käesoleva artikli kohase Euroopa küberturvalisuse sertifikaadi, milles osutatakse kas usaldusväärsuse baastasemele või märkimisväärsele tasemele, annavad välja artiklis 60 osutatud vastavushindamisasutused artikli 49 kohaselt komisjoni poolt vastu võetud Euroopa küberturvalisuse sertifitseerimise kavas sisalduvate kriteeriumide alusel.

Erandina lõikest 4 võib põhjendatud juhtudel Euroopa küberturvalisuse sertifitseerimise kavas ette näha, et nimetatud kavast tuleneva Euroopa küberturvalisuse sertifikaadi võib välja anda üksnes avaliku sektori asutus. Selleks asutuseks võib olla:

artikli 58 lõikes 1 osutatud riiklik küberturvalisuse sertifitseerimise asutus või

artikli 60 lõike 1 kohaselt vastavushindamisasutusena akrediteeritud avaliku sektori asutus.

Kui artikli 49 kohaselt vastu võetud Euroopa küberturvalisuse sertifitseerimise kava nõuab kõrget usaldusväärsuse taset, võib Euroopa küberturvalisuse sertifikaadi välja anda üksnes riiklik küberturvalisuse sertifitseerimise asutus või järgmistel juhtudel vastavushindamisasutus:

riiklik küberturvalisuse sertifitseerimise asutus annab eelneva heakskiidu igale vastavushindamisasutuse poolt välja antud Euroopa küberturvalisuse sertifikaadile või

riiklik küberturvalisuse sertifitseerimise asutus delegeerib Euroopa küberturvalisuse sertifikaatide väljaandmise eelnevalt vastavushindamisasutusele.

▼M1

Füüsiline või juriidiline isik, kes esitab oma IKT-tooted, -teenused, -protsessid või hallatud turbeteenused sertifitseerimiseks, peab tegema artikli 58 kohaselt määratud riiklikule küberturvalisuse sertifitseerimise asutusele, kui kõnealune asutus on Euroopa küberturvalisuse sertifikaati väljaandev asutus, või artiklis 60 osutatud vastavushindamisasutusele kättesaadavaks kogu sertifitseerimiseks vajaliku teabe.

Euroopa küberturvalisuse sertifikaadi omanik teavitab lõikes 7 osutatud asutust igast hiljem avastatud turvanõrkusest või nõuete rikkumisest, mis puudutab sertifitseeritud IKT-toote, -teenuse, -protsessi või hallatud turbeteenuse turvalisust ja millel võib olla mõju sertifitseerimisega seotud nõuete täitmisele. Kõnealune asutus edastab selle teabe põhjendamatu viivituseta asjaomasele riiklikule küberturvalisuse sertifitseerimise asutusele.

▼B

Euroopa küberturvalisuse sertifikaat antakse Euroopa küberturvalisuse sertifitseerimise kavas kindlaks määratud tähtajaks ja selle kehtivust võib pikendada, kui asjakohased nõuded on täidetud.

10.

Käesoleva artikli kohaselt välja antud Euroopa küberturvalisuse sertifikaati tunnustatakse kõigis liikmesriikides.

Artikkel 57

Riiklikud küberturvalisuse sertifitseerimise kavad ja sertifikaadid

▼M1

Ilma et see piiraks käesoleva artikli lõike 3 kohaldamist, lõpeb riiklike küberturvalisuse sertifitseerimise kavade ja Euroopa küberturvalisuse sertifitseerimise kavaga hõlmatud IKT-toodete, -teenuste, -protsesside ning hallatud turbeteenustega seotud menetluste õiguslik toime artikli 49 lõike 7 kohaselt vastu võetud rakendusaktis kindlaks määratud kuupäeval. Riiklikud küberturvalisuse sertifitseerimise kavad ja nendega seotud menetlused, mis käsitlevad Euroopa küberturvalisuse sertifitseerimise kavaga hõlmamata IKT-tooteid, -teenuseid ja -protsesse ning hallatud turbeteenuseid, jäävad kehtima.

Liikmesriigid ei kehtesta kehtiva Euroopa küberturvalisuse sertifitseerimise kavaga hõlmatud IKT-toodetele, -teenustele, -protsessidele ning hallatud turbeteenustele uusi riiklikke küberturvalisuse sertifitseerimise kavasid.

▼B

Riiklike küberturvalisuse sertifitseerimise kavade alusel väljastatud sertifikaadid, mis on hõlmatud Euroopa küberturvalisuse sertifitseerimise kavaga, jäävad kehtima kuni oma kehtivusaja lõpuni.

Et vältida siseturu killustatust, teatavad liikmesriigid komisjonile ja Euroopa küberturvalisuse sertifitseerimise rühmale oma kavatsusest koostada uued riiklikud küberturvalisuse sertifitseerimise kavad.

Artikkel 58

Riiklikud küberturvalisuse sertifitseerimise asutused

Iga liikmesriik määrab oma territooriumil ühe või mitu riiklikku küberturvalisuse sertifitseerimise asutust või vastastikusel kokkuleppel teise liikmesriigiga ühe või mitu riiklikku küberturvalisuse sertifitseerimise asutust, mis asub nimetatud teises liikmesriigis ja mis vastutab järelevalveülesannete eest määravas liikmesriigis.

Iga liikmesriik teatab komisjonile määratud riiklike küberturvalisuse sertifitseerimise asutuste andmetest. Kui liikmesriik määrab rohkem kui ühe asutuse, teatab ta komisjonile ka igale asutusele määratud ülesannetest.

Ilma et see piiraks artikli 56 lõike 5 punkti a ja artikli 56 lõike 6 kohaldamist, peab iga riiklik küberturvalisuse sertifitseerimise asutus olema oma organisatsiooni, rahastamisotsuste, õigusliku struktuuri ja otsuste tegemise poolest sõltumatu üksustest, mille järele ta valvab.

Liikmesriigid tagavad, et riikliku küberturvalisuse sertifitseerimise asutuste tegevus on seoses artikli 56 lõike 5 punktis a ja artikli 56 lõikes 6 osutatud Euroopa küberturvalisuse sertifikaatide väljaandmisega rangelt lahus käesolevas artiklis sätestatud järelevalvetegevustest ning et nimetatud tegevusi viiakse ellu üksteisest sõltumatult.

Liikmesriigid tagavad, et riiklikel küberturvalisuse sertifitseerimise asutustel on piisavad ressursid oma volituste rakendamiseks ning oma ülesannete tulemuslikuks ja tõhusaks täitmiseks.

Käesoleva määruse tõhusaks rakendamiseks on asjakohane, et riiklikud küberturvalisuse sertifitseerimise asutused osaleksid aktiivselt, tõhusalt, tulemuslikult ja turvaliselt Euroopa küberturvalisuse sertifitseerimise rühma töös.

Riiklik küberturvalisuse sertifitseerimise asutus:

▼M1

teeb koostöös teiste asjaomaste turujärelevalveasutustega järelevalvet artikli 54 lõike 1 punkti j kohaselt Euroopa küberturvalisuse sertifitseerimise kavades sisalduvate reeglite üle, mille kohaselt jälgitakse IKT-toodete, -teenuste, -protsesside ning hallatud turbeteenuste vastavust selliste Euroopa küberturvalisuse sertifikaatide nõuetele, mis on välja antud tema liikmesriigi territooriumil, ja tagab nende reeglite täitmise;

jälgib tema liikmesriigi territooriumil asuvate ja vastavuse enesehindamist tegevate IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste tootjate või pakkujate kohustuste täitmist, eriti artikli 53 lõigetes 2 ja 3 ning vastavas Euroopa küberturvalisuse sertifitseerimise kavas kindlaks määratud kohustuste täitmist, ja tagab nende kohustuste täitmise;

▼B

aktiivselt aitab ja toetab riiklikke akrediteerimisasutusi vastavushindamisasutuste poolt käesoleva määruse kohaldamiseks läbi viidava tegevuse jälgimisel ja järelevalvel, ilma et see piiraks artikli 60 lõike 3 kohaldamist;

jälgib ja kontrollib artikli 56 lõikes 5 osutatud avaliku sektori asutuste tegevust;

annab kooskõlas artikli 60 lõikega 3 vastavushindamisasutustele loa, kui see on asjakohane, ning piirab olemasolevat luba, peatab selle kehtivuse või tunnistab selle kehtetuks, kui vastavushindamisasutused rikuvad käesoleva määruse nõudeid;

käsitleb füüsiliste või juriidiliste isikute kaebusi seoses Euroopa küberturvalisuse sertifikaatidega, mille on välja andnud riiklikud küberturvalisuse sertifitseerimise asutused või kooskõlas artikli 56 lõikega 6 vastavushindamisasutused, või seoses artikli 53 kohaselt välja antud ELi vastavusdeklaratsioonidega, ning uurib asjakohasel määral nende kaebuste sisu ja teavitab kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest;

esitab ENISA-le ja Euroopa küberturvalisuse sertifitseerimise rühmale iga-aastase kokkuvõtliku aruande käesoleva lõike punktide b, c ja d ning lõike 8 kohaselt läbi viidud tegevuste kohta;

▼M1

teeb koostööd teiste riiklike küberturvalisuse sertifitseerimise asutuste ja muude avaliku sektori asutustega, sealhulgas jagades teavet IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste võimaliku mittevastavuse kohta käesoleva määruse või konkreetsete Euroopa küberturvalisuse sertifitseerimise kavade nõuetele, ning

▼B

jälgib küberturvalisuse sertifitseerimise valdkonna asjakohast arengut.

Igal riiklikul küberturvalisuse sertifitseerimise asutusel on vähemalt järgmised volitused:

anda vastavushindamisasutustele, Euroopa küberturvalisuse sertifikaadi omanikele ja ELi vastavusdeklaratsiooni väljaandjatele korraldus esitada teavet, mis on vajalik tema ülesannete täitmiseks;

uurida auditi vormis vastavushindamisasutusi, Euroopa küberturvalisuse sertifikaadi omanikke ja ELi vastavusdeklaratsiooni väljaandjaid, et kontrollida nende poolt käesoleva jaotise järgimist;

võtta asjakohaseid meetmeid vastavalt liikmesriigi õigusele tagamaks, et vastavushindamisasutused, Euroopa küberturvalisuse sertifikaadi omanikud ja ELi vastavusdeklaratsiooni väljaandjad järgivad käesoleva määruse ja Euroopa küberturvalisuse sertifitseerimise kava nõudeid;

saada juurdepääs kõigile vastavushindamisasutuste ja Euroopa küberturvalisuse sertifikaadi omanike ruumidele, et toimetada uurimisi kooskõlas liidu või liikmesriigi menetlusõigusega;

tunnistada liikmesriigi õiguse kohaselt kehtetuks Euroopa küberturvalisuse sertifikaadid, mille on välja andnud riiklikud küberturvalisuse sertifitseerimise asutused või kooskõlas artikli 56 lõikega 6 vastavushindamisasutused, kui need sertifikaadid ei vasta käesolevale määrusele või Euroopa küberturvalisuse sertifitseerimise kavale;

määrata liikmesriigi õiguse kohaselt artiklis 65 osutatud karistusi ning nõuda käesolevas määruses sätestatud kohustuste rikkumise viivitamatut lõpetamist.

▼M1

Riiklikud küberturvalisuse sertifitseerimise asutused teevad omavahel ja komisjoniga koostööd, eelkõige vahetavad teavet, kogemusi ja häid tavasid seoses küberturvalisuse sertifitseerimisega ning IKT-toodete, -teenuste, -protsesside ning hallatud turbeteenuste küberturvalisust puudutavate tehniliste küsimustega.

▼B

Artikkel 59

Vastastikune eksperdihinnang

Et saavutada kogu liidus võrdväärsed standardid seoses välja antud Euroopa küberturvalisuse sertifikaatide ja ELi vastavusdeklaratsioonidega, rakendatakse riiklike küberturvalisuse sertifitseerimise asutuste suhtes vastastikust hindamist.

Vastastikune hindamine toimub mõistlike ja läbipaistvate kriteeriumide ja menetluste alusel, mis käsitlevad eelkõige struktuuridele, inimressurssidele ja menetlustele kohaldatavaid nõudeid, konfidentsiaalsust ja kaebusi.

Vastastikuse hindamise puhul hinnatakse järgmist:

kas riikliku küberturvalisuse sertifitseerimise asutuse tegevus, mis on seotud artikli 56 lõike 5 punktis a ja artikli 56 lõikes 6 osutatud Euroopa küberturvalisuse sertifikaatide väljaandmisega, on rangelt lahus artiklis 58 sätestatud järelevalvetegevusest ning kas nimetatud tegevusi viiakse ellu üksteisest sõltumatult, kui see on asjakohane;

▼M1

IKT-toodete, -teenuste, -protsesside ning hallatud turbeteenuste Euroopa küberturvalisuse sertifikaatide nõuetele vastavuse jälgimise reeglite artikli 58 lõike 7 punkti a kohase järelevalve ja täitmise tagamise menetlused;

artikli 58 lõike 7 punkti b kohased IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste tootjate või pakkujate kohustuste täitmise jälgimise ja kohustuste täitmise tagamise menetlused;

▼B

vastavushindamisasutuste tegevuse jälgimise, selleks loa andmise ja selle üle järelevalve tegemise menetlused;

kui see on kohaldatav, siis kas kõrge usaldusväärsuse taseme kohta artikli 56 lõike 6 kohaselt sertifikaate väljaandvate asutuste töötajatel on sobiv oskusteave.

Vastastikuse hindamise viivad läbi vähemalt kaks muu liikmesriigi riiklikku küberturvalisuse sertifitseerimise asutust ja komisjon ning see viiakse läbi vähemalt kord viie aasta jooksul. ENISA võib osaleda vastastikuses hindamises.

Komisjonil on õigus võtta vastu rakendusakte, millega kehtestatakse vastastikuse hindamise kava vähemalt viieks aastaks, sätestatakse vastastikuse hindamise rühma koosseisu kriteeriumid, hindamismetoodika, hindamiste ajakava, sagedus ja muud vastastikuse hindamisega seotud ülesanded. Nimetatud rakendusaktide vastuvõtmisel võtab komisjon kohaselt arvesse Euroopa küberturvalisuse sertifitseerimise rühma arvamusi. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 66 lõikes 2 osutatud kontrollimenetlusega.

Vastastikuse hindamise tulemused vaatab läbi Euroopa küberturvalisuse sertifitseerimise rühm, kes koostab kokkuvõtte, mille võib teha üldsusele kättesaadavaks, ja kes annab vajaduse korral suuniseid ja soovitusi tegevuste või meetmete kohta, mida asjaomased üksused peavad läbi viima või võtma.

Artikkel 60

Vastavushindamisasutused

Vastavushindamisasutusi akrediteerivad määruse (EÜ) nr 765/2008 kohaselt nimetatud riiklikud akrediteerimisasutused. Vastavushindamisasutus akrediteeritakse üksnes siis, kui ta vastab käesoleva määruse lisas sätestatud nõuetele.

Kui Euroopa küberturvalisuse sertifikaat antakse välja riikliku küberturvalisuse sertifitseerimise asutuse poolt vastavalt artikli 56 lõike 5 punktile a ja artikli 56 lõikele 6, akrediteeritakse käesoleva artikli lõike 1 kohaselt riikliku küberturvalisuse sertifitseerimise asutuse sertifitseerimise organ vastavushindamisasutuseks.

Kui Euroopa küberturvalisuse sertifitseerimise kavades on vastavalt artikli 54 lõike 1 punktile f sätestatud konkreetsed või täiendavad nõuded, annab riiklik küberturvalisuse sertifitseerimise asutus nende kavade kohaste ülesannete täitmiseks loa üksnes sellistele vastavushindamisasutustele, kes vastavad nimetatud nõuetele.

Lõikes 1 osutatud vastavushindamisasutuste akrediteerimine kehtib maksimaalselt viis aastat ja selle kehtivust võib pikendada samadel tingimustel, kui vastavushindamisasutus vastab jätkuvalt käesolevas artiklis sätestatud nõuetele. Riiklik akrediteerimisasutus võtab mõistliku aja jooksul kõik asjakohased meetmed, et piirata, peatada või tunnistada lõike 1 kohane vastavushindamisasutuse akrediteerimine kehtetuks, kui akrediteerimise tingimused ei ole täidetud või ei ole enam täidetud või kui vastavushindamisasutus rikub käesolevat määrust.

Artikkel 61

Teavitamine

Riiklikud küberturvalisuse sertifitseerimise asutused teatavad vastu võetud Euroopa küberturvalisuse sertifitseerimise kava puhul komisjonile, millised akrediteeritud ja asjakohasel juhul artikli 60 lõike 3 kohaselt loa saanud vastavushindamisasutused võivad anda välja artiklis 52 osutatud usaldusväärsuse tasemega sertifikaate. Riiklikud küberturvalisuse sertifitseerimise asutused teatavad põhjendamatu viivituseta komisjonile kõigist hilisematest muudatustest.

Üks aasta pärast Euroopa küberturvalisuse sertifitseerimise kava jõustumist avaldab komisjon kõnealuse kava alusel teatatud vastavushindamisasutuste nimekirja Euroopa Liidu Teatajas.

Kui komisjon saab teate pärast lõikes 2 osutatud tähtaja möödumist, avaldab ta teatatud vastavushindamisasutuste nimekirja muudatused Euroopa Liidu Teatajas kahe kuu jooksul alates kõnealuse teate saamise kuupäevast.

Riiklik küberturvalisuse sertifitseerimise asutus võib esitada komisjonile taotluse jätta tema poolt teatatud vastavushindamisasutus lõikes 2 osutatud nimekirjast välja. Komisjon avaldab vastavad nimekirja muudatused Euroopa Liidu Teatajas ühe kuu jooksul alates riikliku küberturvalisuse sertifitseerimise asutuse taotluse kättesaamise kuupäevast.

Komisjon võib vastu võtta rakendusakte, et määrata kindlaks käesoleva artikli lõikes 1 osutatud teavitamise asjaolud, vormingud ja menetlused. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 66 lõikes 2 osutatud kontrollimenetlusega.

Artikkel 62

Euroopa küberturvalisuse sertifitseerimise rühm

Moodustatakse Euroopa küberturvalisuse sertifitseerimise rühm.

Euroopa küberturvalisuse sertifitseerimise rühm koosneb riiklike küberturvalisuse sertifitseerimise asutuste esindajatest või teiste asjakohaste riiklike asutuste esindajatest. Euroopa küberturvalisuse sertifitseerimise rühma liige võib esindada üksnes kahte liikmesriiki.

Sidusrühmi ja asjaomaseid kolmandaid isikuid võidakse kutsuda osalema Euroopa küberturvalisuse sertifitseerimise rühma koosolekutel ning selle töös.

Euroopa küberturvalisuse sertifitseerimise rühmal on järgmised ülesanded:

nõustada ja abistada komisjoni töös, mille eesmärk on tagada käesoleva jaotise järjepidev rakendamine ja kohaldamine, eelkõige seoses liidu jooksva tööprogrammi, küberturvalisuse sertifitseerimise poliitika küsimuste, poliitika koordineerimise ja Euroopa küberturvalisuse sertifitseerimise kavade koostamisega;

abistada ja nõustada ENISAt ja teha temaga koostööd ettevalmistava kava koostamisel kooskõlas artikliga 49;

võtta vastu arvamus artikli 49 kohaselt ENISA koostatud ettevalmistava kava kohta;

esitada ENISA-le artikli 48 lõike 2 kohaselt taotlus ettevalmistava kava koostamiseks;

võtta vastu komisjonile suunatud arvamusi seoses olemasolevate Euroopa küberturvalisuse sertifitseerimise kavade haldamise ja läbivaatamisega;

analüüsida olulisi arenguid küberturvalisuse sertifitseerimise valdkonnas ning vahetada teavet ja häid tavasid küberturvalisuse sertifitseerimise kavade kohta;

hõlbustada riiklike küberturvalisuse sertifitseerimise asutuste käesoleva jaotise kohast koostööd suutlikkuse suurendamise ja teabevahetuse kaudu, eelkõige töötades välja meetodid tõhusaks teabevahetuseks küberturvalisuse sertifitseerimisega seotud küsimustes;

toetada vastastikuse hindamise mehhanismide rakendamist kooskõlas Euroopa küberturvalisuse sertifitseerimise kavas artikli 54 lõike 1 punkti u kohaselt kehtestatud eeskirjaga;

hõlbustada Euroopa küberturvalisuse sertifitseerimise kavade kohandamist rahvusvaheliselt tunnustatud standarditega, sealhulgas olemasolevate Euroopa küberturvalisuse sertifitseerimise kavade läbivaatamise abil, ja asjakohasel juhul esitada ENISA-le soovitusi teha koostööd asjaomaste rahvusvaheliste standardiorganisatsioonidega, et kõrvaldada olemasolevate rahvusvaheliselt tunnustatud standardite puudused ja lüngad.

Komisjon juhatab ENISA abiga Euroopa küberturvalisuse sertifitseerimise rühma ja osutab sellele sekretariaaditeenust kooskõlas artikli 8 lõike 1 punktiga e.

Artikkel 63

Õigus esitada kaebus

Füüsilistel ja juriidilistel isikutel on õigus esitada kaebus Euroopa turvalisuse sertifikaadi väljaandjale või asjaomasele riiklikule Euroopa küberturvalisuse sertifitseerimise asutusele, kui kaebus on seotud artikli 56 lõike 6 kohaselt tegutseva vastavushindamisasutuse välja antud sertifikaadiga.

Asutus, kellele kaebus esitatakse, teavitab kaebuse esitajat kaebuse menetlemise käigust ja tehtud otsusest, samuti artiklis 64 osutatud õigusest tõhusale kohtulikule õiguskaitsevahendile.

Artikkel 64

Õigus tõhusale kohtulikule õiguskaitsevahendile

Olenemata halduslikest ja muudest kohtuvälistest õiguskaitsevahenditest on füüsilistel ja juriidilistel isikutel õigus tõhusale kohtulikule õiguskaitsele seoses järgmisega:

artikli 63 lõikes 1 osutatud asutuse otsused, kaasa arvatud seoses Euroopa küberturvalisuse sertifikaadi ebaõige väljaandmise, välja andmata jätmise ja nende füüsiliste ja juriidiliste isikute omatavate Euroopa küberturvalisuse sertifikaatide tunnustamisega, kui see on kohaldatav;

artikli 63 lõikes 1 osutatud asutusele esitatud kaebusele reageerimata jätmine.

Käesoleva artikli kohased menetlused algatatakse selle liikmesriigi kohtus, kus asub asutus, mille suhtes kohtulikku õiguskaitsevahendit taotletakse.

Artikkel 65

Karistused

Liikmesriigid kehtestavad käesoleva jaotise ja Euroopa küberturvalisuse sertifitseerimise kavade rikkumise korral kohaldatavad karistusnormid, ning võtavad kõik vajalikud meetmed nende rakendamise tagamiseks. Kehtestatud karistused peavad olema tõhusad, proportsionaalsed ja hoiatavad. Liikmesriigid teavitavad komisjoni viivitamata nimetatud normidest ja meetmetest ning kõikidest nende hilisematest muudatustest.

IV JAOTIS

LÕPPSÄTTED

Artikkel 66

Komiteemenetlus

Komisjoni abistab komitee. Nimetatud komitee on komitee määruse (EL) nr 182/2011 tähenduses.

Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artikli 5 lõike 4 punkti b.

Artikkel 67

Hindamine ja läbivaatamine

Hiljemalt 28. juuniks 2024 ja seejärel iga viie aasta tagant hindab komisjon ENISA ja selle töökorralduse mõju, tulemuslikkust ja tõhusust ning võimalikku vajadust muuta ENISA volitusi ja kõigi selliste muudatuste finantsmõju. Hindamisel arvestatakse tagasisidet, mida ENISA on oma tegevuse kohta saanud. Kui komisjon leiab, et ENISA tegevuse jätkamine ei ole ENISA-le seatud eesmärke, volitusi ja ülesandeid arvestades enam põhjendatud, võib ta teha ettepaneku käesolevat määrust ENISAga seotud sätete osas muuta.

▼M1

Hindamise raames analüüsitakse ka käesoleva määruse III jaotise sätete, sealhulgas Euroopa küberturvalisuse sertifitseerimise kavade (sealhulgas nende aluseks olevad tõendid) vastuvõtmist võimaldanud menetluste mõju, tulemuslikkust ja tõhusust seoses eesmärgiga tagada IKT-toodete, -teenuste, -protsesside ning hallatud turbeteenuste piisav küberturvalisuse tase liidus ja parandada siseturu toimimist.

Hindamise käigus analüüsitakse, kas on vaja siseturule pääsu käsitlevaid olulisi küberturvalisuse nõudeid, et vältida selliste IKT-toodete, -teenuste, -protsesside ning hallatud turbeteenuste siseturule jõudmist, mis ei vasta põhilistele küberturvalisuse nõuetele.

▼B

Hiljemalt 28. juuniks 2024 ja seejärel iga viie aasta tagant edastab komisjon hindamisaruande koos oma järeldustega Euroopa Parlamendile, nõukogule ja haldusnõukogule. Hindamistulemused avalikustatakse.

Artikkel 68

Kehtetuks tunnistamine ja õigusjärglus

Määrus (EL) nr 526/2013 tunnistatakse kehtetuks alates 27. juunist 2019.

Viiteid määrusele (EL) nr 526/2013 ja kõnealuse määrusega asutatud ENISA-le käsitatakse viidetena käesolevale määrusele ja käesoleva määrusega asutatud ENISA-le.

Käesoleva määrusega asutatud ENISA on omandiõiguse, lepingute, õiguslike kohustuste, töölepingute, finantskohustuste ja vastutuse osas määrusega (EL) nr 526/2013 asutatud ENISA õigusjärglane. Kõik määruse (EL) nr 526/2013 kohaselt vastu võetud haldusnõukogu ja juhatuse otsused jäävad kehtima, tingimusel et nad on kooskõlas käesoleva määrusega.

ENISA asutatakse määramata ajaks alates 27. juunist 2019.

Määruse (EL) nr 526/2013 artikli 24 lõike 4 alusel ametisse nimetatud tegevdirektor jääb ametisse ja täidab käesoleva määruse artiklis 20 osutatud tegevdirektori ülesandeid oma ametiaja lõpuni. See ei mõjuta tegevdirektoriga sõlmitud lepingu tingimusi.

Määruse (EL) nr 526/2013 artikli 6 alusel ametisse nimetatud haldusnõukogu liikmed ja nende asendusliikmed jäävad ametisse ja täidavad käesoleva määruse artiklis 15 osutatud haldusnõukogu liikmete ülesandeid oma ametiaja lõpuni.

Artikkel 69

Jõustumine

Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Artikleid 58, 60, 61, 63, 64 ja 65 kohaldatakse alates 28. juunist 2021.

Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.

LISA

VASTAVUSHINDAMISASUTUSTE SUHTES KEHTIVAD NÕUDED

Akrediteerimist taotlevad vastavushindamisasutused peavad vastama järgmistele nõuetele.

Vastavushindamisasutus peab olema asutatud liikmesriigi õiguse kohaselt ning olema juriidiline isik.

▼M1

Vastavushindamisasutus on kolmandast isikust asutus, kes on sõltumatu organisatsioonist ja IKT-tootest, -teenusest, -protsessist või hallatud turbeteenustest, mida ta hindab.

Asutust, mis kuulub ettevõtjate ühendusse või kutseliitu, mis esindab ettevõtjaid, kes on seotud tema hinnatavate IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste projekteerimise, tootmise, pakkumise, monteerimise, kasutamise või hooldamisega, võib pidada vastavushindamisasutuseks tingimusel, et tõendatud on tema sõltumatus ning huvide konflikti puudumine.

Vastavushindamisasutus, selle kõrgem juhtkond ja vastavushindamisülesannete täitmise eest vastutavad töötajad ei tohi olla hinnatava IKT-toote, -teenuse, -protsessi või hallatud turbeteenuse projekteerija, tootja, pakkuja, paigaldaja, ostja, omanik, kasutaja, hooldaja ega ühegi nimetatud isiku volitatud esindaja. Keeld ei välista vastavushindamisasutuse tegevuseks vajalike hinnatavate IKT-toodete kasutamist ega nende IKT-toodete kasutamist isiklikul otstarbel.

Vastavushindamisasutus, selle kõrgem juhtkond ja vastavushindamisülesannete täitmise eest vastutavad töötajad ei tohi olla otseselt seotud hinnatavate IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste projekteerimise, tootmise või konstrueerimise, pakkumise, turustamise, paigaldamise, kasutamise või hooldusega ega esindada ühtegi isikut, kes nimetatud tegevusega tegeleb. Vastavushindamisasutus, selle kõrgem juhtkond ja vastavushindamisülesannete täitmise eest vastutavad töötajad ei tohi osaleda tegevuses, mis võib seada kahtluse alla nende otsuste sõltumatuse ja usaldusväärsuse nende tehtavates vastavushindamistoimingutes. Keeld kehtib eelkõige nõustamisteenuste puhul.

▼B

Kui vastavushindamisasutus kuulub avaliku sektori üksusele või asutusele või on selle hallatav asutus, tuleb tagada selle sõltumatus ning riikliku küberturvalisuse sertifitseerimise asutuse ja vastavushindamisasutuse vahelise huvide konflikti puudumine ning see dokumenteerida.

Vastavushindamisasutused peavad tagama, et nende tütarettevõtjate ja lepingupartnerite tegevus ei mõjuta vastavushindamistoimingute konfidentsiaalsust, objektiivsust ega erapooletust.

Vastavushindamisasutused ja nende töötajad peavad tegema vastavushindamistoiminguid suurima erialase usaldusväärsuse ja nõutava erialase tehnilise pädevusega ning nad ei tohi alluda ühelegi surveavaldusele ega ahvatlusele, sealhulgas rahalisele, mis võib nende otsuseid või vastavushindamistoimingute tulemusi mõjutada, see on eriti oluline selliste isikute või isikute rühmade puhul, kes on huvitatud nimetatud toimingute tulemustest.

Vastavushindamisasutus peab olema võimeline täitma kõiki talle käesoleva määrusega pandud vastavushindamisülesandeid olenemata sellest, kas vastavushindamisasutus täidab neid ülesandeid ise või neid täidetakse tema nimel ja vastutusel. Alltöövõtt ja konsulteerimine asutuseväliste töötajatega peab olema nõuetekohaselt dokumenteeritud ja ellu viidud ilma vahendajateta ning selle kohta tuleb sõlmida kirjalik leping, milles käsitletakse muu hulgas konfidentsiaalsust ja huvide konflikti küsimusi. Täidetud ülesannete eest vastutab täiel määral asjaomane vastavushindamisasutus.

10.

▼M1

Vastavushindamisasutuse käsutuses peavad alati olema kõigile IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste liikidele, kategooriatele või alamkategooriatele ning kõigile vastavushindamismenetlustele vastavad järgmised vajalikud vahendid:

▼B

töötajad, kellel on tehnilised teadmised ning piisav asjakohane kogemus vastavushindamisülesannete täitmiseks;

menetluste kirjeldused, mille kohaselt vastavushindamist tehakse ning mis tagavad nende menetluste läbipaistvuse ja kordamise võimaluse. Asutusel peavad olema asjakohased tegevuspõhimõtted ja menetlused, milles eristatakse ülesandeid, mida ta täidab artikli 61 kohaselt teatatud vastavushindamisasutusena, ja muud tegevust;

▼M1

toimingute tegemise menetlused, mis võtavad asjakohaselt arvesse ettevõtja suurust, tegutsemisvaldkonda, tema struktuuri, IKT-toote, -teenuse, -protsessi või hallatud turbeteenuse tehnoloogia keerukuse astet ning seda, kas tegemist on mass- või seeriatootmisega.

▼B

11.

Vastavushindamisasutusel peavad olema vajalikud vahendid vastavushindamistoimingute nõuetekohase teostamisega seotud tehniliste ja haldusülesannete täitmiseks ning juurdepääs vajalikule varustusele ja vahenditele.

12.

Vastavushindamistoimingute teostamise eest vastutavatel töötajatel peavad olema:

heal tasemel tehniline ja kutsealane väljaõpe, mis hõlmab kõiki vastavushindamistegevusi;

piisavad teadmised nende poolt tehtavate vastavushindamistoimingute nõuetest ning piisav pädevus nimetatud hindamistoimingute läbiviimiseks;

sobilikud teadmised ja arusaam kehtivatest nõuetest ja katsestandarditest;

oskus koostada sertifikaate, protokolle ja aruandeid, mis tõendavad vastavushindamistoimingute läbiviimist.

13.

Tagatud peab olema vastavushindamisasutuste, nende kõrgema juhtkonna, vastavushindamistoimingute teostamise eest vastutavate töötajate ja alltöövõtjate erapooletus.

14.

Vastavushindamisasutuse kõrgema juhtkonna ja vastavushindamistoimingute teostamise eest vastutavate töötajate tasu suurus ei tohi sõltuda tehtud vastavushindamiste arvust ega nimetatud hindamiste tulemustest.

15.

Vastavushindamisasutus peab sõlmima vastutuskindlustuslepingu, välja arvatud juhul, kui vastutust kannab liikmesriigi õiguse kohaselt liikmesriik või kui vastavushindamine on liikmesriigi enda otsene ülesanne.

16.

Vastavushindamisasutus ja selle töötajad, komiteed, allüksused, alltöövõtjad ning sellega seotud asutused ja välised töötajad peavad tagama konfidentsiaalsuse ja hoidma ametisaladust teabe osas, mis on saadud käesoleva määruse või selle täitmise tagamiseks vastuvõetud liikmesriigi õigusaktide kohaselt täidetud vastavushindamisülesannete käigus, välja arvatud juhul, kui teabe avalikustamist nõuab nendele isikutele kohaldatav liidu või liikmesriigi õigus, samuti välja arvatud teabevahetus selle liikmesriigi pädevate asutustega, kus asutus tegutseb. Intellektuaalomandiõiguste kaitse peab olema tagatud. Vastavushindamisasutusel peavad olema käesoleva punkti nõuete täitmiseks kehtestatud dokumenteeritud menetlused.

17.

Käesoleva lisa nõuded, välja arvatud punkti 16 nõuded, ei takista tehnilise teabe ja regulatiivsete suuniste vahetamist vastavushindamisasutuse ja sertifikaati taotleva või selle taotlemist kaaluva isiku vahel.

18.

Vastavushindamisasutus tegutseb vastavalt sidusatele, õiglastele ja mõistlikele tingimustele, võttes tasude puhul arvesse VKEde huve.

▼M1

19.

Vastavushindamisasutus peab vastama asjakohase, määruse (EÜ) nr 765/2008 artikli 2 punktis 9 määratletud harmoneeritud standardi nõuetele IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste sertifitseerimist läbiviivate vastavushindamisasutuste akrediteerimiseks.

20.

Vastavushindamisasutus peab tagama, et vastavushindamiseks kasutatavad katselaborid vastavad asjakohase, määruse (EÜ) nr 765/2008 artikli 2 punktis 9 määratletud harmoneeritud standardi nõuetele katselaborite akrediteerimiseks.

( 1 ) Euroopa Parlamendi ja nõukogu 23. juuli 2014. aasta määrus (EL) nr 910/2014 e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ (ELT L 257, 28.8.2014, lk 73).

( 3 ) Komisjoni 30. septembri 2013. aasta delegeeritud määrus (EL) nr 1271/2013 raamfinantsmääruse kohta asutustele, millele viidatakse Euroopa Parlamendi ja nõukogu määruse (EL, Euratom) nr 966/2012 artiklis 208 (ELT L 328, 7.12.2013, lk 42).

( 4 ) Komisjoni 13. märtsi 2015. aasta otsus (EL, Euratom) 2015/443 komisjoni julgeoleku kohta (ELT L 72, 17.3.2015, lk 41).

( 5 ) Komisjoni 13. märtsi 2015. aasta otsus (EL, Euratom) 2015/444 ELi salastatud teabe kaitseks vajalike julgeolekunormide kohta (ELT L 72, 17.3.2015, lk 53).

( 6 ) Euroopa Parlamendi ja nõukogu 18. juuli 2018. aasta määrus (EL, Euratom) 2018/1046, mis käsitleb liidu üldeelarve suhtes kohaldatavaid finantsreegleid ja millega muudetakse määrusi (EL) nr 1296/2013, (EL) nr 1301/2013, (EL) nr 1303/2013, (EL) nr 1304/2013, (EL) nr 1309/2013, (EL) nr 1316/2013, (EL) nr 223/2014 ja (EL) nr 283/2014 ja otsust nr 541/2014/EL ning tunnistatakse kehtetuks määrus (EL, Euratom) nr 966/2012 (ELT L 193, 30.7.2018, lk 1).

( 7 ) Euroopa Parlamendi ja nõukogu 11. septembri 2013. aasta määrus (EL, Euratom) nr 883/2013, mis käsitleb Euroopa Pettustevastase Ameti (OLAF) juurdlusi ning millega tunnistatakse kehtetuks Euroopa Parlamendi ja nõukogu määrus (EÜ) nr 1073/1999 ja nõukogu määrus (Euratom) nr 1074/1999 (ELT L 248, 18.9.2013, lk 1).

( 9 ) Nõukogu 11. novembri 1996. aasta määrus (Euratom, EÜ) nr 2185/96, mis käsitleb komisjoni tehtavat kohapealset kontrolli ja inspekteerimist, et kaitsta Euroopa ühenduste finantshuve pettuste ja igasuguse muu eeskirjade eiramiste eest (EÜT L 292, 15.11.1996, lk 2).

( 10 ) Nõukogu määrus nr 1, millega määratakse kindlaks Euroopa Majandusühenduses kasutatavad keeled (EÜT 17, 6.10.1958, lk 385/58).

		Euroopa Liidu Teataja
		nr	lehekülg	kuupäev
►M1	EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS (EL) 2025/37, 19. detsember 2024,	L 37	1	15.1.2025