(1)

Pidades silmas nõukogu 12. veebruari 2016. aasta järeldusi terrorismi rahastamise vastase võitluse kohta, komisjoni 2. veebruari 2016. aasta teatist Euroopa Parlamendile ja nõukogule terrorismi rahastamise vastase võitluse tõhustamise tegevuskava kohta ning Euroopa Parlamendi ja nõukogu direktiivi (EL) 2017/541, (2) tuleks vastu võtta ühised õigusnormid kolmandate riikidega kauplemise kohta, et tagada kaitse kultuuriväärtustega ebaseadusliku kauplemise, nende hävimise või hävitamise eest, inimkonna kultuuripärandi säilitamine ning röövitud kultuuriväärtuste liidu ostjatele müümise kaudu toimuva terrorismi rahastamise ja rahapesu ärahoidmine.

(2)

Rahvaste ja territooriumide ebaõiglane kohtlemine võib kaasa tuua ebaseadusliku kauplemise kultuuriväärtustega, eriti kui sellise ebaseadusliku kauplemise on põhjustanud relvakonflikt. Seetõttu tuleks käesolevas määruses võtta arvesse pigem rahvaste ja territooriumide piirkondlikku ja kohalikku eripära kui kultuuriväärtuste turuväärtust.

(3)

Kultuuriväärtused on osa kultuuripärandist ja sageli on neil suur kultuuriline, kunstiline, ajalooline ja teaduslik tähtsus. Kultuuripärand on tsivilisatsiooni üks põhielemente, millel on muu hulgas sümboolne väärtus ja mis on osa inimkonna kultuurimälust. See rikastab kõikide rahvaste kultuurielu ja ühendab inimesi ühiste mälestuste, teadmiste ja tsivilisatsiooni arengu kaudu. Seega tuleks seda kaitsta ebaseadusliku omastamise ja rüüstamise eest. Muistiseid on alati rüüstatud, kuid nüüd on see võtnud tööstusharu mõõtmed ning koos ebaseaduslikult väljakaevatud kultuuriväärtustega kauplemisega on see raske kuritegu, mis põhjustab sellest otseselt või kaudselt mõjutatud isikutele suuri kannatusi. Ebaseaduslik kauplemine kultuuriväärtustega soodustab paljudel juhtudel sunduslikku kultuurilist ühtlustamist või kultuurilise identiteedi sunduslikku kaotamist, kultuuriväärtuste rüüstamine põhjustab aga muu hulgas kultuuride hääbumist. Niikaua kuni ebaseaduslikult väljakaevatud kultuuriväärtustega on võimalik tulutoovalt äritseda ja saada kasu ilma suurte riskideta, jätkuvad ka sellised väljakaevamised ja rüüstamised. Kultuuripärandi majanduslik ja kunstiline väärtus tekitab rahvusvahelisel turul suurt nõudlust. Rangete rahvusvaheliste õiguslike meetmete või selliste meetmete tõhusa rakendamise puudumise tõttu liiguvad need kaubad aga edasi varimajandusse. Liit peaks seetõttu keelama kolmandatest riikidest ebaseaduslikult eksporditud kultuuriväärtuste toomise liidu tolliterritooriumile, pöörates erilist tähelepanu sellistest kolmandatest riikidest pärit kultuuriväärtustele, kus toimuvad relvakonfliktid, eriti juhul, kui selliste kultuuriväärtustega on ebaseaduslikult kaubelnud terroristlikud või muud kuritegelikud organisatsioonid. Kuigi üldine keelustamine ei tohiks endaga kaasa tuua süsteemseid kontrolle, tuleks liikmesriikidel lubada sekkumist, kui nad saavad teavet kahtlaste saadetiste kohta, ning kõigi asjakohaste meetmete võtmist kultuuriväärtuste ebaseadusliku ekspordi peatamiseks.

(4)

Arvestades, et liikmesriikides kohaldatakse kultuuriväärtuste liidu tolliterritooriumile impordi suhtes eri norme, tuleks võtta meetmeid eelkõige selle tagamiseks, et kultuuriväärtuste teatava impordi suhtes kohaldatakse nende liidu tolliterritooriumile toomisel ühtset kontrolli, tuginedes olemasolevatele protsessidele, menetlustele ja haldusvahenditele, mille eesmärk on saavutada Euroopa Parlamendi ja nõukogu määruse (EL) nr 952/2013 (3) ühetaoline rakendamine.

(5)

Liikmesriikide rahvuslikeks rikkusteks peetavate kultuuriväärtuste kaitset reguleeritakse juba nõukogu määrusega (EÜ) nr 116/2009 (4) ning Euroopa Parlamendi ja nõukogu direktiiviga 2014/60/EL (5). Seega ei kohaldata käesolevat määrust nende kultuuriväärtuste suhtes, mis loodi või avastati liidu tolliterritooriumil. Käesoleva määrusega kehtestatud ühised õigusnormid peaksid reguleerima liidu tolliterritooriumile toodavate väljastpoolt liitu pärit kultuuriväärtuste tollikäitlust. Käesoleva määruse kohaldamiseks tuleks tolliterritooriumi all mõista liidu tolliterritooriumit impordi ajal.

(6)

Rakendatavaid kontrollimeetmeid tuleks vabatsoonides ja nn vabasadamates kohaldada asjaomaste tolliprotseduuride puhul võimalikult laialt, et hoida ära käesoleva määruse täitmisest kõrvalehoidmist vabatsoonide ärakasutamise kaudu, mida võidakse kasutada ebaseadusliku kauplemise jätkuvaks levikuks. Kõnealuseid kontrollimeetmeid tuleks seega võtta lisaks vabasse ringlusse lubatavatele kultuuriväärtustele ka nende kultuuriväärtuste puhul, mis suunatakse tolli eriprotseduuridele. Samas ei tohiks kohaldamisala minna kaugemale eesmärgist, milleks on hoida ära ebaseaduslikult eksporditud kultuuriväärtuste liidu tolliterritooriumile toomine. Vastavad kontrollimeetmed peaksid hõlmama nii vabasse ringlusse laskmist kui ka tolli eriprotseduure, millele liidu tolliterritooriumile toodav kaup võidakse suunata, kuid süsteemset kontrolli ei tuleks transiidi suhtes kohaldada.

(7)

Paljud kolmandad riigid ja enamik liikmesriike tunnevad mõisteid, mida kasutatakse 14. novembril 1970 Pariisis allkirjastatud kultuuriväärtuste ebaseadusliku sisseveo, väljaveo ja omandiõiguse üleandmise keelamise ning ärahoidmise abinõude UNESCO konventsioonis (edaspidi „1970. aasta UNESCO konventsioon“), millega on ühinenud suur hulk liikmesriike, ning 24. juunil 1995 Roomas allkirjastatud varastatud või ebaseaduslikult eksporditud kultuuriväärtusi käsitleva UNIDROIT konventsioonis. Seetõttu põhinevad käesolevas määruses kasutatavad mõisted nimetatud mõistetel.

(8)

Kultuuriväärtuste ekspordi seaduslikkust tuleks peamiselt kontrollida selle riigi õigus- ja haldusnormide põhjal, kus nimetatud kultuuriväärtused loodi või avastati. Kuid selleks, et seaduslikku kaubandust põhjendamatult ei tõkestataks, tuleks kultuuriväärtusi liidu tolliterritooriumile importida soovival isikul teatavatel juhtudel lubada erandkorras tõendada, et eksport muust kolmandast riigist, kui see, kus need kultuuriväärtused enne liitu saatmist asusid, on seaduslik. Seda erandit tuleks kohaldada juhul, kui riiki, kus kultuuriväärtused loodi või avastati, ei saa usaldusväärselt kindlaks teha, või kui kõnealused kultuuriväärtused eksporditi enne, kui jõustus 1970. aasta UNESCO konventsioon, st 24. aprilli 1972. Et hoida ära käesoleva määruse täitmisest kõrvalehoidmist selle kaudu, et ebaseaduslikult eksporditud kultuuriväärtused saadetakse enne liitu importimist lihtsalt muusse kolmandasse riiki, tuleks nimetatud erandeid kohaldada nendele riikidele, kus kultuuriväärtusi on hoitud kauem kui viis aastat ja muul kui üksnes ajutise kasutamise, transiidi, reekspordi või ümberlaadimise eesmärgil. Kui nendele tingimustele vastab rohkem kui üks riik, tuleks asjaomaseks riigiks lugeda seda riiki, mis oli neist riikidest viimane enne kultuuriväärtuste liidu tolliterritooriumile toomist.

(9)

1970. aasta UNESCO konventsiooni artiklis 5 nähakse ette, et osalisriigid peavad kultuuriväärtuste kaitseks ebaseadusliku sisseveo, väljaveo ja omandiõiguse üleandmise eest looma ühe või mitu riiklikku talitust. Nimetatud riiklikel talitustel peaks olema piisav arv kvalifitseeritud töötajaid sellise konventsioonikohase kaitse tagamiseks ja vajaliku aktiivse koostöö tegemiseks konventsiooni osaliseks olevate liikmesriikide pädevate asutustega julgeolekuvaldkonnas ning võitluses kultuuriväärtuste ebaseadusliku impordiga, eelkõige relvakonflikti piirkondadest.

(10)

Et mitte ebaproportsionaalselt takistada üle liidu välispiiri liikuvate kultuuriväärtustega kauplemist, tuleks käesolevat määrust kohaldada üksnes nende kaupade suhtes, mis ületavad teatava käesoleva määrusega kehtestatud vanusepiiri. Samuti tundub olevat asjakohane kehtestada rahaline alampiir, et kultuuriväärtuste liidu tolliterritooriumile impordi tingimusi ja korda ei kohaldataks madalama väärtusega kultuuriväärtuste suhtes. Nimetatud alampiiridega tagatakse, et käesoleva määrusega ettenähtud meetmed keskenduvad kultuuriväärtustele, mis on kõige tõenäolisemalt rüüstajate sihtmärgiks konfliktipiirkondades, ilma et välja jääks muud kaubad, mille kontroll on vajalik kultuuripärandi kaitse tagamiseks.

(11)

Siseturgu mõjutavaid rahapesu ja terrorismi rahastamise riske käsitleva riigiülese riskihindamise kohaselt on ebaseaduslik kauplemine rüüstatud kultuuriväärtustega terrorismi rahastamise ja rahapesu võimalik allikas.

(12)

Kuna rüüstamise ja hävitamise oht ähvardab eriti teatavaid kultuuriväärtuste kategooriaid, nimelt arheoloogilisi leide ja mälestiste elemente, tundub olevat vajalik näha ette süsteem, mille raames kohaldatakse selliste kultuuriväärtuste suhtes rangemat kontrolli enne liidu tolliterritooriumile toomise lubamist. Sellise süsteemi puhul tuleks enne kõnealuste kultuuriväärtuste vabasse ringlusse lubamist liidus või nende suunamist tolli eriprotseduuridele, välja arvatud transiit, nõuda liikmesriigi pädeva asutuse välja antud impordilitsentsi esitamist. Sellist litsentsi taotlev isik peaks suutma tõendada, et kultuuriväärtus on seaduslikult eksporditud riigist, kus see loodi või avastati, esitades selleks asjakohased tõendavad dokumendid ja tõendid, näiteks ekspordisertifikaadid, omandiõiguse dokumendid, arved, müügilepingud, kindlustusdokumendid, transpordidokumendid ja eksperdihinnangud. Liikmesriikide pädevad asutused peaksid täielike ja täpsete taotluste alusel tegema põhjendamatu viivituseta otsuse litsentsi väljaandmise kohta. Kõiki impordilitsentse tuleks säilitada elektroonilises süsteemis.

(13)

Ikoon on igasugune pühakuju või usulise stseeni kujutis. See võib olla esitatud eri kandjatel ja eri suuruses, monumentaalne või kaasaskantav. Kui ikoon moodustas kunagi näiteks kiriku, kloostri või kabeli sisustuse osa, kas eraldiseisvalt või sisseehitatuna, näiteks ikonostaas või ikoonikapp, tuleks ikooni jumalakummardamise ja liturgilise elu tähtsa ja lahutamatu elemendina lugeda lõhutud religioosse mälestise terviklikuks osaks. Isegi kui see konkreetne mälestis, kus ikoon asus, ei ole teada, kuid on tõendeid, et ikoon moodustas kunagi mälestise tervikliku osa, eriti kui sellel on märke või elemente, mis viitavad sellele, et see oli kunagi ikonostaasi või ikoonikapi osa, peaks ikoon kuuluma ikkagi lisas loetletud kategooriasse „kunsti- või ajaloomälestistest või arheoloogilise väärtusega paikadest eemaldatud elemendid“.

(14)

Võttes arvesse kultuuriväärtuste erilist laadi, on tolliasutustel äärmiselt oluline roll ning nad peaksid saama vajaduse korral nõuda deklarandilt lisateavet ning suutma kultuuriväärtusi analüüsida nende füüsilise läbivaatamise teel.

(15)

Kultuuriväärtuste muude kategooriate puhul, mille import ei nõua impordilitsentsi, peaks neid kaupu liidu tolliterritooriumile importida sooviv isik tõendama deklaratsiooniga, et need on kolmandast riigist seaduslikult eksporditud, ja võtma selle eest vastutuse ning esitama piisava teabe, mis võimaldab tolliasutustel asjaomased kultuuriväärtused kindlaks teha. Menetluse lihtsustamiseks ja õiguskindluse huvides tuleks kultuuriväärtuste kohta teabe esitamiseks kasutada standarddokumenti. Kultuuriväärtuste kirjeldamiseks võiks kasutada UNESCO soovitatud eseme identifitseerimise standardit. Kauba valdaja peaks nimetatud üksikasjad registreerima elektroonilises süsteemis, et lihtsustada tolliasutustel nende kindlakstegemist, võimaldada teha riskianalüüsi ja sihipäraseid kontrolle ning tagada kultuuriväärtuste jälgitavus pärast nende toomist siseturule.

(16)

Komisjon peaks tollivaldkonna ELi ühtse liidese raames vastutama keskse elektroonilise süsteemi loomise eest impordilitsentside taotluste ja importija deklaratsioonide esitamiseks ning eelkõige importija deklaratsioone ja impordilitsentse käsitleva teabe säilitamiseks ja vahetamiseks liikmesriikide asutuste vahel.

(17)

Peaks olema võimalik, et käesoleva määruse alusel toimuv andmete töötlemine hõlmaks ka isikuandmeid ning toimuks vastavalt liidu õigusele. Liikmesriigid ja komisjon peaksid isikuandmeid töötlema üksnes käesoleva määruse kohaldamiseks või nõuetekohaselt põhjendatud juhtudel süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja selliste ohtude ärahoidmise eesmärgil. Käesoleva määruse kohaldamisalasse kuuluva isikuandmete kogumise, avaldamise, edastamise, teatavaks tegemise ja muu töötlemise suhtes tuleks kohaldada nõudeid, mis on sätestatud Euroopa Parlamendi ja nõukogu määrustes (EL) 2016/679 (6) ning (EL) 2018/1725 (7). Käesoleva määruse alusel isikuandmete töötlemisel tuleks järgida ka Euroopa Nõukogu inimõiguste ja põhivabaduste kaitse konventsiooni artikliga 8 tagatud õigust era- ja perekonnaelu austamisele ning Euroopa Liidu põhiõiguste harta artiklis 7 tunnustatud õigust era- ja perekonnaelu austamisele ja selle artiklis 8 tunnustatud õigust isikuandmete kaitsele.

(18)

Kultuuriväärtuste puhul, mida ei loodud ega avastatud liidu tolliterritooriumil, kuid mis eksporditi liidu kaubana, ei tuleks nõuda impordilitsentsi või importija deklaratsiooni esitamist, kui need tuuakse asjaomasele territooriumile tagasi tagasitoodud kaubana määruse (EL) nr 952/2013 tähenduses.

(19)

Impordilitsentsi või importija deklaratsiooni esitamist ei tuleks nõuda, kui kultuuriväärtused imporditakse ajutiselt hariduslikul, teaduslikul, konserveerimise, restaureerimise, näituse, digiteerimise, etenduskunsti, akadeemiliste asutuste uurimistöö või muuseumide või sarnaste institutsioonide vahelise koostööga seotud eesmärgil.

(20)

Impordilitsentsi või importija deklaratsiooni esitamist ei tuleks nõuda, kui relvakonfliktist või loodusõnnetusest mõjutatud riikidest pärinevaid kultuuriväärtusi hoiustatakse üksnes eesmärgiga tagada nende säilitamine ametiasutuse poolt või selle järelevalve all turvalises kohas.

(21)

Selleks et lihtsustada kultuuriväärtuste näitamist ärilise eesmärgiga kunstimessidel, ei peaks olema vajalik nõuda impordilitsentsi esitamist, kui kultuuriväärtused on määruse (EL) nr 952/2013 artikli 250 tähenduses ajutiselt imporditud ja impordilitsentsi asemel on esitatud importija deklaratsioon. Kui need kultuuriväärtused jäävad pärast kunstimessi liitu, tuleks siiski nõuda impordilitsentsi esitamist.

(22)

Selleks et tagada käesoleva määruse ühetaolised rakendamistingimused, tuleks komisjonile anda rakendamisvolitused, mis võimaldavad vastu võtta üksikasjaliku korra, mis käsitleb kultuuriväärtusi, mis on tagasitoodud kaup või mida on ajutiselt imporditud liidu tolliterritooriumile nende hoiustamise eesmärgil, impordilitsentside taotluste ja impordilitsentside vorme, importija deklaratsiooni vorme ja sellele lisatavaid dokumente ning kõnealuste dokumentide esitamist ja menetlemist käsitlevaid täiendavaid menetlusnorme. Komisjonile tuleks samuti anda rakendamisvolitused, mis võimaldavad sisse seada elektroonilise süsteemi impordilitsentside taotluste ja importija deklaratsioonide esitamiseks ning teabe säilitamiseks ja vahetamiseks liikmesriikide asutuste vahel. Neid volitusi tuleks teostada kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 182/2011 (8).

(23)

Tõhusa koordineerimise tagamiseks ja topelttöö vältimiseks koolituste, suutlikkuse suurendamise alase tegevuse ning teadlikkuse suurendamise kampaaniate korraldamisel, samuti vajaduse korral asjakohaste teadustööde tellimisel ja standardite väljatöötamisel peaksid komisjon ja liikmesriigid tegema koostööd rahvusvaheliste organisatsioonide ja asutustega, nagu UNESCO, Interpol, Europol, Maailma Tolliorganisatsioon, Kultuuriväärtuste Säilitamise ja Restaureerimise Rahvusvaheline Uurimiskeskus ning Rahvusvaheline Muuseumide Nõukogu.

(24)

Käesoleva määruse tõhusa rakendamise ja selle edaspidise hindamise toetamiseks peaksid liikmesriigid ja komisjon elektrooniliselt koguma ja jagama asjakohast teavet kultuuriväärtuste kaubavoogude kohta. Läbipaistvuse ja avaliku kontrolli huvides tuleks võimalikult suur osa teabest avalikustada. Kultuuriväärtuste kaubavooge ei saa tõhusalt jälgida üksnes nende väärtuse või kaalu järgi. Väga oluline on koguda elektrooniliselt teavet deklareeritud esemete arvu kohta. Kuna kombineeritud nomenklatuuris ei ole kultuuriväärtuste puhul täpsustatud täiendavat mõõtühikut, on vaja nõuda esemete arvu deklareerimist.

(25)

Tollivaldkonna riskijuhtimist käsitleva ELi strateegia ja tegevuskava eesmärk on muu hulgas edendada tolliasutuste suutlikkust suurendada kultuuriväärtuste valdkonnaga seotud riskidele reageerimise võimet. Kasutada tuleks määruses (EL) nr 952/2013 sätestatud ühist riskijuhtimise raamistikku ja tolliasutused peaksid omavahel vahetama asjaomast riske käsitlevat teavet.

(26)

Selleks et kasutada ära kultuurivaldkonnas aktiivselt tegutsevate rahvusvaheliste organisatsioonide ja asutuste eksperditeadmisi ja nende kogemusi kultuuriväärtustega ebaseadusliku kauplemise valdkonnas, tuleks ühise riskijuhtimise raamistikus võtta kultuuriväärtustega seotud riskide kindlaks tegemisel arvesse nende organisatsioonide ja asutuste soovitusi ja suuniseid. Eelkõige tuleks võtta aluseks Rahvusvahelise Muuseumide Nõukogu avaldatavad „punased nimekirjad“, et teha kindlaks kõige ohustatuma pärandiga kolmandad riigid ja nendest riikidest eksporditud esemed, mis võivad tõenäolisemalt olla ebaseadusliku kauplemise esemeks.

(27)

On vaja korraldada kultuuriväärtuste ostjatele suunatud teadlikkuse suurendamise kampaaniaid seoses ebaseadusliku kauplemise ohuga ja aidata turuosalistel käesolevast määrusest aru saada ja seda kohaldada. Liikmesriigid peaksid nimetatud teabe levitamisse kaasama asjaomased riiklikud kontaktpunktid ja muud teabetalitused.

(28)

Komisjon peaks tagama, et mikro-, väikestele, ja keskmise suurusega ettevõtjatele (VKEd) antakse piisavat tehnilist abi, ning peaks hõlbustama neile teabe andmist, et käesolevat määrust tõhusalt rakendada. Liidus asutatud ja kultuuriväärtusi importivad VKEd peaksid seega kasutama ära praeguseid ja tulevasi liidu programme, mis toetavad väikeste ja keskmise suurusega ettevõtjate konkurentsivõimet.

(29)

Nõuetest kinnipidamisele kaasa aitamiseks ja nendest kõrvalehoidmise ärahoidmiseks peaksid liikmesriigid kehtestama tõhusad, proportsionaalsed ja hoiatavad karistused käesoleva määruse sätete rikkumise eest ning teatama kõnealustest karistustest komisjonile. Liikmesriikide kehtestatud karistustel peaks olema käesoleva määruse rikkumise ärahoidmiseks kogu liidus samaväärne mõju.

(30)

Liikmesriigid peaksid tagama, et tolliasutused ja pädevad asutused lepivad kokku määruse (EL) nr 952/2013 artikli 198 kohastes meetmetes. Nimetatud meetmete üksikasjad tuleks kindlaks määrata riigisiseses õiguses.

(31)

Komisjon peaks viivitamata võtma vastu käesoleva määruse rakendusnormid, eelkõige seoses impordilitsentsi taotlemiseks või importija deklaratsiooni koostamiseks kasutatavate asjakohaste elektrooniliste standardvormidega, ja pärast seda looma nii kiiresti kui võimalik elektroonilise süsteemi. Impordilitsentside ja importija deklaratsioonidega seotud sätete kohaldamist tuleks vastavalt edasi lükata.

(32)

Vastavalt proportsionaalsuse põhimõttele on vajalik ja asjakohane käesoleva määruse põhieesmärkide saavutamiseks kehtestada õigusnormid, mis käsitlevad kultuuriväärtuste liidu tolliterritooriumile toomist ning kultuuriväärtuste impordi tingimusi ja korda. Euroopa Liidu lepingu artikli 5 lõike 4 kohaselt ei lähe käesolev määrus seatud eesmärkide saavutamiseks vajalikust kaugemale,

(1)

Võrgu- ja infosüsteemidel ning elektroonilise side võrkudel ja teenustel on ühiskonnas elutähtis roll ning neist on saanud majanduskasvu tugisammas. Info- ja kommunikatsioonitehnoloogia (IKT) on aluseks keerukatele süsteemidele, mis toetavad igapäevast ühiskondlikku tegevust, tagavad majanduse toimimise võtmetähtsusega sektorites nagu tervis, energeetika, rahandus ja transport ning toetavad ennekõike siseturu toimimist.

(2)

Võrgu- ja infosüsteemide kasutamine kogu liidu kodanike, organisatsioonide ja ettevõtjate seas on nüüd valdav. Digiteeritus ja ühenduvus on muutumas üha suurema hulga toodete ja teenuste põhitunnusteks ning asjade interneti kasutuselevõtuga võib eeldada, et järgmise kümne aasta jooksul võetakse kogu liidus kasutusele enneolematult palju ühendatud digitaalseid seadmeid. Kuigi üha enam seadmeid on ühendatud internetti, ei ole turvalisus ja vastupidavus neisse piisavalt sisse projekteeritud ning see toob kaasa ebapiisava küberturvalisuse. Sellises olukorras tähendab sertifitseerimise piiratud kasutamine, et eraisikutest, organisatsioonidest ja ettevõtjatest kasutajatel ei ole IKT-toodete, -teenuste ja -protsesside küberturvalisuse omaduste kohta piisavalt teavet ning see vähendab usaldust digilahenduste vastu. Võrgu- ja infosüsteemid on võimelised toetama meie elu kõiki aspekte ja edendama liidu majanduskasvu. Nad on tugisammas digitaalse ühtse turu saavutamiseks.

(3)

Ulatuslikum digiteerimine ja ühenduvus toovad kaasa suuremad küberturvalisuse riskid, mille tõttu on kogu ühiskond küberohtude poolt lihtsamini haavatav ning üksikisikute, sh haavatavate isikute (näiteks laste) vastu suunatud ohud tulevad selgemalt esile. Et kõnealuseid riske maandada, tuleb võtta kõik vajalikud meetmed, et parandada liidus küberturvalisust ning pakkuda küberohtude eest paremat kaitset võrgu- ja infosüsteemidele, sidevõrkudele, digitaalsetele toodetele, teenustele ja seadmetele, mida kasutavad kodanikud, organisatsioonid ja ettevõtjad alates väikestest ja keskmise suurusega ettevõtjatest (VKEd), kes on määratletud komisjoni soovituses 2003/361/EÜ (4), kuni elutähtsate taristute operaatoriteni.

(4)

Tehes asjakohast teavet üldsusele kättesaadavaks, aitab Euroopa Parlamendi ja nõukogu määrusega (EL) nr 526/2013 (5) asutatud Euroopa Liidu Võrgu- ja Infoturbeamet (ENISA) kaasa küberturvalisuse tööstuse, eelkõige VKEde ja idufirmade arendamisele liidus. ENISA peaks püüdlema tihedama koostöö poole ülikoolide ja teadusasutustega, et aidata vähendada sõltumist liiduväliste tootjate ja teenusepakkujate küberturvalisuse toodetest ja teenustest ning tugevdada liidusiseseid tarneahelaid.

(5)

Küberründeid tuleb ette üha sagedamini ning küberohtude poolt lihtsamini haavatavat ühendatud majandust ja ühiskonda tuleb jõulisemalt kaitsta. Kuigi küberründed on sageli piiriülesed, on küberturvalisusega tegelevate õiguskaitseasutuste pädevus ja reageeringud valdavalt riigipõhised. Mastaapsed intsidendid võivad katkestada elutähtsate teenuste pakkumise kogu liidus. See tähendab, et liidu tasandil on vaja tõhusat ning koordineeritud reageerimist ja kriisihaldust, mis tugineks sellekohastele poliitikameetmetele ning Euroopa solidaarsuse ja vastastikuse abi mitmekülgsetele vahenditele. Samuti on usaldusväärsetel liidu andmetel põhinev liidu küberturvalisuse ja vastupidavuse olukorra regulaarne hindamine ning nii liidu kui ka maailma tasandi edasiste arengusuundade, väljakutsete ja ohtude süstemaatiline hindamine tähtis nii poliitikakujundajate ja tööstuse kui ka kasutajate jaoks.

(6)

Arvestades asjaolu, et liitu ähvardavad küberturvalisuse probleemid kasvavad, on vaja igakülgset meetmete kogumit, mis toetuks liidu varasemale tegevusele ja edendaks üksteist vastastikku tugevdavaid eesmärke. Nende eesmärkide hulka kuulub liikmesriikide ja ettevõtjate suutlikkuse ja valmisoleku ning koostöö edasine parandamine ning teabe jagamine ja koordineerimine liikmesriikide ja liidu institutsioonide, organite ja asutuste vahel. Küberohud ei hooli riigipiiridest ja seepärast tuleb parandada liidu tasandi suutlikkust, et see täiendaks liikmesriikide meetmeid eeskätt mastaapsete piiriüleste intsidentide ja kriiside korral, võttes seejuures arvesse liikmesriikide suutlikkuse säilitamise ja edasise parandamise olulisust igasugustele küberohtudele reageerimisel.

(7)

Rohkem tuleb ära teha ka selleks, et parandada kodanike, organisatsioonide ja ettevõtjate teadlikkust küberturvalisuse küsimustest. Ühtlasi, arvestades asjaolu, et intsidendid õõnestavad usaldust digitaalsete teenuste osutajate ning digitaalse ühtse turu enda vastu, eelkõige tarbijate seas, tuleks veelgi suurendada usaldust, pakkudes selleks läbipaistvat teavet IKT-toodete, -teenuste ja -protsesside turvalisuse tasemete kohta, rõhutades, et isegi küberturvalisuse sertifitseerimise kõrge tase ei taga, et IKT-toode, -teenus või -protsess oleks täiesti turvaline. Usalduse suurendamisele saab kaasa aidata kogu liitu hõlmava sertifitseerimisega, mis tagab ühised küberturvalisuse nõuded ja hindamiskriteeriumid liikmesriikide turgudel ja sektorites.

(8)

Küberturvalisus ei ole mitte üksnes tehnoloogiline küsimus – oluline on ka inimeste käitumine. Seetõttu tuleks jõuliselt edendada „küberhügieeni“ ehk lihtsaid rutiinseid meetmeid, mis minimeerivad nende regulaarse rakendamise korral kodanike, organisatsioonide ja ettevõtjate kokkupuutumist küberohtudest tulenevate riskidega.

(9)

Liidu küberturvalisuse struktuuride tugevdamise eesmärgil on oluline säilitada ja arendada liikmesriikide suutlikkust reageerida küberohtudele, sealhulgas piiriülestele intsidentidele kõikehõlmavalt.

(10)

Ettevõtjatel ning üksikisikutest tarbijatel peaks olema täpne teave selle kohta, milline on nende IKT-toodete, -teenuste ja -protsesside turvalisuse sertifitseeritud usaldusväärsuse tase. Samas ei ole ükski IKT-toode või -teenus täielikult küberturvaline ning küberhügieeni põhireegleid tuleb edendada ja seada need prioriteediks. Arvestades asjade interneti seadmete üha suuremat kättesaadavust, on ka mitmeid vabatahtlikke meetmeid, mida erasektor saab võtta, et suurendada usaldust IKT-toodete, -teenuste ja -protsesside turvalisuse vastu.

(11)

Kaasaegsed IKT-tooted ja -süsteemid on tihti integreeritud ühte või mitmesse kolmanda osapoole tehnoloogiasse või komponenti, nagu näiteks tarkvara moodulid, teegid või rakendusprogrammeerimise liidesed, ning tuginevad neile. Nimetatud tuginemine ehk sõltumine võib põhjustada täiendavaid küberturvalisuse riske, kuna kolmanda osapoole komponentide turvanõrkus võib mõjutada ka IKT-toodete, -teenuste ja -protsesside turvalisust. Paljudel juhtudel võimaldab selliste sõltumiste tuvastamine ja dokumenteerimine IKT-toodete, -teenuste ja -protsesside lõppkasutajatel edendada oma küberturvalisuse riskihalduse tegevusi, parandades näiteks kasutajate küberturvanõrkuste haldust ja kõrvaldusmeetmeid.

(12)

IKT-toodete, -teenuste ja-protsesside projekteerimise ja arendamisega seotud organisatsioone, tootjaid ja teenusepakkujaid tuleks julgustada rakendama meetmeid projekteerimise ja arendamise kõige varasemates etappides sellisel viisil, et nende toodete, teenuste ja protsesside turvalisus oleks kaitstud kõige kõrgemal tasemel, et küberrünnakute esinemist eeldataks ja et nende mõju oleks prognoositud ja minimeeritud („sisseprojekteeritud turve“). Turvalisus tuleks tagada kogu IKT-toote, -teenuse ja -protsessi olelusringi vältel, kusjuures projekteerimis- ja arendamisprotsessid peaksid pidevalt arenema, et vähendada kuritahtlikust kasutamisest tuleneva kahju riski.

(13)

Ettevõtjad, organisatsioonid ja avalik sektor peaksid enda poolt projekteeritud IKT-tooteid, -teenuseid ja -protsesse konfigureerima viisil, mis tagab turvalisuse kõrge taseme, mis peaks võimaldama esimesel kasutajal saada vaikekonfiguratsioon kõige kõrgema turvalisuse tasemega seadistusega („vaiketurvalisus“), vähendades seega kasutajate jaoks koormust, mis kaasneb vajadusega IKT-toodet, -teenust või -protsessi asjakohaselt konfigureerida. Vaiketurvalisus ei peaks nõudma ulatuslikku konfigureerimist ega kasutajalt spetsiifilisi tehnilisi teadmisi või loogikavälist käitumist, ning peaks pärast rakendamist lihtsalt ja usaldusväärselt töötama. Kui juhtumipõhise riski- ja kasutatavusanalüüsi tulemusel jõutakse järeldusele, et selline vaikeseadistus ei ole teostatav, tuleks kasutajaid suunata valima kõige turvalisem seadistus.

(14)

Euroopa Parlamendi ja nõukogu määrusega (EÜ) nr 460/2004 (6) asutati ENISA, et aidata kaasa kõrgetasemelise ja tõhusa võrgu- ja infoturbe tagamise eesmärkidele liidus ning arendada võrgu- ja infoturbekultuuri kodanike, tarbijate, ettevõtete ja ametiasutuste heaks. Euroopa Parlamendi ja nõukogu määrusega (EÜ) nr 1007/2008 (7) pikendati ENISA volitusi 2012. aasta märtsini. Euroopa Parlamendi ja nõukogu määrusega (EL) nr 580/2011 (8) pikendati ENISA volitusi 13. septembrini 2013. Määrusega (EL) nr 526/2013 pikendati ENISA volitusi kuni 19. juunini 2020.

(15)

Liit on juba astunud olulisi samme, et tagada küberturvalisus ja suurendada usaldust digitehnoloogia vastu. 2013. aastal võeti vastu Euroopa Liidu küberjulgeoleku strateegia, millest juhinduda liidu poliitilises reageerimises küberohtudele ja riskidele. Et kodanikke veebis paremini kaitsta, võttis liit 2016. aastal vastu küberturvalisuse valdkonna esimese õigusakti – Euroopa Parlamendi ja nõukogu direktiivi (EL) 2016/1148 (9). Direktiiviga (EL) 2016/1148 pandi paika liikmesriikide suutlikkust puudutavad nõuded küberturvalisuse valdkonnas, kehtestati liikmesriikide vahelise strateegilise ja operatiivkoostöö tõhustamise esimesed mehhanismid ning juurutati turbemeetmete ja intsidentidest teatamise kohustused majanduse ja ühiskonna jaoks eluliselt tähtsates sektorites, nagu energeetika, transport, joogivee varustus ja jaotamine, pangandus, finantsturu taristu, tervishoid, digitaristu, aga ka oluliste digitaalsete teenuste osutajate puhul (otsingumootorid, pilvandmetöötlusteenused ja internetipõhised kauplemiskohad).

ENISA-le anti nimetatud direktiivi rakendamise toetamisel põhiroll. Lisaks on tulemuslik võitlus küberkuritegevusega olulisel kohal ka Euroopa julgeoleku tegevuskavas, kus see aitab kaasa küberturvalisuse kõrge taseme saavutamise üldeesmärgile. Muud õigusaktid, nagu Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 (10) ning Euroopa Parlamendi ja nõukogu direktiivid 2002/58/EÜ (11) ning (EL) 2018/1972 (12), aitavad samuti kaasa digitaalse ühtse turu küberturvalisuse kõrgele tasemele.

(16)

Euroopa Liidu küberjulgeoleku strateegia vastuvõtmisest 2013. aastal ja ENISA volituste viimasest läbivaatamisest möödunud aja jooksul on üldine poliitiline kontekst seoses ebakindlama ja vähem turvalise üldise õhustikuga maailmas oluliselt muutunud. Selles kontekstis ja arvestades positiivset arengut seoses ENISA rolliga nõuandva ja oskusteavet pakkuva kontaktüksusena, koostöö ja suutlikkuse arendamise hõlbustajana ning liidu uue küberturvalisuse poliitika raames, on vaja läbi vaadata ENISA volitused, et määrata kindlaks ENISA roll muutunud küberturvalisuse tingimustes ning tagada, et see annaks tulemusliku panuse sellesse, kuidas liit reageerib põhjalikult muutunud küberohtude maastikul esile kerkivatele küberturvalisuse probleemidele, millega toimetulemiseks ei ole praegused volitused ENISA hindamise kohaselt piisavad.

(17)

Käesoleva määrusega asutatav ENISA peaks olema määrusega (EL) nr 526/2013 asutatud ENISA õigusjärglane. ENISA peaks täitma talle käesoleva määruse ja muude küberturvalisuse valdkonna liidu õigusaktidega pandud ülesandeid, pakkudes muu hulgas nõuandeid ja oskusteavet ning tegutsedes selle valdkonna teabe- ja teadmuskeskusena liidus. ENISA peaks edendama parimate tavade vahetamist liikmesriikide ja eraõiguslike sidusrühmade vahel, tehes selleks komisjonile ja liikmesriikidele poliitikameetmete alaseid ettepanekuid, tegutsedes küberturvalisuse küsimustes liidu valdkondliku poliitika algatuste kontaktüksusena ning soodustades nii liikmesriikide omavahelist kui ka liikmesriikide ja liidu institutsioonide, organite ja asutuste vahelist operatiivkoostööd.

(18)

Riigipeade ja valitsusjuhtide tasandil kohtunud liikmesriikide esindajate ühisel kokkuleppel tehtud otsuse 2004/97/EÜ, Euratom (13) raames otsustasid liikmesriikide esindajad, et ENISA asukohaks saab Kreeka valitsuse määratud linn Kreekas. ENISA asukohaliikmesriik peaks tagama ENISA tõrgeteta ja tõhusaks tegevuseks parimad võimalikud tingimused. ENISA ülesannete nõuetekohaseks ja tulemuslikuks täitmiseks, töötajate värbamiseks ja alalhoidmiseks ning võrgustikuga seotud tegevuse tulemuslikkuse tõhustamiseks peab ENISA asuma sobivas asukohas, mis muu hulgas pakub asjakohaseid transpordiühendusi ning rajatisi ENISA töötajate abikaasade ja laste jaoks. Vajalikud üksikasjad tuleks sätestada ENISA ja asukohaliikmesriigi vahelises kokkuleppes, mis sõlmitakse pärast ENISA haldusnõukogu heakskiitu.

(19)

Arvestades liidu ees seisvate küberturvalisuse riskide ja probleemide kasvu, tuleks suurendada ENISA-le eraldatavaid finants- ja inimressursse, et need vastaksid ENISA tõhustatud rollile ja ülesannetele ning ENISA tähtsale positsioonile liidu digitaalse ökosüsteemi kaitsmise organisatsioonide seas, võimaldades ENISA-l tõhusalt täita talle käesoleva määrusega pandud ülesandeid.

(20)

ENISA peaks kujundama välja oskusteabe kõrge taseme ja seda alal hoidma ning tegutsema kontaktüksusena, mis tekitab ühtsel turul usaldust ja kindlustunnet tänu oma sõltumatusele, antud nõu ja levitatava teabe kvaliteedile, menetluste ja töömeetodite läbipaistvusele ning oma ülesannete hoolikale täitmisele. Täites oma ülesandeid täielikus koostöös liidu institutsioonide, organite ja asutuste ning liikmesriikidega, peaks ENISA aktiivselt toetama liikmesriikide jõupingutusi ja andma proaktiivse panuse liidu tegevusse, vältides topelttööd ja edendades sünergiat. Lisaks peaks ENISA arendama edasi erasektorilt saadud sisendit, lähtudes erasektori ja muude asjaomaste sidusrühmadega tehtavast koostööst. ENISA ülesannete kogumiga tuleks paika panna, kuidas ENISA peab oma eesmärgid saavutama, tagades talle samas tööks vajaliku paindlikkuse.

(21)

Et pakkuda liikmesriikidele piisavat tuge operatiivkoostöös, peaks ENISA veelgi tugevdama oma tehnilist ja inimvõimekust ning oskusi. ENISA peaks suurendama oma oskusteavet ja parandama suutlikkust. ENISA ja liikmesriigid võiksid arendada vabatahtlikkuse alusel programme ENISAsse riiklike ekspertide lähetamiseks, ekspertide salve loomiseks ja töötajate vahetusteks.

(22)

ENISA peaks abistama komisjoni nõuannete, arvamuste ja analüüsidega kõigis liidu küsimustes, mis on seotud küberturvalisuse valdkonna ja selle sektoripõhiste aspektide alase poliitika ja õigusaktide väljatöötamise, ajakohastamise ja läbivaatamisega, et suurendada küberturvalisuse mõõdet sisaldavate liidu poliitikameetmete ja õigusaktide asjakohasust ning võimaldada nende järjepidevat rakendamist liikmesriigi tasandil. ELISA peaks tegutsema nõuandva ja oskusteavet pakkuva kontaktüksusena selliste liidu sektoripõhise poliitika ja õigusalaste algatuste jaoks, mis puudutavad küberturvalisust. ENISA peaks korrapäraselt teavitama Euroopa Parlamenti oma tegevusest.

(23)

Avatud interneti avalik tuum, nimelt selle põhilised protokollid ja taristu, mis on üleilmne avalik hüve, tagab interneti kui terviku põhifunktsionaalsuse ja toetab selle tavapärast toimimist. ENISA peaks toetama avatud interneti avaliku tuuma toimimise, sealhulgas põhiliste protokollide (eelkõige domeeninimede süsteem, BGP ja IPv6) turvalisust ja stabiilsust, domeeninimede süsteemi (kaasa arvatud kõigi tippdomeenide) ja juurserverite toimimist.

(24)

ENISA põhiülesanne on toetada asjakohase õigusraamistiku järjepidevat rakendamist, eelkõige direktiivi (EL) 2016/1148 ja muude asjakohaste küberturvalisuse aspekte sisaldavate õigusaktide tulemuslikku rakendamist, mis on kübervastupidavusvõime suurendamise jaoks eluliselt tähtis. Arvestades seda, kui kiiresti küberohud muutuvad, on selge, et liikmesriike tuleb toetada igakülgsema ja eri valdkondi hõlmava poliitilise lähenemisega kübervastupidavusvõime loomisele.

(25)

ENISA peaks abistama liikmesriike ja liidu institutsioone, organeid ja asutusi nende jõupingutustes, et luua ja parandada suutlikkust ja valmisolekut ennetada ja avastada küberohte ja intsidente ning neile reageerida, ning seoses võrgu- ja infosüsteemide turvalisusega. Eeskätt peaks ENISA toetama direktiivis (EL) 2016/1148 sätestatud riiklike ja liidu küberturbe intsidentide lahendamise üksuste („CSIRTid“) arendamist ja tõhustamist, et neil oleks kogu liidus ühtemoodi kõrge küpsuse aste. ENISA tegevused, mis on seotud liikmesriikide tegevussuutlikkusega, peaksid aktiivselt toetama liikmesriikide endi poolt direktiivist (EL) 2016/1148 tulenevate kohustuste täitmiseks võetud meetmeid ega tohiks neid meetmeid asendada.

(26)

Samuti peaks ENISA abistama liidu ja taotluse korral liikmesriikide võrgu- ja infosüsteemide turvalisuse strateegiate väljatöötamist ja ajakohastamist, eelkõige küberturvalisuse osas, ning edendama nende strateegiate levitamist ja jälgima nende rakendamise edusamme. Lisaks peaks ENISA aitama kaasa vajaduse katmisele koolituste ja koolitusmaterjali järele, sealhulgas seoses avalike asutuste vajadustega, ning koolitama asjakohasel juhul suures ulatuses koolitajaid, lähtudes Euroopa kodanike digipädevuse raamistikust ning pidades silmas liikmesriikide ning liidu institutsioonide, organite ja asutuste abistamist nende endi koolitussuutlikkuse väljaarendamisel.

(27)

ENISA peaks toetama liikmesriike küberturvalisuse alase teadlikkuse parandamise ja hariduse valdkonnas, hõlbustades liikmesriikide vahel tihedamat koordineerimist ja parimate tavade vahetamist. Selline toetus võiks seisneda riiklike haridusalaste kontaktpunktide võrgustiku ja küberturvalisuse koolitusplatvormi arendamises. Riiklike haridusalaste kontaktpunktide võrgustik võiks toimida liikmesriikide kontaktametnike võrgustiku raames ja olla lähtepunkt tulevaseks liikmesriikide vaheliseks koordineerimiseks.

(28)

ENISA peaks abistama direktiiviga (EL) 2016/1148 moodustatud koostöörühma selle ülesannete täitmisel, eeskätt pakkuma oskusteavet ja nõu ning hõlbustama parimate tavade vahetamist muu hulgas seoses oluliste teenuste operaatorite identifitseerimisega liikmesriikide poolt, ning samuti selles osas, mis puudutab riskide ja intsidentidega seotud piiriüleseid sõltuvusseoseid.

(29)

Selleks et ergutada avaliku ja erasektori koostööd ning erasektorisisest koostööd ning eelkõige toetada elutähtsate taristute kaitset, peaks ENISA toetama teabe jagamist sektorite sees ja vahel, eeskätt direktiivi (EL) 2016/1148 II lisas loetletud sektorites, levitades parimaid tavasid ja andes suuniseid kättesaadavate töövahendite ja menetluste kohta ning selle kohta, kuidas lahendada teabe jagamisega seotud regulatiivsed küsimused, näiteks hõlbustades valdkondlike teabe jagamise ja analüüsimise keskuste loomist.

(30)

Samal ajal kui IKT-toodete, -teenuste ja -protsesside turvanõrkuste potentsiaalne negatiivne mõju järjest suureneb, mängib üldise küberturvalisuse riski vähendamisel tähtsat rolli selliste turvanõrkuste leidmine ja kõrvaldamine. On tõestatud, et organisatsioonide, turvanõrkustega IKT-toodete, -teenuste ja -protsesside tootjate ja pakkujate ning küberturvalisuse teadusuuringute kogukonna liikmete ja valitsuste, kes turvanõrkusi leiavad, vaheline koostöö on märkimisväärselt suurendanud IKT-toodete, -teenuste ja - protsesside turvanõrkuste avastamist ja kõrvaldamist. Turvanõrkuse koordineeritud avalikustamine kujutab endast struktureeritud koostööprotsessi, mille puhul teatatakse turvanõrkusest infosüsteemi omanikule, andes organisatsioonile võimaluse diagnoosida ja kõrvaldada turvanõrkus enne selle kohta üksikasjaliku teabe avalikustamist kolmandatele isikutele või avalikkusele. Protsessiga nähakse ka ette turvanõrkuse leidja ja organisatsiooni vaheline koordineerimine seoses nimetatud turvanõrkuse avalikustamisega. Turvanõrkuse koordineeritud avalikustamise põhimõtetel võib olla tähtis roll küberturvalisuse parandamiseks tehtavates liikmesriikide jõupingutustes.

(31)

ENISA peaks koondama ja analüüsima riikide vabatahtlikult jagatud CSIRTide ja Euroopa Parlamendi, Euroopa Ülemkogu, Euroopa Liidu Nõukogu, Euroopa Komisjoni, Euroopa Liidu Kohtu, Euroopa Keskpanga, Euroopa Kontrollikoja, Euroopa välisteenistuse, Euroopa Majandus- ja Sotsiaalkomitee, Euroopa Regioonide Komitee ja Euroopa Investeerimispanga vahelise kokkuleppega liidu institutsioonide, organite ja asutuste infoturbeintsidentidega tegeleva rühma (CERT-EU) töökorralduse ja toimimise kohta (14) moodustatud liidu institutsioonide, organite ja asutuste infoturbeintsidentidega tegeleva institutsioonidevahelise rühma (CERT-EU) aruandeid, et aidata kaasa teabevahetuse jaoks ühiste menetluste, keele ja terminoloogia koostamisele. Direktiiviga (EL) 2016/1148 loodi alus vabatahtlikuks tehnilise teabe vahetamiseks operatiivtasandil riiklike küberturbe intsidentide lahendamise üksuste võrgustikus („CSIRTide võrgustik“) - selle raames peaks ENISA kaasama erasektori.

(32)

ENISA peaks andma oma panuse sellesse, kuidas liidu tasandil reageeritakse ulatuslikele piiriülestele intsidentidele ja küberturvalisusega seotud kriisidele. Seda ülesannet tuleks täita kooskõlas käesoleva määruse kohaste ENISA volitustega ja lähenemisviisiga, mille suhtes peavad liikmesriigid kokku leppima komisjoni soovituse (EL) 2017/1584 (15) ning nõukogu 26. juuni 2018. aasta järelduste (ELi koordineeritud reageerimise kohta ulatuslike küberintsidentide ja kriiside korral) kontekstis. See ülesanne võiks hõlmata asjaomase teabe kogumist ning vahendajarolli CSIRTide võrgustiku ja tehnilise kogukonna, aga ka kriisi haldamise eest vastutavate otsusetegijate vahel. Lisaks peaks ENISA toetama ühe või mitme liikmesriigi taotlusel liikmesriikide vahelist operatiivkoostööd intsidentide käsitlemisel tehnilise külje pealt, hõlbustades liikmesriikide vahel vajalike tehniliste lahenduste vahetamist ja pakkudes sisendit avaliku teabevahetuse jaoks. ENISA peaks operatiivkoostööd toetama sellise koostöö üksikasjade testimisega korrapäraste küberturvalisuse õppuste käigus.

(33)

Operatiivkoostöö toetamisel peaks ENISA kasutama CERT-EU olemasolevaid tehnilisi ja operatiivseid oskusteadmisi struktureeritud koostöö kaudu. Struktureeritud koostöö võib tugineda ENISA oskusteabele. Asjakohasel juhul tuleks kahe üksuse vahel kehtestada erikord, et määrata kindlaks sellise koostöö praktiline kulg ja vältida tegevuse dubleerimist.

(34)

Täites oma ülesannet toetada operatiivkoostööd CSIRTide võrgustikus peaks ENISA olema suuteline pakkuma liikmesriikidele nende taotluse korral toetust, näiteks andma nõu, kuidas parandada intsidentide ennetamise, nende avastamise ja neile reageerimise suutlikkust, hõlbustades märkimisväärse või olulise mõjuga intsidentide tehnilist lahendamist või tagades küberohtude ja intsidentide analüüsimise. ENISA peaks hõlbustama märkimisväärse või olulise mõjuga intsidentide tehnilist lahendamist, eeskätt toetades tehniliste lahenduste vabatahtlikku jagamist liikmesriikide vahel või koostades kombineeritud tehnilist teavet, näiteks liikmesriikide poolt vabatahtlikult jagatud tehnilised lahendused. Soovituse (EL) 2017/1584 kohaselt peaksid liikmesriigid tegema heas usus koostööd ja jagama ilma põhjendamatute viivitusteta nii omavahel kui ka ENISAga teavet ulatuslike intsidentide ja küberturvalisusega seotud kriiside kohta. Sellisest teabest oleks ENISA-l oma operatiivkoostöö toetamise ülesande täitmisel täiendavat abi.

(35)

ENISA peaks liidu olukorrateadlikkust toetava tehnilise tasandi korrapärase koostöö raames korrapäraselt ja tihedas koostöös liikmesriikidega koostama intsidentide ja küberohtude kohta ELi küberturvalisuse tehnilist olukorda käsitlevaid põhjalikke aruandeid, mis põhinevad avalikult kättesaadaval teabel, tema enda analüüsidel ja aruannetel, mida jagavad temaga liikmesriikide CSIRTid või direktiivis (EL) 2016/1148 ettenähtud võrgu- ja infosüsteemide turbe valla riiklikud ühtsed kontaktpunktid („ühtsed kontaktpunktid“) (mõlemad vabatahtlikkuse alusel), Europoli juures tegutsev küberkuritegevuse vastase võitluse Euroopa keskus (EC3), CERT-EU ja kui see on asjakohane, siis Euroopa välisteenistuse juures tegutsev Euroopa Liidu luure- ja situatsioonikeskus (EU INTCEN). Aruanne tuleks teha kättesaadavaks nõukogule, komisjonile, liidu välisasjade ja julgeolekupoliitika kõrgele esindajale ning CSIRTide võrgustikule.

(36)

Märkimisväärse või olulise mõjuga intsidendi puhul peaks ENISA toetus asjaomaste liikmesriikide taotluse korral tehtavale tehnilisele järeluurimisele keskenduma edasiste intsidentide ärahoidmisele. Asjaomased liikmesriigid peaksid pakkuma vajalikku teavet ja abi, et võimaldada ENISA-l tõhusalt toetada tehnilist uurimist.

(37)

Liikmesriigid võivad paluda, et intsidendist mõjutatud ettevõtjad teeksid koostööd ning pakuksid ENISA-le vajalikku teavet ja abi, ilma et see piiraks nende õigust kaitsta tundlikku äriteavet ja avaliku julgeoleku seisukohast olulist teavet.

(38)

Et küberturvalisuse valdkonna probleemidest paremini aru saada ning liikmesriikidele ja liidu institutsioonidele, organitele ja asutustele pikaajalist strateegilist nõu anda, peab ENISA analüüsima praeguseid ja kujunemisjärgus küberturvalisuse riske. Sel eesmärgil peaks ENISA koostöös liikmesriikidega ja asjakohasel juhul ka statistikaasutuste ja muude asutustega koguma asjassepuutuvat avalikult kättesaadavat või vabatahtlikult jagatavat teavet ning analüüsima kujunemisjärgus tehnoloogiaid ja andma teemakohaseid hinnanguid võrgu- ja infoturbe, eeskätt küberturvalisuse tehnoloogiliste uuenduste eeldatavale ühiskondlikule, õiguslikule, majanduslikule ja regulatiivsele mõjule. Peale selle peaks ENISA toetama küberohtude, turvanõrkuste ja intsidentide analüüsimise kaudu liikmesriike ja liidu institutsioone, organeid ja asutusi esilekerkivate küberturvalisuse riskide kindlakstegemisel ja intsidentide ennetamisel.

(39)

ENISA peaks liidu vastupidavuse suurendamiseks arendama oskusteavet seoses nende küberturvalisuse taristutega, mis toetavad eeskätt direktiivi (EL) 2016/1148 II lisas loetletud sektoreid ja mida kasutavad kõnealuse direktiivi III lisas loetletud digitaalsete teenuste osutajad, andes nõuandeid ja suuniseid ning vahetades parimaid tavasid. Et tagada hõlpsam juurdepääs paremini struktureeritud teabele küberturvalisuse riskide ja võimalike vastumeetmete kohta, peaks ENISA arendama välja liidu teabekeskuse ja hoidma seda käigus; liidu teabekeskus oleks universaalne portaal, mis jagaks üldsusele küberturvalisuse kohta teavet, mis on saadud liidu ja riikide institutsioonidelt, organitelt ja asutustelt. Küberturvalisuse riske ja võimalikke vastumeetmeid käsitlevale paremini struktureeritud teabele juurdepääsu võimaldamine võib ka aidata liikmesriikidel oma suutlikkust parandada ja tavasid ühtlustada ning suurendada seega nende üldist vastupidavusvõimet küberrünnete suhtes.

(40)

ENISA peaks aitama parandada üldsuse teadlikkust küberturvalisuse riskidest, sealhulgas ELi ülese teadlikkuse parandamise kampaania kaudu hariduse edendamise abil, ja jagama kodanikele, organisatsioonidele ja ettevõtjatele mõeldud individuaalsete kasutajate headel tavadel põhinevaid suuniseid. ENISA peaks aitama kaasa ka parimate tavade ja lahenduste, sealhulgas küberhügieeni ja küberkirjaoskuse propageerimisele kodanike, organisatsioonide ja ettevõtjate tasandil, kogudes ja analüüsides avalikult kättesaadavat teavet oluliste intsidentide kohta ning koostades ja avaldades aruanded ja suunised kodanikele, organisatsioonidele ja ettevõtjatele, et parandada nende valmisoleku ja vastupidavuse üldist taset. ENISA peaks ka püüdma pakkuda tarbijatele asjakohast teavet kohaldatavate sertifitseerimise kavade kohta, näiteks andes suuniseid ja soovitusi. Lisaks peaks ENISA korraldama kooskõlas komisjoni 17. jaanuari 2018. aasta teatise kohase digiõppe tegevuskavaga ning koostöös liikmesriikide ja liidu institutsioonide, organite ja asutustega korrapäraseid lõppkasutajatele suunatud üldsuse harimise ja teavituskampaaniaid, mille eesmärk on propageerida üksikisikute ohutumat veebikäitumist ja digikirjaoskust, parandada teadlikkust võimalikest küberohtudest, sealhulgas sellisest kriminaalsest tegevusest veebis nagu andmepüügi rünnakud, robotvõrgud, finants- ja pangapettused ning andmetega seotud pettused, ning tutvustada mitmetegurilise autentimise, paikamise, krüptimise, andmete anonüümseks muutmise ja andmekaitse alaseid nõuandeid.

(41)

ENISA-l peaks olema keskne roll selles, et lõppkasutajad saaksid kiiremini teadlikuks seadmete turvalisusest ja teenuste turvalisest kasutamisest, ja edendama liidu tasandil sisseprojekteeritud turvet ja lõimprivaatsust. Selle eesmärgi poole püüdlemisel peaks ENISA kasutama olemasolevaid parimaid tavasid ja kogemusi, eriti neid, mis on pärit teadusasutustelt ja IT-turvalisusega tegelevatelt teadlastelt.

(42)

Küberturvalisuse sektoris tegutsevate ettevõtjate, aga ka küberturvalisuse lahenduste kasutajate toetuseks peaks ENISA rajama nn turuseirekeskuse ja seda käigus hoidma, analüüsides korrapäraselt nii küberturvalisuse turu nõudluse kui ka pakkumise poole peamisi suundumusi ja jagades selle kohta teavet.

(43)

ENISA peaks aitama kaasa liidu jõupingutustele teha koostööd rahvusvaheliste organisatsioonidega ning küberturvalisuse valdkonna asjakohastes rahvusvahelise koostöö raamistikes. Eelkõige peaks ENISA asjakohasel juhul aitama kaasa koostööle selliste organisatsioonidega nagu OECD, OSCE ja NATO. Selline koostöö võiks hõlmata küberturvalisuse ühisõppusi ja intsidentidele ühiselt reageerimise koordineerimist. Need tegevused peavad täielikult austama kaasavuse, vastastikkuse ja liidu otsuste tegemise autonoomsuse põhimõtteid, mõjutamata ühegi liikmesriigi julgeoleku- ja kaitsepoliitika eripära.

(44)

Tagamaks, et ENISA saavutab oma eesmärgid täies ulatuses, peaks ta suhtlema asjaomaste liidu järelevalve- ja muude pädevate asutustega, liidu institutsioonide, organite ja asutustega, kelle hulgas on CERT-EU, EC3, Euroopa Kaitseagentuur (EDA), Ülemaailmne Satelliitnavigatsioonisüsteemi Euroopa Agentuur (Euroopa GNSSi Agentuur), Elektroonilise Side Euroopa Reguleerivate Asutuste Ühendatud Amet (BEREC), Vabadusel, Turvalisusel ja Õigusel Rajaneva Ala Suuremahuliste IT-süsteemide Operatiivjuhtimise Euroopa Amet (eu-LISA), Euroopa Keskpank (EKP), Euroopa Pangandusjärelevalve (EBA), Euroopa Andmekaitsenõukogu, Energeetikasektorit Reguleerivate Asutuste Koostööamet (ACER), Euroopa Liidu Lennundusohutusamet (EASA) ja muud liidu asutused, kes tegelevad küberturvalisusega. Samuti peaks ENISA suhtlema andmekaitsega tegelevate ametiasutustega, et vahetada oskusteavet ja parimaid tavasid ning anda nõu küberturvalisuse küsimustes, mis võivad nende tööd mõjutada. Liikmesriikide ja liidu õiguskaitseasutuste ning andmekaitseasutuste esindajad peaksid olema esindatud ENISA nõuanderühmas. Õiguskaitseasutustega koostöö tegemisel võrgu- ja infoturbe küsimustes, mis võivad nende tööd mõjutada, peaks ENISA arvestama olemasolevate teabekanalite ja rajatud võrgustikega.

(45)

Tuleks luua partnerlussuhted teadusasutustega, kel on asjaomastes valdkondades teadusalgatusi, ning tuleks tagada asjakohased kanalid tarbija- ja teiste organisatsioonide panustamiseks ja nende panust tuleks arvesse võtta.

(46)

ENISA, täites CSIRTide võrgustiku sekretariaadi rolli, peaks toetama liikmesriikide CSIRTe ja CERT-EUd operatiivkoostöös seoses CSIRTide võrgustiku asjaomaste ülesannetega, millele on osutatud direktiivis (EL) 2016/1148. Veelgi enam, ENISA peaks edendama ja toetama asjaomaste CSIRTide koostööd, kui toimuvad intsidendid, ründed või häired CSIRTide hallatavates või kaitstavates võrkudes või taristutes, mis hõlmavad või võivad hõlmata vähemalt kahte CSIRTi, võttes seejuures arvesse CSIRTide võrgustiku standardset töökorda.

(47)

Selleks et suurendada liidu valmisolekut reageerida intsidentidele, peaks ENISA korrapäraselt korraldama liidu tasandil küberturvalisuse õppusi ning toetama liikmesriike ja liidu institutsioone, organeid ja asutusi nende taotluse korral selliste õppuste korraldamisel. Iga kahe aasta järel tuleks korraldada põhjalik suurõppus, mis hõlmab tehnilisi, operatiivseid ja strateegilisi elemente. Lisaks peaks ENISA saama korrapäraselt korraldada vähem põhjalikke õppusi, millel on sama eesmärk – parandada liidu valmisolekut reageerida intsidentidele.

(48)

ENISA peaks edasi arendama ja säilitama oma oskusteavet küberturvalisuse sertifitseerimise kohta, et toetada liidu poliitikat selles valdkonnas. ENISA peaks tuginema olemasolevatele parimatele tavadele ja edendama küberturvalisuse sertifitseerimise kasutuselevõttu liidus muu hulgas sellega, et aitab kehtestada liidu tasandil küberturvalisuse sertifitseerimise raamistiku („Euroopa küberturvalisuse sertifitseerimise raamistik“) ja seda hallata, et suurendada IKT-toodete, -teenuste ja -protsesside küberturvalisuse usaldusväärsuse läbipaistvust ning tugevdada seeläbi usaldust digitaalse siseturu vastu ja selle konkurentsivõimet.

(49)

Tõhusad küberturvalisuse alased poliitikameetmed peaksid tuginema hästi väljatöötatud riskihindamismeetoditele, seda nii avalikus kui ka erasektoris. Riskihindamismeetodeid kasutatakse erinevatel tasanditel ning puudub nende tõhusa kohaldamise ühine tava. Riskide hindamise ja koostalitlusvõimeliste riskihalduse lahenduste parimate tavade propageerimine ja arendamine avaliku ja erasektori organisatsioonides tõstab küberturvalisuse taset liidus. Selleks peaks ENISA toetama sidusrühmade koostööd liidu tasandil ja hõlbustama nende jõupingutusi seoses elektrooniliste toodete, süsteemide, võrkude ja teenuste – mis koos tarkvaraga moodustavad võrgu- ja infosüsteemid – riskihalduse ja mõõdetava turvalisuse Euroopa ja rahvusvaheliste standardite väljatöötamise ja kasutuselevõtmisega.

(50)

ENISA peaks innustama liikmesriike ning IKT-toodete, - teenuste ja -protsesside tootjaid ja pakkujaid tõstma oma üldisi turbestandardeid, et kõik internetikasutajad saaksid võtta vajalikud meetmed oma isikliku küberturvalisuse tagamiseks ja oleksid motiveeritud seda tegema. Eelkõige peaksid IKT-toodete, - teenuste ja -protsesside tootjad ja pakkujad pakkuma vajalikke uuendusi ning nõudma tagasi, võtma tagasi või taaskasutusse IKT-tooted, -teenused ja -protsessid, mis ei vasta küberturvalisuse standarditele, samas kui importijad ja turustajad peaksid tagama, et nende poolt liidu turule lastud IKT-tooted, -teenused ja -protsessid vastavad kohaldatavatele nõuetele ning ei kujuta endast ohtu liidu tarbijatele.

(51)

ENISA peaks saama koostöös pädevate asutustega jagada teavet siseturul pakutavate IKT-toodete, -teenuste ja -protsesside küberturvalisuse taseme kohta ning avaldama IKT-toodete, - teenuste ja -protsesside tootjatele ja pakkujatele suunatud hoiatusi, milles nõutakse nende IKT-toodete, -teenuste ja -protsesside turvalisuse, sealhulgas küberturvalisuse parandamist.

(52)

ENISA peaks täies ulatuses võtma arvesse käimasolevaid teadus- arendustegevusi ning tehnoloogilisi hindamisi, eelkõige neid, mida tehakse erinevates liidu teadusalgatustes, et nõustada liidu institutsioone, organeid ja asutusi ning kui see on asjakohane, liikmesriike nende taotlusel seoses vajadusega teadusuuringute järele ja prioriteetidega küberturvalisuse valdkonnas. ENISA peaks teadusuuringute vajaduste ja prioriteetide kindlakstegemiseks konsulteerima ka asjaomaste kasutajarühmadega. Konkreetsemalt tuleks sisse seada koostöö Euroopa Teadusnõukogu, Euroopa Innovatsiooni- ja Tehnoloogiainstituudi ning Euroopa Liidu Julgeoleku-uuringute Instituudiga.

(53)

ENISA peaks Euroopa küberturvalisuse sertifitseerimise kavade koostamisel korrapäraselt konsulteerima standardiorganisatsioonidega, eriti Euroopa standardiorganisatsioonidega.

(54)

Küberohud on ülemaailmsed. Vaja on teha tihedamat rahvusvahelist koostööd, et parandada küberturvalisuse standardeid (sealhulgas määrata kindlaks ühised käitumisnormid ja võtta vastu tegevusjuhendid), rahvusvaheliste standardite kasutamist ja teabe jagamist, millega edendatakse nii kiiremat rahvusvahelist koostööd võrgu- ja infoturbe probleemidele reageerimise valdkonnas kui ka ühtset ülemaailmset lähenemisviisi neis küsimustes. Selleks peaks ENISA toetama liidu tihedamat kaasamist ning koostööd kolmandate riikide ja rahvusvaheliste organisatsioonidega, pakkudes asjakohasel juhul asjaomastele liidu institutsioonidele, organitele ja asutustele vajalikku oskusteavet ja analüüsi.

(55)

ENISA peaks saama reageerida liikmesriikide ja liidu institutsioonide, organite ja asutuste ad hoc nõuande- ja abitaotlustele ENISA pädevusse kuuluvates küsimustes.

(56)

ENISA juhtimisel on mõistlik ja soovitav rakendada teatavaid põhimõtteid, et järgida 2012. aasta juulis institutsioonidevahelises ELi detsentraliseeritud asutuste töörühmas kokkulepitud ühisavaldust ja ühist lähenemisviisi, mille eesmärk on ühtlustada detsentraliseeritud asutuste tegevust ja parandada nende toimimist. Ühisavalduses ja ühises lähenemisviisis sisalduvad soovitused peaksid samuti asjakohaselt kajastuma ENISA tööprogrammides, ENISA hindamistes ning ENISA aruandlus- ja haldustavades.

(57)

Liikmesriikide ja komisjoni esindajatest koosnev haldusnõukogu peaks määrama kindlaks ENISA tegevuse üldsuuna ning tagama, et ENISA täidab oma ülesandeid vastavalt käesolevale määrusele. Haldusnõukogule tuleks anda õigus koostada ENISA eelarve ja kontrollida selle täitmist, võtta vastu kohased finantsreeglid, kehtestada ENISA otsuste tegemiseks läbipaistev kord, võtta vastu ENISA ühtne programmdokument, võtta vastu ENISA kodukord, nimetada ametisse tegevdirektor ning otsustada tegevdirektori ametiaja pikendamise ja tema ametiaja lõpetamise üle.

(58)

ENISA nõuetekohaseks ja tulemuslikuks toimimiseks peaksid komisjon ja liikmesriigid tagama, et haldusnõukogu liikmeteks nimetatavatel isikutel on vajalikud erialateadmised ja kogemus. Komisjon ja liikmesriigid peaksid püüdma piirata oma esindajate vahetumist haldusnõukogus, et tagada selle töö järjepidevus.

(59)

ENISA sujuvaks toimimiseks on tarvis, et tegevdirektor nimetataks ametisse pidades silmas tema teeneid, dokumenteeritud haldamis- ja juhtimisoskust ning küberturvalisuse alaseid teadmisi ja kogemusi. Tegevdirektori ülesandeid tuleks täita täiesti sõltumatult. Tegevdirektor peaks pärast komisjoniga konsulteerimist koostama ettepaneku ENISA iga-aastase tööprogrammi kohta ning võtma kõik vajalikud meetmed tööprogrammi nõuetekohase elluviimise tagamiseks. Tegevdirektor peaks koostama igal aastal haldusnõukogule esitatava aruande, mis käsitleb ENISA iga-aastase tööprogrammi rakendamist, koostama ENISA tulude ja kulude kalkulatsiooni eelnõu ning vastutama eelarve täitmise eest. Lisaks peaks tegevdirektoril olema võimalik moodustada ajutisi töörühmi selleks, et käsitleda konkreetseid, eeskätt teaduslikku, tehnilist, õiguslikku või sotsiaal-majanduslikku laadi küsimusi. Ajutise töörühma moodustamine on vajalik eelkõige seoses konkreetse Euroopa küberturvalisuse sertifitseerimise ettevalmistava kava („ettevalmistav kava“) koostamisega. Tegevdirektor peaks tagama, et ajutiste töörühmade liikmed valitakse kõige põhjalikumate erialateadmiste põhjal, püüdes tagada soolise tasakaalu ning selle, et seal oleksid (lähtuvalt sellest, kuidas see on konkreetset küsimust arvestades asjakohane) tasakaalustatult esindatud liikmesriikide ametiasutused, liidu institutsioonid, organid ja asutused ning erasektor, sealhulgas majandusringkonnad, kasutajad ning võrgu- ja infoturbe alal pädevad teaduseksperdid.

(60)

Juhatus peaks aitama kaasa haldusnõukogu tõhusale toimimisele. Osana haldusnõukogu otsustega seotud ettevalmistustööst peaks juhatus põhjalikult analüüsima asjakohast teavet, olemasolevaid võimalusi ning pakkuma nõuandeid ja lahendusi haldusnõukogu asjakohaste otsuste ettevalmistamiseks.

(61)

ENISA-l peaks olema nõuandva organina ENISA nõuanderühm, mis tagaks korrapärase dialoogi erasektori, tarbijate organisatsioonide ja teiste asjaomaste sidusrühmadega. Tegevdirektori ettepanekul haldusnõukogu moodustatud ENISA nõuanderühm peaks keskenduma sidusrühmade jaoks olulistele küsimustele ja juhtima neile ENISA tähelepanu. Eelkõige tuleks ENISA nõuanderühmaga konsulteerida ENISA iga-aastase tööprogrammi kavandi üle. ENISA nõuanderühm koosseis ja ülesanded peaksid tagama sidusrühmade piisava esindatuse ENISA töös.

(62)

Tuleks moodustada sidusrühmade küberturvalisuse sertifitseerimise rühm, et aidata ENISA-l ja komisjonil hõlbustada konsulteerimist asjaomaste sidusrühmadega. Sidusrühmade küberturvalisuse sertifitseerimise rühma liikmed peaksid esindama tasakaalustatud viisil tööstust, nii IKT-toodete ja -teenuste nõudluse kui pakkumise poolelt, muu hulgas eelkõige VKEsid, digitaalsete teenuste osutajaid, Euroopa ja rahvusvahelisi standardiasutusi, riiklikke akrediteerimisasutusi, andmekaitse järelevalveasutusi ning Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 765/2008 (16) kohaseid vastavushindamisasutusi ning teadusasutusi ja tarbijaorganisatsioone.

(63)

ENISA peaks võtma vastu huvide konfliktide ennetamise ja lahendamise normid. ENISA peaks kohaldama ka asjaomaseid liidu sätteid, mis käsitlevad üldsuse juurdepääsu dokumentidele, nagu on sätestatud Euroopa Parlamendi ja nõukogu määruses (EÜ) nr 1049/2001 (17). ENISA peaks isikuandmeid töötlema vastavalt Euroopa Parlamendi ja nõukogu määrusele (EL) 2018/1725 (18). ENISA peaks teabe, eelkõige tundliku salastamata teabe ja Euroopa Liidu salastatud teabe käitlemisel järgima liidu institutsioonide, organite ja asutuste kohta kehtivaid sätteid ja liikmesriikide õigusakte.

(64)

Et tagada ENISA täielik autonoomia ja sõltumatus ning võimaldada tal täita lisaülesandeid, sealhulgas kiireloomulisi erakorralisi ülesandeid, tuleks ENISA-le eraldada piisav ja autonoomne eelarve, mille peamine tulu tuleks liidu toetusest ja ENISA töös osalevate kolmandate riikide rahalisest osalusest. Piisav eelarve on ülioluline tagamaks, et ENISA-l on kõigi oma lisanduvate ülesannete täitmiseks ja eesmärkide saavutamiseks vajalik suutlikkus. Enamik ENISA töötajaid peaks olema otseselt tegevad ENISA volituste täitmisel. Asukohaliikmesriigil ja igal muul liikmesriigil peaks olema lubatud teha ENISA eelarvesse vabatahtlikult sissemakseid. Liidu eelarvemenetluse kohaldamist tuleks jätkata kõigi toetuste suhtes, mida makstakse liidu üldeelarvest. Lisaks sellele peaks ENISA raamatupidamisarvestust läbipaistvuse ja vastutuse tagamiseks auditeerima kontrollikoda.

(65)

Küberturvalisuse sertifitseerimisel on tähtis roll IKT-toodete, -teenuste ja -protsesside usaldusväärsuse ja turvalisuse parandamisest. Digitaalne ühtne turg ning eelkõige andmepõhine majandus ja asjade internet saavad olla edukad vaid juhul, kui avalikkusel on kindlustunne, et sellised tooted, teenused ja protsessid pakuvad teatavat küberturvalisuse taset. Internetiühendusega ja automatiseeritud autod, elektroonilised meditsiiniseadmed, tööstuslikud automatiseeritud juhtimissüsteemid ja arukad võrgud on vaid mõned näited sektoritest, kus sertifitseerimist juba ulatuslikult kasutatakse või tõenäoliselt hakatakse lähitulevikus kasutama. Direktiiviga (EL) 2016/1148 reguleeritud sektorid on ka sektorid, kus küberturvalisuse sertifitseerimine on äärmiselt oluline.

(66)

2016. aasta teatises „Euroopa kübervastupidavusvõime süsteemi tugevdamine ning konkurentsivõimelise ja uuendusliku küberjulgeolekutööstuse soodustamine“ tõi komisjon välja vajaduse kvaliteetsete, taskukohaste ja koostalitlusvõimeliste küberturvalisuse toodete ja -lahenduste järele. IKT-toodete, -teenuste ja -protsesside pakkumine ühtsel turul on geograafiliselt endiselt väga killustatud. Selle põhjuseks on asjaolu, et küberturvalisuse tööstus on Euroopas peamiselt arenenud liikmesriikide valitsuste nõudluse najal. Lisaks kuulub kübeturvalisuse ühtse turu kitsaskohtade hulka koostalitusvõimeliste lahenduste (tehniliste standardite), tavade ja kogu liitu hõlmavate sertifitseerimismehhanismide puudumine. See teeb liikmesriigi, liidu ja üleilmsel tasandil konkureerimise Euroopa ettevõtjate jaoks keerukaks. Samuti tähendab see üksikisikute ja ettevõtjate jaoks võimaliku ja kasutatava küberturvalisuse tehnoloogia kättesaadavust väiksemas valikus. Sarnaselt märkis komisjon oma 2017. aasta teatises „Digitaalse ühtse turu strateegia rakendamise vahekokkuvõte. Ühendatud digitaalne ühtne turg kõigile“ vajadust turvaliste võrgustatud toodete ja süsteemide järele ning märkis, et Euroopa IKT turvalisuse raamistiku loomine, millega kehtestatakse õigusnormid selle kohta, kuidas korraldada IKT turvalisuse sertifitseerimist liidus, võib aidata säilitada usaldust interneti vastu ja vähendada siseturu praegust killustatust.

(67)

Praegu kasutatakse IKT-toodete, -teenuste ja -protsesside küberturvalisuse sertifitseerimist üksnes piiratud ulatuses. Kui sertifitseerimine on olemas, siis peamiselt liikmesriigi tasandil või tööstusest lähtuvate kavade raames. Sellistes tingimustes ei tunnusta liikmesriigid üldiselt teise liikmesriigi riikliku küberturvalisuse sertifitseerimise asutuse poolt välja antud sertifikaati. Seega võib juhtuda, et ettevõtted peavad sertifitseerima oma IKT-tooted, -teenused ja -protsessid mitmes liikmesriigis, kus nad tegutsevad, näiteks et osaleda riiklikes hankemenetlustes, mis aga suurendab nende ettevõtete kulusid. Lisaks sellele paistab, et kuigi on tekkimas uusi kavasid, ei ole ühtset ja terviklikku lähenemisviisi küberturvalisuse horisontaalsetele küsimustele, näiteks asjade interneti valdkonnas. Olemasolevatel kavadel on märkimisväärseid puudujääke ning erinevusi tootehõlmavuses, usaldusväärsuse tasemetes, sisulistes kriteeriumides ja tegelikus kasutamises, mis takistab vastastikuse tunnustamise mehhanismide toimimist liidus.

(68)

On tehtud mõningaid pingutusi, et tagada liidus sertifikaatide vastastikune tunnustamine. See on olnud aga vaid osaliselt edukas. Kõige olulisem näide siinkohal on kõrgemate ametnike infosüsteemide turvalisuse rühma (SOG-IS, Senior Officials Group – Information Systems Security) vastastikuse tunnustamise kokkulepe. Kuigi see on kõige tähtsam koostöö ja vastastikuse tunnustamise mudel turvalisuse sertifitseerimise valdkonnas, hõlmab SOG-IS üksnes mõnda liikmesriiki. See asjaolu on piiranud SOG-IS vastastikuse tunnustamise kokkuleppe tulemuslikkust siseturu seisukohast.

(69)

Seetõttu on vaja võtta vastu ühine lähenemisviis ja luua Euroopa küberturvalisuse sertifitseerimise raamistik, milles kehtestatakse välja töötatavate Euroopa küberturvalisuse sertifitseerimise kavade peamised horisontaalsed nõuded ning mis võimaldab tunnustada ja kasutada IKT-toodete, -teenuste või -protsesside Euroopa küberturvalisuse sertifikaate ja ELi vastavusdeklaratsioone kõigis liikmesriikides. Seejuures on oluline tugineda olemasolevatele riiklikele ja rahvusvahelistele kavadele ning vastastikuse tunnustamise süsteemidele, eelkõige SOG-ISile, ning võimaldada selliste süsteemide kohastelt olemasolevatelt kavadelt sujuvat üleminekut uue Euroopa küberturvalisuse sertifitseerimise raamistiku kohastele kavadele. Euroopa küberturvalisuse sertifitseerimise raamistikul peaks olema kaks eesmärki. Esiteks peaks see aitama suurendada usaldust Euroopa küberturvalisuse sertifitseerimise kavade kohaselt sertifitseeritud IKT-toodete, -teenuste ja -protsesside vastu. Teiseks peaks see aitama vältida üksteisele vastukäivate või kattuvate riiklike küberturvalisuse sertifitseerimise kavade paljusust ja seeläbi vähendama digitaalsel ühtsel turul tegutsevate ettevõtjate kulusid. Euroopa küberturvalisuse sertifitseerimise kavad peaksid olema mittediskrimineerivad ning põhinema Euroopa või rahvusvahelistel standarditel, välja arvatud juhul, kui need standardid on ebatõhusad või ebasobivad liidu õiguspäraste eesmärkide saavutamiseks selles valdkonnas.

(70)

Euroopa küberturvalisuse sertifitseerimise raamistik tuleks kehtestada ühetaoliselt kõikides liikmesriikides, et vältida „sertifikaatide ostlemist“, mida põhjustab nõuete erinevus liikmesriikides.

(71)

Euroopa küberturvalisuse sertifitseerimise kavad peaksid tuginema rahvusvahelisel ja riiklikul tasandil juba olemasolevatele kavadele ning vajaduse korral foorumite ja konsortsiumite tehnilistele kirjeldustele, õppides praegustest tugevatest külgedest ning hinnates ja parandades puudusi.

(72)

Selleks et tööstus suudaks ennetada küberohte, on vaja paindlikke küberturvalisuse lahendusi, mistõttu tuleks iga sertifitseerimiskava koostada viisil, mis väldib kiire aegumise riski.

(73)

Komisjonile tuleks anda õigus võtta vastu Euroopa küberturvalisuse sertifitseerimise kavad konkreetsete IKT-toodete, -teenuste ja -protsesside rühmade kohta. Neid kavu peaksid rakendama ja nende üle järelevalvet tegema riiklikud küberturvalisuse sertifitseerimise asutused ning nende kavade kohaselt välja antud sertifikaadid peaksid kehtima ja olema tunnustatud kogu liidus. Tööstuse või muude eraorganisatsioonide rakendatavad sertifitseerimiskavad peaksid jääma käesoleva määruse kohaldamisalast välja. Siiski peaksid saama selliseid kavu haldavad asutused teha komisjonile ettepaneku kaaluda nende kavade heakskiitmist Euroopa küberturvalisuse sertifitseerimise kavana.

(74)

Käesoleva määruse sätted ei tohiks mõjutada liidu õigust, milles on sätestatud erinormid IKT-toodete, -teenuste ja -protsesside sertifitseerimise kohta. Eelkõige sisaldab määrus (EL) 2016/679 sätteid selliste sertifitseerimismehhanismide ning andmekaitsepitserite ja -märgiste kasutuselevõtuks, mille abil saab tõendada, et vastutavate töötlejate ja volitatud töötlejate isikuandmete töötlemise toimingud vastavad kõnealusele määrusele. Sellised sertifitseerimismehhanismid ning andmekaitsepitserid ja -märgised peaksid võimaldama andmesubjektidel kiiresti hinnata asjakohaste IKT-toodete, -teenuste ja -protsesside andmekaitse taset. Käesolev määrus ei piira määruse (EL) 2016/679 kohast andmetöötlustoimingute sertifitseerimist, sealhulgas juhul, kui sellised toimingud sisalduvad IKT-toodetes, -teenustes või -protsessides.

(75)

Euroopa küberturvalisuse sertifitseerimise kavade eesmärk peaks olema tagada, et nende kavade kohaselt sertifitseeritud IKT-tooted, -teenused ja -protsessid vastavad kirjeldatud nõuetele, eesmärgiga kaitsta salvestatud, edastatud või töödeldud andmete või nende toodete, teenuste ja protsesside asjaomaste funktsioonide või nende poolt pakutavate või nende kaudu juurdepääsetavate teenuste käideldavust, autentsust, terviklust või konfidentsiaalsust kogu olelusringi kestel. Käesolevas määruses ei ole võimalik üksikasjalikult sätestada kõigi IKT-toodete, -teenuste ja -protsesside suhtes kohaldatavaid küberturvalisuse nõudeid. IKT-tooted, -teenused ja -protsessid ning nendega seotud küberturvalisuse vajadused on nii mitmekesised, et on väga raske esitada üldiseid küberturvalisuse nõudeid, mis kehtiksid igas olukorras. Seetõttu on vaja sertifitseerimise eesmärgil võtta kasutusele lai ja üldine küberturvalisuse mõiste, mida peaks täiendama rida konkreetseid küberturvalisuse eesmärke, mida tuleb Euroopa küberturvalisuse sertifitseerimise kavade koostamisel arvesse võtta. Nende eesmärkide saavutamise üksikasjad konkreetsete IKT-toodete, -teenuste ja -protsesside puhul tuleks täiendavalt täpsustada igas individuaalses sertifitseerimiskavas, mille komisjon vastu võtab, näiteks viidates standarditele või tehnilistele kirjeldustele, kui asjakohased standardid puuduvad.

(76)

Euroopa küberturvalisuse sertifitseerimise kavas kasutatavad tehnilised kirjeldused peaksid järgima Euroopa Parlamendi ja nõukogu määruse (EL) nr 1025/2012 (19) II lisas sätestatud nõudeid. Mõned kõrvalekalded nendest nõuetest võivad siiski olla vajalikud põhjendatud juhtudel, kui nimetatud tehnilisi kirjeldusi kasutatakse Euroopa küberturvalisuse sertifitseerimise kavas, mis osutab kõrgele usaldusväärsuse tasemele. Selliste kõrvalekallete põhjused tuleks teha avalikult kättesaadavaks.

(77)

Vastavushindamine on protsess, mille käigus hinnatakse, kas IKT-toote, -teenuse või -protsessiga seotud erinõuded on täidetud. Seda protsessi viib läbi sõltumatu kolmas isik, kes ei ole IKT-toote, -teenuse või -protsessi tootja ega pakkuja. IKT-toote, -teenuse või -protsessi eduka hindamise tulemusel tuleks välja anda Euroopa küberturvalisuse sertifikaat. Euroopa küberturvalisuse sertifikaati tuleks käsitada kinnitusena, et hindamine on nõuetekohaselt läbi viidud. Sõltuvalt usaldusväärsuse tasemest tuleks Euroopa küberturvalisuse sertifikaadi kavas märkida, kas Euroopa küberturvalisuse sertifikaadi annab välja era- või avalik-õiguslik asutus. Vastavushindamine ja sertifitseerimine iseenesest ei taga, et sertifitseeritud IKT-tooted, -teenused ja -protsessid on küberturvalised. Pigem on need menetlused ja tehnilised metoodikad kinnitamaks, et IKT-tooteid, -teenuseid ja -protsesse on kontrollitud ja et need vastavad teatavatele küberturvalisuse nõuetele, mis on sätestatud mujal, näiteks tehnilistes standardites.

(78)

Euroopa küberturvalisuse sertifikaadi kasutajate poolne asjakohase sertifitseerimise ja seotud turvanõuete valik peaks põhinema IKT-toote, -teenuse või -protsessi kasutamisega seotud riskianalüüsil. Usaldusväärsuse tase peaks seega vastama IKT-toote, -teenuse või -protsessi ettenähtud kasutamisega seotud riskitasemele.

(79)

Euroopa küberturvalisuse sertifitseerimise kavas võib ette näha vastavushindamise läbiviimine IKT-toodete, -teenuste või -protsesside tootjate -pakkujate ainuvastutusel („vastavuse enesehindamine“). Sellistel juhtudel peaks piisama sellest, kui IKT-toodete, -teenuste või -protsesside tootja või pakkuja teeb ise kõik kontrollid, et tagada IKT-toodete, -teenuste või -protsesside vastavus Euroopa küberturvalisuse sertifitseerimise kavale. Vastavuse enesehindamist tuleks pidada asjakohaseks vähekeerukate (nt lihtsa konstruktsiooni ja tootmismehhanismiga) IKT-toodete, -teenuste ja -protsesside puhul, mis kujutavad endast avalikkusele väikest riski. Lisaks peaks vastavuse enesehindamine olema lubatud üksnes nende IKT-toodete, -teenuste ja -protsesside puhul, mis vastavad usaldusväärsuse baastasemele.

(80)

Euroopa küberturvalisuse sertifitseerimise kavas võib ette näha nii IKT-toodete, -teenuste või -protsesside vastavuse enesehindamise kui ka sertifitseerimise. Sellisel juhul tuleks kavas ette näha selged ja arusaadavad vahendid tarbijatele või teistele kasutajatele, et eristada IKT-tooteid, -teenuseid ja -protsesse, mida hinnatakse nende tootja või pakkuja vastutusel, nendest, mida sertifitseerib kolmas isik.

(81)

IKT-toodete, -teenuste või -protsessude tootja või pakkuja, kes viib läbi vastavuse enesehindamise, peaks olema vastavushindamismenetluse raames võimeline koostama ELi vastavusdeklaratsiooni ja selle allkirjastama. ELi vastavusdeklaratsioon on dokument, millega kinnitatakse, et teatav IKT-toode, -teenus või -protsess vastab Euroopa küberturvalisuse sertifitseerimise kavas esitatud nõuetele. ELi vastavusdeklaratsiooni koostamisel ja allkirjastamisel võtab IKT- toodete, - teenuste või -protsesside tootja või pakkuja vastutuse IKT-toote, -teenuse või -protsessi vastavuse eest Euroopa küberturvalisuse sertifitseerimise kavas esitatud õiguslikele nõuetele. ELi vastavusdeklaratsiooni koopia tuleks esitada riiklikule küberturvalisuse sertifitseerimise asutusele ja ENISA-le.

(82)

IKT-toodete, -teenuste või -protsesside tootja või pakkuja peaks hoidma ELi vastavusdeklaratsiooni, tehnilist dokumentatsiooni ja muud asjaomast teavet, mis puudutab IKT-toodete, -teenuste või -protsesside vastavust Euroopa küberturvalisuse sertifitseerimise kavale, pädevale riiklikule küberturvalisuse sertifitseerimise asutusele kättesaadavana asjaomases Euroopa küberturvalisuse sertifitseerimise kavas kindlaks määratud tähtaja jooksul. Tehnilistes dokumentides tuleks määrata kindlaks kava kohaselt kohaldatavad nõuded ja käsitleda vastavuse enesehindamiseks vajalikul määral IKT-toote, -teenuse või -protsessi projekteerimist, tootmist ja toimimist. Tehniline dokumentatsioon peaks olema koostatud nii, et see võimaldaks hinnata IKT-toote, -teenuse või -protsessi vastavust kava kohaselt kohaldatavatele nõuetele.

(83)

Euroopa küberturvalisuse sertifitseerimise raamistiku juhtimises võetakse arvesse liikmesriikide osalemist ja sidusrühmade asjakohast osalemist ning määratakse kindlaks komisjoni roll Euroopa küberturvalisuse sertifitseerimise kava planeerimises ja vastava ettepaneku tegemises, taotlemises, koostamises, vastuvõtmises ja läbivaatamises.

(84)

Komisjon, keda toetavad Euroopa küberturvalisuse sertifitseerimise rühm ja sidusrühmade küberturvalisuse sertifitseerimise rühm, peaks pärast avatud ja ulatuslikku konsultatsiooni koostama Euroopa küberturvalisuse sertifitseerimise kavasid käsitleva liidu jooksva tööprogrammi ja avaldama selle mittesiduva dokumendina. Liidu jooksev tööprogramm peaks olema strateegiline dokument, mis võimaldab eelkõige tööstusel, liikmesriikide asutustel ja standardiasutustel valmistuda juba varem ette tulevaste Euroopa küberturvalisuse sertifitseerimise kavade jaoks. Liidu jooksev tööprogramm peaks hõlmama mitmeaastast ülevaadet ettevalmistavate kavade taotluste kohta, mille komisjon kavatseb esitada ENISA-le kindlaksmääratud alusel koostamiseks. Komisjon peaks oma IKT standardimise jooksva kava ja Euroopa standardiorganisatsioonidele esitatavate standarditaotluste koostamisel võtma arvesse liidu jooksvat tööprogrammi. Arvestades uute tehnoloogiate kiiret juurutamist ja kasutuselevõttu, varem tundmatute küberturvalisuse riskide esilekerkimist ning seadusandlikku ja turuarengut, peaks komisjonil või Euroopa küberturvalisuse sertifitseerimise rühmal olema õigus taotleda, et ENISA koostaks ettevalmistavaid kavasid, mis ei sisaldu liidu jooksvas tööprogrammis. Sellistel juhtudel peaksid komisjon ja Euroopa küberturvalisuse sertifitseerimise rühm samuti hindama selliste taotluste vajalikkust, võttes arvesse käesoleva määruse üldeesmärki ning vajadust tagada järjepidevus seoses ENISA ressursside kavandamise ja kasutamisega.

Pärast sellise taotluse saamist peaks ENISA koostama põhjendamatu viivituseta konkreetsete IKT-toodete, -teenuste ja -protsesside jaoks ettevalmistava kava. Komisjon peaks hindama oma taotluse positiivset ja negatiivset mõju asjaomasele turule, eelkõige VKEdele, innovatsioonile, asjaomasele turule sisenemise tõketele ja kulule lõppkasutajate jaoks. Seejärel peaks komisjonile olema õigus võtta ENISA koostatud ettevalmistava kava põhjal rakendusaktidega vastu Euroopa küberturvalisuse sertifitseerimise kava. Võttes arvesse käesolevas määruses sätestatud üldeesmärki ja turvalisusega seotud eesmärke, tuleks komisjoni poolt vastu võetud Euroopa küberturvalisuse sertifitseerimise kavades täpsustada konkreetse kava sisu, ulatuse ja toimimise minimaalsed üksikasjad. Need üksikasjad peaksid hõlmama muu hulgas küberturvalisuse sertifitseerimise ulatust ja sisu, sealhulgas hõlmatud IKT-toodete, -teenuste ja -protsesside kategooriad, küberturvalisuse nõuete üksikasjalik kirjeldus, näiteks viide standarditele või tehnilistele kirjeldustele, konkreetsed hindamiskriteeriumid ja -meetodid ning kavandatud usaldusväärsuse tase (baastase, märkimisväärne või kõrge tase) ning asjakohasel juhul hindamise tasemed. ENISA peaks saama jätta Euroopa küberturvalisuse sertifitseerimise rühma taotluse rahuldamata. Sellise otsuse peaks tegema haldusnõukogu ja see peaks olema põhjendatud.

(85)

ENISA peaks haldama veebisaiti, mis tutvustab Euroopa küberturvalisuse sertifitseerimise kavasid ja pakub nende kohta teavet ning mis muu hulgas hõlmab taotlusi ettevalmistava kava koostamiseks ning ENISA poolt ettevalmistavas etapis läbiviidud konsulteerimise käigus saadud tagasisidet. Veebisait peaks samuti pakkuma teavet käesoleva määruse kohaselt välja antud Euroopa küberturvalisuse sertifikaatide ja ELi vastavusdeklaratsioonide kohta, sealhulgas nende kehtetuks tunnistamise ja kehtivuse lõppemise kohta. Veebisaidil tuleks ka ära märkida need riiklikud küberturvalisuse sertifitseerimise kavad, mis on asendatud Euroopa küberturvalisuse sertifitseerimise kavaga.

(86)

Euroopa sertifitseerimise kava usaldusväärsuse tase on aluseks kindlustundele, et IKT-toode, -teenus või -protsess vastab konkreetse Euroopa küberturvalisuse sertifitseerimise kava turvanõuetele. Euroopa küberturvalisuse sertifitseerimise raamistiku järjepidevuse tagamiseks peaks Euroopa küberturvalisuse sertifitseerimise kavas saama täpsustada nimetatud kava alusel väljaantud Euroopa küberturvalisuse sertifikaatide ja ELi vastavusdeklaratsioonide usaldusväärsuse tasemed. Iga Euroopa küberturvalisuse sertifikaat võib osutada ühele usaldusväärsuse tasemele: baastase, märkimisväärne tase või kõrge tase, samas kui ELi vastavusdeklaratsioon võib osutada üksnes usaldusväärsuse baastasemele. Usaldusväärsuse tasemed näitaksid IKT-toodete, -teenuste või -protsesside hindamise rangust ja põhjalikkust ning need määrataks kindlaks viitega sellega seotud tehnilistele kirjeldustele, standarditele ja menetlustele, sealhulgas tehnilistele kontrollidele, mille eesmärk on vähendada või ennetada intsidente. Iga usaldusväärsuse tase peaks olema järjepidev eri valdkondade lõikes, kus sertifitseerimist kohaldatakse.

(87)

Euroopa küberturvalisuse sertifitseerimise kavas võib täpsustada mitu hindamise taset, sõltuvalt kasutatud hindamismetoodika rangusest ja põhjalikkusest. Hindamise tase peaks vastama ühele usaldusväärsuse tasemele ja olema seotud usaldusväärsuse komponentide asjakohase kombinatsiooniga. Kõigi usaldusväärsuse tasemete puhul peaks IKT-toode, -teenus või -protsess vastavalt kavale sisaldama mitmeid turvalisi funktsioone, mis võivad hõlmata järgmist: turvaline tehasekonfiguratsioon (secure out-of-the-box configuration), märgiga kood (signed code), turvaline uuendus (secure update) ja vallutuse leevendus (exploit mitigations) ning täielik pinu või kuhja mälu kaitse (full stack or heap memory protections). Neid funktsioone tuleks arendada ja hallata, kasutades turvalisusele suunatud arendamisalaseid lähenemisviise ja seotud vahendeid, et tagada tõhusate tarkvara ja riistvara mehhanismide usaldusväärne inkorporeerimine.

(88)

Usaldusväärsuse baastaseme puhul tuleks hindamisel juhinduda vähemalt järgmistest usaldusväärsuse komponentidest: hindamine peaks hõlmama vastavushindamisasutuse poolt vähemalt IKT-toote, -teenuse või -protsessi tehnilise dokumentatsiooni läbivaatamist. Kui sertifitseerimine hõlmab IKT-protsesse, peaks tehnilist läbivaatamist kohaldama ka protsesside suhtes, mida on kasutatud IKT-toote või -teenuse projekteerimiseks, arendamiseks ja säilitamiseks. Kui Euroopa küberturvalisuse sertifitseerimise kavas nähakse ette vastavuse enesehindamine, peaks piisama sellest, kui IKT -toodete, -teenuste või -protsesside tootja või pakkuja on viinud läbi enesehindamise IKT-toote, -teenuse või -protsessi vastavuse kohta sertifitseerimise kavale.

(89)

Märkimisväärse usaldusväärsuse taseme puhul tuleks hindamisel lisaks usaldusväärsuse baastaseme nõuetele juhinduda vähemalt IKT-toote, -teenuse või -protsessi turvafunktsioonide vastavuse kontrollimisest nimetatud toote, teenuse või protsessi tehnilisele dokumentatsioonile.

(90)

Kõrge usaldusväärsuse taseme puhul tuleks hindamisel lisaks märkimisväärsele usaldusväärsuse taseme nõuetele juhinduda vähemalt tõhususe kontrollist, mille käigus hinnatakse IKT-toote, -teenuse või -protsessi turvafunktsioonide võimet panna vastu isikutele, kes panevad märkimisväärsete oskuste ja vahendite abil toime läbimõeldud küberründeid.

(91)

Euroopa küberturvalisuse sertifitseerimise ja ELi vastavusdeklaratsiooni kasutamine peaks jääma vabatahtlikuks, kui liidu õiguse või liidu õiguse kohaselt vastu võetud liikmesriikide õiguses pole sätestatud teisiti. Ühtlustatud liidu õiguse puudumise korral võivad liikmesriigid võtta vastu riiklikke tehnilisi norme vastavalt Euroopa Parlamendi ja nõukogu direktiivile (EL) 2015/1535 (20), nähes ette kohustusliku sertifitseerimise Euroopa küberturvalisuse sertifitseerimise kava alusel. Liikmesriigid saavad Euroopa küberturvalisuse sertifitseerimist kasutada ka riigihangete ning Euroopa Parlamendi ja nõukogu direktiivi 2014/24/EL (21) kontekstis.

(92)

Mõnes valdkonnas võib tulevikus olla vajalik kehtestada küberturvalisuse erinõuded ning muuta sertifitseerimine teatavate IKT-toodete, -teenuste või -protsesside puhul kohustuslikuks, et parandada küberturvalisuse taset liidus. Komisjon peaks korrapäraselt jälgima vastuvõetud Euroopa küberturvalisuse sertifitseerimise kavade mõju turvaliste IKT-toodete, -teenuste ja -protsesside kättesaadavusele siseturul ning korrapäraselt hindama sertifitseerimise kavade kasutamist IKT-toodete, -teenuste ja -protsesside tootjate ja pakkujate poolt liidus. Euroopa küberturvalisuse sertifitseerimise kavade tõhusust ja seda, kas konkreetne kava tuleks muuta kohustuslikuks, tuleks hinnata küberturvalisusega seotud liidu õigusakte, eelkõige direktiivi (EL) 2016/1148 silmas pidades ning võttes arvesse oluliste teenuste operaatorite poolt kasutatavate võrgu- ja infosüsteemide turvalisust.

(93)

Euroopa küberturvalisuse sertifikaadid ja ELi vastavusdeklaratsioonid peaksid aitama lõppkasutajatel teha teadlikke valikuid. Seega peaks sertifitseeritud või ELi vastavusdeklaratsiooni saanud IKT-toodete, -teenuste ja -protsessidega kaasnema struktureeritud teave, mis on kohandatud kavandatud lõppkasutaja eeldatavale tehnilisele tasemele. Kogu teave peaks olema kättesaadav veebis ning asjakohasel juhul füüsilisel kujul. Lõppkasutajale peaksid olema kättesaadavad viited sertifitseerimiskava numbrile, usaldusväärsuse tasemele, IKT-toote, -teenuse ja -protsessiga seotud küberturvalisuse riskide kirjeldusele, väljaandvale asutusele, või tal peaks olema võimalik saada Euroopa küberturvalisuse sertifikaadi koopia. Lisaks tuleks lõppkasutajat teavitada IKT-toodete, -teenuste ja -protsesside tootja või pakkuja küberturvalisuse toetuspoliitikast, nimelt sellest, kui kaua võib lõppkasutaja eeldada, et ta saab küberturvalisuse uuendusi või parandusi. Kui see on kohaldatav, tuleks anda suuniseid meetmete või seadistuste kohta, mida lõppkasutaja saab kasutada IKT-toote või -teenuse küberturvalisuse säilitamiseks või parandamiseks, ning esitada ühtse kontaktpunkti kontaktandmed küberrünnakutest teatamiseks ja nende puhul toe saamiseks (lisaks automaatsele teatamisele). Seda teavet tuleks korrapäraselt ajakohastada ja see peaks olema kättesaadav Euroopa küberturvalisuse sertifitseerimise kavade kohta teavet pakkuval veebisaidil.

(94)

Käesoleva määruse eesmärkide saavutamiseks ja siseturu killustumise vältimiseks tuleks lõpetada riiklike küberturvalisuse sertifitseerimise kavade või menetluste kohaldamine Euroopa küberturvalisuse sertifitseerimise kavaga hõlmatud IKT-toodete, -teenuste ja -protsesside suhtes alates kuupäevast, mille komisjon kehtestab rakendusaktidega. Lisaks ei peaks liikmesriigid kehtestama uusi riiklikke küberturvalisuse sertifitseerimise kavasid IKT-toodetele, -teenustele või -protsessidele, mis on juba kaetud kehtiva Euroopa küberturvalisuse sertifitseerimise kavaga. Liikmesriike ei tohiks aga takistada võtmast vastu või säilitamast riiklikke küberturvalisuse sertifitseerimise kavasid riikliku julgeolekuga seotud eesmärkidel. Liikmesriigid peaksid teatama komisjonile ja Euroopa küberturvalisuse sertifitseerimise rühmale kavatsusest koostada uusi riiklikke küberturvalisuse sertifitseerimise kavasid. Komisjon ja Euroopa küberturvalisuse sertifitseerimise rühm peaksid hindama uute riiklike küberturvalisuse sertifitseerimise kavade mõju siseturu nõuetekohasele toimimisele ning võtma sealjuures arvesse strateegilist huvi taotleda selle asemel Euroopa küberturvalisuse sertifitseerimise kava koostamist.

(95)

Euroopa küberturvalisuse sertifitseerimise kavade eesmärk on ühtlustada küberturvalisuse tavasid liidus. Nad peavad aitama kaasa küberturvalisuse taseme tõstmisele liidus. Euroopa küberturvalisuse sertifitseerimise kavade koostamisel tuleks arvesse võtta ja võimaldada innovaatilist arengut küberturvalisuse valdkonnas.

(96)

Euroopa küberturvalisuse sertifitseerimise kavad peaksid võtma arvesse praeguseid tarkvara ja riistvara arendusmeetodeid ning eelkõige sagedaste tarkvara või riistvara uuenduste mõju individuaalsetele Euroopa küberturvalisuse sertifikaatidele. Euroopa küberturvalisuse sertifitseerimise kavades tuleks täpsustada tingimused, mille alusel uuendus võib nõuda IKT-toote, -teenuse või -protsessi uuesti sertifitseerimist või seda, et konkreetse Euroopa küberturvalisuse sertifikaadi kohaldamisala vähendatakse, võttes arvesse uuenduse võimalikku kahjulikku mõju vastavusele kõnealuse sertifikaadi turvalisusnõuetega.

(97)

Kui Euroopa küberturvalisuse sertifitseerimise kava on vastu võetud, peaksid IKT-toodete, -teenuste või -protsesside tootjad või pakkujad saama esitada kõikjal liidus enda valitud vastavushindamisasutusele taotluse oma IKT-toodete või -teenuste sertifitseerimiseks. Kui vastavushindamisasutused vastavad käesolevas määruses sätestatud teatavatele konkreetsetele nõuetele, peaks riiklik akrediteerimisasutus need akrediteerima. Akrediteerida saab maksimaalselt viieks aastaks ja akrediteerimise kehtivust võib pikendada samadel tingimustel seni, kuni vastavushindamisasutus vastab jätkuvalt nõuetele. Riiklik akrediteerimisasutus peaks vastavushindamisasutuse akrediteerimist piirama, selle peatama või kehtetuks tunnistama, kui akrediteerimise andmise tingimused ei olnud täidetud või ei ole enam täidetud või kui vastavushindamisasutus rikub käesolevat määrust.

(98)

Liikmesriikide õigusaktides sisalduvad viited riiklikele standarditele, mida Euroopa küberturvalisuse sertifitseerimise kava jõustumise tõttu enam ei kohaldata, võivad segadust põhjustada. Seetõttu peaksid liikmesriigid kajastama Euroopa küberturvalisuse sertifitseerimise kava vastuvõtmist oma siseriiklikes õigusaktides.

(99)

Et saavutada kogu liidus võrdväärsed standardid, hõlbustada vastastikust tunnustamist ning edendada Euroopa küberturvalisuse sertifikaatide ja ELi vastavusdeklaratsioonide üldist aktsepteerimist, tuleb kehtestada riiklike küberturvalisuse sertifitseerimise asutuste vaheline vastastikuse hindamise süsteem. Vastastikune hindamine peaks hõlmama menetlusi IKT-toodete, -teenuste ja -protsesside Euroopa küberturvalisuse sertifikaatide nõuetele vastavuse kontrollimiseks, vastavuse enesehindamist läbiviivate IKT-toodete, -teenuste või -protsesside tootjate ja pakkujate kohustuste kontrollimiseks, vastavushindamisasutuste järelevalveks ning selle kontrollimiseks, kas kõrge usaldusväärsuse taseme kohta sertifikaate väljaandvate asutuste töötajatel on sobivad eriteadmised. Komisjon peaks saama kehtestada rakendusaktiga vähemalt viie aastase kestusega vastastikuse hindamise kava ning sätestama vastastikuse hindamise süsteemi toimimise kriteeriumid ja metoodikad.

(100)

Ilma et see piiraks üldist vastastikuse hindamise süsteemi, mis kehtestatakse Euroopa küberturvalisuse sertifitseerimise raamistiku raames kõigis riiklikes küberturvalisuse sertifitseerimise asutustes, võivad teatavad Euroopa küberturvalisuse sertifitseerimise kavad hõlmata vastastikuse hindamise mehhanismi asutustele, kes annavad IKT-toodetele, -teenustele või -protsessidele selliste kavade raames välja kõrge usaldusväärsuse tasemega Euroopa küberturvalisuse sertifikaate. Euroopa küberturvalisuse sertifitseerimise rühm peaks toetama selliste vastastikuse hindamise mehhanismide rakendamist. Vastastikuse hindamise käigus tuleks eeskätt hinnata, kas asjaomased asutused täidavad oma ülesandeid harmoneeritud viisil, ja see võib hõlmata edasikaebamise mehhanisme. Vastastikuse hindamise tulemused tuleks teha avalikult kättesaadavaks. Asjaomased asutused võivad võtta asjakohaseid meetmeid, et kohandada oma tavasid ja oskusteavet hinnangule vastavalt.

(101)

Liikmesriigid peaksid määrama ühe või mitu riiklikku küberturvalisuse sertifitseerimise asutust, kes jälgiksid käesolevast määrusest tulenevate kohustuste täitmist. Riikliku küberturvalisuse sertifitseerimise asutus võib olla juba olemasolev või uus asutus. Samuti peaks liikmesriikidel olema võimalik kokkuleppel teise liikmesriigiga määrata riiklikuks küberturvalisuse sertifitseerimise asutuseks kõnealuses teises liikmesriigis asuv asutus.

(102)

Riiklik küberturvalisuse sertifitseerimise asutus peaks ennekõike jälgima tema riigi territooriumil asuvate IKT-toodete, -teenuste või -protsesside tootjate ja pakkujate kohustusi seoses ELi vastavusdeklaratsiooniga ning tagama nimetatud kohustuste täitmise, abistama riiklikke akrediteerimisasutusi vastavushindamisasutuste tegevuse seire ja järelevalve osas, pakkudes neile oskusteavet ja asjakohast teavet, volitama vastavushindamisasutusi täitma nende ülesandeid, kui nad vastavad Euroopa küberturvalisuse sertifitseerimise kavas sätestatud täiendavatele nõuetele, ja jälgima asjakohast arengut küberturvalisuse sertifitseerimise valdkonnas. Riiklikud küberturvalisuse sertifitseerimise asutused peaksid käsitlema füüsiliste või juriidiliste isikute esitatud kaebusi seoses nende või vastavushindamisasutuste poolt väljaantud kõrge usaldusväärsuse tasemega Euroopa küberturvalisuse sertifikaatidega, uurima asjakohasel määral kaebuse sisu ja teavitama kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest. Lisaks peaksid nad tegema koostööd teiste riiklike küberturvalisuse sertifitseerimise asutustè ja muude avaliku sektori asutustega, sealhulgas jagades teavet IKT-toodete, -teenuste ja -protsesside võimaliku mittevastavuse kohta käesoleva määruse või konkreetsete Euroopa küberturvalisuse sertifitseerimise kavade nõuetele. Komisjon peaks hõlbustama seda teabevahetust, tehes kättesaadavaks üldise elektroonilise teabe tugisüsteemi, nagu turujärelevalve info- ja teavitussüsteem (ICSMS) ja kiire teabevahetuse süsteem toiduks mittekasutatavate toodete kohta (RAPEX), mida turujärelevalveasutused juba kasutavad vastavalt määrusele (EÜ) nr 765/2008.

(103)

Et tagada Euroopa küberturvalisuse sertifitseerimise raamistiku järjekindel kohaldamine, tuleks luua Euroopa küberturvalisuse sertifitseerimise rühm, mis koosneb riiklike küberturvalisuse sertifitseerimise asutuste või muude asjakohaste liikmesriikide asutuste esindajatest. Euroopa küberturvalisuse sertifitseerimise rühma peamised ülesanded peaksid olema nõustada ja abistada komisjoni töös, mille eesmärk on tagada Euroopa küberturvalisuse sertifitseerimise raamistiku järjepidev rakendamine ja kohaldamine; aidata ENISAt ja teha temaga tihedat koostööd küberturvalisuse sertifitseerimise ettevalmistavate kavade koostamisel; põhjendatud juhtudel taotleda, et ENISA koostaks ettevalmistava kava; ja võtta vastu ENISA-le suunatud arvamusi ettevalmistavate kavade kohta ning komisjonile suunatud arvamusi olemasolevate Euroopa küberturvalisuse sertifitseerimise kavade haldamise ja läbivaatamise kohta. Euroopa küberturvalisuse sertifitseerimise rühm peaks soodustama heade tavade ja oskusteabe vahetamist riiklike küberturvalisuse sertifitseerimise asutuste vahel, kes vastutavad vastavushindamisasutustele lubade andmise ja Euroopa küberturvalisuse sertifikaatide väljaandmise eest.

(104)

Et parandada teadlikkust ja hõlbustada tulevaste Euroopa küberturvalisuse sertifitseerimise kavade omaksvõttu, võib komisjon välja anda üldiseid või sektoripõhiseid küberturvalisuse suuniseid, näiteks küberturvalisuse heade tavade või vastutustundliku küberruumis käitumise kohta, tuues välja sertifitseeritud IKT-toodete, -teenuste ja -protsesside kasutamise positiivse mõju.

(105)

Et veelgi enam hõlbustada kaubavahetust ja tunnistades, et IKT tarneahelad on ülemaailmsed, võib liit sõlmida kooskõlas Euroopa Liidu toimimise lepingu („ELi toimimise leping“) artikliga 218 Euroopa küberturvalisuse sertifikaatide vastastikuse tunnustamise lepinguid. Võttes arvesse ENISA-lt ja Euroopa küberturvalisuse sertifitseerimise rühmalt saadud nõu, võib komisjon soovitada alustada vastavaid läbirääkimisi. Igas Euroopa küberturvalisuse sertifitseerimise kavas tuleks näha ette kolmandate riikidega toimuva vastastikuse tunnustamise lepingute konkreetsed tingimused.

(106)

Et tagada käesoleva määruse ühetaolised rakendamistingimused, tuleks komisjonile anda rakendusvolitused. Neid volitusi tuleks teostada kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 182/2011 (22).

(107)

Kontrollimenetlust tuleks kasutada nende rakendusaktide vastuvõtmiseks, milles käsitletakse IKT-toodete, -teenuste ja -protsesside suhtes kohaldatavaid Euroopa küberturvalisuse sertifitseerimise kavasid; ENISA toimetatavate uurimiste üksikasju; riiklike küberturvalisuse sertifitseerimise asutuste vastastikuse hindamise kava ning asjaolusid, vorminguid ja korda, mille kohaselt riiklikud küberturvalisuse sertifitseerimise asutused teavitavad komisjoni akrediteeritud vastavushindamisasutustest.

(108)

ENISA tööd tuleks hinnata korrapäraselt ja sõltumatult. Hindamisel tuleks pidada silmas ENISA eesmärke, selle töövõtteid ning ülesannete asjakohasust, eelkõige seoses liidu tasandil operatiivkoostööga seotud ülesannetega. Hindamise käigus tuleks analüüsida ka Euroopa küberturvalisuse sertifitseerimise raamistiku mõju, tulemuslikkust ja tõhusust. Läbivaatamise korral peaks komisjon hindama, kuidas saab tugevdada ENISA rolli nõuandva ja oskusteavet pakkuva kontaktüksusena, ning samuti hindama ENISA võimalikku rolli seoses selliste kolmandatest riikidest pärit IKT-toodete, -teenuste ja -protsesside hindamise toetamisega, kui sellised tooted, teenused ja protsessid ei täida liitu sisenemisel liidu norme.

(109)

Kuna käesoleva määruse eesmärke ei suuda liikmesriigid piisavalt saavutada, küll aga saab neid selle ulatuse ja toime tõttu paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas Euroopa Liidu lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev määrus nimetatud eesmärkide saavutamiseks vajalikust kaugemale.

(110)

Määrus (EL) nr 526/2013 tuleks kehtetuks tunnistada,

(1)

Käesoleva direktiivi eesmärk on aidata kaasa siseturu nõuetekohasele toimimisele, ühtlustades selleks teatavate toodete ja teenuste ligipääsetavusnõudeid käsitlevad liikmesriikide õigus- ja haldusnormid, eelkõige kaotades ja vältides tõkkeid teatavate ligipääsetavate toodete ja teenuste vabale liikumisele, mis tulenevad liikmesriigiti erinevatest ligipääsetavusnõuetest. See suurendaks ligipääsetavate toodete ja teenuste kättesaadavust siseturul ning parandaks asjaomase teabe ligipääsetavust.

(2)

Ligipääsetavate toodete ja teenuste järele on suur nõudlus ning prognooside kohaselt suureneb puuetega inimeste arv oluliselt. Keskkond, kus on parem ligipääs toodetele ja teenustele, võimaldab kaasavama ühiskonna tekkimist ja lihtsustab puuetega inimeste iseseisvat toimetulekut. Sellega seoses tuleks meeles pidada, et liidus on puuete esinemissagedus naiste seas suurem kui meeste seas.

(3)

Käesoleva direktiiviga määratletakse puuetega inimesed kooskõlas ÜRO puuetega inimeste õiguste konventsiooniga, mis võeti vastu 13. detsembril 2006 („konventsioon“) ja mille osaline liit on olnud alates 21. jaanuarist 2011 ning mille kõik liikmesriigid on ratifitseerinud. Konventsioonis sätestatakse, et puuetega inimesed on isikud, „kellel on pikaajaline füüsiline, vaimne, intellektuaalne või meeleline kahjustus, mis koostoimes mitmesuguste takistustega võib tõkestada nende täielikku ja tõhusat osalemist ühiskonnaelus teistega võrdsetel alustel“. Käesoleva direktiiviga edendatakse täielikku ja tõhusat võrdset osalemist, parandades ligipääsu tavatoodetele ja -teenustele, mis on algselt kavandatud või hiljem kohandatud käsitlema puuetega inimeste erivajadusi.

(4)

Käesolevast direktiivist saaksid kasu ka teised inimesed, kelle funktsionaalne võimekus on piiratud, näiteks eakad, rasedad ja pagasiga reisivad isikud. Käesolevas direktiivis osutatud mõiste „piiratud funktsionaalse võimekusega inimesed“ hõlmab isikuid, kellel on füüsiline, vaimne, intellektuaalne, meeleline vaegus või vanusega seotud vaegus või muu alaline või ajutine keha võimekusega seotud põhjus, mis koostoimes eri takistustega võib tõkestada inimese ligipääsu toodetele ja teenustele, tuues kaasa olukorra, kus kõnealuseid tooteid ja teenuseid on vaja kohandada nende konkreetsete vajadustega.

(5)

Kuna liikmesriikide õigus- ja haldusnormid, mis käsitlevad puuetega inimeste ligipääsu toodetele ja teenustele, on erinevad, takistab see kaupade ja teenuste vaba liikumist ning moonutab tõhusat konkurentsi siseturul. Mõnede toodete ja teenuste puhul suurenevad need erinevused liidus tõenäoliselt pärast konventsiooni jõustumist. Ettevõtjad, eelkõige väikesed ja keskmise suurusega ettevõtjad (VKEd), on sellistest tõketest eriti mõjutatud.

(6)

Erinevuste tõttu liikmesriikide ligipääsetavusnõuetes kardavad eelkõige kutsetöötajad, VKEd ja mikroettevõtjad siseneda ettevõtlusse väljaspool oma koduturgu. Liikmesriikides riigi või isegi piirkonna või kohaliku omavalitsuse tasandil kehtestatud ligipääsetavusnõuded erinevad praegu nii ulatuse kui ka üksikasjalikkuse poolest. Need erinevused mõjutavad negatiivselt konkurentsivõimet ja majanduskasvu, sest ligipääsetavate toodete ja teenuste väljatöötamise ja turustamisega iga liikmesriigi turu jaoks kaasnevad lisakulud.

(7)

Ligipääsetavate toodete tarbijad ning ligipääsetavate teenuste ja tugitehnoloogiate kasutajad seisavad silmitsi kõrgete hindadega, mis tulenevad piiratud konkurentsist tarnijate vahel. Liikmesriikide õigusaktide killustatus vähendab potentsiaalset kasu, mis tuleneb kodu- ja välismaiste kolleegidega kogemuste vahetamisest ühiskonna ja tehnoloogia arengutele reageerimise küsimustes.

(8)

Seetõttu on siseturu nõuetekohaseks toimimiseks vajalik riigisiseste meetmete ühtlustamine liidu tasandil, et teha lõpp ligipääsetavate toodete ja teenuste turu killustatusele, saavutada mastaabisääst, hõlbustada piiriülest kaubandust ja liikuvust ning aidata ettevõtjatel suunata vahendeid innovatsiooni, selmet kasutada neid vahendeid killustatud õigusaktidest tulenevate kulude katmiseks liidu ulatuses.

(9)

Seda, et siseturg saab ligipääsetavusnõuete ühtlustamisest kasu, on näidanud Euroopa Parlamendi ja nõukogu lifte käsitleva direktiivi 2014/33/EL (3) ning Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 661/2009 (4) kohaldamine transpordi valdkonnas.

(10)

Amsterdami lepingule lisatud puuetega inimesi käsitleva deklaratsiooni nr 22 kohaselt leppisid liikmesriikide valitsuste esindajad kokku, et kavandades meetmeid vastavalt Euroopa Liidu toimimise lepingu (ELi toimimise leping) artiklile 114, peavad liidu institutsioonid arvesse võtma puuetega inimeste vajadusi.

(11)

Komisjoni 6. mai 2015. aasta teatise „Euroopa digitaalse ühtse turu strateegia“ üldine eesmärk on tagada kestlik majanduslik ja sotsiaalne kasu, mida annab ühendatud digitaalne ühtne turg, lihtsustades seeläbi kaubandust ja suurendades tööhõivet liidus. Liidu tarbijad ei saa veel täielikult kasu hindadest ja valikust, mida ühtne turg võib pakkuda, sest piiriülesed internetitehingud on ikka veel väga piiratud. Killustatus piirab ka nõudlust piiriüleste e-kaubanduse tehingute järele. Samuti on vaja kooskõlastatud meetmeid, tagamaks et puuetega inimestele on täielikult kättesaadav elektrooniline infosisu, elektroonilise side teenused ja ligipääs audiovisuaalmeedia teenustele. Seepärast on vaja ühtlustada ligipääsetavusnõuded kogu digitaalsel ühtsel turul ja tagada, et kõik liidu kodanikud, olenemata võimetest, saaksid ühtsest turust kasu.

(12)

Pärast liidu ühinemist konventsiooniga on selle sätted lahutamatu osa liidu õiguskorrast ning on liidu institutsioonide ja liikmesriikide jaoks siduvad.

(13)

Konventsiooni kohaselt peavad konventsiooniosalised võtma asjakohased meetmed, et tagada puuetega inimestele teistega võrdsetel alustel ligipääs füüsilisele keskkonnale, transpordile, teabele ja suhtlusele, sealhulgas info- ja kommunikatsioonitehnoloogiale ja -süsteemidele ning muudele avalikele ehitistele ja teenustele nii linna- kui ka maapiirkondades. ÜRO puuetega inimeste õiguste komitee on teinud kindlaks vajaduse luua õigusraamistik, mis sisaldab konkreetseid, täidetavaid ja ajalisi kriteeriumeid ligipääsetavuse järkjärgulise rakendamise jälgimiseks.

(14)

Konventsioonis kutsutakse konventsiooniosalisi üles algatama või edendama teadus- ja arendustööd uute tehnoloogiate valdkonnas ning edendama nende tehnoloogiate kättesaadavust ja kasutamist, kaasa arvatud puuetega inimestele sobivad info- ja kommunikatsioonitehnoloogiad, liikumise abivahendid, seadmed ja abistavad tehnoloogiad. Samuti kutsutakse konventsioonis üles eelistama taskukohase hinnaga tehnoloogiaid.

(15)

Konventsiooni liikmesriikide õiguskorras jõustumise tõttu on vaja vastu võtta täiendavad siseriiklikud sätted toodete ja teenuste ligipääsetavuse kohta. Ilma liidu meetmeteta suurendaksid need sätted veelgi liikmesriikide õigus- ja haldusnormide erinevusi.

(16)

Seetõttu tuleks hõlbustada konventsiooni rakendamist liidus, nähes liidus ette ühised normid. Käesoleva direktiiviga toetatakse liikmesriike ka nende jõupingutustes täita ühtlustatud viisil riiklikke kohustusi ning konventsioonist tulenevaid kohustusi seoses ligipääsetavusega.

(17)

Komisjoni 15. novembri 2010. aasta teatis „Euroopa puuetega inimeste strateegia 2010–2020: Uued sammud tõketeta Euroopa suunas“, mis on kooskõlas konventsiooniga, määratleb ligipääsetavuse ühena kaheksast tegevusvaldkonnast, osutab, et see on ühiskonnas osalemise üks põhilisi eeltingimusi ning selle eesmärk on tagada toodete ja teenuste ligipääsetavus.

(18)

Käesoleva direktiivi kohaldamisalasse kuuluvate toodete ja teenuste kindlaksmääramise aluseks on sõeluuring, mis viidi läbi mõjuhinnangu koostamise käigus ning millega tehti kindlaks asjaomased tooted ja teenused puuetega inimeste jaoks, mille puhul on liikmesriigid vastu võtnud või võivad tõenäoliselt vastu võtta erinevaid riiklikke ligipääsetavusnõudeid, mis häirivad siseturu toimimist.

(19)

Et tagada käesoleva direktiivi kohaldamisalasse kuuluvate teenuste ligipääsetavus, peaksid ka selliste teenuste osutamisel kasutatud tooted, mida tarbija kasutab, vastama käesoleva direktiiviga kehtestatud ligipääsetavusnõuetele.

(20)

Isegi juhul, kui teenus või osa sellest ostetakse allhanke korras kolmandalt isikult, ei tohiks seada ohtu selle teenuse ligipääsetavust ja teenuseosutajad peaksid järgima käesolevas direktiivi kohaseid kohustusi. Teenuseosutajad peaksid ka tagama oma töötajatele asjakohase ja pideva koolituse, et nad kindlasti teaksid, kuidas kasutada ligipääsetavaid tooteid ja teenuseid. Koolitus peaks hõlmama selliseid teemasid nagu teavitamine, nõustamine ja reklaam.

(21)

Ligipääsetavusnõuded tuleks kehtestada ettevõtjatele ja liikmesriikidele kõige vähem koormaval viisil.

(22)

Tuleb täpsustada ligipääsetavusnõuded nende toodete ja teenuste turule laskmiseks, mis kuuluvad käesoleva direktiivi kohaldamisalasse, et tagada nende vaba liikumine siseturul.

(23)

Käesolev direktiiv peaks muutma funktsionaalsed ligipääsetavusnõuded kohustuslikeks ning üldisi eesmärke silmas pidades tuleks need sõnastada. Kõnealused nõuded peaksid olema piisavalt täpsed, et tekitada õiguslikult siduvaid kohustusi, ja piisavalt üksikasjalikud, et oleks võimalik hinnata nõuetele vastavust, eesmärgiga tagada siseturu hea toimimine käesoleva direktiiviga hõlmatud toodete ja teenuste jaoks, ning need peaksid jätma teatava paindlikkuse, et võimaldada innovatsiooni.

(24)

Käesolev direktiiv sisaldab mitmeid funktsionaalse toimivuse kriteeriume, mis on seotud toodete ja teenuste töörežiimidega. Need kriteeriumid ei ole mõeldud üldise alternatiivina käesoleva direktiivi kohastele ligipääsetavusnõuetele, vaid neid tuleks kasutada üksnes väga konkreetsetel juhtudel. Neid kriteeriumeid tuleks kohaldada nimetatud toodete ja teenuste konkreetsete funktsioonide või omaduste suhtes, et muuta need ligipääsetavaks, kui käesoleva direktiivi kohastes ligipääsetavusnõuetes ei käsitleta ühte või enamat konkreetset funktsiooni või omadust. Juhul kui ligipääsetavusnõue hõlmab konkreetseid tehnilisi nõudeid ning nende tehniliste nõuete alternatiivne tehniline lahendus on tagatud tootes või teenuses, peaks see alternatiivne tehniline lahendus sellegipoolest vastama asjaomastele ligipääsetavusnõuetele ning asjaomaste funktsionaalse toimivuse kriteeriumide kohaldamise tulemuseks peaks olema võrdväärne või suurem ligipääsetavus.

(25)

Käesolev direktiiv peaks hõlmama tarbijale kasutamiseks ettenähtud üldotstarbelisi arvuti riistvarasüsteeme. Nende süsteemide ligipääsetaval viisil toimimiseks peaksid ka nende operatsioonisüsteemid olema ligipääsetavad. Selliseid arvuti riistvarasüsteeme iseloomustab mitmeotstarbeline olemus ja nende võime täita asjakohase tarkvara abil tarbijate poolt kõige sagedamini soovitavaid arvutitoiminguid; kõnealused süsteemid on ette nähtud tarbijatele kasutamiseks. Sellised arvuti riistvarasüsteemid on näiteks personaalarvutid, sealhulgas lauaarvutid, sülearvutid, nutitelefonid ja tahvelarvutid. Tarbeelektroonika toodetesse integreeritud eriotstarbelisi arvuteid ei peeta tarbijale kasutamiseks ettenähtud üldotstarbeliseks arvuti riistvarasüsteemiks. Käesolev direktiiv ei peaks eraldi hõlmama konkreetsete funktsioonidega üksikuid komponente, nagu emaplaat või mälukiip, mida kasutatakse või võidakse kasutada sellises süsteemis.

(26)

Käesolev direktiiv peaks hõlmama ka makseterminale, sealhulgas nii nende riist- kui ka tarkvara, ja teatavaid interaktiivseid iseteenindusterminale, sealhulgas nii nende riist- kui ka tarkvara, mida kasutatakse käesoleva direktiiviga hõlmatud teenuste osutamiseks, näiteks pangaautomaadid, piletiautomaadid, mis väljastavad füüsilisi pileteid teenustele ligipääsuks, nagu näiteks sõidupileteid väljastavad automaadid, pangakontori järjekorrapileteid väljastavad masinad, registreerimisautomaadid ja teavet pakkuvad interaktiivsed iseteenindusterminalid, sealhulgas interaktiivsed teabeekraanid.

(27)

Teatavad teavet pakkuvad interaktiivsed iseteenindusterminalid, mis on paigaldatud sõidukite, õhusõidukite, laevade või veeremi integreeritud osadena, tuleks käesoleva direktiivi kohaldamisalast siiski välja jätta, kuna need moodustavad osa sellistest sõidukitest, õhusõidukitest, laevadest või veeremist, mis ei ole käesoleva direktiiviga hõlmatud.

(28)

Käesolev direktiiv peaks samuti hõlmama elektroonilise side teenuseid, sealhulgas hädaolukorra sidet nii nagu see on määratletud Euroopa Parlamendi ja nõukogu direktiivis (EL) 2018/1972 (5). Praegu erinevad puuetega inimestele ligipääsu andmiseks võetavad meetmed liikmesriigiti ega ole kogu siseturu piires ühtlustatud. Selle tagamine, et kogu liidus kohaldatakse samu ligipääsetavusnõudeid, aitab saavutada mastaabisäästu ettevõtjatel, kes tegutsevad rohkem kui ühes liikmesriigis, ning hõlbustab tulemuslikku ligipääsu puuetega inimestele nii oma liikmesriigis kui ka reisides teistes liikmesriikides. Et elektroonilise side teenused, sealhulgas hädaolukorra side, oleksid ligipääsetavad, peaksid teenuseosutajad lisaks häälele nägema ette reaalajas tekstiedastuse ja tervikvestluse teenused, kus kasutatakse nende edastatud videot, tagades kõigi nende sidevahendite sünkroniseerimise. Liikmesriikidel peaks lisaks käesoleva direktiivi nõuetele kooskõlas direktiiviga (EL) 2018/1972 olema võimalik määrata edastusteenuse osutaja, mida puuetega inimesed saaksid kasutada.

(29)

Käesoleva direktiiviga ühtlustatakse ligipääsetavusnõuded elektroonilise side teenustele ja seotud toodetele ning täiendatakse direktiivi (EL) 2018/1972, milles sätestatakse võrdväärse ligipääsu ja valiku nõuded puuetega lõppkasutajatele. Direktiivis (EL) 2018/1972 sätestatakse samuti nõuded universaalteenuse osutamise kohustuse alusel internetiühenduse ja häälside taskukohasusele ning seotud lõppseadmete, eriseadmete ja -teenuste taskukohasusele ja kättesaadavusele puuetega tarbijate jaoks.

(30)

Käesolev direktiiv peaks samuti hõlmama tarbija lõppseadmeid, millel on interaktiivne andmetöötlusvõimsus ja mida kasutatakse eeldatavasti peamiselt elektroonilise side teenustele ligipääsuks. Käesoleva direktiivi kohaldamisel peaksid need seadmed hõlmama selliseid seadmeid nagu ruuter või modem, mida kasutatakse osana elektroonilise side teenustele ligipääsu loomisel.

(31)

Käesoleva direktiivi kohaldamisel peaks ligipääs audiovisuaalmeedia teenustele tähendama, et tagatud on ligipääs audiovisuaalsele sisule ja mehhanismidele, mis võimaldavad puuetega kasutajatel kasutada oma tugitehnoloogiaid. Teenused, millega antakse ligipääs audiovisuaalmeedia teenustele, võiksid hõlmata veebisaite, internetipõhiseid rakendusi; digiboksipõhiseid rakendusi, allalaaditavaid rakendusi, mobiilsideseadmetel põhinevaid teenuseid, sealhulgas mobiilirakendusi ja nendega seotud multimeediamängijaid ning ühendatud televisiooniteenuseid. Audiovisuaalmeedia teenuste ligipääsetavust reguleeritakse Euroopa Parlamendi ja nõukogu direktiiviga 2010/13/EL, (6) erandiks on ligipääs elektroonilistele saatekavadele, mis on hõlmatud käesoleva direktiivi kohaldamisalasse kuuluvate audiovisuaalmeedia teenustele ligipääsu andvate teenuste määratlusega.

(32)

Lennu-, bussi-, raudtee- ja veetranspordi reisijateveo teenuste kontekstis peaks käesolev direktiiv hõlmama muu hulgas puuetega inimestele reisimiseks vajaliku transporditeenusealase teabe, sealhulgas reaalajas reisiteabe andmist veebisaitide, mobiiliseadmetel põhinevate teenuste, interaktiivsete teabeekraanide ja interaktiivsete iseteenindusterminalide kaudu. Siia alla võiks kuuluda teave teenuseosutaja reisijateveo toodete ja teenuste kohta, enne reisi antav teave, reisi ajal antav teave ja teenuse tühistamisel või väljumise hilinemisel antav teave. Muud teabeelemendid võiksid hõlmata ka näiteks teavet hindade ja sooduskampaaniate kohta.

(33)

Käesolev direktiiv peaks hõlmama ka veebisaite, mobiilsideseadmetel põhinevaid teenuseid, sealhulgas mobiilirakendusi, mille on välja töötanud või kättesaadavaks teinud käesoleva direktiiviga hõlmatud reisijateveoteenuste osutajad või mis on välja töötatud või kättesaadavaks tehtud nende nimel, elektroonilise piletimüügi teenused, elektroonilised piletid ja interaktiivsed teabeekraanid.

(34)

Käesoleva direktiivi kohaldamisala kindlaksmääramine lennu-, bussi-, raudtee- ja veetranspordi reisijateveo teenuste osas peaks põhinema reisijate õigustega seotud kehtivatel valdkondlikel õigusaktidel. Kui käesolevat direktiivi teatud veoteenuste liikidele ei kohaldata, peaksid liikmesriigid ergutama teenuseosutajaid kohaldama käesoleva direktiivi kohaseid asjakohaseid ligipääsetavusnõudeid.

(35)

Euroopa Parlamendi ja nõukogu direktiiviga (EL) 2016/2102 (7) seatakse transporditeenuseid, sealhulgas linna- ja linnalähitranspordi ning piirkondliku transpordi teenuseid osutavatele avaliku sektori asutustele juba kohustus teha oma veebisaidid ligipääsetavaks. Käesolevas direktiivis sisalduvad erandid teenuseid, sealhulgas linna- ja linnalähitranspordi ning piirkondliku transpordi teenuseid osutavatele mikroettevõtjatele. Lisaks sisaldab käesolev direktiiv kohustust tagada, et e-kaubanduse veebisaidid oleksid ligipääsetavad. Kuna käesolev direktiiv sisaldab eratransporditeenuste osutajate valdavale enamusele pandud kohustust teha veebis pileteid müües oma veebisaidid ligipääsetavaks, ei ole käesolevas direktiivis vaja kehtestada lisanõudeid linna- ja linnalähitranspordi ning piirkondliku transpordi teenuse osutajate veebisaitidele.

(36)

Ligipääsetavusnõuete teatud elemendid, eelkõige seoses käesolevas direktiivis sätestatud teabe esitamisega, on juba hõlmatud reisijateveo valdkonnas kehtivate liidu õigusaktidega. See sisaldab elemente, mis sisalduvad Euroopa Parlamendi ja nõukogu määruses (EÜ) nr 261/2004, (8) Euroopa Parlamendi ja nõukogu määruses (EÜ) nr 1107/2006 (9) ning Euroopa Parlamendi ja nõukogu määruses (EÜ) nr 1371/2007, (10) Euroopa Parlamendi ja nõukogu määruses (EL) nr 1177/2010 (11) ning Euroopa Parlamendi ja nõukogu määruses (EL) nr 181/2011 (12). See sisaldab ka asjakohaseid õigusakte, mis on vastu võetud Euroopa Parlamendi ja nõukogu direktiivi 2008/57/EÜ (13) alusel. Regulatiivse järjepidevuse tagamiseks peaks jätkama nimetatud määrustes sätestatud ligipääsetavusnõuete kohaldamist senisel viisil. Sellegipoolest täiendaksid käesoleva direktiivi kohased lisanõuded olemasolevaid nõudeid, parandades siseturu toimimist transpordi valdkonnas ja tuues kasu puuetega inimestele.

(37)

Käesolevas direktiivis ei tuleks hõlmata transporditeenuste teatavaid elemente, kui neid teenuseid osutatakse väljaspool liikmesriikide territooriumi, ning seda ka juhul, kui teenus on suunatud liidu turule. Nende elementidega seoses peaksid reisijateveo teenuste pakkujad olema üksnes kohustatud tagama, et käesoleva direktiivi nõudeid täidetakse teenuse selle osa suhtes, mida pakutakse liidu territooriumil. Lennutranspordi puhul peaks aga liidu lennuettevõtjad olema kohustatud tagama, et käesoleva direktiivi nõudeid täidetakse ka lendude puhul, mis väljuvad kolmandas riigis asuvast lennujaamast liikmesriigi territooriumil asuvasse lennujaama. Peale selle peaksid kõik lennuettevõtjad, sealhulgas need, kellel ei ole liidus antud lennutegevusluba, olema kohustatud tagama, et käesoleva direktiivi nõudeid täidetakse liikmesriigi territooriumilt kolmanda riigi territooriumile väljuvate lendude puhul.

(38)

Linnade ametiasutusi tuleks ergutada integreerima linnatransporditeenuste tõketeta ligipääsetavust oma kestliku linnalise liikumiskeskkonna kavadesse ning avaldama korrapäraselt loetelusid linna ühistranspordi ja liikuvuse tõketeta ligipääsetavuse alastest parimatest tavadest.

(39)

Pangandus- ja finantsteenuseid käsitlevate liidu õigusaktide eesmärk on kaitsta nende teenuste tarbijaid kogu liidus ja anda neile teavet, kuid need ei sisalda ligipääsetavusnõudeid. Et võimaldada puuetega inimestel kasutada kogu liidus kõnealuseid teenuseid, sealhulgas vajaduse korral veebisaitide kaudu, ja mobiilsideseadmetel põhinevaid teenuseid, sealhulgas mobiilirakendusi, teha teadlikke otsuseid ja olla kindlad, et neid kaitstakse asjakohaselt teiste tarbijatega võrdsetel alustel, ning tagada võrdsed võimalused teenuseosutajatele, tuleks käesolevas direktiivis sätestada ühised ligipääsetavusnõuded teatavate tarbijatele mõeldud pangandus- ja finantsteenuste jaoks.

(40)

Asjakohased ligipääsetavusnõuded peaksid kehtima ka identimismeetoditele, elektroonilistele allkirjadele ja makseteenustele, sest need on vajalikud tarbijale mõeldud pangatehingute tegemisel.

(41)

E-raamatute failid põhinevad elektroonilistel arvutikoodidel, mis võimaldavad levitada ja sirvida suures osas teksti ja graafilisel kujul olevaid teoseid. E-raamatute failidele ligipääsetavus oleneb selliste koodide täpsusest, ennekõike mis puudutab teose eri põhielementide kvalifikatsiooni ja selle struktuuri standardkirjeldust. Ligipääsetavusega seotud koostalitlusvõime peaks optimeerima selliste failide ühilduvust kasutajaagentide ning praeguste ja tulevaste tugitehnoloogiatega. Eriväljaannete, nagu koomiksite, laste- ja kunstiraamatute erielemente tuleks kaaluda seoses kõigi kohaldatavate ligipääsetavusnõuetega. Kui liikmesriikides kehtiksid erinevad ligipääsetavusnõuded, siis oleks kirjastajatel ja teistel ettevõtjatel raske siseturu eelistest kasu saada, see võib tekitada e-lugerite koostalitlusprobleeme ja piirata puuetega tarbijate ligipääsu. E-raamatute kontekstis võiks teenuseosutaja mõiste hõlmata kirjastajaid ja teisi e-raamatuid levitavaid ettevõtjaid.

Tunnistatakse, et puuetega inimesed seisavad endiselt silmitsi tõketega ligipääsul autoriõiguste ja kaasnevate õigustega kaitstud sisule, ning et selle olukorraga tegelemiseks on juba võetud teatavaid meetmeid, näiteks Euroopa Parlamendi ja nõukogu direktiivi (EL) 2017/1564 (14) ning Euroopa Parlamendi ja nõukogu määruse (EL) 2017/1563 (15) vastuvõtmisega, ning et tulevikus võiks sellega seoses võtta täiendavaid liidu meetmeid.

(42)

Käesolevas direktiivis määratletakse e-kaubanduse teenused vahemaa tagant osutatava teenusena veebisaitide ja mobiiliseadmetel põhinevate teenuste kaudu, mida osutatakse elektroonilisel teel tarbija isikliku taotluse põhjal eesmärgiga sõlmida tarbijaleping. Nimetatud määratluse kohaldamisel tähendab „vahemaa tagant“, et teenust osutatakse ilma poolte üheaegse kohalolekuta; „elektroonilisel teel“ tähendab, et teenus saadetakse lähtepunktist ja võetakse sihtkohas vastu elektrooniliste andmetöötlus- (sh digitaalne pakkimine) ja andmesäilitusseadmete abil ning seda saadetakse, edastatakse ja võetakse vastu täielikult juhtmete või raadio kaudu, optiliselt või muude elektromagnetiliste vahendite abil; „tarbija isikliku taotluse põhjal“ tähendab, et teenust osutatakse isikliku taotluse põhjal. Võttes arvesse e-kaubanduse teenuste suurenenud tähtsust ja nende kõrgtehnoloogilist olemust on oluline, et nende ligipääsetavusele kohalduksid ühtlustatud nõuded.

(43)

Käesoleva direktiivi kohaseid ligipääsetavuskohustusi e-kaubanduse teenustele tuleks kohaldada mis tahes toote või teenuse internetimüügi suhtes ning seetõttu ka käesoleva direktiiviga eraldiseisvalt hõlmatud toote või teenuse müügi suhtes.

(44)

Hädaolukorra sidele vastamise ligipääsetavusega seotud meetmeid tuleks võtta nii, et see ei piiraks ega mõjutaks hädaabiteenistuste endi korraldust, mis jääb liikmesriikide ainupädevusse.

(45)

Kooskõlas direktiiviga (EL) 2018/1972 peavad liikmesriigid tagama hädaolukorra side kaudu puuetega lõppkasutajatele teiste lõppkasutajatega samaväärse ligipääsu hädaabiteenistustele kooskõlas toodete ja teenuste ligipääsetavusnõudeid ühtlustava liidu õigusega. Komisjon ning riikide reguleerivad ja muud pädevad asutused peavad võtma asjakohaseid meetmeid tagamaks, et teises liikmesriigis reisides on hädaabiteenused puuetega lõppkasutajatele teiste lõppkasutajatega samaväärselt ja võimaluse korral ilma eelregistreerimiseta ligipääsetavad. Nende meetmetega tuleks püüda tagada liikmesriikidevaheline koostalitlusvõime ja need peavad põhinema võimalikult suurel määral Euroopa standarditel või spetsifikatsioonidel, mis on sätestatud kooskõlas direktiivi (EL) 2018/1972 artikliga 39. Sellised meetmed ei takista liikmesriike võtmast vastu lisanõudeid kõnealuses direktiivis esitatud eesmärkide saavutamiseks. Alternatiivina käesolevas direktiivis sätestatud ligipääsetavusnõuete täitmisele seoses puuetega kasutajate jaoks mõeldud hädaolukorra sidele vastamisega peaks liikmesriikidel olema võimalik määrata edastusteenuse osutajast kolmas osapool, mida puuetega inimesed saaksid kasutada side pidamiseks häirekeskusega, kuni need häirekeskused on suutelised kasutama elektroonilise side teenuseid internetiprotokollide kaudu, et tagada hädaolukorra sidele vastamise ligipääsetavus. Igal juhul ei tohiks käesoleva direktiivi kohaseid kohustusi tõlgendada nii, nagu need piiraksid või vähendaksid mis tahes puuetega lõppkasutajate teenindamisega seotud kohustusi, sealhulgas võrdväärset ligipääsu elektroonilistele sideteenustele ning hädaabiteenustele ning samuti direktiivis (EL) 2018/1972 sätestatud ligipääsetavust käsitlevaid kohustusi.

(46)

Direktiivis (EL) 2016/2102 määratletakse avaliku sektori asutuste veebisaitide ja mobiilirakenduste ligipääsetavusnõuded ning sätestatakse muud sellega seonduvad aspektid, ennekõike asjakohaste veebisaitide ja mobiilirakenduste vastavust käsitlevad nõuded. Kõnealune direktiiv sisaldab aga konkreetset erandite loetelu. Samalaadseid erandeid kohaldatakse ka käesoleva direktiivi suhtes. Mõned avaliku sektori veebisaitide ja mobiilirakenduste kaudu toimuvad tegevused, nagu käesoleva direktiivi kohaldamisalasse kuuluvad reisijateveo teenused või e-kaubanduse teenused, peaksid lisaks olema kooskõlas käesoleva direktiivi kohaste ligipääsetavusnõuetega, tagamaks et toodete ja teenuste internetimüük on puuetega inimestele ligipääsetav sõltumata sellest, kas müüjaks on avalik-õiguslik või erasektori ettevõtja. Käesoleva direktiivi kohased ligipääsetavusnõuded tuleks viia kooskõlla direktiivi (EL) 2016/2102 nõuetega, olenemata erinevustest näiteks järelevalves, aruandluses ja jõustamises.

(47)

Veebisaitide ja mobiilirakenduste ligipääsetavuse direktiivis (EL) 2016/2102 kasutatud neli põhimõtet on järgmised: tajutavus – teavet ja kasutajaliidese komponente peab esitama kasutajatele viisil, mida nad suudavad tajuda; talitlusvõime – kasutajaliidese komponendid ja navigeerimine peavad olema kasutatavad; mõistetavus – teave ja kasutajaliidese toimimine peavad olema mõistetavad; ja töökindlus – sisu peab olema piisavalt töökindel selleks, et seda saaksid usaldusväärselt tõlgendada väga erinevad kasutajaagendid, sh tugitehnoloogiad. Neid põhimõtted on asjakohased ka käesoleva direktiivi (EL) 2016/2102 kohaldamisel.

(48)

Liikmesriigid peaksid võtma kõik asjakohased meetmed selle tagamiseks, et kui käesoleva direktiiviga hõlmatud tooted ja teenused vastavad kohaldatavatele ligipääsetavusnõuetele, ei ole nende vaba liikumine liidus ligipääsetavuse tõttu takistatud.

(49)

Mõnel juhul hõlbustaksid ühtsed tehiskeskkonna ligipääsetavusnõuded seotud teenuste ja puuetega inimeste vaba liikumist. Seetõttu tuleks käesoleva direktiiviga võimaldada liikmesriikidel lisada teenuste osutamiseks kasutatav tehiskeskkond käesoleva direktiivi kohaldamisalasse, tagades vastavuse ligipääsetavusnõuetele, mis on sätestatud III lisas.

(50)

Ligipääsetavus tuleks saavutada süsteemse takistuste kõrvaldamise ja nende tekke ärahoidmisega, eelistatavalt „universaaldisaini“ lähenemisviisi abil, mis aitab tagada puuetega inimestele ligipääsetavuse teistega võrdsetel alustel. Konventsiooni kohaselt tähendab see lähenemisviis toodete, keskkonna, programmide ja teenuste disainimist sellisel viisil, mis muudab nad suurimal võimalikul määral kõigile inimestele kasutatavaks, ilma et oleks vaja teha kohandusi või kasutada eridisaini. Kooskõlas konventsiooniga ei tohi universaaldisain välistada vajaduse korral abivahendite valmistamist kindlatele puuetega inimeste rühmadele. Lisaks ei tohiks ligipääsetavus välistada mõistlike abinõude võtmist, kui seda nõutakse liidu või liikmesriigi õigusega. Ligipääsetavust ja universaaldisaini tuleks tõlgendada kooskõlas puuetega inimeste õiguste komitee üldkommentaariga nr 2(2014) konventsiooni artikli 9 (Ligipääsetavus) kohta.

(51)

Tooted ja teenused, mis kuuluvad käesoleva direktiivi kohaldamisalasse, ei kuulu automaatselt nõukogu direktiivi 93/42/EMÜ (16) kohaldamisalasse. Mõni tugitehnoloogia, mis on meditsiiniseade, võiks siiski kuuluda nimetatud direktiivi kohaldamisalasse.

(52)

Enamik töökohti liidus on VKEdes ja mikroettevõtetes. Nad on tulevase majanduskasvu jaoks otsustava tähtsusega, kuid neil on sageli raskusi ja takistusi oma toodete või teenuste arendamisel, eelkõige piiriüleselt. Seetõttu on vaja lihtsustada VKEde ja mikroettevõtjate tegevust, ühtlustades ligipääsetavust käsitlevad siseriiklikud sätted ja samal ajal säilitades vajalikud kaitseklauslid.

(53)

Et mikroettevõtjad ja VKEd saaksid käesolevast direktiivist kasu, peavad nad tõepoolest vastama komisjoni soovituse 2003/361/EÜ (17) ja asjaomase kohtupraktika nõuetele, mille eesmärk on takistada neis sisalduvatest normidest kõrvalehoidmist.

(54)

Liidu õigusaktide järjepidevuse tagamiseks peaks käesolev direktiiv põhinema Euroopa Parlamendi ja nõukogu otsusel nr 768/2008/EÜ, (18) kuna direktiiv hõlmab tooteid, mis on juba hõlmatud teiste liidu õigusaktidega, tunnistades samas käesolevas direktiivi kohaste ligipääsetavusnõuete eripära.

(55)

Kõik tarne- ja turustamisahelas osalevad ettevõtjad, kes kuuluvad käesoleva direktiivi kohaldamisalasse, peaksid tagama, et nad teevad turul kättesaadavaks ainult käesoleva direktiiviga vastavuses olevad tooted. Sama peaks kehtima teenuseid osutavatele ettevõtjatele. On vaja ette näha selge ja proportsionaalne kohustuste jagunemine, mis vastab iga ettevõtja rollile tarne- ja turustusprotsessis.

(56)

Ettevõtjad peaksid vastutama toodete ja teenuste nõuetekohasuse eest seoses oma rolliga tarneahelas, et tagada ligipääsetavuse kõrgetasemeline kaitse ning õiglane konkurents liidu turul.

(57)

Käesoleva direktiivi kohustusi tuleks kohaldada võrdselt nii erasektori kui ka avaliku sektori ettevõtjate suhtes.

(58)

Kõige sobivam täieliku vastavushindamise teostaja on tootja, kellel on üksikasjalikud teadmised toote väljatöötamise ja tootmise protsessist. Ehkki toodete vastavuse eest vastutab tootja, peaks tähtis roll olema turujärelevalveasutustel, kontrollides, kas liidus kättesaadavaks tehtud tooted on toodetud kooskõlas liidu õigusega.

(59)

Importijad ja turustajad peaksid olema kaasatud liikmesriikide ametiasutuste teostatud turujärelevalvesse ning nad peaksid selles aktiivselt osalema, andes pädevatele asutustele asjaomase tootega seotud kogu vajaliku teabe.

(60)

Importijad peaksid tagama, et kolmandatest riikidest liidu turule sisenevad tooted oleksid vastavuses käesoleva direktiiviga ja eelkõige, et tootjad oleksid nende toodete puhul kasutanud nõuetekohaseid vastavushindamismenetlusi.

(61)

Toote turulelaskmisel peaks iga importija märkima tootele oma nime, registreeritud kaubanime või registreeritud kaubamärgi ja kontaktaadressi.

(62)

Turustajad peaksid tagama, et nendepoolne toote käitlemine ei mõjuta negatiivselt toote vastavust käesolevas direktiivis sätestatud ligipääsetavusnõuetele.

(63)

Kui ettevõtja laseb toote turule oma nime või kaubamärgi all või muudab toodet selliselt, et see võiks mõjutada juba turule lastud toote vastavust kohaldatavatele nõuetele, tuleks teda käsitada tootjana ja talle peaks laienema tootja kohustused.

(64)

Proportsionaalsuse huvides tuleks ligipääsetavusnõudeid kohaldada üksnes niivõrd, kuivõrd need ei põhjusta ebaproportsionaalset koormust asjaomastele ettevõtjatele ega nõua nende toodete ja teenuste märkimisväärset muutmist, mis viiks nende täieliku muutmiseni käesoleva direktiivi mõistes. Sellele vaatamata tuleks kehtestada kontrollimehhanismid, et kontrollida ligipääsetavusnõuete kohaldamisel tehtud erandite õigustatust.

(65)

Käesolevas direktiivis tuleks järgida põhimõtet „kõigepealt mõtle väikestele“ ja selles peaks võtma arvesse VKEde halduskoormust. Sellega tuleks kehtestada lihtsad vastavushindamise normid ning ettevõtjate kaitseklauslid, mitte üldised erandid ja mööndused kõnealustele ettevõtjatele. Seega tuleks sobivaima vastavushindamismenetluse valimise ja rakendamise normide koostamisel võtta arvesse VKEde olukorda ning kohustus hinnata vastavust ligipääsetavusnõuetele peaks piirduma sellega, et need ei kujutaks endast ebaproportsionaalselt suurt halduskoormust VKEdele. Lisaks peaksid turujärelevalveasutused tegutsema proportsionaalselt ettevõtjate suurusega ning sellega, kas vaatlusalune toodang on väikesemahuline seeriatoodang või mitteseeriatoodang, ilma et loodaks tarbetuid takistusi VKEde jaoks ning ohustataks avaliku huvi kaitset.

(66)

Erandjuhtudel, kui käesolevas direktiivis sätestatud ligipääsetavusnõuete täitmine toob ettevõtjatele kaasa ebaproportsionaalse koormuse, tuleks neilt nende nõuete täitmist nõuda vaid siis, kui need ei põhjusta ebaproportsionaalset koormust. Sellistel nõuetekohaselt põhjendatud juhtudel ei pruugi ettevõtjatel olla mõistlikult võimalik täielikult kohaldada ühte või mitut käesoleva direktiivi ligipääsetavusnõuet. Küll aga peaks ettevõtja tegema käesoleva direktiivi kohaldamisalasse kuuluva teenuse või toote nii ligipääsetavaks kui võimalik, kohaldades neid nõudeid sellises ulatuses, et need ei põhjusta ebaproportsionaalset koormust. Neid ligipääsetavusnõudeid, mille puhul ettevõtja ei ole leidnud, et need põhjustavad ebaproportsionaalse koormuse, tuleks kohaldada täiel määral. Ebaproportsionaalsest koormusest tulenevad ühe või mitme ligipääsetavusnõude järgimise erandid ei tohiks minna kaugemale sellest, mis on tingimata vajalik, et seda koormust vähendada konkreetse toote või teenuse puhul konkreetsel juhul. Meetmeid, mis põhjustaksid ebaproportsionaalse koormuse, tuleks mõista kui meetmeid, mis paneksid ettevõtjale ülemäärase korraldusliku või rahalise lisakoormuse, võttes seejuures arvesse tõenäolist kasu, mida need vastavalt käesolevas direktiivis sätestatud kriteeriumidele võivad puuetega inimestele tuua. Tuleks määrata kindlaks kõnealustel kaalutlustel põhinevad kriteeriumid, et võimaldada nii ettevõtjatel kui ka asjaomastel asutustel võrrelda eri olukordi ja hinnata süstemaatiliselt ebaproportsionaalse koormuse võimalikku olemasolu. Selle hindamisel, millises ulatuses ei ole ligipääsetavusnõudeid seetõttu võimalik täita, et need põhjustaksid ebaproportsionaalse koormuse, tuleks arvesse võtta üksnes õiguspäraseid põhjuseid. Õiguspäraseks põhjuseks ei tohiks olla see, et ligipääsetavust ei peeta prioriteediks, et puudub aeg või puuduvad teadmised.

(67)

Ebaproportsionaalse koormuse üldisel hindamisel tuleks kasutada VI lisas sätestatud kriteeriume. Ettevõtja peaks ebaproportsionaalse koormuse hindamise dokumenteerima, võttes arvesse asjakohaseid kriteeriume. Teenuseosutajad peaksid ebaproportsionaalse koormuse hinnangu vähemalt iga viie aasta järel uuesti läbi vaatama.

(68)

Ettevõtja peaks teavitama asjaomaseid asutusi sellest, et ta on lähtunud käesoleva direktiivi sätetest, mis käsitlevad täielikku muutmist ja/või ebaproportsionaalset koormust. Ainult asjaomaste asutuste nõudel peaks ettevõtja esitama koopia hinnangust, milles selgitatakse, miks tema toode või teenus ei ole täielikult ligipääsetav, ja lisama tõendid ebaproportsionaalse koormuse ja/või täieliku muutmise kohta.

(69)

Kui teenuseosutaja leiab nõutava hinnangu alusel, et nõue, mille kohaselt peaksid kõik käesoleva direktiiviga kaetud teenuste osutamiseks kasutatavad iseteenindusterminalid vastama käesoleva direktiivi kohastele ligipääsetavusnõuetele, tooks talle kaasa ebaproportsionaalse koormuse, peaks teenuseosutaja kohaldama neid nõudeid siiski sellises ulatuses, mil need veel ei põhjusta ebaproportsionaalset koormust. Järelikult peaks teenuseosutaja hindama, milline on iseteenindusterminalide piiratud ligipääsetavuse ulatus või täielikult ligipääsetavate iseteenindusterminalide arv, mis võimaldaks tal vältida ebaproportsionaalset koormust, mis talle muul juhul langeks, ning temalt tuleks käesolevas direktiivis sätestatud ligipääsetavusnõuete täitmist nõuda üksnes sellises ulatuses.

(70)

Mikroettevõtjaid eristavad kõigist teistest ettevõtjatest nende piiratud inimressursid ja aastakäive või aastabilanss. Seetõttu nõuab ligipääsetavusnõuete järgimine mikroettevõtjatelt üldiselt suuremat osa nende finants- ja inimressurssidest teiste ettevõtjatega võrreldes ning moodustab suurema tõenäosusega ebaproportsionaalse osa kuludest. Märkimisväärne osa mikroettevõtjate kuludest tuleneb dokumentide ja registrite täitmisest või säilitamisest, et näidata vastavust liidu õiguse kohastele erinevatele nõuetele. Kuigi kõik käesoleva direktiiviga hõlmatud ettevõtjad peaksid olema suutelised hindama käesoleva direktiivi ligipääsetavusnõuete täitmise proportsionaalsust ja täitma neid üksnes ulatuses, mis ei ole ebaproportsionaalne, oleks sellise hindamise nõudmine teenuseid osutavatelt mikroettevõtjatelt iseenesest ebaproportsionaalne koormus. Seetõttu ei tuleks käesoleva direktiivi nõudeid ja kohustusi kohaldada mikroettevõtjate suhtes, kes osutavad käesoleva direktiivi kohaldamisalasse kuuluvaid teenuseid.

(71)

Käesoleva direktiivi kohaldamisalasse kuuluvate toodetega tegelevate mikroettevõtjate suhtes peaksid käesolevas direktiivis kehtima leebemad nõuded ja kohustused, et vähendada halduskoormust.

(72)

Ehkki mõned mikroettevõtjad on käesoleva direktiivi kohustustest vabastatud, tuleks kõiki mikroettevõtjaid innustada tootma, importima ja levitama käesoleva direktiivi ligipääsetavusnõuetele vastavaid tooteid ja osutama käesoleva direktiivi ligipääsetavusnõuetele vastavaid teenuseid, et suurendada nende ettevõtete konkurentsivõimet ja kasvupotentsiaali siseturul. Liikmesriigid peaksid seetõttu andma mikroettevõtjatele suunised ja vahendid, et hõlbustada käesoleva direktiivi ülevõtmiseks kohaldatavate riiklike meetmete rakendamist.

(73)

Kõik ettevõtjad peaksid tooteid turule lastes või kättesaadavaks tehes või teenuseid osutades käituma vastutustundlikult ja täies kooskõlas asjakohaste õiguslike nõuetega.

(74)

Selleks et hõlbustada kohaldatavatele ligipääsetavusnõuetele vastavuse hindamist, on vaja sätestada eeldus, et nõuetele vastavaks saab lugeda tooted ja teenused, mis vastavad vabatahtlikele harmoneeritud standarditele, mis on vastu võetud kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 1025/2012, (19) eesmärgiga koostada kõnealuste nõuete üksikasjalikud tehnilised spetsifikatsioonid. Komisjon on juba esitanud Euroopa standardiorganisatsioonidele mitu ligipääsetavusega seotud standardimistaotlust, nagu standardimisvolitused M/376, M/473 ja M/420, mis oleksid asjakohased harmoneeritud standardite väljatöötamiseks.

(75)

Määruses (EL) nr 1025/2012 on sätestatud menetlus harmoneeritud standarditele ametlike vastuväidete esitamiseks, kui leitakse, et need standardid ei vasta käesoleva direktiivi nõuetele.

(76)

Euroopa standardid peaksid olema turupõhised, võtma arvesse avalikku huvi ja poliitilisi eesmärke, mis on selgelt esitatud komisjoni taotluses ühele või mitmele Euroopa standardiorganisatsioonile harmoneeritud standardite koostamiseks, ning põhinema konsensusel. Harmoneeritud standardite puudumisel ja juhul, kui see on vajalik siseturu ühtlustamise eesmärgil, peaks komisjonil olema võimalik võtta teatavatel juhtudel vastu rakendusakte, millega kehtestatakse käesoleva direktiivi kohaste ligipääsetavusnõuete tehnilised spetsifikatsioonid. Tehniliste spetsifikatsioonide kasutamine peaks seetõttu piirduma nende juhtudega. Komisjonil peaks olema võimalik võtta vastu näiteks tehnilisi spetsifikatsioone eelkõige juhul, kui standardimisprotsess on blokeeritud sidusrühmade vahelise konsensuse puudumise tõttu või kui harmoneeritud standardi kehtestamine viibib põhjendamatult, näiteks seetõttu, et ei saavutata nõutavat kvaliteeti. Komisjon peaks jätma piisavalt aega ühele või mitmele Euroopa standardiorganisatsioonile esitatud harmoneeritud standardite koostamise taotluse vastuvõtmise ja sama ligipääsetavusnõudega seotud tehnilise spetsifikatsiooni vastuvõtmise vahele. Komisjonil ei tohiks lubada võtta vastu tehnilist spetsifikatsiooni, kui ta ei ole kõigepealt püüdnud vastavaid ligipääsetavusnõudeid saavutada Euroopa standardimissüsteemi abil, välja arvatud juhul, kui komisjon suudab tõendada, et need tehnilised spetsifikatsioonid vastavad määruse (EL) nr 1025/2012 II lisa nõuetele.

(77)

Selleks et kehtestada kõige tõhusamal viisil käesoleva direktiivi kohastele toodete ja teenuste ligipääsetavusnõuetele vastavaid harmoneeritud standardeid ja tehnilisi spetsifikatsioone, peaks komisjon kaasama võimaluse korral protsessi Euroopa puuetega inimeste katusorganisatsioonid ja kõik teised asjaomased sidusrühmad.

(78)

Selleks et turujärelevalve eesmärgil tagada teabe tulemuslik kättesaadavus, peaks kõigile kohaldatavatele liidu õigusaktidele vastavuse kindlakstegemiseks vajalik teave olema tehtud kättesaadavaks ühes ühtses ELi vastavusdeklaratsioonis. Ettevõtjate halduskoormuse vähendamiseks peaks neil olema võimalus lisada ühtsele ELi vastavusdeklaratsioonile kõik asjakohased individuaalsed vastavusdeklaratsioonid.

(79)

Toodete vastavushindamise suhtes peaks käesoleva direktiivi puhul kasutama tootmise sisekontrolli moodulit A, mis on esitatud otsuse nr 768/2008/EÜ II lisas, sest see võimaldab ettevõtjatel näidata ja pädevatel asutustel tagada, et turul kättesaadavaks tehtud tooted vastavad ligipääsetavusnõuetele, tekitamata samal ajal liigset koormust.

(80)

Toodete turujärelevalve tegemisel ja teenuste vastavuse kontrollimisel peaksid asutused samuti kontrollima, et vastavushindamised, sealhulgas vajaduse korral täieliku muutmise või ebaproportsionaalse koormuse hindamine on nõuetekohaselt läbi viidud. Oma kohustuste täitmisel peaksid asutused samuti tegema seda koostöös puuetega inimeste ning neid ja nende huve esindavate organisatsioonidega.

(81)

Teenuste puhul tuleks teave, mis on vajalik käesoleva direktiivi kohase ligipääsetavusnõuetele vastavuse hindamiseks, esitada üldtingimustes või samaväärses dokumendis, ilma et see piiraks Euroopa Parlamendi ja nõukogu direktiivi 2011/83/EL (20) kohaldamist.

(82)

CE-märgis, mis näitab toote vastavust käesolevas direktiivis sätestatud ligipääsetavusnõuetele, on nähtavaks tagajärjeks kogu menetlusele, mis hõlmab vastavushindamist selle laiemas tähenduses. Käesoleva direktiiviga peaks järgima CE-märgist käsitlevaid üldpõhimõtteid, mis on sätestatud Euroopa Parlamendi ja nõukogu määruses (EÜ) nr 765/2008, (21) millega sätestatakse akrediteerimise ja turujärelevalve nõuded seoses toodete turustamisega. Lisaks ELi vastavusdeklaratsiooni esitamisele peaks tootja kulutõhusal viisil teavitama tarbijaid oma toodete ligipääsetavusest.

(83)

Määruse (EÜ) nr 765/2008 kohaselt kinnitab tootja CE-märgise paigaldamisega tootele, et toode vastab kõigile kohaldatavatele ligipääsetavusnõuetele ja et tootja võtab selle eest endale kogu vastutuse.

(84)

Vastavalt otsusele nr 768/2008/EÜ vastutavad liikmesriigid toodete tugeva ja tõhusa turujärelevalve tagamise eest oma territooriumil ning peaksid andma piisavad volitused ja vahendid oma turujärelevalveasutustele.

(85)

Liikmesriigid peaksid kontrollima teenuste vastavust käesolevast direktiivist tulenevatele kohustustele ning jälgima mittevastavusega seotud kaebusi või teateid, tagamaks, et parandusmeetmed on võetud.

(86)

Kui see on asjakohane, võiks komisjon sidusrühmadega konsulteerides vastu võtta mittesiduvaid suuniseid, mis toetavad turujärelevalveasutuste ja teenuste vastavuse kontrollimise eest vastutavate asutuste vahelist koordineerimist. Komisjonil ja liikmesriikidel peaks olema võimalik luua algatusi asutuste ressursside ja oskusteabe jagamiseks.

(87)

Liikmesriigid peaksid tagama, et turujärelevalveasutused ja teenuste vastavuse kontrollimise eest vastutavad asutused kontrollivad kooskõlas VIII ja IX peatükiga ettevõtjate vastavust VI lisas osutatud kriteeriumidele. Liikmesriikidel peaks olema võimalik määrata spetsialiseeritud asutus, mis täidab turujärelevalveasutuste ja teenuste vastavuse kontrollimise eest vastutavate asutuste kohustusi vastavalt käesolevale direktiivile. Liikmesriikidel peaks olema võimalik otsustada, et sellise spetsialiseeritud asutuse pädevust tuleks piirata käesoleva direktiivi kohaldamisalaga või selle teatavate osadega ilma et see piiraks määrusest (EÜ) nr 765/2008 tulenevaid liikmesriikide kohustusi.

(88)

Tuleks kindlaks määrata kaitsemeetmete menetlus, mida kohaldatakse juhul, kui liikmesriigid ei jõua ühe liikmesriigi võetud meetmete osas kokkuleppele, ja mis võimaldaks huvitatud isikutel olla kursis meetmetega, mida kavatsetakse võtta seoses toodetega, mis ei vasta käesoleva direktiivi ligipääsetavusnõuetele. Kaitsemeetmete menetlus peaks võimaldama ka turujärelevalveasutustel koostöös asjaomaste ettevõtjatega selliste toodete suhtes varakult meetmeid võtta.

(89)

Kui liikmesriigid ja komisjon nõustuvad, et liikmesriigi võetud meetmed on põhjendatud, ei peaks komisjon rohkem sekkuma, välja arvatud juhul, kui mittevastavus on põhjendatav harmoneeritud standardi või tehnilise spetsifikatsiooni puudustega.

(90)

Euroopa Parlamendi ja nõukogu direktiivides 2014/24/EL (22) ja 2014/25/EL (23) riigihangete kohta, milles määratakse kindlaks menetlused seoses riigihankelepingute ja ideekonkurssidega teatavate asjade (toodete), teenuste ja ehitustööde kohta, sätestatakse, et kõigi selliste riigihangete puhul, mille eseme kavandatud kasutajateks on füüsilised isikud, olenemata sellest, kas kasutajaks on üldsus või avaliku sektori hankija töötajad, peab tehniline kirjeldus olema koostatud nii, et selles võetakse arvesse puuetega inimeste või kõigi kasutajate ligipääsemise nõuet, v.a nõuetekohaselt põhjendatud juhtudel. Lisaks nõutakse nendes direktiivides, et kui kohustuslikud ligipääsetavusnõuded võetakse vastu liidu õigusaktiga, kehtestatakse puuetega inimeste või kõigi ligipääs tehnilises kirjelduses kõnealusele õigusaktile viitamisega. Käesolevas direktiivis tuleks kehtestada kohustuslikud ligipääsetavusnõuded sellega hõlmatud toodetele ja teenustele. Käesoleva direktiivi kohaldamisalasse mitte kuuluvate toodete ja teenuste puhul ei ole käesoleva direktiivi ligipääsetavusnõuded siduvad. Nende ligipääsetavusnõuete kasutamine selleks, et täita muudes liidu õigusaktides kui käesolevas direktiivis sätestatud vastavaid kohustusi, hõlbustaks aga ligipääsetavuse rakendamist ning aitaks kaasa õiguskindlusele ja ligipääsetavusnõuete lähendamisele kogu liidus. Ametiasutusi ei tohiks takistada kehtestamast ligipääsetavusnõudeid, mis lähevad kaugemale käesoleva direktiivi I lisas esitatud ligipääsetavusnõuetest.

(91)

Käesolev direktiiv ei tohiks muuta muudes liidu õigusaktides sisalduvate ligipääsetavusega seotud sätete kohustuslikku või vabatahtlikku laadi.

(92)

Käesolevat direktiivi tuleks kohaldada ainult väljakuulutatud hankemenetluste suhtes, või kui hanke väljakuulutamine ei ole ette nähtud, siis juhtudel, kus avaliku sektori hankija või võrgustiku sektori hankija on alustanud hankemenetlust pärast käesoleva direktiivi kohaldamise alguskuupäeva.

(93)

Käesoleva direktiivi nõuetekohase kohaldamise tagamiseks tuleks komisjonile anda vastavalt ELi toimimise lepingu artiklile 290 õigus võtta vastu õigusakte seoses järgmisega: täpsustamine, millised ligipääsetavusnõuded ei saa oma olemuse tõttu avaldada kavandatavat mõju, välja arvatud juhul kui neid täpsustatakse liidu siduvates õigusaktides; selle ajavahemiku muutmine, mille jooksul ettevõtjad peavad suutma tuvastada mis tahes ettevõtja, kes on neile toote tarninud või kellele nad on toote tarninud; ning asjakohaste kriteeriumide täpsustamine, mida ettevõtja peab arvesse võtma hindamisel, kas vastavus ligipääsetavusnõuetele põhjustaks ebaproportsionaalse koormuse. On eriti oluline, et komisjon viiks oma ettevalmistava töö käigus läbi asjakohaseid konsultatsioone, sealhulgas ekspertide tasandil, ja et kõnealused konsultatsioonid viidaks läbi kooskõlas 13. aprilli 2016. aasta institutsioonidevahelises parema õigusloome kokkuleppes (24) sätestatud põhimõtetega. Eelkõige selleks, et tagada delegeeritud õigusaktide ettevalmistamises võrdne osalemine, saavad Euroopa Parlament ja nõukogu kõik dokumendid liikmesriikide ekspertidega samal ajal ning nende ekspertidel on pidev juurdepääs komisjoni eksperdirühmade koosolekutele, millel arutatakse delegeeritud õigusaktide ettevalmistamist.

(94)

Selleks et tagada käesoleva direktiivi ühetaolised rakendamistingimused, tuleks komisjonile anda rakendamisvolitused seoses tehniliste spetsifikatsioonidega. Neid volitusi tuleks teostada kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 182/2011 (25).

(95)

Liikmesriigid peaksid tagama käesoleva direktiivi täitmise tagamiseks vajalike piisavate ja tõhusate vahendite olemasolu ning kehtestama selleks asjakohased kontrollimehhanismid, nagu turujärelevalveasutuste tehtav järelkontroll, mille eesmärk on veenduda, et ligipääsetavusnõuete kohandamisest erandi tegemine on õigustatud. Ligipääsetavusega seotud kaebuste menetlemisel peaksid liikmesriigid järgima hea valitsemistava üldpõhimõtet ja täitma eelkõige ametnike kohustust tagada, et iga kaebuse kohta tehakse otsus mõistliku aja jooksul.

(96)

Käesoleva direktiivi ühtse rakendamise lihtsustamiseks peaks komisjon moodustama asjaomastest ametiasutustest ja sidusrühmadest koosneva töörühma, et hõlbustada teabe ja parimate tavade vahetamist ning anda nõu. Innustada tuleks ametiasutuste ja asjaomaste sidusrühmade, sealhulgas puuetega inimeste ja neid esindavate organisatsioonide vahelist koostööd muu hulgas selleks, et parandada käesoleva direktiivi nende sätete rakendamise sidusust, mis käsitlevad ligipääsetavusnõudeid, ning et jälgida direktiivi nende sätete rakendamist, mis käsitlevad täielikku muutmist ja ebaproportsionaalset koormust.

(97)

Võttes arvesse õigusraamistikku, mis kehtib direktiividega 2014/24/EL ja 2014/25/EL hõlmatud valdkondades rakendatavate õiguskaitsevahendite puhul, ei tohiks käesoleva direktiivi sätted, mis käsitlevad täitmise tagamist ja karistusi, olla kohaldatavad hankemenetluste suhtes, mille suhtes kehtivad käesolevas direktiivis kehtestatud kohustused. Selline väljajätmine ei piira liikmesriikide aluslepingutest lähtuvaid kohustusi võtta kõik vajalikud meetmed liidu õiguse kohaldamise ja tulemuslikkuse tagamiseks.

(98)

Karistused peaksid olema piisavad seoses rikkumise olemuse ja asjaoludega, et mitte pakkuda ettevõtjatele alternatiivset võimalust jätta täitmata kohustus muuta oma tooted või teenused ligipääsetavaks.

(99)

Liikmesriigid peaksid tagama, et kooskõlas kehtivate liidu õigusaktidega on võimalik kasutada alternatiivsed vaidluste lahendamise mehhanisme, et kõrvaldada mis tahes väidetav käesolevale direktiivile mittevastavus enne kohtute või pädevate haldusasutuste poole pöördumist.

(100)

Kooskõlas liikmesriikide ja komisjoni 28. septembri 2011. aasta ühise poliitilise deklaratsiooniga selgitavate dokumentide (26) kohta kohustuvad liikmesriigid tagama põhjendatud juhtudel, et nende ülevõtmismeetmeid käsitlevale teatele on lisatud üks või mitu dokumenti, milles selgitatakse seost direktiivi komponentide ja ülevõtvate siseriiklike õigusaktide vastavate osade vahel. Käesoleva direktiivi puhul leiab seadusandja, et nimetatud dokumentide esitamine on põhjendatud.

(101)

Et anda teenuseosutajatele piisavalt aega käesolevas direktiivis sätestatud nõuetega kohanemiseks, tuleb ette näha viieaastane üleminekuperiood, mis algab pärast kohaldamise alguskuupäeva, millega rakendatakse käesolevat direktiivi, ja mille kestel teenuse osutamiseks kasutatavad tooted, mis lasti turule enne nimetatud kuupäeva, ei pea käesoleva direktiivi kohastele ligipääsetavusnõuetele vastama, välja arvatud juhul, kui teenuseosutajad on need üleminekuperioodi jooksul asendanud. Arvestades iseteenindusterminalide maksumust ja pikka olelusringi, on asjakohane sätestada, et kui selliseid terminale kasutatakse teenuste osutamisel, võib neid kasutada kuni nende kasutusea lõpuni, eeldusel et neid selle perioodi jooksul ei asendata, kuid mitte kauem kui 20 aastat.

(102)

Käesoleva direktiivi kohased ligipääsetavusnõuded peaksid kehtima toodete suhtes, mis on turule lastud ja teenuste suhtes, mida osutatakse pärast kuupäeva, mil hakatakse kohaldama siseriiklikke meetmeid, millega võetakse üle käesolev direktiiv, ja samuti kolmandatest riikidest imporditud kasutatud toodete suhtes, mis lastakse liidu turule pärast nimetatud kuupäeva.

(103)

Käesolevas direktiivis austatakse põhiõigusi ja järgitakse iseäranis Euroopa Liidu põhiõiguste hartas („harta“) tunnustatud põhimõtteid. Eelkõige on käesoleva direktiivi eesmärk tagada puuetega inimeste õiguste täielik austamine, et nad saaksid kasu meetmetest, mille eesmärk on tagada nende iseseisvus, sotsiaalne ja tööalane integratsioon ning osalemine ühiskonnaelus, ning edendada harta artiklite 21, 25 ja 26 kohaldamist.

(104)

Kuna käesoleva direktiivi eesmärki – kõrvaldada tõkked teatavate ligipääsetavate toodete ja teenuste vabale liikumisele, et aidata kaasa siseturu nõuetekohasele toimimisele – ei suuda liikmesriigid piisavalt saavutada, sest see nõuab nende vastavates õigussüsteemides praegu kehtivate õigusnormide ühtlustamist, küll aga saab neid paremini saavutada liidu tasandil, määratledes siseturu toimimise ühised ligipääsetavusnõuded ja õigusnormid, võib liit võtta meetmeid kooskõlas Euroopa Liidu lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev direktiiv nimetatud eesmärgi saavutamiseks vajalikust kaugemale,