(1)

Võrgu- ja infosüsteemidel ning elektroonilise side võrkudel ja teenustel on ühiskonnas elutähtis roll ning neist on saanud majanduskasvu tugisammas. Info- ja kommunikatsioonitehnoloogia (IKT) on aluseks keerukatele süsteemidele, mis toetavad igapäevast ühiskondlikku tegevust, tagavad majanduse toimimise võtmetähtsusega sektorites nagu tervis, energeetika, rahandus ja transport ning toetavad ennekõike siseturu toimimist.

(2)

Võrgu- ja infosüsteemide kasutamine kogu liidu kodanike, organisatsioonide ja ettevõtjate seas on nüüd valdav. Digiteeritus ja ühenduvus on muutumas üha suurema hulga toodete ja teenuste põhitunnusteks ning asjade interneti kasutuselevõtuga võib eeldada, et järgmise kümne aasta jooksul võetakse kogu liidus kasutusele enneolematult palju ühendatud digitaalseid seadmeid. Kuigi üha enam seadmeid on ühendatud internetti, ei ole turvalisus ja vastupidavus neisse piisavalt sisse projekteeritud ning see toob kaasa ebapiisava küberturvalisuse. Sellises olukorras tähendab sertifitseerimise piiratud kasutamine, et eraisikutest, organisatsioonidest ja ettevõtjatest kasutajatel ei ole IKT-toodete, -teenuste ja -protsesside küberturvalisuse omaduste kohta piisavalt teavet ning see vähendab usaldust digilahenduste vastu. Võrgu- ja infosüsteemid on võimelised toetama meie elu kõiki aspekte ja edendama liidu majanduskasvu. Nad on tugisammas digitaalse ühtse turu saavutamiseks.

(3)

Ulatuslikum digiteerimine ja ühenduvus toovad kaasa suuremad küberturvalisuse riskid, mille tõttu on kogu ühiskond küberohtude poolt lihtsamini haavatav ning üksikisikute, sh haavatavate isikute (näiteks laste) vastu suunatud ohud tulevad selgemalt esile. Et kõnealuseid riske maandada, tuleb võtta kõik vajalikud meetmed, et parandada liidus küberturvalisust ning pakkuda küberohtude eest paremat kaitset võrgu- ja infosüsteemidele, sidevõrkudele, digitaalsetele toodetele, teenustele ja seadmetele, mida kasutavad kodanikud, organisatsioonid ja ettevõtjad alates väikestest ja keskmise suurusega ettevõtjatest (VKEd), kes on määratletud komisjoni soovituses 2003/361/EÜ (4), kuni elutähtsate taristute operaatoriteni.

(4)

Tehes asjakohast teavet üldsusele kättesaadavaks, aitab Euroopa Parlamendi ja nõukogu määrusega (EL) nr 526/2013 (5) asutatud Euroopa Liidu Võrgu- ja Infoturbeamet (ENISA) kaasa küberturvalisuse tööstuse, eelkõige VKEde ja idufirmade arendamisele liidus. ENISA peaks püüdlema tihedama koostöö poole ülikoolide ja teadusasutustega, et aidata vähendada sõltumist liiduväliste tootjate ja teenusepakkujate küberturvalisuse toodetest ja teenustest ning tugevdada liidusiseseid tarneahelaid.

(5)

Küberründeid tuleb ette üha sagedamini ning küberohtude poolt lihtsamini haavatavat ühendatud majandust ja ühiskonda tuleb jõulisemalt kaitsta. Kuigi küberründed on sageli piiriülesed, on küberturvalisusega tegelevate õiguskaitseasutuste pädevus ja reageeringud valdavalt riigipõhised. Mastaapsed intsidendid võivad katkestada elutähtsate teenuste pakkumise kogu liidus. See tähendab, et liidu tasandil on vaja tõhusat ning koordineeritud reageerimist ja kriisihaldust, mis tugineks sellekohastele poliitikameetmetele ning Euroopa solidaarsuse ja vastastikuse abi mitmekülgsetele vahenditele. Samuti on usaldusväärsetel liidu andmetel põhinev liidu küberturvalisuse ja vastupidavuse olukorra regulaarne hindamine ning nii liidu kui ka maailma tasandi edasiste arengusuundade, väljakutsete ja ohtude süstemaatiline hindamine tähtis nii poliitikakujundajate ja tööstuse kui ka kasutajate jaoks.

(6)

Arvestades asjaolu, et liitu ähvardavad küberturvalisuse probleemid kasvavad, on vaja igakülgset meetmete kogumit, mis toetuks liidu varasemale tegevusele ja edendaks üksteist vastastikku tugevdavaid eesmärke. Nende eesmärkide hulka kuulub liikmesriikide ja ettevõtjate suutlikkuse ja valmisoleku ning koostöö edasine parandamine ning teabe jagamine ja koordineerimine liikmesriikide ja liidu institutsioonide, organite ja asutuste vahel. Küberohud ei hooli riigipiiridest ja seepärast tuleb parandada liidu tasandi suutlikkust, et see täiendaks liikmesriikide meetmeid eeskätt mastaapsete piiriüleste intsidentide ja kriiside korral, võttes seejuures arvesse liikmesriikide suutlikkuse säilitamise ja edasise parandamise olulisust igasugustele küberohtudele reageerimisel.

(7)

Rohkem tuleb ära teha ka selleks, et parandada kodanike, organisatsioonide ja ettevõtjate teadlikkust küberturvalisuse küsimustest. Ühtlasi, arvestades asjaolu, et intsidendid õõnestavad usaldust digitaalsete teenuste osutajate ning digitaalse ühtse turu enda vastu, eelkõige tarbijate seas, tuleks veelgi suurendada usaldust, pakkudes selleks läbipaistvat teavet IKT-toodete, -teenuste ja -protsesside turvalisuse tasemete kohta, rõhutades, et isegi küberturvalisuse sertifitseerimise kõrge tase ei taga, et IKT-toode, -teenus või -protsess oleks täiesti turvaline. Usalduse suurendamisele saab kaasa aidata kogu liitu hõlmava sertifitseerimisega, mis tagab ühised küberturvalisuse nõuded ja hindamiskriteeriumid liikmesriikide turgudel ja sektorites.

(8)

Küberturvalisus ei ole mitte üksnes tehnoloogiline küsimus – oluline on ka inimeste käitumine. Seetõttu tuleks jõuliselt edendada „küberhügieeni“ ehk lihtsaid rutiinseid meetmeid, mis minimeerivad nende regulaarse rakendamise korral kodanike, organisatsioonide ja ettevõtjate kokkupuutumist küberohtudest tulenevate riskidega.

(9)

Liidu küberturvalisuse struktuuride tugevdamise eesmärgil on oluline säilitada ja arendada liikmesriikide suutlikkust reageerida küberohtudele, sealhulgas piiriülestele intsidentidele kõikehõlmavalt.

(10)

Ettevõtjatel ning üksikisikutest tarbijatel peaks olema täpne teave selle kohta, milline on nende IKT-toodete, -teenuste ja -protsesside turvalisuse sertifitseeritud usaldusväärsuse tase. Samas ei ole ükski IKT-toode või -teenus täielikult küberturvaline ning küberhügieeni põhireegleid tuleb edendada ja seada need prioriteediks. Arvestades asjade interneti seadmete üha suuremat kättesaadavust, on ka mitmeid vabatahtlikke meetmeid, mida erasektor saab võtta, et suurendada usaldust IKT-toodete, -teenuste ja -protsesside turvalisuse vastu.

(11)

Kaasaegsed IKT-tooted ja -süsteemid on tihti integreeritud ühte või mitmesse kolmanda osapoole tehnoloogiasse või komponenti, nagu näiteks tarkvara moodulid, teegid või rakendusprogrammeerimise liidesed, ning tuginevad neile. Nimetatud tuginemine ehk sõltumine võib põhjustada täiendavaid küberturvalisuse riske, kuna kolmanda osapoole komponentide turvanõrkus võib mõjutada ka IKT-toodete, -teenuste ja -protsesside turvalisust. Paljudel juhtudel võimaldab selliste sõltumiste tuvastamine ja dokumenteerimine IKT-toodete, -teenuste ja -protsesside lõppkasutajatel edendada oma küberturvalisuse riskihalduse tegevusi, parandades näiteks kasutajate küberturvanõrkuste haldust ja kõrvaldusmeetmeid.

(12)

IKT-toodete, -teenuste ja-protsesside projekteerimise ja arendamisega seotud organisatsioone, tootjaid ja teenusepakkujaid tuleks julgustada rakendama meetmeid projekteerimise ja arendamise kõige varasemates etappides sellisel viisil, et nende toodete, teenuste ja protsesside turvalisus oleks kaitstud kõige kõrgemal tasemel, et küberrünnakute esinemist eeldataks ja et nende mõju oleks prognoositud ja minimeeritud („sisseprojekteeritud turve“). Turvalisus tuleks tagada kogu IKT-toote, -teenuse ja -protsessi olelusringi vältel, kusjuures projekteerimis- ja arendamisprotsessid peaksid pidevalt arenema, et vähendada kuritahtlikust kasutamisest tuleneva kahju riski.

(13)

Ettevõtjad, organisatsioonid ja avalik sektor peaksid enda poolt projekteeritud IKT-tooteid, -teenuseid ja -protsesse konfigureerima viisil, mis tagab turvalisuse kõrge taseme, mis peaks võimaldama esimesel kasutajal saada vaikekonfiguratsioon kõige kõrgema turvalisuse tasemega seadistusega („vaiketurvalisus“), vähendades seega kasutajate jaoks koormust, mis kaasneb vajadusega IKT-toodet, -teenust või -protsessi asjakohaselt konfigureerida. Vaiketurvalisus ei peaks nõudma ulatuslikku konfigureerimist ega kasutajalt spetsiifilisi tehnilisi teadmisi või loogikavälist käitumist, ning peaks pärast rakendamist lihtsalt ja usaldusväärselt töötama. Kui juhtumipõhise riski- ja kasutatavusanalüüsi tulemusel jõutakse järeldusele, et selline vaikeseadistus ei ole teostatav, tuleks kasutajaid suunata valima kõige turvalisem seadistus.

(14)

Euroopa Parlamendi ja nõukogu määrusega (EÜ) nr 460/2004 (6) asutati ENISA, et aidata kaasa kõrgetasemelise ja tõhusa võrgu- ja infoturbe tagamise eesmärkidele liidus ning arendada võrgu- ja infoturbekultuuri kodanike, tarbijate, ettevõtete ja ametiasutuste heaks. Euroopa Parlamendi ja nõukogu määrusega (EÜ) nr 1007/2008 (7) pikendati ENISA volitusi 2012. aasta märtsini. Euroopa Parlamendi ja nõukogu määrusega (EL) nr 580/2011 (8) pikendati ENISA volitusi 13. septembrini 2013. Määrusega (EL) nr 526/2013 pikendati ENISA volitusi kuni 19. juunini 2020.

(15)

Liit on juba astunud olulisi samme, et tagada küberturvalisus ja suurendada usaldust digitehnoloogia vastu. 2013. aastal võeti vastu Euroopa Liidu küberjulgeoleku strateegia, millest juhinduda liidu poliitilises reageerimises küberohtudele ja riskidele. Et kodanikke veebis paremini kaitsta, võttis liit 2016. aastal vastu küberturvalisuse valdkonna esimese õigusakti – Euroopa Parlamendi ja nõukogu direktiivi (EL) 2016/1148 (9). Direktiiviga (EL) 2016/1148 pandi paika liikmesriikide suutlikkust puudutavad nõuded küberturvalisuse valdkonnas, kehtestati liikmesriikide vahelise strateegilise ja operatiivkoostöö tõhustamise esimesed mehhanismid ning juurutati turbemeetmete ja intsidentidest teatamise kohustused majanduse ja ühiskonna jaoks eluliselt tähtsates sektorites, nagu energeetika, transport, joogivee varustus ja jaotamine, pangandus, finantsturu taristu, tervishoid, digitaristu, aga ka oluliste digitaalsete teenuste osutajate puhul (otsingumootorid, pilvandmetöötlusteenused ja internetipõhised kauplemiskohad).

ENISA-le anti nimetatud direktiivi rakendamise toetamisel põhiroll. Lisaks on tulemuslik võitlus küberkuritegevusega olulisel kohal ka Euroopa julgeoleku tegevuskavas, kus see aitab kaasa küberturvalisuse kõrge taseme saavutamise üldeesmärgile. Muud õigusaktid, nagu Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 (10) ning Euroopa Parlamendi ja nõukogu direktiivid 2002/58/EÜ (11) ning (EL) 2018/1972 (12), aitavad samuti kaasa digitaalse ühtse turu küberturvalisuse kõrgele tasemele.

(16)

Euroopa Liidu küberjulgeoleku strateegia vastuvõtmisest 2013. aastal ja ENISA volituste viimasest läbivaatamisest möödunud aja jooksul on üldine poliitiline kontekst seoses ebakindlama ja vähem turvalise üldise õhustikuga maailmas oluliselt muutunud. Selles kontekstis ja arvestades positiivset arengut seoses ENISA rolliga nõuandva ja oskusteavet pakkuva kontaktüksusena, koostöö ja suutlikkuse arendamise hõlbustajana ning liidu uue küberturvalisuse poliitika raames, on vaja läbi vaadata ENISA volitused, et määrata kindlaks ENISA roll muutunud küberturvalisuse tingimustes ning tagada, et see annaks tulemusliku panuse sellesse, kuidas liit reageerib põhjalikult muutunud küberohtude maastikul esile kerkivatele küberturvalisuse probleemidele, millega toimetulemiseks ei ole praegused volitused ENISA hindamise kohaselt piisavad.

(17)

Käesoleva määrusega asutatav ENISA peaks olema määrusega (EL) nr 526/2013 asutatud ENISA õigusjärglane. ENISA peaks täitma talle käesoleva määruse ja muude küberturvalisuse valdkonna liidu õigusaktidega pandud ülesandeid, pakkudes muu hulgas nõuandeid ja oskusteavet ning tegutsedes selle valdkonna teabe- ja teadmuskeskusena liidus. ENISA peaks edendama parimate tavade vahetamist liikmesriikide ja eraõiguslike sidusrühmade vahel, tehes selleks komisjonile ja liikmesriikidele poliitikameetmete alaseid ettepanekuid, tegutsedes küberturvalisuse küsimustes liidu valdkondliku poliitika algatuste kontaktüksusena ning soodustades nii liikmesriikide omavahelist kui ka liikmesriikide ja liidu institutsioonide, organite ja asutuste vahelist operatiivkoostööd.

(18)

Riigipeade ja valitsusjuhtide tasandil kohtunud liikmesriikide esindajate ühisel kokkuleppel tehtud otsuse 2004/97/EÜ, Euratom (13) raames otsustasid liikmesriikide esindajad, et ENISA asukohaks saab Kreeka valitsuse määratud linn Kreekas. ENISA asukohaliikmesriik peaks tagama ENISA tõrgeteta ja tõhusaks tegevuseks parimad võimalikud tingimused. ENISA ülesannete nõuetekohaseks ja tulemuslikuks täitmiseks, töötajate värbamiseks ja alalhoidmiseks ning võrgustikuga seotud tegevuse tulemuslikkuse tõhustamiseks peab ENISA asuma sobivas asukohas, mis muu hulgas pakub asjakohaseid transpordiühendusi ning rajatisi ENISA töötajate abikaasade ja laste jaoks. Vajalikud üksikasjad tuleks sätestada ENISA ja asukohaliikmesriigi vahelises kokkuleppes, mis sõlmitakse pärast ENISA haldusnõukogu heakskiitu.

(19)

Arvestades liidu ees seisvate küberturvalisuse riskide ja probleemide kasvu, tuleks suurendada ENISA-le eraldatavaid finants- ja inimressursse, et need vastaksid ENISA tõhustatud rollile ja ülesannetele ning ENISA tähtsale positsioonile liidu digitaalse ökosüsteemi kaitsmise organisatsioonide seas, võimaldades ENISA-l tõhusalt täita talle käesoleva määrusega pandud ülesandeid.

(20)

ENISA peaks kujundama välja oskusteabe kõrge taseme ja seda alal hoidma ning tegutsema kontaktüksusena, mis tekitab ühtsel turul usaldust ja kindlustunnet tänu oma sõltumatusele, antud nõu ja levitatava teabe kvaliteedile, menetluste ja töömeetodite läbipaistvusele ning oma ülesannete hoolikale täitmisele. Täites oma ülesandeid täielikus koostöös liidu institutsioonide, organite ja asutuste ning liikmesriikidega, peaks ENISA aktiivselt toetama liikmesriikide jõupingutusi ja andma proaktiivse panuse liidu tegevusse, vältides topelttööd ja edendades sünergiat. Lisaks peaks ENISA arendama edasi erasektorilt saadud sisendit, lähtudes erasektori ja muude asjaomaste sidusrühmadega tehtavast koostööst. ENISA ülesannete kogumiga tuleks paika panna, kuidas ENISA peab oma eesmärgid saavutama, tagades talle samas tööks vajaliku paindlikkuse.

(21)

Et pakkuda liikmesriikidele piisavat tuge operatiivkoostöös, peaks ENISA veelgi tugevdama oma tehnilist ja inimvõimekust ning oskusi. ENISA peaks suurendama oma oskusteavet ja parandama suutlikkust. ENISA ja liikmesriigid võiksid arendada vabatahtlikkuse alusel programme ENISAsse riiklike ekspertide lähetamiseks, ekspertide salve loomiseks ja töötajate vahetusteks.

(22)

ENISA peaks abistama komisjoni nõuannete, arvamuste ja analüüsidega kõigis liidu küsimustes, mis on seotud küberturvalisuse valdkonna ja selle sektoripõhiste aspektide alase poliitika ja õigusaktide väljatöötamise, ajakohastamise ja läbivaatamisega, et suurendada küberturvalisuse mõõdet sisaldavate liidu poliitikameetmete ja õigusaktide asjakohasust ning võimaldada nende järjepidevat rakendamist liikmesriigi tasandil. ELISA peaks tegutsema nõuandva ja oskusteavet pakkuva kontaktüksusena selliste liidu sektoripõhise poliitika ja õigusalaste algatuste jaoks, mis puudutavad küberturvalisust. ENISA peaks korrapäraselt teavitama Euroopa Parlamenti oma tegevusest.

(23)

Avatud interneti avalik tuum, nimelt selle põhilised protokollid ja taristu, mis on üleilmne avalik hüve, tagab interneti kui terviku põhifunktsionaalsuse ja toetab selle tavapärast toimimist. ENISA peaks toetama avatud interneti avaliku tuuma toimimise, sealhulgas põhiliste protokollide (eelkõige domeeninimede süsteem, BGP ja IPv6) turvalisust ja stabiilsust, domeeninimede süsteemi (kaasa arvatud kõigi tippdomeenide) ja juurserverite toimimist.

(24)

ENISA põhiülesanne on toetada asjakohase õigusraamistiku järjepidevat rakendamist, eelkõige direktiivi (EL) 2016/1148 ja muude asjakohaste küberturvalisuse aspekte sisaldavate õigusaktide tulemuslikku rakendamist, mis on kübervastupidavusvõime suurendamise jaoks eluliselt tähtis. Arvestades seda, kui kiiresti küberohud muutuvad, on selge, et liikmesriike tuleb toetada igakülgsema ja eri valdkondi hõlmava poliitilise lähenemisega kübervastupidavusvõime loomisele.

(25)

ENISA peaks abistama liikmesriike ja liidu institutsioone, organeid ja asutusi nende jõupingutustes, et luua ja parandada suutlikkust ja valmisolekut ennetada ja avastada küberohte ja intsidente ning neile reageerida, ning seoses võrgu- ja infosüsteemide turvalisusega. Eeskätt peaks ENISA toetama direktiivis (EL) 2016/1148 sätestatud riiklike ja liidu küberturbe intsidentide lahendamise üksuste („CSIRTid“) arendamist ja tõhustamist, et neil oleks kogu liidus ühtemoodi kõrge küpsuse aste. ENISA tegevused, mis on seotud liikmesriikide tegevussuutlikkusega, peaksid aktiivselt toetama liikmesriikide endi poolt direktiivist (EL) 2016/1148 tulenevate kohustuste täitmiseks võetud meetmeid ega tohiks neid meetmeid asendada.

(26)

Samuti peaks ENISA abistama liidu ja taotluse korral liikmesriikide võrgu- ja infosüsteemide turvalisuse strateegiate väljatöötamist ja ajakohastamist, eelkõige küberturvalisuse osas, ning edendama nende strateegiate levitamist ja jälgima nende rakendamise edusamme. Lisaks peaks ENISA aitama kaasa vajaduse katmisele koolituste ja koolitusmaterjali järele, sealhulgas seoses avalike asutuste vajadustega, ning koolitama asjakohasel juhul suures ulatuses koolitajaid, lähtudes Euroopa kodanike digipädevuse raamistikust ning pidades silmas liikmesriikide ning liidu institutsioonide, organite ja asutuste abistamist nende endi koolitussuutlikkuse väljaarendamisel.

(27)

ENISA peaks toetama liikmesriike küberturvalisuse alase teadlikkuse parandamise ja hariduse valdkonnas, hõlbustades liikmesriikide vahel tihedamat koordineerimist ja parimate tavade vahetamist. Selline toetus võiks seisneda riiklike haridusalaste kontaktpunktide võrgustiku ja küberturvalisuse koolitusplatvormi arendamises. Riiklike haridusalaste kontaktpunktide võrgustik võiks toimida liikmesriikide kontaktametnike võrgustiku raames ja olla lähtepunkt tulevaseks liikmesriikide vaheliseks koordineerimiseks.

(28)

ENISA peaks abistama direktiiviga (EL) 2016/1148 moodustatud koostöörühma selle ülesannete täitmisel, eeskätt pakkuma oskusteavet ja nõu ning hõlbustama parimate tavade vahetamist muu hulgas seoses oluliste teenuste operaatorite identifitseerimisega liikmesriikide poolt, ning samuti selles osas, mis puudutab riskide ja intsidentidega seotud piiriüleseid sõltuvusseoseid.

(29)

Selleks et ergutada avaliku ja erasektori koostööd ning erasektorisisest koostööd ning eelkõige toetada elutähtsate taristute kaitset, peaks ENISA toetama teabe jagamist sektorite sees ja vahel, eeskätt direktiivi (EL) 2016/1148 II lisas loetletud sektorites, levitades parimaid tavasid ja andes suuniseid kättesaadavate töövahendite ja menetluste kohta ning selle kohta, kuidas lahendada teabe jagamisega seotud regulatiivsed küsimused, näiteks hõlbustades valdkondlike teabe jagamise ja analüüsimise keskuste loomist.

(30)

Samal ajal kui IKT-toodete, -teenuste ja -protsesside turvanõrkuste potentsiaalne negatiivne mõju järjest suureneb, mängib üldise küberturvalisuse riski vähendamisel tähtsat rolli selliste turvanõrkuste leidmine ja kõrvaldamine. On tõestatud, et organisatsioonide, turvanõrkustega IKT-toodete, -teenuste ja -protsesside tootjate ja pakkujate ning küberturvalisuse teadusuuringute kogukonna liikmete ja valitsuste, kes turvanõrkusi leiavad, vaheline koostöö on märkimisväärselt suurendanud IKT-toodete, -teenuste ja - protsesside turvanõrkuste avastamist ja kõrvaldamist. Turvanõrkuse koordineeritud avalikustamine kujutab endast struktureeritud koostööprotsessi, mille puhul teatatakse turvanõrkusest infosüsteemi omanikule, andes organisatsioonile võimaluse diagnoosida ja kõrvaldada turvanõrkus enne selle kohta üksikasjaliku teabe avalikustamist kolmandatele isikutele või avalikkusele. Protsessiga nähakse ka ette turvanõrkuse leidja ja organisatsiooni vaheline koordineerimine seoses nimetatud turvanõrkuse avalikustamisega. Turvanõrkuse koordineeritud avalikustamise põhimõtetel võib olla tähtis roll küberturvalisuse parandamiseks tehtavates liikmesriikide jõupingutustes.

(31)

ENISA peaks koondama ja analüüsima riikide vabatahtlikult jagatud CSIRTide ja Euroopa Parlamendi, Euroopa Ülemkogu, Euroopa Liidu Nõukogu, Euroopa Komisjoni, Euroopa Liidu Kohtu, Euroopa Keskpanga, Euroopa Kontrollikoja, Euroopa välisteenistuse, Euroopa Majandus- ja Sotsiaalkomitee, Euroopa Regioonide Komitee ja Euroopa Investeerimispanga vahelise kokkuleppega liidu institutsioonide, organite ja asutuste infoturbeintsidentidega tegeleva rühma (CERT-EU) töökorralduse ja toimimise kohta (14) moodustatud liidu institutsioonide, organite ja asutuste infoturbeintsidentidega tegeleva institutsioonidevahelise rühma (CERT-EU) aruandeid, et aidata kaasa teabevahetuse jaoks ühiste menetluste, keele ja terminoloogia koostamisele. Direktiiviga (EL) 2016/1148 loodi alus vabatahtlikuks tehnilise teabe vahetamiseks operatiivtasandil riiklike küberturbe intsidentide lahendamise üksuste võrgustikus („CSIRTide võrgustik“) - selle raames peaks ENISA kaasama erasektori.

(32)

ENISA peaks andma oma panuse sellesse, kuidas liidu tasandil reageeritakse ulatuslikele piiriülestele intsidentidele ja küberturvalisusega seotud kriisidele. Seda ülesannet tuleks täita kooskõlas käesoleva määruse kohaste ENISA volitustega ja lähenemisviisiga, mille suhtes peavad liikmesriigid kokku leppima komisjoni soovituse (EL) 2017/1584 (15) ning nõukogu 26. juuni 2018. aasta järelduste (ELi koordineeritud reageerimise kohta ulatuslike küberintsidentide ja kriiside korral) kontekstis. See ülesanne võiks hõlmata asjaomase teabe kogumist ning vahendajarolli CSIRTide võrgustiku ja tehnilise kogukonna, aga ka kriisi haldamise eest vastutavate otsusetegijate vahel. Lisaks peaks ENISA toetama ühe või mitme liikmesriigi taotlusel liikmesriikide vahelist operatiivkoostööd intsidentide käsitlemisel tehnilise külje pealt, hõlbustades liikmesriikide vahel vajalike tehniliste lahenduste vahetamist ja pakkudes sisendit avaliku teabevahetuse jaoks. ENISA peaks operatiivkoostööd toetama sellise koostöö üksikasjade testimisega korrapäraste küberturvalisuse õppuste käigus.

(33)

Operatiivkoostöö toetamisel peaks ENISA kasutama CERT-EU olemasolevaid tehnilisi ja operatiivseid oskusteadmisi struktureeritud koostöö kaudu. Struktureeritud koostöö võib tugineda ENISA oskusteabele. Asjakohasel juhul tuleks kahe üksuse vahel kehtestada erikord, et määrata kindlaks sellise koostöö praktiline kulg ja vältida tegevuse dubleerimist.

(34)

Täites oma ülesannet toetada operatiivkoostööd CSIRTide võrgustikus peaks ENISA olema suuteline pakkuma liikmesriikidele nende taotluse korral toetust, näiteks andma nõu, kuidas parandada intsidentide ennetamise, nende avastamise ja neile reageerimise suutlikkust, hõlbustades märkimisväärse või olulise mõjuga intsidentide tehnilist lahendamist või tagades küberohtude ja intsidentide analüüsimise. ENISA peaks hõlbustama märkimisväärse või olulise mõjuga intsidentide tehnilist lahendamist, eeskätt toetades tehniliste lahenduste vabatahtlikku jagamist liikmesriikide vahel või koostades kombineeritud tehnilist teavet, näiteks liikmesriikide poolt vabatahtlikult jagatud tehnilised lahendused. Soovituse (EL) 2017/1584 kohaselt peaksid liikmesriigid tegema heas usus koostööd ja jagama ilma põhjendamatute viivitusteta nii omavahel kui ka ENISAga teavet ulatuslike intsidentide ja küberturvalisusega seotud kriiside kohta. Sellisest teabest oleks ENISA-l oma operatiivkoostöö toetamise ülesande täitmisel täiendavat abi.

(35)

ENISA peaks liidu olukorrateadlikkust toetava tehnilise tasandi korrapärase koostöö raames korrapäraselt ja tihedas koostöös liikmesriikidega koostama intsidentide ja küberohtude kohta ELi küberturvalisuse tehnilist olukorda käsitlevaid põhjalikke aruandeid, mis põhinevad avalikult kättesaadaval teabel, tema enda analüüsidel ja aruannetel, mida jagavad temaga liikmesriikide CSIRTid või direktiivis (EL) 2016/1148 ettenähtud võrgu- ja infosüsteemide turbe valla riiklikud ühtsed kontaktpunktid („ühtsed kontaktpunktid“) (mõlemad vabatahtlikkuse alusel), Europoli juures tegutsev küberkuritegevuse vastase võitluse Euroopa keskus (EC3), CERT-EU ja kui see on asjakohane, siis Euroopa välisteenistuse juures tegutsev Euroopa Liidu luure- ja situatsioonikeskus (EU INTCEN). Aruanne tuleks teha kättesaadavaks nõukogule, komisjonile, liidu välisasjade ja julgeolekupoliitika kõrgele esindajale ning CSIRTide võrgustikule.

(36)

Märkimisväärse või olulise mõjuga intsidendi puhul peaks ENISA toetus asjaomaste liikmesriikide taotluse korral tehtavale tehnilisele järeluurimisele keskenduma edasiste intsidentide ärahoidmisele. Asjaomased liikmesriigid peaksid pakkuma vajalikku teavet ja abi, et võimaldada ENISA-l tõhusalt toetada tehnilist uurimist.

(37)

Liikmesriigid võivad paluda, et intsidendist mõjutatud ettevõtjad teeksid koostööd ning pakuksid ENISA-le vajalikku teavet ja abi, ilma et see piiraks nende õigust kaitsta tundlikku äriteavet ja avaliku julgeoleku seisukohast olulist teavet.

(38)

Et küberturvalisuse valdkonna probleemidest paremini aru saada ning liikmesriikidele ja liidu institutsioonidele, organitele ja asutustele pikaajalist strateegilist nõu anda, peab ENISA analüüsima praeguseid ja kujunemisjärgus küberturvalisuse riske. Sel eesmärgil peaks ENISA koostöös liikmesriikidega ja asjakohasel juhul ka statistikaasutuste ja muude asutustega koguma asjassepuutuvat avalikult kättesaadavat või vabatahtlikult jagatavat teavet ning analüüsima kujunemisjärgus tehnoloogiaid ja andma teemakohaseid hinnanguid võrgu- ja infoturbe, eeskätt küberturvalisuse tehnoloogiliste uuenduste eeldatavale ühiskondlikule, õiguslikule, majanduslikule ja regulatiivsele mõjule. Peale selle peaks ENISA toetama küberohtude, turvanõrkuste ja intsidentide analüüsimise kaudu liikmesriike ja liidu institutsioone, organeid ja asutusi esilekerkivate küberturvalisuse riskide kindlakstegemisel ja intsidentide ennetamisel.

(39)

ENISA peaks liidu vastupidavuse suurendamiseks arendama oskusteavet seoses nende küberturvalisuse taristutega, mis toetavad eeskätt direktiivi (EL) 2016/1148 II lisas loetletud sektoreid ja mida kasutavad kõnealuse direktiivi III lisas loetletud digitaalsete teenuste osutajad, andes nõuandeid ja suuniseid ning vahetades parimaid tavasid. Et tagada hõlpsam juurdepääs paremini struktureeritud teabele küberturvalisuse riskide ja võimalike vastumeetmete kohta, peaks ENISA arendama välja liidu teabekeskuse ja hoidma seda käigus; liidu teabekeskus oleks universaalne portaal, mis jagaks üldsusele küberturvalisuse kohta teavet, mis on saadud liidu ja riikide institutsioonidelt, organitelt ja asutustelt. Küberturvalisuse riske ja võimalikke vastumeetmeid käsitlevale paremini struktureeritud teabele juurdepääsu võimaldamine võib ka aidata liikmesriikidel oma suutlikkust parandada ja tavasid ühtlustada ning suurendada seega nende üldist vastupidavusvõimet küberrünnete suhtes.

(40)

ENISA peaks aitama parandada üldsuse teadlikkust küberturvalisuse riskidest, sealhulgas ELi ülese teadlikkuse parandamise kampaania kaudu hariduse edendamise abil, ja jagama kodanikele, organisatsioonidele ja ettevõtjatele mõeldud individuaalsete kasutajate headel tavadel põhinevaid suuniseid. ENISA peaks aitama kaasa ka parimate tavade ja lahenduste, sealhulgas küberhügieeni ja küberkirjaoskuse propageerimisele kodanike, organisatsioonide ja ettevõtjate tasandil, kogudes ja analüüsides avalikult kättesaadavat teavet oluliste intsidentide kohta ning koostades ja avaldades aruanded ja suunised kodanikele, organisatsioonidele ja ettevõtjatele, et parandada nende valmisoleku ja vastupidavuse üldist taset. ENISA peaks ka püüdma pakkuda tarbijatele asjakohast teavet kohaldatavate sertifitseerimise kavade kohta, näiteks andes suuniseid ja soovitusi. Lisaks peaks ENISA korraldama kooskõlas komisjoni 17. jaanuari 2018. aasta teatise kohase digiõppe tegevuskavaga ning koostöös liikmesriikide ja liidu institutsioonide, organite ja asutustega korrapäraseid lõppkasutajatele suunatud üldsuse harimise ja teavituskampaaniaid, mille eesmärk on propageerida üksikisikute ohutumat veebikäitumist ja digikirjaoskust, parandada teadlikkust võimalikest küberohtudest, sealhulgas sellisest kriminaalsest tegevusest veebis nagu andmepüügi rünnakud, robotvõrgud, finants- ja pangapettused ning andmetega seotud pettused, ning tutvustada mitmetegurilise autentimise, paikamise, krüptimise, andmete anonüümseks muutmise ja andmekaitse alaseid nõuandeid.

(41)

ENISA-l peaks olema keskne roll selles, et lõppkasutajad saaksid kiiremini teadlikuks seadmete turvalisusest ja teenuste turvalisest kasutamisest, ja edendama liidu tasandil sisseprojekteeritud turvet ja lõimprivaatsust. Selle eesmärgi poole püüdlemisel peaks ENISA kasutama olemasolevaid parimaid tavasid ja kogemusi, eriti neid, mis on pärit teadusasutustelt ja IT-turvalisusega tegelevatelt teadlastelt.

(42)

Küberturvalisuse sektoris tegutsevate ettevõtjate, aga ka küberturvalisuse lahenduste kasutajate toetuseks peaks ENISA rajama nn turuseirekeskuse ja seda käigus hoidma, analüüsides korrapäraselt nii küberturvalisuse turu nõudluse kui ka pakkumise poole peamisi suundumusi ja jagades selle kohta teavet.

(43)

ENISA peaks aitama kaasa liidu jõupingutustele teha koostööd rahvusvaheliste organisatsioonidega ning küberturvalisuse valdkonna asjakohastes rahvusvahelise koostöö raamistikes. Eelkõige peaks ENISA asjakohasel juhul aitama kaasa koostööle selliste organisatsioonidega nagu OECD, OSCE ja NATO. Selline koostöö võiks hõlmata küberturvalisuse ühisõppusi ja intsidentidele ühiselt reageerimise koordineerimist. Need tegevused peavad täielikult austama kaasavuse, vastastikkuse ja liidu otsuste tegemise autonoomsuse põhimõtteid, mõjutamata ühegi liikmesriigi julgeoleku- ja kaitsepoliitika eripära.

(44)

Tagamaks, et ENISA saavutab oma eesmärgid täies ulatuses, peaks ta suhtlema asjaomaste liidu järelevalve- ja muude pädevate asutustega, liidu institutsioonide, organite ja asutustega, kelle hulgas on CERT-EU, EC3, Euroopa Kaitseagentuur (EDA), Ülemaailmne Satelliitnavigatsioonisüsteemi Euroopa Agentuur (Euroopa GNSSi Agentuur), Elektroonilise Side Euroopa Reguleerivate Asutuste Ühendatud Amet (BEREC), Vabadusel, Turvalisusel ja Õigusel Rajaneva Ala Suuremahuliste IT-süsteemide Operatiivjuhtimise Euroopa Amet (eu-LISA), Euroopa Keskpank (EKP), Euroopa Pangandusjärelevalve (EBA), Euroopa Andmekaitsenõukogu, Energeetikasektorit Reguleerivate Asutuste Koostööamet (ACER), Euroopa Liidu Lennundusohutusamet (EASA) ja muud liidu asutused, kes tegelevad küberturvalisusega. Samuti peaks ENISA suhtlema andmekaitsega tegelevate ametiasutustega, et vahetada oskusteavet ja parimaid tavasid ning anda nõu küberturvalisuse küsimustes, mis võivad nende tööd mõjutada. Liikmesriikide ja liidu õiguskaitseasutuste ning andmekaitseasutuste esindajad peaksid olema esindatud ENISA nõuanderühmas. Õiguskaitseasutustega koostöö tegemisel võrgu- ja infoturbe küsimustes, mis võivad nende tööd mõjutada, peaks ENISA arvestama olemasolevate teabekanalite ja rajatud võrgustikega.

(45)

Tuleks luua partnerlussuhted teadusasutustega, kel on asjaomastes valdkondades teadusalgatusi, ning tuleks tagada asjakohased kanalid tarbija- ja teiste organisatsioonide panustamiseks ja nende panust tuleks arvesse võtta.

(46)

ENISA, täites CSIRTide võrgustiku sekretariaadi rolli, peaks toetama liikmesriikide CSIRTe ja CERT-EUd operatiivkoostöös seoses CSIRTide võrgustiku asjaomaste ülesannetega, millele on osutatud direktiivis (EL) 2016/1148. Veelgi enam, ENISA peaks edendama ja toetama asjaomaste CSIRTide koostööd, kui toimuvad intsidendid, ründed või häired CSIRTide hallatavates või kaitstavates võrkudes või taristutes, mis hõlmavad või võivad hõlmata vähemalt kahte CSIRTi, võttes seejuures arvesse CSIRTide võrgustiku standardset töökorda.

(47)

Selleks et suurendada liidu valmisolekut reageerida intsidentidele, peaks ENISA korrapäraselt korraldama liidu tasandil küberturvalisuse õppusi ning toetama liikmesriike ja liidu institutsioone, organeid ja asutusi nende taotluse korral selliste õppuste korraldamisel. Iga kahe aasta järel tuleks korraldada põhjalik suurõppus, mis hõlmab tehnilisi, operatiivseid ja strateegilisi elemente. Lisaks peaks ENISA saama korrapäraselt korraldada vähem põhjalikke õppusi, millel on sama eesmärk – parandada liidu valmisolekut reageerida intsidentidele.

(48)

ENISA peaks edasi arendama ja säilitama oma oskusteavet küberturvalisuse sertifitseerimise kohta, et toetada liidu poliitikat selles valdkonnas. ENISA peaks tuginema olemasolevatele parimatele tavadele ja edendama küberturvalisuse sertifitseerimise kasutuselevõttu liidus muu hulgas sellega, et aitab kehtestada liidu tasandil küberturvalisuse sertifitseerimise raamistiku („Euroopa küberturvalisuse sertifitseerimise raamistik“) ja seda hallata, et suurendada IKT-toodete, -teenuste ja -protsesside küberturvalisuse usaldusväärsuse läbipaistvust ning tugevdada seeläbi usaldust digitaalse siseturu vastu ja selle konkurentsivõimet.

(49)

Tõhusad küberturvalisuse alased poliitikameetmed peaksid tuginema hästi väljatöötatud riskihindamismeetoditele, seda nii avalikus kui ka erasektoris. Riskihindamismeetodeid kasutatakse erinevatel tasanditel ning puudub nende tõhusa kohaldamise ühine tava. Riskide hindamise ja koostalitlusvõimeliste riskihalduse lahenduste parimate tavade propageerimine ja arendamine avaliku ja erasektori organisatsioonides tõstab küberturvalisuse taset liidus. Selleks peaks ENISA toetama sidusrühmade koostööd liidu tasandil ja hõlbustama nende jõupingutusi seoses elektrooniliste toodete, süsteemide, võrkude ja teenuste – mis koos tarkvaraga moodustavad võrgu- ja infosüsteemid – riskihalduse ja mõõdetava turvalisuse Euroopa ja rahvusvaheliste standardite väljatöötamise ja kasutuselevõtmisega.

(50)

ENISA peaks innustama liikmesriike ning IKT-toodete, - teenuste ja -protsesside tootjaid ja pakkujaid tõstma oma üldisi turbestandardeid, et kõik internetikasutajad saaksid võtta vajalikud meetmed oma isikliku küberturvalisuse tagamiseks ja oleksid motiveeritud seda tegema. Eelkõige peaksid IKT-toodete, - teenuste ja -protsesside tootjad ja pakkujad pakkuma vajalikke uuendusi ning nõudma tagasi, võtma tagasi või taaskasutusse IKT-tooted, -teenused ja -protsessid, mis ei vasta küberturvalisuse standarditele, samas kui importijad ja turustajad peaksid tagama, et nende poolt liidu turule lastud IKT-tooted, -teenused ja -protsessid vastavad kohaldatavatele nõuetele ning ei kujuta endast ohtu liidu tarbijatele.

(51)

ENISA peaks saama koostöös pädevate asutustega jagada teavet siseturul pakutavate IKT-toodete, -teenuste ja -protsesside küberturvalisuse taseme kohta ning avaldama IKT-toodete, - teenuste ja -protsesside tootjatele ja pakkujatele suunatud hoiatusi, milles nõutakse nende IKT-toodete, -teenuste ja -protsesside turvalisuse, sealhulgas küberturvalisuse parandamist.

(52)

ENISA peaks täies ulatuses võtma arvesse käimasolevaid teadus- arendustegevusi ning tehnoloogilisi hindamisi, eelkõige neid, mida tehakse erinevates liidu teadusalgatustes, et nõustada liidu institutsioone, organeid ja asutusi ning kui see on asjakohane, liikmesriike nende taotlusel seoses vajadusega teadusuuringute järele ja prioriteetidega küberturvalisuse valdkonnas. ENISA peaks teadusuuringute vajaduste ja prioriteetide kindlakstegemiseks konsulteerima ka asjaomaste kasutajarühmadega. Konkreetsemalt tuleks sisse seada koostöö Euroopa Teadusnõukogu, Euroopa Innovatsiooni- ja Tehnoloogiainstituudi ning Euroopa Liidu Julgeoleku-uuringute Instituudiga.

(53)

ENISA peaks Euroopa küberturvalisuse sertifitseerimise kavade koostamisel korrapäraselt konsulteerima standardiorganisatsioonidega, eriti Euroopa standardiorganisatsioonidega.

(54)

Küberohud on ülemaailmsed. Vaja on teha tihedamat rahvusvahelist koostööd, et parandada küberturvalisuse standardeid (sealhulgas määrata kindlaks ühised käitumisnormid ja võtta vastu tegevusjuhendid), rahvusvaheliste standardite kasutamist ja teabe jagamist, millega edendatakse nii kiiremat rahvusvahelist koostööd võrgu- ja infoturbe probleemidele reageerimise valdkonnas kui ka ühtset ülemaailmset lähenemisviisi neis küsimustes. Selleks peaks ENISA toetama liidu tihedamat kaasamist ning koostööd kolmandate riikide ja rahvusvaheliste organisatsioonidega, pakkudes asjakohasel juhul asjaomastele liidu institutsioonidele, organitele ja asutustele vajalikku oskusteavet ja analüüsi.

(55)

ENISA peaks saama reageerida liikmesriikide ja liidu institutsioonide, organite ja asutuste ad hoc nõuande- ja abitaotlustele ENISA pädevusse kuuluvates küsimustes.

(56)

ENISA juhtimisel on mõistlik ja soovitav rakendada teatavaid põhimõtteid, et järgida 2012. aasta juulis institutsioonidevahelises ELi detsentraliseeritud asutuste töörühmas kokkulepitud ühisavaldust ja ühist lähenemisviisi, mille eesmärk on ühtlustada detsentraliseeritud asutuste tegevust ja parandada nende toimimist. Ühisavalduses ja ühises lähenemisviisis sisalduvad soovitused peaksid samuti asjakohaselt kajastuma ENISA tööprogrammides, ENISA hindamistes ning ENISA aruandlus- ja haldustavades.

(57)

Liikmesriikide ja komisjoni esindajatest koosnev haldusnõukogu peaks määrama kindlaks ENISA tegevuse üldsuuna ning tagama, et ENISA täidab oma ülesandeid vastavalt käesolevale määrusele. Haldusnõukogule tuleks anda õigus koostada ENISA eelarve ja kontrollida selle täitmist, võtta vastu kohased finantsreeglid, kehtestada ENISA otsuste tegemiseks läbipaistev kord, võtta vastu ENISA ühtne programmdokument, võtta vastu ENISA kodukord, nimetada ametisse tegevdirektor ning otsustada tegevdirektori ametiaja pikendamise ja tema ametiaja lõpetamise üle.

(58)

ENISA nõuetekohaseks ja tulemuslikuks toimimiseks peaksid komisjon ja liikmesriigid tagama, et haldusnõukogu liikmeteks nimetatavatel isikutel on vajalikud erialateadmised ja kogemus. Komisjon ja liikmesriigid peaksid püüdma piirata oma esindajate vahetumist haldusnõukogus, et tagada selle töö järjepidevus.

(59)

ENISA sujuvaks toimimiseks on tarvis, et tegevdirektor nimetataks ametisse pidades silmas tema teeneid, dokumenteeritud haldamis- ja juhtimisoskust ning küberturvalisuse alaseid teadmisi ja kogemusi. Tegevdirektori ülesandeid tuleks täita täiesti sõltumatult. Tegevdirektor peaks pärast komisjoniga konsulteerimist koostama ettepaneku ENISA iga-aastase tööprogrammi kohta ning võtma kõik vajalikud meetmed tööprogrammi nõuetekohase elluviimise tagamiseks. Tegevdirektor peaks koostama igal aastal haldusnõukogule esitatava aruande, mis käsitleb ENISA iga-aastase tööprogrammi rakendamist, koostama ENISA tulude ja kulude kalkulatsiooni eelnõu ning vastutama eelarve täitmise eest. Lisaks peaks tegevdirektoril olema võimalik moodustada ajutisi töörühmi selleks, et käsitleda konkreetseid, eeskätt teaduslikku, tehnilist, õiguslikku või sotsiaal-majanduslikku laadi küsimusi. Ajutise töörühma moodustamine on vajalik eelkõige seoses konkreetse Euroopa küberturvalisuse sertifitseerimise ettevalmistava kava („ettevalmistav kava“) koostamisega. Tegevdirektor peaks tagama, et ajutiste töörühmade liikmed valitakse kõige põhjalikumate erialateadmiste põhjal, püüdes tagada soolise tasakaalu ning selle, et seal oleksid (lähtuvalt sellest, kuidas see on konkreetset küsimust arvestades asjakohane) tasakaalustatult esindatud liikmesriikide ametiasutused, liidu institutsioonid, organid ja asutused ning erasektor, sealhulgas majandusringkonnad, kasutajad ning võrgu- ja infoturbe alal pädevad teaduseksperdid.

(60)

Juhatus peaks aitama kaasa haldusnõukogu tõhusale toimimisele. Osana haldusnõukogu otsustega seotud ettevalmistustööst peaks juhatus põhjalikult analüüsima asjakohast teavet, olemasolevaid võimalusi ning pakkuma nõuandeid ja lahendusi haldusnõukogu asjakohaste otsuste ettevalmistamiseks.

(61)

ENISA-l peaks olema nõuandva organina ENISA nõuanderühm, mis tagaks korrapärase dialoogi erasektori, tarbijate organisatsioonide ja teiste asjaomaste sidusrühmadega. Tegevdirektori ettepanekul haldusnõukogu moodustatud ENISA nõuanderühm peaks keskenduma sidusrühmade jaoks olulistele küsimustele ja juhtima neile ENISA tähelepanu. Eelkõige tuleks ENISA nõuanderühmaga konsulteerida ENISA iga-aastase tööprogrammi kavandi üle. ENISA nõuanderühm koosseis ja ülesanded peaksid tagama sidusrühmade piisava esindatuse ENISA töös.

(62)

Tuleks moodustada sidusrühmade küberturvalisuse sertifitseerimise rühm, et aidata ENISA-l ja komisjonil hõlbustada konsulteerimist asjaomaste sidusrühmadega. Sidusrühmade küberturvalisuse sertifitseerimise rühma liikmed peaksid esindama tasakaalustatud viisil tööstust, nii IKT-toodete ja -teenuste nõudluse kui pakkumise poolelt, muu hulgas eelkõige VKEsid, digitaalsete teenuste osutajaid, Euroopa ja rahvusvahelisi standardiasutusi, riiklikke akrediteerimisasutusi, andmekaitse järelevalveasutusi ning Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 765/2008 (16) kohaseid vastavushindamisasutusi ning teadusasutusi ja tarbijaorganisatsioone.

(63)

ENISA peaks võtma vastu huvide konfliktide ennetamise ja lahendamise normid. ENISA peaks kohaldama ka asjaomaseid liidu sätteid, mis käsitlevad üldsuse juurdepääsu dokumentidele, nagu on sätestatud Euroopa Parlamendi ja nõukogu määruses (EÜ) nr 1049/2001 (17). ENISA peaks isikuandmeid töötlema vastavalt Euroopa Parlamendi ja nõukogu määrusele (EL) 2018/1725 (18). ENISA peaks teabe, eelkõige tundliku salastamata teabe ja Euroopa Liidu salastatud teabe käitlemisel järgima liidu institutsioonide, organite ja asutuste kohta kehtivaid sätteid ja liikmesriikide õigusakte.

(64)

Et tagada ENISA täielik autonoomia ja sõltumatus ning võimaldada tal täita lisaülesandeid, sealhulgas kiireloomulisi erakorralisi ülesandeid, tuleks ENISA-le eraldada piisav ja autonoomne eelarve, mille peamine tulu tuleks liidu toetusest ja ENISA töös osalevate kolmandate riikide rahalisest osalusest. Piisav eelarve on ülioluline tagamaks, et ENISA-l on kõigi oma lisanduvate ülesannete täitmiseks ja eesmärkide saavutamiseks vajalik suutlikkus. Enamik ENISA töötajaid peaks olema otseselt tegevad ENISA volituste täitmisel. Asukohaliikmesriigil ja igal muul liikmesriigil peaks olema lubatud teha ENISA eelarvesse vabatahtlikult sissemakseid. Liidu eelarvemenetluse kohaldamist tuleks jätkata kõigi toetuste suhtes, mida makstakse liidu üldeelarvest. Lisaks sellele peaks ENISA raamatupidamisarvestust läbipaistvuse ja vastutuse tagamiseks auditeerima kontrollikoda.

(65)

Küberturvalisuse sertifitseerimisel on tähtis roll IKT-toodete, -teenuste ja -protsesside usaldusväärsuse ja turvalisuse parandamisest. Digitaalne ühtne turg ning eelkõige andmepõhine majandus ja asjade internet saavad olla edukad vaid juhul, kui avalikkusel on kindlustunne, et sellised tooted, teenused ja protsessid pakuvad teatavat küberturvalisuse taset. Internetiühendusega ja automatiseeritud autod, elektroonilised meditsiiniseadmed, tööstuslikud automatiseeritud juhtimissüsteemid ja arukad võrgud on vaid mõned näited sektoritest, kus sertifitseerimist juba ulatuslikult kasutatakse või tõenäoliselt hakatakse lähitulevikus kasutama. Direktiiviga (EL) 2016/1148 reguleeritud sektorid on ka sektorid, kus küberturvalisuse sertifitseerimine on äärmiselt oluline.

(66)

2016. aasta teatises „Euroopa kübervastupidavusvõime süsteemi tugevdamine ning konkurentsivõimelise ja uuendusliku küberjulgeolekutööstuse soodustamine“ tõi komisjon välja vajaduse kvaliteetsete, taskukohaste ja koostalitlusvõimeliste küberturvalisuse toodete ja -lahenduste järele. IKT-toodete, -teenuste ja -protsesside pakkumine ühtsel turul on geograafiliselt endiselt väga killustatud. Selle põhjuseks on asjaolu, et küberturvalisuse tööstus on Euroopas peamiselt arenenud liikmesriikide valitsuste nõudluse najal. Lisaks kuulub kübeturvalisuse ühtse turu kitsaskohtade hulka koostalitusvõimeliste lahenduste (tehniliste standardite), tavade ja kogu liitu hõlmavate sertifitseerimismehhanismide puudumine. See teeb liikmesriigi, liidu ja üleilmsel tasandil konkureerimise Euroopa ettevõtjate jaoks keerukaks. Samuti tähendab see üksikisikute ja ettevõtjate jaoks võimaliku ja kasutatava küberturvalisuse tehnoloogia kättesaadavust väiksemas valikus. Sarnaselt märkis komisjon oma 2017. aasta teatises „Digitaalse ühtse turu strateegia rakendamise vahekokkuvõte. Ühendatud digitaalne ühtne turg kõigile“ vajadust turvaliste võrgustatud toodete ja süsteemide järele ning märkis, et Euroopa IKT turvalisuse raamistiku loomine, millega kehtestatakse õigusnormid selle kohta, kuidas korraldada IKT turvalisuse sertifitseerimist liidus, võib aidata säilitada usaldust interneti vastu ja vähendada siseturu praegust killustatust.

(67)

Praegu kasutatakse IKT-toodete, -teenuste ja -protsesside küberturvalisuse sertifitseerimist üksnes piiratud ulatuses. Kui sertifitseerimine on olemas, siis peamiselt liikmesriigi tasandil või tööstusest lähtuvate kavade raames. Sellistes tingimustes ei tunnusta liikmesriigid üldiselt teise liikmesriigi riikliku küberturvalisuse sertifitseerimise asutuse poolt välja antud sertifikaati. Seega võib juhtuda, et ettevõtted peavad sertifitseerima oma IKT-tooted, -teenused ja -protsessid mitmes liikmesriigis, kus nad tegutsevad, näiteks et osaleda riiklikes hankemenetlustes, mis aga suurendab nende ettevõtete kulusid. Lisaks sellele paistab, et kuigi on tekkimas uusi kavasid, ei ole ühtset ja terviklikku lähenemisviisi küberturvalisuse horisontaalsetele küsimustele, näiteks asjade interneti valdkonnas. Olemasolevatel kavadel on märkimisväärseid puudujääke ning erinevusi tootehõlmavuses, usaldusväärsuse tasemetes, sisulistes kriteeriumides ja tegelikus kasutamises, mis takistab vastastikuse tunnustamise mehhanismide toimimist liidus.

(68)

On tehtud mõningaid pingutusi, et tagada liidus sertifikaatide vastastikune tunnustamine. See on olnud aga vaid osaliselt edukas. Kõige olulisem näide siinkohal on kõrgemate ametnike infosüsteemide turvalisuse rühma (SOG-IS, Senior Officials Group – Information Systems Security) vastastikuse tunnustamise kokkulepe. Kuigi see on kõige tähtsam koostöö ja vastastikuse tunnustamise mudel turvalisuse sertifitseerimise valdkonnas, hõlmab SOG-IS üksnes mõnda liikmesriiki. See asjaolu on piiranud SOG-IS vastastikuse tunnustamise kokkuleppe tulemuslikkust siseturu seisukohast.

(69)

Seetõttu on vaja võtta vastu ühine lähenemisviis ja luua Euroopa küberturvalisuse sertifitseerimise raamistik, milles kehtestatakse välja töötatavate Euroopa küberturvalisuse sertifitseerimise kavade peamised horisontaalsed nõuded ning mis võimaldab tunnustada ja kasutada IKT-toodete, -teenuste või -protsesside Euroopa küberturvalisuse sertifikaate ja ELi vastavusdeklaratsioone kõigis liikmesriikides. Seejuures on oluline tugineda olemasolevatele riiklikele ja rahvusvahelistele kavadele ning vastastikuse tunnustamise süsteemidele, eelkõige SOG-ISile, ning võimaldada selliste süsteemide kohastelt olemasolevatelt kavadelt sujuvat üleminekut uue Euroopa küberturvalisuse sertifitseerimise raamistiku kohastele kavadele. Euroopa küberturvalisuse sertifitseerimise raamistikul peaks olema kaks eesmärki. Esiteks peaks see aitama suurendada usaldust Euroopa küberturvalisuse sertifitseerimise kavade kohaselt sertifitseeritud IKT-toodete, -teenuste ja -protsesside vastu. Teiseks peaks see aitama vältida üksteisele vastukäivate või kattuvate riiklike küberturvalisuse sertifitseerimise kavade paljusust ja seeläbi vähendama digitaalsel ühtsel turul tegutsevate ettevõtjate kulusid. Euroopa küberturvalisuse sertifitseerimise kavad peaksid olema mittediskrimineerivad ning põhinema Euroopa või rahvusvahelistel standarditel, välja arvatud juhul, kui need standardid on ebatõhusad või ebasobivad liidu õiguspäraste eesmärkide saavutamiseks selles valdkonnas.

(70)

Euroopa küberturvalisuse sertifitseerimise raamistik tuleks kehtestada ühetaoliselt kõikides liikmesriikides, et vältida „sertifikaatide ostlemist“, mida põhjustab nõuete erinevus liikmesriikides.

(71)

Euroopa küberturvalisuse sertifitseerimise kavad peaksid tuginema rahvusvahelisel ja riiklikul tasandil juba olemasolevatele kavadele ning vajaduse korral foorumite ja konsortsiumite tehnilistele kirjeldustele, õppides praegustest tugevatest külgedest ning hinnates ja parandades puudusi.

(72)

Selleks et tööstus suudaks ennetada küberohte, on vaja paindlikke küberturvalisuse lahendusi, mistõttu tuleks iga sertifitseerimiskava koostada viisil, mis väldib kiire aegumise riski.

(73)

Komisjonile tuleks anda õigus võtta vastu Euroopa küberturvalisuse sertifitseerimise kavad konkreetsete IKT-toodete, -teenuste ja -protsesside rühmade kohta. Neid kavu peaksid rakendama ja nende üle järelevalvet tegema riiklikud küberturvalisuse sertifitseerimise asutused ning nende kavade kohaselt välja antud sertifikaadid peaksid kehtima ja olema tunnustatud kogu liidus. Tööstuse või muude eraorganisatsioonide rakendatavad sertifitseerimiskavad peaksid jääma käesoleva määruse kohaldamisalast välja. Siiski peaksid saama selliseid kavu haldavad asutused teha komisjonile ettepaneku kaaluda nende kavade heakskiitmist Euroopa küberturvalisuse sertifitseerimise kavana.

(74)

Käesoleva määruse sätted ei tohiks mõjutada liidu õigust, milles on sätestatud erinormid IKT-toodete, -teenuste ja -protsesside sertifitseerimise kohta. Eelkõige sisaldab määrus (EL) 2016/679 sätteid selliste sertifitseerimismehhanismide ning andmekaitsepitserite ja -märgiste kasutuselevõtuks, mille abil saab tõendada, et vastutavate töötlejate ja volitatud töötlejate isikuandmete töötlemise toimingud vastavad kõnealusele määrusele. Sellised sertifitseerimismehhanismid ning andmekaitsepitserid ja -märgised peaksid võimaldama andmesubjektidel kiiresti hinnata asjakohaste IKT-toodete, -teenuste ja -protsesside andmekaitse taset. Käesolev määrus ei piira määruse (EL) 2016/679 kohast andmetöötlustoimingute sertifitseerimist, sealhulgas juhul, kui sellised toimingud sisalduvad IKT-toodetes, -teenustes või -protsessides.

(75)

Euroopa küberturvalisuse sertifitseerimise kavade eesmärk peaks olema tagada, et nende kavade kohaselt sertifitseeritud IKT-tooted, -teenused ja -protsessid vastavad kirjeldatud nõuetele, eesmärgiga kaitsta salvestatud, edastatud või töödeldud andmete või nende toodete, teenuste ja protsesside asjaomaste funktsioonide või nende poolt pakutavate või nende kaudu juurdepääsetavate teenuste käideldavust, autentsust, terviklust või konfidentsiaalsust kogu olelusringi kestel. Käesolevas määruses ei ole võimalik üksikasjalikult sätestada kõigi IKT-toodete, -teenuste ja -protsesside suhtes kohaldatavaid küberturvalisuse nõudeid. IKT-tooted, -teenused ja -protsessid ning nendega seotud küberturvalisuse vajadused on nii mitmekesised, et on väga raske esitada üldiseid küberturvalisuse nõudeid, mis kehtiksid igas olukorras. Seetõttu on vaja sertifitseerimise eesmärgil võtta kasutusele lai ja üldine küberturvalisuse mõiste, mida peaks täiendama rida konkreetseid küberturvalisuse eesmärke, mida tuleb Euroopa küberturvalisuse sertifitseerimise kavade koostamisel arvesse võtta. Nende eesmärkide saavutamise üksikasjad konkreetsete IKT-toodete, -teenuste ja -protsesside puhul tuleks täiendavalt täpsustada igas individuaalses sertifitseerimiskavas, mille komisjon vastu võtab, näiteks viidates standarditele või tehnilistele kirjeldustele, kui asjakohased standardid puuduvad.

(76)

Euroopa küberturvalisuse sertifitseerimise kavas kasutatavad tehnilised kirjeldused peaksid järgima Euroopa Parlamendi ja nõukogu määruse (EL) nr 1025/2012 (19) II lisas sätestatud nõudeid. Mõned kõrvalekalded nendest nõuetest võivad siiski olla vajalikud põhjendatud juhtudel, kui nimetatud tehnilisi kirjeldusi kasutatakse Euroopa küberturvalisuse sertifitseerimise kavas, mis osutab kõrgele usaldusväärsuse tasemele. Selliste kõrvalekallete põhjused tuleks teha avalikult kättesaadavaks.

(77)

Vastavushindamine on protsess, mille käigus hinnatakse, kas IKT-toote, -teenuse või -protsessiga seotud erinõuded on täidetud. Seda protsessi viib läbi sõltumatu kolmas isik, kes ei ole IKT-toote, -teenuse või -protsessi tootja ega pakkuja. IKT-toote, -teenuse või -protsessi eduka hindamise tulemusel tuleks välja anda Euroopa küberturvalisuse sertifikaat. Euroopa küberturvalisuse sertifikaati tuleks käsitada kinnitusena, et hindamine on nõuetekohaselt läbi viidud. Sõltuvalt usaldusväärsuse tasemest tuleks Euroopa küberturvalisuse sertifikaadi kavas märkida, kas Euroopa küberturvalisuse sertifikaadi annab välja era- või avalik-õiguslik asutus. Vastavushindamine ja sertifitseerimine iseenesest ei taga, et sertifitseeritud IKT-tooted, -teenused ja -protsessid on küberturvalised. Pigem on need menetlused ja tehnilised metoodikad kinnitamaks, et IKT-tooteid, -teenuseid ja -protsesse on kontrollitud ja et need vastavad teatavatele küberturvalisuse nõuetele, mis on sätestatud mujal, näiteks tehnilistes standardites.

(78)

Euroopa küberturvalisuse sertifikaadi kasutajate poolne asjakohase sertifitseerimise ja seotud turvanõuete valik peaks põhinema IKT-toote, -teenuse või -protsessi kasutamisega seotud riskianalüüsil. Usaldusväärsuse tase peaks seega vastama IKT-toote, -teenuse või -protsessi ettenähtud kasutamisega seotud riskitasemele.

(79)

Euroopa küberturvalisuse sertifitseerimise kavas võib ette näha vastavushindamise läbiviimine IKT-toodete, -teenuste või -protsesside tootjate -pakkujate ainuvastutusel („vastavuse enesehindamine“). Sellistel juhtudel peaks piisama sellest, kui IKT-toodete, -teenuste või -protsesside tootja või pakkuja teeb ise kõik kontrollid, et tagada IKT-toodete, -teenuste või -protsesside vastavus Euroopa küberturvalisuse sertifitseerimise kavale. Vastavuse enesehindamist tuleks pidada asjakohaseks vähekeerukate (nt lihtsa konstruktsiooni ja tootmismehhanismiga) IKT-toodete, -teenuste ja -protsesside puhul, mis kujutavad endast avalikkusele väikest riski. Lisaks peaks vastavuse enesehindamine olema lubatud üksnes nende IKT-toodete, -teenuste ja -protsesside puhul, mis vastavad usaldusväärsuse baastasemele.

(80)

Euroopa küberturvalisuse sertifitseerimise kavas võib ette näha nii IKT-toodete, -teenuste või -protsesside vastavuse enesehindamise kui ka sertifitseerimise. Sellisel juhul tuleks kavas ette näha selged ja arusaadavad vahendid tarbijatele või teistele kasutajatele, et eristada IKT-tooteid, -teenuseid ja -protsesse, mida hinnatakse nende tootja või pakkuja vastutusel, nendest, mida sertifitseerib kolmas isik.

(81)

IKT-toodete, -teenuste või -protsessude tootja või pakkuja, kes viib läbi vastavuse enesehindamise, peaks olema vastavushindamismenetluse raames võimeline koostama ELi vastavusdeklaratsiooni ja selle allkirjastama. ELi vastavusdeklaratsioon on dokument, millega kinnitatakse, et teatav IKT-toode, -teenus või -protsess vastab Euroopa küberturvalisuse sertifitseerimise kavas esitatud nõuetele. ELi vastavusdeklaratsiooni koostamisel ja allkirjastamisel võtab IKT- toodete, - teenuste või -protsesside tootja või pakkuja vastutuse IKT-toote, -teenuse või -protsessi vastavuse eest Euroopa küberturvalisuse sertifitseerimise kavas esitatud õiguslikele nõuetele. ELi vastavusdeklaratsiooni koopia tuleks esitada riiklikule küberturvalisuse sertifitseerimise asutusele ja ENISA-le.

(82)

IKT-toodete, -teenuste või -protsesside tootja või pakkuja peaks hoidma ELi vastavusdeklaratsiooni, tehnilist dokumentatsiooni ja muud asjaomast teavet, mis puudutab IKT-toodete, -teenuste või -protsesside vastavust Euroopa küberturvalisuse sertifitseerimise kavale, pädevale riiklikule küberturvalisuse sertifitseerimise asutusele kättesaadavana asjaomases Euroopa küberturvalisuse sertifitseerimise kavas kindlaks määratud tähtaja jooksul. Tehnilistes dokumentides tuleks määrata kindlaks kava kohaselt kohaldatavad nõuded ja käsitleda vastavuse enesehindamiseks vajalikul määral IKT-toote, -teenuse või -protsessi projekteerimist, tootmist ja toimimist. Tehniline dokumentatsioon peaks olema koostatud nii, et see võimaldaks hinnata IKT-toote, -teenuse või -protsessi vastavust kava kohaselt kohaldatavatele nõuetele.

(83)

Euroopa küberturvalisuse sertifitseerimise raamistiku juhtimises võetakse arvesse liikmesriikide osalemist ja sidusrühmade asjakohast osalemist ning määratakse kindlaks komisjoni roll Euroopa küberturvalisuse sertifitseerimise kava planeerimises ja vastava ettepaneku tegemises, taotlemises, koostamises, vastuvõtmises ja läbivaatamises.

(84)

Komisjon, keda toetavad Euroopa küberturvalisuse sertifitseerimise rühm ja sidusrühmade küberturvalisuse sertifitseerimise rühm, peaks pärast avatud ja ulatuslikku konsultatsiooni koostama Euroopa küberturvalisuse sertifitseerimise kavasid käsitleva liidu jooksva tööprogrammi ja avaldama selle mittesiduva dokumendina. Liidu jooksev tööprogramm peaks olema strateegiline dokument, mis võimaldab eelkõige tööstusel, liikmesriikide asutustel ja standardiasutustel valmistuda juba varem ette tulevaste Euroopa küberturvalisuse sertifitseerimise kavade jaoks. Liidu jooksev tööprogramm peaks hõlmama mitmeaastast ülevaadet ettevalmistavate kavade taotluste kohta, mille komisjon kavatseb esitada ENISA-le kindlaksmääratud alusel koostamiseks. Komisjon peaks oma IKT standardimise jooksva kava ja Euroopa standardiorganisatsioonidele esitatavate standarditaotluste koostamisel võtma arvesse liidu jooksvat tööprogrammi. Arvestades uute tehnoloogiate kiiret juurutamist ja kasutuselevõttu, varem tundmatute küberturvalisuse riskide esilekerkimist ning seadusandlikku ja turuarengut, peaks komisjonil või Euroopa küberturvalisuse sertifitseerimise rühmal olema õigus taotleda, et ENISA koostaks ettevalmistavaid kavasid, mis ei sisaldu liidu jooksvas tööprogrammis. Sellistel juhtudel peaksid komisjon ja Euroopa küberturvalisuse sertifitseerimise rühm samuti hindama selliste taotluste vajalikkust, võttes arvesse käesoleva määruse üldeesmärki ning vajadust tagada järjepidevus seoses ENISA ressursside kavandamise ja kasutamisega.

Pärast sellise taotluse saamist peaks ENISA koostama põhjendamatu viivituseta konkreetsete IKT-toodete, -teenuste ja -protsesside jaoks ettevalmistava kava. Komisjon peaks hindama oma taotluse positiivset ja negatiivset mõju asjaomasele turule, eelkõige VKEdele, innovatsioonile, asjaomasele turule sisenemise tõketele ja kulule lõppkasutajate jaoks. Seejärel peaks komisjonile olema õigus võtta ENISA koostatud ettevalmistava kava põhjal rakendusaktidega vastu Euroopa küberturvalisuse sertifitseerimise kava. Võttes arvesse käesolevas määruses sätestatud üldeesmärki ja turvalisusega seotud eesmärke, tuleks komisjoni poolt vastu võetud Euroopa küberturvalisuse sertifitseerimise kavades täpsustada konkreetse kava sisu, ulatuse ja toimimise minimaalsed üksikasjad. Need üksikasjad peaksid hõlmama muu hulgas küberturvalisuse sertifitseerimise ulatust ja sisu, sealhulgas hõlmatud IKT-toodete, -teenuste ja -protsesside kategooriad, küberturvalisuse nõuete üksikasjalik kirjeldus, näiteks viide standarditele või tehnilistele kirjeldustele, konkreetsed hindamiskriteeriumid ja -meetodid ning kavandatud usaldusväärsuse tase (baastase, märkimisväärne või kõrge tase) ning asjakohasel juhul hindamise tasemed. ENISA peaks saama jätta Euroopa küberturvalisuse sertifitseerimise rühma taotluse rahuldamata. Sellise otsuse peaks tegema haldusnõukogu ja see peaks olema põhjendatud.

(85)

ENISA peaks haldama veebisaiti, mis tutvustab Euroopa küberturvalisuse sertifitseerimise kavasid ja pakub nende kohta teavet ning mis muu hulgas hõlmab taotlusi ettevalmistava kava koostamiseks ning ENISA poolt ettevalmistavas etapis läbiviidud konsulteerimise käigus saadud tagasisidet. Veebisait peaks samuti pakkuma teavet käesoleva määruse kohaselt välja antud Euroopa küberturvalisuse sertifikaatide ja ELi vastavusdeklaratsioonide kohta, sealhulgas nende kehtetuks tunnistamise ja kehtivuse lõppemise kohta. Veebisaidil tuleks ka ära märkida need riiklikud küberturvalisuse sertifitseerimise kavad, mis on asendatud Euroopa küberturvalisuse sertifitseerimise kavaga.

(86)

Euroopa sertifitseerimise kava usaldusväärsuse tase on aluseks kindlustundele, et IKT-toode, -teenus või -protsess vastab konkreetse Euroopa küberturvalisuse sertifitseerimise kava turvanõuetele. Euroopa küberturvalisuse sertifitseerimise raamistiku järjepidevuse tagamiseks peaks Euroopa küberturvalisuse sertifitseerimise kavas saama täpsustada nimetatud kava alusel väljaantud Euroopa küberturvalisuse sertifikaatide ja ELi vastavusdeklaratsioonide usaldusväärsuse tasemed. Iga Euroopa küberturvalisuse sertifikaat võib osutada ühele usaldusväärsuse tasemele: baastase, märkimisväärne tase või kõrge tase, samas kui ELi vastavusdeklaratsioon võib osutada üksnes usaldusväärsuse baastasemele. Usaldusväärsuse tasemed näitaksid IKT-toodete, -teenuste või -protsesside hindamise rangust ja põhjalikkust ning need määrataks kindlaks viitega sellega seotud tehnilistele kirjeldustele, standarditele ja menetlustele, sealhulgas tehnilistele kontrollidele, mille eesmärk on vähendada või ennetada intsidente. Iga usaldusväärsuse tase peaks olema järjepidev eri valdkondade lõikes, kus sertifitseerimist kohaldatakse.

(87)

Euroopa küberturvalisuse sertifitseerimise kavas võib täpsustada mitu hindamise taset, sõltuvalt kasutatud hindamismetoodika rangusest ja põhjalikkusest. Hindamise tase peaks vastama ühele usaldusväärsuse tasemele ja olema seotud usaldusväärsuse komponentide asjakohase kombinatsiooniga. Kõigi usaldusväärsuse tasemete puhul peaks IKT-toode, -teenus või -protsess vastavalt kavale sisaldama mitmeid turvalisi funktsioone, mis võivad hõlmata järgmist: turvaline tehasekonfiguratsioon (secure out-of-the-box configuration), märgiga kood (signed code), turvaline uuendus (secure update) ja vallutuse leevendus (exploit mitigations) ning täielik pinu või kuhja mälu kaitse (full stack or heap memory protections). Neid funktsioone tuleks arendada ja hallata, kasutades turvalisusele suunatud arendamisalaseid lähenemisviise ja seotud vahendeid, et tagada tõhusate tarkvara ja riistvara mehhanismide usaldusväärne inkorporeerimine.

(88)

Usaldusväärsuse baastaseme puhul tuleks hindamisel juhinduda vähemalt järgmistest usaldusväärsuse komponentidest: hindamine peaks hõlmama vastavushindamisasutuse poolt vähemalt IKT-toote, -teenuse või -protsessi tehnilise dokumentatsiooni läbivaatamist. Kui sertifitseerimine hõlmab IKT-protsesse, peaks tehnilist läbivaatamist kohaldama ka protsesside suhtes, mida on kasutatud IKT-toote või -teenuse projekteerimiseks, arendamiseks ja säilitamiseks. Kui Euroopa küberturvalisuse sertifitseerimise kavas nähakse ette vastavuse enesehindamine, peaks piisama sellest, kui IKT -toodete, -teenuste või -protsesside tootja või pakkuja on viinud läbi enesehindamise IKT-toote, -teenuse või -protsessi vastavuse kohta sertifitseerimise kavale.

(89)

Märkimisväärse usaldusväärsuse taseme puhul tuleks hindamisel lisaks usaldusväärsuse baastaseme nõuetele juhinduda vähemalt IKT-toote, -teenuse või -protsessi turvafunktsioonide vastavuse kontrollimisest nimetatud toote, teenuse või protsessi tehnilisele dokumentatsioonile.

(90)

Kõrge usaldusväärsuse taseme puhul tuleks hindamisel lisaks märkimisväärsele usaldusväärsuse taseme nõuetele juhinduda vähemalt tõhususe kontrollist, mille käigus hinnatakse IKT-toote, -teenuse või -protsessi turvafunktsioonide võimet panna vastu isikutele, kes panevad märkimisväärsete oskuste ja vahendite abil toime läbimõeldud küberründeid.

(91)

Euroopa küberturvalisuse sertifitseerimise ja ELi vastavusdeklaratsiooni kasutamine peaks jääma vabatahtlikuks, kui liidu õiguse või liidu õiguse kohaselt vastu võetud liikmesriikide õiguses pole sätestatud teisiti. Ühtlustatud liidu õiguse puudumise korral võivad liikmesriigid võtta vastu riiklikke tehnilisi norme vastavalt Euroopa Parlamendi ja nõukogu direktiivile (EL) 2015/1535 (20), nähes ette kohustusliku sertifitseerimise Euroopa küberturvalisuse sertifitseerimise kava alusel. Liikmesriigid saavad Euroopa küberturvalisuse sertifitseerimist kasutada ka riigihangete ning Euroopa Parlamendi ja nõukogu direktiivi 2014/24/EL (21) kontekstis.

(92)

Mõnes valdkonnas võib tulevikus olla vajalik kehtestada küberturvalisuse erinõuded ning muuta sertifitseerimine teatavate IKT-toodete, -teenuste või -protsesside puhul kohustuslikuks, et parandada küberturvalisuse taset liidus. Komisjon peaks korrapäraselt jälgima vastuvõetud Euroopa küberturvalisuse sertifitseerimise kavade mõju turvaliste IKT-toodete, -teenuste ja -protsesside kättesaadavusele siseturul ning korrapäraselt hindama sertifitseerimise kavade kasutamist IKT-toodete, -teenuste ja -protsesside tootjate ja pakkujate poolt liidus. Euroopa küberturvalisuse sertifitseerimise kavade tõhusust ja seda, kas konkreetne kava tuleks muuta kohustuslikuks, tuleks hinnata küberturvalisusega seotud liidu õigusakte, eelkõige direktiivi (EL) 2016/1148 silmas pidades ning võttes arvesse oluliste teenuste operaatorite poolt kasutatavate võrgu- ja infosüsteemide turvalisust.

(93)

Euroopa küberturvalisuse sertifikaadid ja ELi vastavusdeklaratsioonid peaksid aitama lõppkasutajatel teha teadlikke valikuid. Seega peaks sertifitseeritud või ELi vastavusdeklaratsiooni saanud IKT-toodete, -teenuste ja -protsessidega kaasnema struktureeritud teave, mis on kohandatud kavandatud lõppkasutaja eeldatavale tehnilisele tasemele. Kogu teave peaks olema kättesaadav veebis ning asjakohasel juhul füüsilisel kujul. Lõppkasutajale peaksid olema kättesaadavad viited sertifitseerimiskava numbrile, usaldusväärsuse tasemele, IKT-toote, -teenuse ja -protsessiga seotud küberturvalisuse riskide kirjeldusele, väljaandvale asutusele, või tal peaks olema võimalik saada Euroopa küberturvalisuse sertifikaadi koopia. Lisaks tuleks lõppkasutajat teavitada IKT-toodete, -teenuste ja -protsesside tootja või pakkuja küberturvalisuse toetuspoliitikast, nimelt sellest, kui kaua võib lõppkasutaja eeldada, et ta saab küberturvalisuse uuendusi või parandusi. Kui see on kohaldatav, tuleks anda suuniseid meetmete või seadistuste kohta, mida lõppkasutaja saab kasutada IKT-toote või -teenuse küberturvalisuse säilitamiseks või parandamiseks, ning esitada ühtse kontaktpunkti kontaktandmed küberrünnakutest teatamiseks ja nende puhul toe saamiseks (lisaks automaatsele teatamisele). Seda teavet tuleks korrapäraselt ajakohastada ja see peaks olema kättesaadav Euroopa küberturvalisuse sertifitseerimise kavade kohta teavet pakkuval veebisaidil.

(94)

Käesoleva määruse eesmärkide saavutamiseks ja siseturu killustumise vältimiseks tuleks lõpetada riiklike küberturvalisuse sertifitseerimise kavade või menetluste kohaldamine Euroopa küberturvalisuse sertifitseerimise kavaga hõlmatud IKT-toodete, -teenuste ja -protsesside suhtes alates kuupäevast, mille komisjon kehtestab rakendusaktidega. Lisaks ei peaks liikmesriigid kehtestama uusi riiklikke küberturvalisuse sertifitseerimise kavasid IKT-toodetele, -teenustele või -protsessidele, mis on juba kaetud kehtiva Euroopa küberturvalisuse sertifitseerimise kavaga. Liikmesriike ei tohiks aga takistada võtmast vastu või säilitamast riiklikke küberturvalisuse sertifitseerimise kavasid riikliku julgeolekuga seotud eesmärkidel. Liikmesriigid peaksid teatama komisjonile ja Euroopa küberturvalisuse sertifitseerimise rühmale kavatsusest koostada uusi riiklikke küberturvalisuse sertifitseerimise kavasid. Komisjon ja Euroopa küberturvalisuse sertifitseerimise rühm peaksid hindama uute riiklike küberturvalisuse sertifitseerimise kavade mõju siseturu nõuetekohasele toimimisele ning võtma sealjuures arvesse strateegilist huvi taotleda selle asemel Euroopa küberturvalisuse sertifitseerimise kava koostamist.

(95)

Euroopa küberturvalisuse sertifitseerimise kavade eesmärk on ühtlustada küberturvalisuse tavasid liidus. Nad peavad aitama kaasa küberturvalisuse taseme tõstmisele liidus. Euroopa küberturvalisuse sertifitseerimise kavade koostamisel tuleks arvesse võtta ja võimaldada innovaatilist arengut küberturvalisuse valdkonnas.

(96)

Euroopa küberturvalisuse sertifitseerimise kavad peaksid võtma arvesse praeguseid tarkvara ja riistvara arendusmeetodeid ning eelkõige sagedaste tarkvara või riistvara uuenduste mõju individuaalsetele Euroopa küberturvalisuse sertifikaatidele. Euroopa küberturvalisuse sertifitseerimise kavades tuleks täpsustada tingimused, mille alusel uuendus võib nõuda IKT-toote, -teenuse või -protsessi uuesti sertifitseerimist või seda, et konkreetse Euroopa küberturvalisuse sertifikaadi kohaldamisala vähendatakse, võttes arvesse uuenduse võimalikku kahjulikku mõju vastavusele kõnealuse sertifikaadi turvalisusnõuetega.

(97)

Kui Euroopa küberturvalisuse sertifitseerimise kava on vastu võetud, peaksid IKT-toodete, -teenuste või -protsesside tootjad või pakkujad saama esitada kõikjal liidus enda valitud vastavushindamisasutusele taotluse oma IKT-toodete või -teenuste sertifitseerimiseks. Kui vastavushindamisasutused vastavad käesolevas määruses sätestatud teatavatele konkreetsetele nõuetele, peaks riiklik akrediteerimisasutus need akrediteerima. Akrediteerida saab maksimaalselt viieks aastaks ja akrediteerimise kehtivust võib pikendada samadel tingimustel seni, kuni vastavushindamisasutus vastab jätkuvalt nõuetele. Riiklik akrediteerimisasutus peaks vastavushindamisasutuse akrediteerimist piirama, selle peatama või kehtetuks tunnistama, kui akrediteerimise andmise tingimused ei olnud täidetud või ei ole enam täidetud või kui vastavushindamisasutus rikub käesolevat määrust.

(98)

Liikmesriikide õigusaktides sisalduvad viited riiklikele standarditele, mida Euroopa küberturvalisuse sertifitseerimise kava jõustumise tõttu enam ei kohaldata, võivad segadust põhjustada. Seetõttu peaksid liikmesriigid kajastama Euroopa küberturvalisuse sertifitseerimise kava vastuvõtmist oma siseriiklikes õigusaktides.

(99)

Et saavutada kogu liidus võrdväärsed standardid, hõlbustada vastastikust tunnustamist ning edendada Euroopa küberturvalisuse sertifikaatide ja ELi vastavusdeklaratsioonide üldist aktsepteerimist, tuleb kehtestada riiklike küberturvalisuse sertifitseerimise asutuste vaheline vastastikuse hindamise süsteem. Vastastikune hindamine peaks hõlmama menetlusi IKT-toodete, -teenuste ja -protsesside Euroopa küberturvalisuse sertifikaatide nõuetele vastavuse kontrollimiseks, vastavuse enesehindamist läbiviivate IKT-toodete, -teenuste või -protsesside tootjate ja pakkujate kohustuste kontrollimiseks, vastavushindamisasutuste järelevalveks ning selle kontrollimiseks, kas kõrge usaldusväärsuse taseme kohta sertifikaate väljaandvate asutuste töötajatel on sobivad eriteadmised. Komisjon peaks saama kehtestada rakendusaktiga vähemalt viie aastase kestusega vastastikuse hindamise kava ning sätestama vastastikuse hindamise süsteemi toimimise kriteeriumid ja metoodikad.

(100)

Ilma et see piiraks üldist vastastikuse hindamise süsteemi, mis kehtestatakse Euroopa küberturvalisuse sertifitseerimise raamistiku raames kõigis riiklikes küberturvalisuse sertifitseerimise asutustes, võivad teatavad Euroopa küberturvalisuse sertifitseerimise kavad hõlmata vastastikuse hindamise mehhanismi asutustele, kes annavad IKT-toodetele, -teenustele või -protsessidele selliste kavade raames välja kõrge usaldusväärsuse tasemega Euroopa küberturvalisuse sertifikaate. Euroopa küberturvalisuse sertifitseerimise rühm peaks toetama selliste vastastikuse hindamise mehhanismide rakendamist. Vastastikuse hindamise käigus tuleks eeskätt hinnata, kas asjaomased asutused täidavad oma ülesandeid harmoneeritud viisil, ja see võib hõlmata edasikaebamise mehhanisme. Vastastikuse hindamise tulemused tuleks teha avalikult kättesaadavaks. Asjaomased asutused võivad võtta asjakohaseid meetmeid, et kohandada oma tavasid ja oskusteavet hinnangule vastavalt.

(101)

Liikmesriigid peaksid määrama ühe või mitu riiklikku küberturvalisuse sertifitseerimise asutust, kes jälgiksid käesolevast määrusest tulenevate kohustuste täitmist. Riikliku küberturvalisuse sertifitseerimise asutus võib olla juba olemasolev või uus asutus. Samuti peaks liikmesriikidel olema võimalik kokkuleppel teise liikmesriigiga määrata riiklikuks küberturvalisuse sertifitseerimise asutuseks kõnealuses teises liikmesriigis asuv asutus.

(102)

Riiklik küberturvalisuse sertifitseerimise asutus peaks ennekõike jälgima tema riigi territooriumil asuvate IKT-toodete, -teenuste või -protsesside tootjate ja pakkujate kohustusi seoses ELi vastavusdeklaratsiooniga ning tagama nimetatud kohustuste täitmise, abistama riiklikke akrediteerimisasutusi vastavushindamisasutuste tegevuse seire ja järelevalve osas, pakkudes neile oskusteavet ja asjakohast teavet, volitama vastavushindamisasutusi täitma nende ülesandeid, kui nad vastavad Euroopa küberturvalisuse sertifitseerimise kavas sätestatud täiendavatele nõuetele, ja jälgima asjakohast arengut küberturvalisuse sertifitseerimise valdkonnas. Riiklikud küberturvalisuse sertifitseerimise asutused peaksid käsitlema füüsiliste või juriidiliste isikute esitatud kaebusi seoses nende või vastavushindamisasutuste poolt väljaantud kõrge usaldusväärsuse tasemega Euroopa küberturvalisuse sertifikaatidega, uurima asjakohasel määral kaebuse sisu ja teavitama kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest. Lisaks peaksid nad tegema koostööd teiste riiklike küberturvalisuse sertifitseerimise asutustè ja muude avaliku sektori asutustega, sealhulgas jagades teavet IKT-toodete, -teenuste ja -protsesside võimaliku mittevastavuse kohta käesoleva määruse või konkreetsete Euroopa küberturvalisuse sertifitseerimise kavade nõuetele. Komisjon peaks hõlbustama seda teabevahetust, tehes kättesaadavaks üldise elektroonilise teabe tugisüsteemi, nagu turujärelevalve info- ja teavitussüsteem (ICSMS) ja kiire teabevahetuse süsteem toiduks mittekasutatavate toodete kohta (RAPEX), mida turujärelevalveasutused juba kasutavad vastavalt määrusele (EÜ) nr 765/2008.

(103)

Et tagada Euroopa küberturvalisuse sertifitseerimise raamistiku järjekindel kohaldamine, tuleks luua Euroopa küberturvalisuse sertifitseerimise rühm, mis koosneb riiklike küberturvalisuse sertifitseerimise asutuste või muude asjakohaste liikmesriikide asutuste esindajatest. Euroopa küberturvalisuse sertifitseerimise rühma peamised ülesanded peaksid olema nõustada ja abistada komisjoni töös, mille eesmärk on tagada Euroopa küberturvalisuse sertifitseerimise raamistiku järjepidev rakendamine ja kohaldamine; aidata ENISAt ja teha temaga tihedat koostööd küberturvalisuse sertifitseerimise ettevalmistavate kavade koostamisel; põhjendatud juhtudel taotleda, et ENISA koostaks ettevalmistava kava; ja võtta vastu ENISA-le suunatud arvamusi ettevalmistavate kavade kohta ning komisjonile suunatud arvamusi olemasolevate Euroopa küberturvalisuse sertifitseerimise kavade haldamise ja läbivaatamise kohta. Euroopa küberturvalisuse sertifitseerimise rühm peaks soodustama heade tavade ja oskusteabe vahetamist riiklike küberturvalisuse sertifitseerimise asutuste vahel, kes vastutavad vastavushindamisasutustele lubade andmise ja Euroopa küberturvalisuse sertifikaatide väljaandmise eest.

(104)

Et parandada teadlikkust ja hõlbustada tulevaste Euroopa küberturvalisuse sertifitseerimise kavade omaksvõttu, võib komisjon välja anda üldiseid või sektoripõhiseid küberturvalisuse suuniseid, näiteks küberturvalisuse heade tavade või vastutustundliku küberruumis käitumise kohta, tuues välja sertifitseeritud IKT-toodete, -teenuste ja -protsesside kasutamise positiivse mõju.

(105)

Et veelgi enam hõlbustada kaubavahetust ja tunnistades, et IKT tarneahelad on ülemaailmsed, võib liit sõlmida kooskõlas Euroopa Liidu toimimise lepingu („ELi toimimise leping“) artikliga 218 Euroopa küberturvalisuse sertifikaatide vastastikuse tunnustamise lepinguid. Võttes arvesse ENISA-lt ja Euroopa küberturvalisuse sertifitseerimise rühmalt saadud nõu, võib komisjon soovitada alustada vastavaid läbirääkimisi. Igas Euroopa küberturvalisuse sertifitseerimise kavas tuleks näha ette kolmandate riikidega toimuva vastastikuse tunnustamise lepingute konkreetsed tingimused.

(106)

Et tagada käesoleva määruse ühetaolised rakendamistingimused, tuleks komisjonile anda rakendusvolitused. Neid volitusi tuleks teostada kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 182/2011 (22).

(107)

Kontrollimenetlust tuleks kasutada nende rakendusaktide vastuvõtmiseks, milles käsitletakse IKT-toodete, -teenuste ja -protsesside suhtes kohaldatavaid Euroopa küberturvalisuse sertifitseerimise kavasid; ENISA toimetatavate uurimiste üksikasju; riiklike küberturvalisuse sertifitseerimise asutuste vastastikuse hindamise kava ning asjaolusid, vorminguid ja korda, mille kohaselt riiklikud küberturvalisuse sertifitseerimise asutused teavitavad komisjoni akrediteeritud vastavushindamisasutustest.

(108)

ENISA tööd tuleks hinnata korrapäraselt ja sõltumatult. Hindamisel tuleks pidada silmas ENISA eesmärke, selle töövõtteid ning ülesannete asjakohasust, eelkõige seoses liidu tasandil operatiivkoostööga seotud ülesannetega. Hindamise käigus tuleks analüüsida ka Euroopa küberturvalisuse sertifitseerimise raamistiku mõju, tulemuslikkust ja tõhusust. Läbivaatamise korral peaks komisjon hindama, kuidas saab tugevdada ENISA rolli nõuandva ja oskusteavet pakkuva kontaktüksusena, ning samuti hindama ENISA võimalikku rolli seoses selliste kolmandatest riikidest pärit IKT-toodete, -teenuste ja -protsesside hindamise toetamisega, kui sellised tooted, teenused ja protsessid ei täida liitu sisenemisel liidu norme.

(109)

Kuna käesoleva määruse eesmärke ei suuda liikmesriigid piisavalt saavutada, küll aga saab neid selle ulatuse ja toime tõttu paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas Euroopa Liidu lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev määrus nimetatud eesmärkide saavutamiseks vajalikust kaugemale.

(110)

Määrus (EL) nr 526/2013 tuleks kehtetuks tunnistada,