(1)

Verkko- ja tietojärjestelmillä ja sähköisen viestinnän verkoilla ja palveluilla on yhteiskunnassa elintärkeä rooli, ja niistä on tullut talouskasvun selkäranka. Tieto- ja viestintätekniikka luo pohjaa monimutkaisille järjestelmille, jotka tukevat yhteiskunnan päivittäisiä toimintoja, pitävät talouden pyörät pyörimässä keskeisillä aloilla, kuten terveydenhuollossa, energia-alalla, rahoitusalalla ja liikenteessä, ja erityisesti tukevat sisämarkkinoiden toimintaa.

(2)

Verkko- ja tietojärjestelmien käyttö on nykyisin laajalle levinnyttä kansalaisten, organisaatioiden ja yritysten piirissä kaikkialla unionissa. Digitalisoinnista ja verkkoyhteyksistä on tulossa keskeisiä ominaisuuksia yhä useammissa tuotteissa ja palveluissa, ja esineiden internetin myötä unionissa ennakoidaan otettavan käyttöön äärimmäisen suuri määrä verkkoon kytkettyjä digitaalisia laitteita seuraavan vuosikymmenen aikana. Yhä useammat laitteet liitetään internetiin huolehtimatta samalla siitä, että turvallisuus ja häiriönsietokyky ovat riittävällä tavalla sisäänrakennettuja, mikä johtaa puutteisiin kyberturvallisuudessa. Sertifioinnin vähäinen käyttö johtaa tässä yhteydessä siihen, että kansalaiset, organisaatiot ja yritykset eivät saa riittävästi tietoa tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien kyberturvallisuusominaisuuksista, mikä heikentää luottamusta digitaalisiin ratkaisuihin. Verkko- ja tietojärjestelmillä voidaan tukea kaikkia elämänaloja ja edistää unionin talouskasvua. Nämä järjestelmät ovat ratkaisevan tärkeitä digitaalisten sisämarkkinoiden toteuttamisen kannalta.

(3)

Digitalisoinnin ja verkkoyhteyksien yleistyminen lisää kyberturvallisuuteen liittyviä riskejä, mikä tekee koko yhteiskunnasta alttiimman kyberuhkille ja pahentaa yksilöihin, myös heikommassa asemassa oleviin henkilöihin, kuten lapsiin, kohdistuvia vaaroja. Näiden riskien lieventämiseksi kyberturvallisuutta on tarpeen parantaa unionissa kaikin tarvittavin toimenpitein, jotta kansalaisten, organisaatioiden ja yritysten – komission suosituksessa 2003/361/EY (4) määritellyistä pienistä ja keskisuurista yrityksistä, jäljempänä ’pk-yritykset’, elintärkeiden infrastruktuureiden ylläpitäjiin – käyttämät verkko- ja tietojärjestelmät, televiestintäverkot, digitaaliset tuotteet, palvelut ja laitteet voidaan suojata paremmin kyberuhilta.

(4)

Tuottamalla asiaa koskevaa tietoa ja asettamalla sitä yleisön saataville Euroopan parlamentin ja neuvoston asetuksella (EU) No 526/2013 (5) perustettu Euroopan unionin verkko- ja tietoturvavirasto, jäljempänä ’ENISA’, edistää kyberturvallisuusalan ja etenkin pk- ja startup-yritysten kehittymistä unionissa. ENISAn olisi pyrittävä tiiviimpään yhteistyöhän yliopistojen ja tutkimuslaitosten kanssa, jotta se voisi edistää osaltaan strategista lähestymistapaa, joka koskee riippuvuuden vähentämistä unionin ulkopuolelta peräisin olevista kyberturvallisuustuotteista ja -palveluista, ja vahvistaa unionin sisäisiä toimitusketjuja.

(5)

Kyberhyökkäyksiä tapahtuu yhä enemmän, ja verkottunut talous ja yhteiskunta, joka on alttiimpi kyberuhille ja -hyökkäyksille, edellyttää vahvempaa puolustusvalmiutta. Vaikka kyberhyökkäykset ovat usein rajat ylittäviä, kyberturvallisuus- ja lainvalvontaviranomaisten toimivaltuudet ja poliittiset vastatoimet ovat enimmäkseen kansallisia. Laajamittaiset poikkeamat voivat häiritä keskeisten palvelujen tarjoamista koko unionissa. Tämä edellyttää kohdennettuihin politiikkoihin ja laaja-alaisempiin eurooppalaisen yhteisvastuun ja keskinäisen avunannon välineisiin perustuvia tehokkaita ja koordinoituja vastatoimia ja kriisinhallintaa unionin tasolla. Politiikan laatijoille, toimialalle ja käyttäjille on tärkeää, että kyberturvallisuuden ja häiriönsietokyvyn tilaa unionissa arvioidaan säännöllisesti luotettavan unionin tiedon pohjalta ja että laaditaan järjestelmällisesti ennusteita tulevista kehityskuluista, haasteista ja uhkista unionin tasolla ja maailmanlaajuisesti.

(6)

Unioniin kohdistuvien kyberturvallisuushaasteiden lisääntymisen vuoksi tarvitaan kattava joukko toimenpiteitä, jotka pohjautuisivat aiempaan unionin toimintaan ja edistäisivät toisiaan vahvistavia tavoitteita. Näihin tavoitteisiin sisältyy tarve lisätä jäsenvaltioiden ja yritysten valmiuksia ja varautumiskykyä entisestään sekä parantaa yhteistyötä, tiedonjakamista ja koordinointia, jäsenvaltioiden ja unionin toimielinten, elinten ja laitosten välillä. Koska kyberuhkat ovat luonteeltaan rajattomia, on myös tarpeen lisätä valmiuksia unionin tasolla jäsenvaltioiden toimien täydentämiseksi erityisesti laajamittaisten rajat ylittävien poikkeamien ja kriisien tapauksessa ottaen samalla huomioon, että on tärkeää ylläpitää ja vahvistaa edelleen kansallisia valmiuksia vastata kaikenkokoisiin kyberuhkiin.

(7)

Tarvitaan myös lisätoimia kansalaisorganisaatioiden ja yritysten tietoisuuden lisäämiseksi kyberturvallisuuteen liittyvistä kysymyksistä. Koska poikkeamat lisäksi vähentävät luottamusta digitaalisten palvelujen tarjoajiin ja digitaalisiin sisämarkkinoihin etenkin kuluttajien keskuudessa, luottamusta olisi edelleen vahvistettava tarjoamalla tieto- ja viestintätekniikan tuotteista, palveluista ja prosesseista avointa tietoa, jossa korostetaan, että korkeatasoinenkaan kyberturvallisuussertifiointi ei voi taata, että tieto- ja viestintätekniikan tuote, palvelu tai prosessi olisi täysin turvallinen. Luotettavuuden kasvua voidaan helpottaa unionin laajuisella sertifioinnilla, joka tuo käyttöön yhteiset kyberturvallisuusvaatimukset ja -arviointiperusteet kansallisille markkinoille ja aloille.

(8)

Kyberturvallisuus ei ole ainoastaan teknologiaan liittyvä kysymys, vaan yhtä merkittävällä tavalla ihmisten käyttäytymiseen liittyvä kysymys. Sen vuoksi olisi voimakkaasti edistettävä ”kyberhygieniaa”, eli yksinkertaisia rutiinitoimenpiteitä, jotka säännöllisesti toimeenpantuina ja toteutettuina minimoivat kansalaisten, organisaatioiden ja yritysten altistumisen kyberuhkien riskeille.

(9)

Unionin kyberturvallisuuden rakenteiden vahvistamiseksi on tärkeää ylläpitää ja kehittää jäsenvaltioiden valmiuksia vastata kattavasti kyberuhkiin, myös rajat ylittävien poikkeamien tapauksessa.

(10)

Yrityksillä ja yksittäisillä kuluttajilla olisi oltava tarkat tiedot varmuustasosta, jolla tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien turvallisuus on sertifioitu. Samalla mikään tieto- ja viestintätekniikan tuote tai palvelu ei ole täysin kyberturvallinen, ja kyberhygienian perussääntöjä olisi edistettävä ja ne olisi asetettava etusijalle. Koska esineiden internetin laitteita on yhä enemmän saatavilla, yksityissektori voi toteuttaa useita vapaaehtoisia toimenpiteitä vahvistaakseen luottamusta tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien turvallisuuteen.

(11)

Nykyaikaiset tieto- ja viestintätekniikan tuotteet ja järjestelmät käsittävät usein yhden tai useamman kolmannen osapuolen teknologiaa ja komponentteja – kuten ohjelmistomoduuleja, ohjelmakirjastoja tai ohjelmointirajapintoja – ja ovat niistä riippuvaisia. Tämä riippuvuus voi aiheuttaa uusia kyberturvallisuusriskejä, koska kolmansien osapuolten komponenteissa olevat haavoittuvuudet voivat vaikuttaa myös tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien turvallisuuteen. Monissa tapauksissa riippuvuuksien tunnistaminen ja dokumentointi auttaa tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien loppukäyttäjiä parantamaan kyberturvallisuusriskien hallintatoimia parantamalla esimerkiksi käyttäjien toteuttamia kyberturvallisuuden haavoittuvuuden hallinta- ja korjaamismenettelyjä.

(12)

Tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien suunnitteluun ja kehittämiseen osallistuvia organisaatioita, valmistajia tai tarjoajia olisi kannustettava ottamaan käyttöön suunnittelun ja kehittämisen mahdollisimman varhaisissa vaiheissa toimenpiteitä kyseisten tuotteiden, prosessien ja palvelujen turvallisuuden suojaamiseksi parhaalla mahdollisella tavalla siten, että kyberhyökkäyksiä oletetaan tapahtuvan ja niiden vaikutukset minimoidaan, jäljempänä ’sisäänrakennettu turvallisuus’. Turvallisuuteen olisi kiinnitettävä huomiota tieto- ja viestintätekniikan tuotteen, palvelun tai prosessin koko elinkaaren ajan, käyttämällä suunnittelu- ja kehittämisprosesseja, jotka muuttuvat jatkuvasti ilkivallasta aiheutuvan haitan muodostaman riskin madaltamiseksi.

(13)

Yritysten, organisaatioiden ja julkisen sektorin olisi konfiguroitava suunnittelemansa tieto- ja viestintätekniikan tuotteet, palvelut ja prosessit tavalla, jolla varmistetaan korkeampi turvallisuuden taso, jonka ansiosta ensimmäinen käyttäjän pitäisi saada oletuskonfiguraatio, jossa on mahdollisimman turvalliset oletusasetukset, jäljempänä ’oletusarvoinen turvallisuus’, ja siten kevennettäisiin rasitetta, joka käyttäjälle aiheutuu siitä, että hänen pitää muuttaa tieto- ja viestintätekniikan tuotteen, palvelun tai prosessin asetuksia asianmukaisesti. Oletusarvoinen turvallisuus ei saisi edellyttää mittavaa konfigurointia eikä teknistä erityisosaamista tai muuta kuin ilmeistä käyttäytymistä käyttäjältä, ja sen olisi täytäntöönpantuna toimittava helposti ja luotettavasti. Jos riski- ja käytettävyysanalyysin perusteella voidaan tapauskohtaisesti päätellä, että tällainen asetus ei ole toteutettavissa oletusarvoisena, käyttäjiä olisi pyydettävä valitsemaan kaikkein turvallisin asetus.

(14)

ENISA perustettiin Euroopan parlamentin ja neuvoston asetuksella (EY) N:o 460/2004 (6), tavoitteena osaltaan varmistaa korkeatasoinen ja tehokas verkko- ja tietoturva unionissa ja luoda verkko- ja tietoturvakulttuuri, josta on hyötyä kansalaisille, kuluttajille, yrityksille ja julkishallinnoille. Euroopan parlamentin ja neuvoston asetuksella (EY) N:o 1007/2008 (7), ENISAn toimikautta jatkettiin maaliskuuhun 2012. Euroopan parlamentin ja neuvoston asetuksella (EU) N:o 580/2011 (8) ENISAn toimikautta jatkettiin edelleen 13 päivään syyskuuta 2013. Asetuksella (EU) N:o 526/2013 ENISAn toimikautta jatkettiin 19 päivään kesäkuuta 2020.

(15)

Unioni on jo toteuttanut merkittäviä toimia varmistaakseen kyberturvallisuuden ja lisätäkseen luottamusta digitaaliteknologioihin. Vuonna 2013 hyväksyttiin Euroopan unionin kyberturvallisuusstrategia ohjaamaan unionin poliittisia vastatoimia kyberuhkiin ja -riskeihin. Tarjotakseen kansalaisille paremman suojan verkkoympäristössä unioni hyväksyi vuonna 2016 ensimmäisenä kyberturvallisuusalan säädöksenä Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/1148 (9). Direktiivillä (EU) 2016/1148 otettiin käyttöön vaatimukset kansallisista valmiuksista kyberturvallisuuden alalla, ensimmäiset mekanismit jäsenvaltioiden strategisen ja operatiivisen yhteistyön tehostamiseksi sekä velvoitteet toteuttaa turvallisuustoimenpiteitä ja tehdä ilmoitukset poikkeamista talouden ja yhteiskunnan kannalta olennaisilla aloilla, kuten energia, liikenne, juomaveden toimittaminen ja jakelu, pankkitoiminta, rahoitusmarkkinoiden infrastruktuurit, terveydenhuolto ja digitaalinen infrastruktuuri sekä keskeisten digitaalisten palvelujen (hakukoneet, pilvipalvelut ja verkossa toimivat markkinapaikat) tarjoajat.

ENISAlle annettiin keskeinen rooli tukea kyseisen direktiivin täytäntöönpanoa. Lisäksi kyberrikollisuuden torjunta on tärkeä prioriteetti Euroopan turvallisuusagendassa, joka tältä osin edistää yleistä tavoitetta saavuttaa kyberturvallisuuden korkea taso. Myös muut säädökset, kuten Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (10) sekä Euroopan parlamentin ja neuvoston direktiivit 2002/58/EY (11) ja (EU) 2018/1972 (12), edistävät kyberturvallisuuden korkeaa tasoa digitaalisilla sisämarkkinoilla.

(16)

Sen jälkeen, kun Euroopan unionin kyberturvallisuusstrategia hyväksyttiin vuonna 2013 ja ENISAn toimeksiantoa viimeksi tarkistettiin, yleinen poliittinen tilanne on muuttunut merkittävästi, koska globaali toimintaympäristö on muuttunut epävarmemmaksi ja vähemmän turvatuksi. Tätä taustaa vasten ja ottaen huomioon ENISAn roolin myönteisen kehityksen neuvonnan ja asiantuntemuksen viitetahona, yhteistyön ja valmiuksien kehittämisen edistäjänä sekä osana uutta unionin kyberturvallisuuspolitiikkaa on tarpeen tarkistaa ENISAn toimeksiantoa, vahvistaa sen rooli muuttuneessa kyberturvallisuusekosysteemissä ja varmistaa, että se auttaa tehokkaasti unionia vastaamaan tästä perusteellisesti muuttuneesta kyberuhkaympäristöstä johtuviin kyberturvallisuushaasteisiin. Kuten ENISAn arvioinnissa todettiin, sen nykyinen toimeksianto ei ole riittävä näiden haasteiden kannalta.

(17)

Tällä asetuksella perustetun ENISAn olisi jatkettava asetuksella (EU) N:o 526/2013 perustetun ENISAn toimintaa. ENISAn olisi hoidettava tehtäviä, jotka sille annetaan tässä asetuksessa ja muissa unionin säädöksissä kyberturvallisuuden alalla, muun muassa tarjoamalla neuvontaa ja asiantuntemusta ja toimimalla unionin tietokeskuksena. Sen olisi edistettävä parhaiden käytäntöjen vaihtoa jäsenvaltioiden ja yksityisten sidosryhmien välillä antamalla toimintapoliittisia ehdotuksia komissiolle ja jäsenvaltioille, toimimalla viitetahona unionin alakohtaisille toimintapoliittisille aloitteille kyberturvallisuuskysymyksissä ja edistämällä operatiivista yhteistyötä sekä jäsenvaltioiden välillä että jäsenvaltioiden ja unionin toimielinten, elinten ja laitosten välillä.

(18)

Valtion- tai hallitusten päämiesten tasolla kokoontuneiden jäsenvaltioiden edustajien yhteisellä sopimuksella tehdyllä päätöksellä (EY, Euratom) 2004/97/ (13) jäsenvaltioiden edustajat päättivät, että ENISAn kotipaikaksi tulee Kreikan hallituksen myöhemmin nimeämä kaupunki Kreikassa. ENISAn isäntäjäsenvaltion olisi huolehdittava siitä, että ENISAlla on parhaat mahdolliset toimintaedellytykset. ENISAn tehtävien moitteettoman ja tehokkaan suorittamisen, henkilöstön palvelukseenoton ja sitouttamisen sekä verkostoitumisen tehokkuuden kannalta ENISAn on sijaittava soveltuvassa paikassa, jossa on muun muassa toimivat liikenneyhteydet ja palveluja ENISAn henkilöstön mukana tuleville puolisoille ja lapsille. Tarvittavat järjestelyt olisi vahvistettava ENISAn ja isäntäjäsenvaltion välisessä sopimuksessa, joka tehdään sen jälkeen kun ENISAn johtokunta on antanut hyväksyntänsä.

(19)

Unioniin kohdistuvien kyberturvallisuusriskien ja -haasteiden lisääntyessä ENISAn määrärahoja ja henkilöresursseja olisi lisättävä siten, että ne vastaavat sen uutta roolia ja tehtäviä sekä sen keskeistä asemaa unionin digitaalista ekosysteemiä puolustavassa organisaatioiden ekosysteemissä, mikä antaisi ENISAlle mahdollisuuden toteuttaa tehokkaasti sille tällä asetuksella annetut tehtävät.

(20)

ENISAn olisi kehitettävä ja ylläpidettävä korkealaatuista asiantuntemusta ja toimittava viitetahona, joka vahvistaa uskoa ja luottamusta sisämarkkinoihin riippumattomuutensa, antamansa neuvonnan ja levittämänsä tiedon laadun, menettelyjensä ja toimintatapojensa avoimuuden sekä tehtäviensä suorittamisessa osoittamansa huolellisuuden ansiosta. ENISAn olisi aktiivisesti tuettava kansallisia toimia ja osaltaan proaktiivisesti edistettävä unionin toimia ja suoritettava tehtävänsä täydessä yhteistyössä unionin toimielinten, elinten ja laitosten sekä jäsenvaltioiden kanssa, vältettävä päällekkäistä työtä sekä edistettävä synergiaa. Lisäksi ENISAn olisi hyödynnettävä yksityisen sektorin ja muiden asiaankuuluvien sidosryhmien näkemyksiä ja niiden kanssa tehtävää yhteistyötä. ENISAn tehtävänannossa olisi vahvistettava, miten ENISAn on määrä saavuttaa tavoitteensa niin, että se pystyy toimimaan joustavasti.

(21)

Jotta ENISA voisi tukea asianmukaisesti jäsenvaltioiden operatiivista yhteistyötä, sen olisi vahvistettava entisestään sen teknisiä ja henkilöstöön liittyviä valmiuksia ja taitoja. ENISAn olisi parannettava osaamistaan ja valmiuksiaan. ENISA ja jäsenvaltiot voisivat kehittää vapaaehtoisuuden pohjalta ohjelmia kansallisten asiantuntijoiden lähettämiseksi ENISAan, asiantuntijapoolien perustamiseksi ja henkilöstön vaihtamiseksi.

(22)

ENISAn olisi avustettava komissiota antamalla neuvoja, lausuntoja ja analyysejä kaikista unionin asioista, jotka liittyvät kyberturvallisuusalaa ja sen alakohtaisia näkökohtia koskevan toimintapolitiikan ja lainsäädännön kehittämiseen, päivittämiseen ja uudelleentarkasteluun, jotta kyberturvallisuuteen liittyvistä unionin toimintapolitiikoista ja lainsäädännöstä saataisiin merkityksellisempiä ja kyseiset toimintapolitiikat ja lainsäädäntö voitaisiin panna yhdenmukaisesti täytäntöön kansallisella tasolla. ENISAn olisi toimittava neuvonnan ja asiantuntemuksen viitetahona unionin alakohtaisille toimintapoliittisille ja lainsäädännöllisille aloitteille, kun niihin liittyy kyberturvallisuuskysymyksiä. ENISAn olisi säännöllisesti tiedotettava toiminnastaan Euroopan parlamentille.

(23)

Avoimen internetin julkinen ydin – eli sen tärkeimmät protokollat ja infrastruktuuri, jotka ovat globaali julkishyödyke – huolehtii koko internetin keskeisistä toiminnoista ja tukee sen normaalia toimintaa. ENISAn olisi tuettava muun muassa mutta ei pelkästään avoimen internetin julkisen ytimen keskeisten protokollien (erityisesti DNS:n, BGP:n ja iPv6:n) toiminnan turvallisuutta ja vakautta, verkkotunnusjärjestelmän toimintaa (mukaan lukien kaikkien aluetunnusten toiminta) sekä juurialueen toimintaa.

(24)

ENISAn lähtökohtaisena tehtävänä on edistää asianomaisen lainsäädännön johdonmukaista täytäntöönpanoa ja erityisesti direktiivin (EU) 2016/1148 ja muiden asiaankuuluvien kyberturvallisuusnäkökohtia käsittelevien säädösten tehokasta täytäntöönpanoa, millä on olennainen merkitys kyberresilienssin lisäämisen kannalta. Koska kyberuhkaympäristö muuttuu nopeasti, on selvää, että jäsenvaltioita on tuettava omaksumalla kokonaisvaltaisempi, monialainen lähestymistapa kyberresilienssin rakentamiseen.

(25)

ENISAn olisi avustettava jäsenvaltioita sekä unionin toimielimiä, elimiä ja laitoksia niiden pyrkimyksissä kehittää ja parantaa valmiuksia ja varautumiskykyä ehkäistä ja havaita kyberuhkia ja -poikkeamia ja reagoida niihin verkko- ja tietojärjestelmien turvallisuuden kannalta. ENISAn olisi erityisesti tuettava direktiivillä (EU) 2016/1148 perustettujen kansallisten ja unionin tietoturvaloukkauksiin reagoivien ja niitä tutkivien yksiköiden, jäljempänä ’CSIRT-toimijat’, kehittämistä ja tehostamista, jotta niiden kehitysaste olisi yhteisellä korkealla tasolla unionissa. Jäsenvaltioiden operatiivisiin valmiuksiin liittyvien ENISAn toimien olisi tuettava aktiivisesti toimia, joita jäsenvaltiot toteuttavat täyttääkseen direktiivistä (EU) 2016/1148 johtuvat velvoitteensa. ENISAn toimet eivät siksi saisi syrjäyttää jäsenvaltioiden toimia.

(26)

ENISAn olisi myös autettava kehittämään ja päivittämään unionin ja pyynnöstä jäsenvaltioiden strategioita, jotka koskevat verkko- ja tietojärjestelmien turvallisuutta, erityisesti kyberturvallisuutta, ja sen olisi edistettävä tällaisten strategioiden levittämistä ja seurattava niiden täytäntöönpanon edistymistä. ENISAn olisi myös osallistuttava koulutusta ja koulutusmateriaalia koskevien tarpeiden kattamiseen, myös julkisten elinten tarpeiden osalta, ja tarvittaessa suuressa määrin ”koulutettava kouluttajia” kansalaisille tarkoitetun eurooppalaisen digitaalisten taitojen puitekehyksen pohjalta, jotta jäsenvaltioita sekä unionin toimielimiä, elimiä ja laitoksia voidaan auttaa kehittämään omia koulutusvalmiuksiaan.

(27)

ENISAn olisi tuettava jäsenvaltioita kyberturvallisuutta koskevan tietoisuuden lisäämisen ja koulutuksen alalla helpottamalla tiiviimpää yhteistyötä ja parhaiden käytäntöjen vaihtoa jäsenvaltioiden välillä. Tällaiseen tukeen voisi kuulua muun muassa kansallisten koulutusalan yhteyspisteiden verkoston ja kyberturvallisuuden koulutusfoorumin kehittäminen. Kansallisten koulutusalan yhteyspisteiden verkosto voisi toimia kansallisten yhteyshenkilöiden verkostossa ja olla tulevan jäsenvaltioiden sisäisen koordinoinnin käynnistäjä.

(28)

ENISAn olisi avustettava direktiivillä (EU) 2016/1148 perustettua yhteistyöryhmää sen tehtävien suorittamisessa erityisesti tarjoamalla asiantuntemusta ja neuvontaa sekä helpottamalla parhaiden käytäntöjen vaihtoa muun muassa jäsenvaltioiden toteuttamasta keskeisten palvelujen tarjoajien määrittämisestä, myös rajat ylittävien riippuvuussuhteiden osalta, siltä osin kuin kyse on riskeistä ja poikkeamista.

(29)

Julkisen ja yksityisen sektorin välisen ja yksityisen sektorin sisäisen yhteistyön edistämiseksi ja erityisesti kriittisten infrastruktuurien suojelun tukemiseksi ENISAn olisi tuettava alojen sisäistä ja niiden välistä tietojen jakamista – erityisesti direktiivin (EU) 2016/1148 liitteessä II lueteltujen alojen osalta – tarjoamalla käyttöön parhaita käytäntöjä ja ohjeita käytettävissä olevista välineistä ja menettelyistä sekä ohjeita tietojen jakamiseen liittyvien sääntelykysymysten ratkaisemiseksi esimerkiksi helpottamalla tietojen jakamisen ja analysoinnin alakohtaisten keskusten perustamista.

(30)

Koska tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien haavoittuvuuksien potentiaaliset kielteiset vaikutukset lisääntyvät jatkuvasti, tällaisten haavoittuvuuksien löytämisellä ja korjaamisella on merkittävä rooli kyberturvallisuuteen kohdistuvan kokonaisriskin pienentämisessä. Organisaatioiden, haavoittuvien tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien valmistajien tai tarjoajien sekä haavoittuvuuksia löytävien kyberturvallisuusalan tutkimusyhteisön jäsenten ja hallitusten välisen yhteistyön on todettu lisäävän merkittävästi tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien haavoittuvuuksien löytämistä ja korjaamista. Koordinoitu haavoittuvuuksien julkistaminen on jäsennelty yhteistyöprosessi, jossa haavoittuvuuksista raportoidaan tietojärjestelmän omistajalle, minkä ansiosta organisaatio voi diagnosoida ja korjata haavoittuvuuden ennen kuin sitä koskevat yksityiskohtaiset tiedot julkistetaan kolmansille osapuolille tai suurelle yleisölle. Prosessiin sisältyy myös löytäjän ja organisaation välinen koordinointi kyseisten haavoittuvuuksien julkaisemisen osalta. Koordinoiduilla haavoittuvuuksien julkistamisen hallintapolitiikalla voi olla merkittävä rooli kyberturvallisuuden lisäämiseen tähtäävissä jäsenvaltioiden toimissa.

(31)

ENISAn olisi koottava ja analysoitava CSIRT-toimijoiden ja Euroopan parlamentin, Eurooppa-neuvoston, Euroopan unionin neuvoston, Euroopan komission, Euroopan unionin tuomioistuimen, Euroopan keskuspankin, Euroopan tilintarkastustuomioistuimen, Euroopan ulkosuhdehallinnon, Euroopan talous- ja sosiaalikomitean, Euroopan alueiden komitean ja Euroopan investointipankin välisellä järjestelyllä unionin toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän organisaatiosta ja toiminnasta perustetun unionin toimielinten, elinten ja laitosten tietotekniikan kriisiryhmän, jäljempänä CERT-EU (14), vapaaehtoisesti toimittamat kansalliset raportit tietojenvaihdossa käytettävien yhteisten menettelyjen, kielen ja terminologian vahvistamista varten. Tässä yhteydessä ENISAn olisi myös otettava yksityinen sektori mukaan direktiivin (EU) 2016/1148 kehykseen, jossa vahvistettiin perusta vapaaehtoiselle teknisten tietojen vaihdolle operatiivisella tasolla kyseisellä direktiivillä perustetussa tietoturvaloukkauksiin reagoivien ja niitä tutkivien yksiköiden välisessä verkostossa, jäljempänä ’CSIRT-verkosto’.

(32)

ENISAn olisi osallistuttava unionin tason reagointiin laajamittaisten rajat ylittävien kyberturvallisuuspoikkeamien ja -kriisien tapauksessa. Tämä tehtävä olisi täytettävä ENISAn tämän asetuksen mukaisen toimeksiannon ja sen toimintamallin mukaisesti, josta jäsenvaltiot sopivat komission suosituksen (EU) 2017/1584 (15) ja EU:n koordinoidusta reagoinnista laajamittaisiin kyberturvallisuuspoikkeamiin ja -kriiseihin 26 päivänä kesäkuuta 2018 annettujen neuvoston päätelmien perusteella. Tähän tehtävään voisi kuulua tarvittavan tiedon keruu ja toimiminen välittäjänä CSIRT-verkoston ja tekniikan alan toimijoiden sekä kriisinhallinnasta vastaavien päätöksentekijöiden välillä. Lisäksi ENISAn olisi voitava yhden tai useamman jäsenvaltion pyynnöstä tukea jäsenvaltioiden välistä operatiivista yhteistyötä poikkeamien käsittelemisessä teknisestä näkökulmasta helpottamalla tarvittavaa ratkaisujen teknistä vaihtoa jäsenvaltioiden välillä ja osallistumalla julkiseen viestintään. ENISAn olisi tuettava tätä prosessia testaamalla tällaista yhteistyötä koskevia järjestelyjä säännöllisissä kyberturvallisuusharjoituksissa.

(33)

ENISAn olisi operatiivista yhteistyötä tukiessaan hyödynnettävä saatavilla olevaa CERT-EU:n teknistä ja operatiivista asiantuntemusta jäsennellyssä yhteistyössä. Tällainen jäsennelty yhteistyö voisi kehittää ENISAn asiantuntemusta. Tarvittaessa tällaisen yhteistyön käytännön toteutus olisi määriteltävä erityisin järjestelyin näiden kahden yhteisön välillä päällekkäisiä tehtäviä välttäen.

(34)

Operatiivista yhteistyötä CSIRT-verkostossa tukevia tehtäviänsä suorittaessaan ENISAn olisi voitava tarjota pyynnöstä tukea jäsenvaltioille esimerkiksi antamalla neuvoja siitä, miten nämä voivat kehittää valmiuksiaan ehkäistä ja havaita poikkeamia sekä reagoida niihin, helpottamalla vaikutukseltaan merkittävien poikkeamien teknistä käsittelyä tai varmistamalla, että kyberuhat ja poikkeamat analysoidaan. ENISAn olisi helpotettava vaikutukseltaan merkittävien poikkeamien teknistä käsittelyä erityisesti tukemalla teknisten ratkaisujen vapaaehtoista jakamista jäsenvaltioiden välillä tai tuottamalla yhdistettyjä teknisiä tietoja, kuten jäsenvaltioiden vapaaehtoisesti jakamia teknisiä ratkaisuja. Komission suosituksessa (EU) 2017/1584 suositellaan, että jäsenvaltiot tekisivät yhteistyötä vilpittömässä mielessä ja vaihtaisivat keskenään ja ENISAn kanssa tietoja laajamittaisista kyberturvallisuuspoikkeamista ja kyberturvallisuuskriiseihin liittyviä tietoja ilman aiheetonta viivytystä. Tällainen tieto auttaisi ENISAa sen operatiivisen yhteistyön tukemiseen liittyvien tehtävien suorittamisessa.

(35)

ENISAn olisi osana unionin tilannetietoisuutta tukevaa säännöllistä teknisen tason yhteistyötä laadittava poikkeamista ja kyberuhkista säännöllisesti ja tiiviissä yhteistyössä jäsenvaltioiden kanssa perusteellisia unionin kyberturvallisuuden teknisiä tilanneraportteja, jotka perustuvat julkisesti saatavilla oleviin tietoihin, sen omaan analyysiin sekä raportteihin, joita se on saanut jäsenvaltioiden CSIRT-toimijoilta tai direktiivillä (EU) 2016/1148 perustetuilta verkko- ja tietojärjestelmien turvallisuudesta vastaavilta keskitetyiltä kansallisilta yhteyspisteiltä, jäljempänä ’keskitetyt yhteyspisteet’, vapaehtoisuuteen perustuvassa tiedonvaihdossa taikka Europolissa toimivalta Euroopan kyberrikostorjuntakeskukselta, jäljempänä ’EC3’, ja CERT-EU:lta sekä tarvittaessa Euroopan unionin tiedusteluanalyysikeskukselta (EU INTCEN) ja Euroopan ulkosuhdehallinnolta. Raportti olisi asetettava neuvoston, komission ja unionin ulkoasioiden ja turvallisuuspolitiikan korkean edustajan asianomaisten yksiköiden ja CSIRT-verkoston saataville.

(36)

ENISAn tuessa vaikutukseltaan merkittävien poikkeamien jälkikäteen tehtävälle tekniselle tutkinnalle, jota asianomaiset jäsenvaltiot ovat pyytäneet, olisi keskityttävä poikkeamien välttämiseen jatkossa. Kyseisten jäsenvaltioiden olisi toimitettava ENISAlle tarvittavat tiedot ja apu, jotta tämä voi tehokkaasti tukea jälkikäteen tehtävää teknistä tutkintaa.

(37)

Jäsenvaltiot voivat pyytää yrityksiä, joita poikkeama koskee, tekemään yhteistyötä antamalla tarvittavan tiedon ja avun ENISAlle, sanotun kuitenkaan rajoittamatta niiden oikeutta suojata kaupallisesti arkaluonteiset tiedot ja yleisen turvallisuuden kannalta merkitykselliset tiedot.

(38)

Ymmärtääkseen paremmin kyberturvallisuuden alaan liittyviä haasteita ja tarjotakseen strategista pitkän aikavälin neuvontaa jäsenvaltioille ja unionin toimielimille, elimille ja laitoksille ENISAn on tarpeen analysoida nykyisiä ja kehittymässä olevia kyberturvallisuusriskejä. Tätä varten ENISAn olisi yhteistyössä jäsenvaltioiden ja tarvittaessa tilastokeskusten ja muiden elinten kanssa kerättävä tarvittavaa julkisesti saatavilla olevaa tai vapaaehtoisesti toimitettua tietoa sekä tehtävä analyysejä uusista teknologioista ja aihekohtaisia arviointeja teknologisten innovaatioiden odotettavissa olevista yhteiskunnallisista, oikeudellisista, taloudellisista ja sääntelyyn liittyvistä vaikutuksista verkko- ja tietoturvallisuuden ja erityisesti kyberturvallisuuden kannalta. ENISAn olisi myös tuettava jäsenvaltioita ja unionin toimielimiä, elimiä ja laitoksia riskien kartoittamisessa ja poikkeamien ehkäisyssä tekemällä analyyseja kyberuhkista, haavoittuvuuksista ja poikkeamista.

(39)

Unionin häiriönsietokyvyn lisäämiseksi ENISAn olisi kehitettävä erityisesti direktiivin (EU) 2016/1148 liitteessä II mainittuja aloja tukevien ja saman direktiivin liitteessä III mainittujen digitaalisten palvelujen tarjoajien hyödyntämien infrastruktuurien kyberturvallisuuteen liittyvää asiantuntemusta tarjoamalla neuvontaa, antamalla ohjeita ja vaihtamalla parhaita käytäntöjä. Jotta kyberturvallisuusriskeistä ja mahdollisista suojakeinoista saataisiin tietoa helpommin ja paremmin jäsennellyssä muodossa, ENISAn olisi kehitettävä unionin ”tietokeskus” ja ylläpidettävä sitä. Kyseessä on keskitetty verkkoportaali, josta yleisö saa unionin ja kansallisilta toimielimiltä, elimiltä ja laitoksilta peräisin olevaa tietoa kyberturvallisuudesta. Kyberturvallisuusriskejä ja mahdollisia suojakeinoja koskevien paremmin jäsenneltyjen tietojen saannin helpottaminen voi myös auttaa jäsenvaltioita kehittämään valmiuksiaan, yhdenmukaistamaan käytäntöjään ja siten parantamaan yleistä kyberhyökkäysten sietokykyä.

(40)

ENISAn olisi autettava lisäämään yleisön tietoisuutta kyberturvallisuusriskeistä, myös unionin laajuisella tiedotuskampanjalla koulutusta edistämällä, ja antamaan kansalaisten, organisaatioiden ja yritysten käyttöön yksittäisille käyttäjille tarkoitettuja ohjeita hyvistä toimintatavoista. ENISAn olisi myös osaltaan edistettävä parhaita käytäntöjä ja ratkaisuja, kuten kyberhygieniaa ja kyberlukutaitoa, kansalaisten, organisaatioiden ja yritysten tasolla keräämällä ja analysoimalla julkisesti saatavilla olevia tietoja merkittävistä poikkeamista ja kokoamalla ja julkaisemalla raportteja ja ohjeita ohjeistuksen antamiseksi kansalaisille, organisaatioille ja yrityksille yleisen varautumis- ja häiriönsietokykytason parantamiseksi. ENISAn olisi myös pyrittävä tarjoamaan kuluttajille asiaa koskevia tietoa sovellettavista sertifiointijärjestelmistä esimerkiksi tarjoamalla ohjeistusta ja suosituksia. ENISAn olisi myös järjestettävä 17 päivänä tammikuuta 2018 annetun komission tiedonannon perusteella perustetun digitaalisen koulutuksen toimintasuunnitelman mukaisesti ja yhteistyössä jäsenvaltioiden sekä unionin toimielinten, elinten, ja laitosten kanssa säännöllisiä loppukäyttäjille suunnattuja tiedotus- ja valistuskampanjoita, jotta edistetään turvallisempaa verkkokäyttäytymistä yksilötasolla ja digitaalista lukutaitoa ja lisätään tietoisuutta kybertoimintaympäristössä piilevistä mahdollisista kyberuhkista, mukaan lukien verkkourkintayritysten, bottiverkkojen, talous- ja pankkipetosten sekä tietopetostapahtumien kaltainen kyberrikollisuus, sekä edistetään yleisluonteisen neuvonnan antamista monivaiheista aitouden todentamista, paikkausta, salaamista, anonymisointia ja tietosuojaa koskevissa kysymyksissä.

(41)

ENISAlla olisi oltava keskeinen rooli pyrittäessä lisäämään loppukäyttäjien tietoisuutta laitteiden turvallisuudesta ja palvelujen turvallisesta käytöstä, ja sen olisi edistettävä unionin tasolla sisäänrakennettua turvallisuutta ja sisäänrakennettua yksityisyyttä. Tähän tavoitteeseen pyrkiessään ENISAn olisi hyödynnettävä mahdollisimman laajasti saatavilla olevia parhaita käytäntöjä ja kokemuksia, erityisesti akateemisilta laitoksilta sekä tietotekniikan turvallisuuden tutkijoilta.

(42)

Kyberturvallisuuden alalla toimivien yritysten ja kyberturvallisuusratkaisujen käyttäjien tukemiseksi ENISAn olisi kehitettävä ”markkinoiden seurantakeskus” ja ylläpidettävä sitä tekemällä säännöllisiä analyyseja kyberturvallisuusmarkkinoiden tärkeimmistä suuntauksista sekä kysyntä- että tarjontapuolella ja levittämällä tietoa näistä suuntauksista.

(43)

ENISAn olisi tuettava unionin toimia, joiden tavoitteena on edistää yhteistyötä kansainvälisten organisaatioiden kanssa sekä asianmukaisissa kansainvälisissä yhteistyöpuitteissa kyberturvallisuuden alalla. ENISAn olisi tarvittaessa tuettava erityisesti OECD:n, Etyjin ja Naton kaltaisten organisaatioiden kanssa tehtävää yhteistyötä. Yhteistyöhön voisi sisältyä muun muassa yhteisiä kyberturvallisuusharjoituksia ja yhteisen kyberturvallisuuspoikkeamiin reagoimisen koordinointia. Näissä toimissa on määrä noudattaa kaikilta osin osallistavuuden, vastavuoroisuuden ja unionin päätöksenteon riippumattomuuden periaatteita, vaikuttamatta yhdenkään jäsenvaltion turvallisuus- ja puolustuspolitiikan erityisluonteeseen.

(44)

Varmistaakseen tavoitteidensa täysimittaisen saavuttamisen ENISAn olisi oltava yhteydessä asiaankuuluviin unionin valvontaviranomaisiin ja muihin toimivaltaisiin viranomaisiin unionissa, unionin toimielimiin, elimiin ja laitoksiin, mukaan lukien CERT-EU, EC3, Euroopan puolustusvirasto (EDA), Euroopan GNSS-virasto, Euroopan sähköisen viestinnän sääntelyviranomaisten yhteistyöelin (BEREC), laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaava eurooppalainen virasto (eu-LISA), Euroopan keskuspankki (EKP), Euroopan pankkiviranomainen (EPV), Euroopan tietosuojaneuvosto, Energia-alan sääntelyviranomaisten yhteistyövirasto (ACER), Euroopan unionin lentoturvallisuusvirasto (EASA) sekä muut kyberturvallisuuteen liittyviä kysymyksiä käsittelevät unionin virastot. ENISAn olisi oltava yhteydessä myös tietosuoja-asioita käsitteleviin viranomaisiin, jotta voidaan vaihtaa tietotaitoa ja parhaita käytäntöjä, ja annettava neuvontaa kyberturvallisuuskysymyksistä, joilla voi olla vaikutusta niiden toimintaan. Kansallisten ja unionin lainvalvonta- ja tietosuojaviranomaisten edustajien olisi voitava olla edustettuina ENISAn neuvoa-antavassa ryhmässä. Ollessaan yhteydessä lainvalvontaviranomaisiin sellaisissa verkko- ja tietoturvakysymyksissä, joilla voi olla vaikutusta niiden toimintaan, ENISAn olisi käytettävä olemassa olevia tietojenvaihtokanavia ja vakiintuneita verkostoja.

(45)

Voitaisiin muodostaa kumppanuuksia sellaisten akateemisten laitosten kanssa, joilla on tutkimusaloitteita merkityksellisillä aloilla, ja olisi oltava sopivat kanavat kuluttajajärjestöiltä ja muilta järjestöiltä tuleville tiedoille, jotka olisi otettava huomioon

(46)

ENISAn olisi asemassaan CSIRT-verkoston sihteeristönä tuettava jäsenvaltioiden CSIRT-toimijoita ja CERT-EU:ta operatiivisessa yhteistyössä kaikkien asiaankuuluvien CSIRT-verkoston tehtävien osalta, sellaisina kuin niihin viitataan direktiivissä (EU) 2016/1148. ENISAn olisi lisäksi edistettävä ja tuettava yhteistyötä asianomaisten CSIRT-toimijoiden välillä tapauksissa, joissa CSIRT-toimijoiden hallinnoimiin tai suojaamiin verkkoihin tai infrastruktuureihin kohdistuu poikkeamia, hyökkäyksiä tai häiriöitä, jotka koskevat tai mahdollisesti koskevat vähintään kahta CSIRT-toimijaa, ottaen asianmukaisesti huomioon CSIRT-verkoston menettelyohjeet.

(47)

Jotta voidaan lisätä unionin varautumista kyberturvallisuuspoikkeamiin reagoimiseksi, ENISAn olisi järjestettävä säännöllisesti kyberturvallisuusharjoituksia unionin tasolla sekä tuettava jäsenvaltioita ja unionin toimielimiä, elimiä ja laitoksia niiden pyynnöstä harjoitusten järjestämisessä. Joka toinen vuosi olisi järjestettävä laajamittainen kattava harjoitus, joka sisältää teknisiä, operatiivisia ja strategisia osatekijöitä. Lisäksi ENISAn olisi voitava järjestää säännöllisesti vähemmän kattavia harjoituksia, joiden tavoitteena on samalla tavoin lisätä unionin varautumista poikkeamiin reagoimiseksi.

(48)

ENISAn olisi kehitettävä edelleen ja ylläpidettävä asiantuntemustaan kyberturvallisuussertifioinnissa, jotta voidaan tukea unionin politiikkaa kyseisellä alalla. ENISAn olisi kehitettävä edelleen nykyisiä parhaita käytäntöjä ja edistettävä kyberturvallisuussertifioinnin käyttöä unionissa muun muassa osallistumalla kyberturvallisuuden sertifiointikehyksen perustamiseen ja ylläpitoon unionin tasolla (eurooppalainen kyberturvallisuuden sertifiointikehys), jotta voidaan lisätä avoimuutta tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien kyberturvallisuuden varmistuksessa ja tällä tavoin vahvistaa luottamusta digitaalisiin sisämarkkinoihin.

(49)

Tehokkaan kyberturvallisuuspolitiikan olisi perustuttava kehittyneisiin riskinarviointimenetelmiin niin julkisella kuin yksityiselläkin sektorilla. Riskinarviointimenetelmiä käytetään eri tasoilla vailla yhteistä tehokasta soveltamiskäytäntöä. Riskinarvioinnin ja yhteentoimivien riskinhallintaratkaisujen parhaiden käytäntöjen edistäminen ja kehittäminen julkisen sektorin ja yksityisen sektorin organisaatioissa nostaa kyberturvallisuustasoa unionissa. Tätä varten ENISAn olisi tuettava sidosryhmien yhteistyötä unionin tasolla ja helpotettava niiden pyrkimyksiä laatia ja ottaa käyttöön eurooppalaisia ja kansainvälisiä standardeja riskinhallinnalle ja mitattavissa olevalle turvallisuudelle sähköisissä tuotteissa, järjestelmissä, verkoissa ja palveluissa, jotka yhdessä ohjelmistojen kanssa muodostavat verkko- ja tietojärjestelmät.

(50)

ENISAn olisi kannustettava jäsenvaltioita, tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien valmistajia ja tarjoajia tiukentamaan yleisiä turvallisuusnormejaan, jotta kaikki internetin käyttäjät voivat toteuttaa tarvittavat toimenpiteet oman kyberturvallisuutensa varmistamiseksi, ja niille olisi luotava kannustimia tätä tarkoitusta varten. Erityisesti tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien tuottajien olisi järjestettävä tarpeelliset päivitykset, ja niiden olisi vedettävä pois markkinoilta, poistettava tuotannosta tai kierrätettävä tieto- ja viestintätekniikan tuotteet, palvelut ja prosessit, jotka eivät täytä kyberturvallisuusstandardeja, ja samalla maahantuojien ja jakelijoiden olisi varmistettava, että niiden unionin markkinoille saattamat tieto- ja viestintätekniikan tuotteet, palvelut ja prosessit täyttävät sovellettavat vaatimukset eivätkä aiheuta riskiä unionin kuluttajille.

(51)

ENISAn olisi voitava yhteistyössä toimivaltaisten viranomaisten kanssa levittää tietoa sisämarkkinoilla tarjottavien tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien kyberturvallisuustasosta ja antaa varoituksia palveluntarjoajille ja valmistajille ja vaatia niitä parantamaan tieto- ja viestintätekniikan tuotteidensa, palvelujensa ja prosessiensa turvallisuutta, mukaan lukien kyberturvallisuus.

(52)

ENISAn olisi otettava täysimääräisesti huomioon meneillään olevat tutkimus-, kehittämis- ja teknologian arvioimistoimet, erityisesti sellaiset, joita toteutetaan unionin eri tutkimusaloitteissa, antaakseen unionin toimielimille, elimille ja laitoksille sekä tarvittaessa jäsenvaltioille niiden pyynnöstä neuvoja kyberturvallisuusalan tutkimustarpeista ja -prioriteeteista. ENISAn olisi myös kuultava asianomaisia käyttäjäryhmiä, jotta se voi määritellä tutkimustarpeet ja -prioriteetit. Olisi erityisesti tehtävä yhteistyötä Euroopan tutkimusneuvoston ja Euroopan innovaatio- ja teknologiainstituutin sekä Euroopan unionin turvallisuusalan tutkimuslaitoksen kanssa.

(53)

ENISAn olisi kuultava säännöllisesti standardointiorganisaatioita ja erityisesti eurooppalaisia standardointiorganisaatioita eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä valmistellessaan.

(54)

Kyberuhat ovat maailmanlaajuisia. Tarvitaan tiiviimpää kansainvälistä yhteistyötä kyberturvallisuusstandardien parantamiseksi, mihin sisältyy myös tarve yhteisten käyttäytymisnormien määrittelemiseen, käytännesääntöjen hyväksymiseen ja kansainvälisten standardien käyttämiseen, sekä tietojenvaihtoa kansainvälisen yhteistoiminnan nopeuttamiseksi verkko- ja tietoturvakysymyksissä samoin kuin yhteisen maailmanlaajuisen lähestymistavan edistämistä tällaisten kysymysten osalta. Tätä varten ENISAn olisi tuettava unionin osallistumista yhä enemmän kolmansien maiden ja kansainvälisten organisaatioiden kanssa harjoitettavaan yhteistyöhön tarjoamalla asianomaisten unionin toimielinten, elinten ja laitosten mahdollisesti tarvitsemaa asiantuntemusta ja analysointivalmiuksia.

(55)

ENISAn olisi voitava vastata tapauskohtaisiin neuvonta- ja avustamispyyntöihin, joita jäsenvaltiot ja unionin toimielimet, elimet ja laitokset esittävät ja jotka ovat ENISAn toimeksiannon mukaisia.

(56)

On järkevää ja suositeltavaa panna täytäntöön tiettyjä ENISAn hallintoa koskevia periaatteita, jotta voidaan noudattaa unionin erillisvirastoja käsittelevässä toimielinten välisessä työryhmässä heinäkuussa 2012 hyväksyttyä yhteistä julkilausumaa ja yhteistä lähestymistapaa, joiden tarkoituksena on tehostaa hajautettujen virastojen toimintaa ja parantaa niiden tuloksellisuutta. Yhteisen julkilausuman ja yhteisen lähestymistavan ohjeistus olisi myös otettava huomioon asianmukaisella tavalla ENISAn työohjelmissa, ENISAn arvioinneissa ja ENISAn raportointi- ja hallintokäytännöissä tässä asetuksessa.

(57)

Johtokunnan, jossa ovat edustettuna jäsenvaltiot ja komissio, olisi määriteltävä ENISAn toiminnan yleinen suunta ja varmistettava, että se hoitaa tehtäviään tämän asetuksen mukaisesti. Johtokunnalle olisi annettava tarvittavat valtuudet hyväksyä talousarvio, tarkastaa talousarvion toteuttamista, vahvistaa tarvittavat varainhoitoa koskevat säännöt, luoda avoimet menettelyt ENISAn päätöksentekoa varten, hyväksyä ENISAn yhtenäinen ohjelma-asiakirja, vahvistaa työjärjestyksensä, nimittää pääjohtaja sekä päättää tämän toimikauden jatkamisesta ja päättymisestä.

(58)

ENISAn moitteettoman ja tehokkaan toiminnan takaamiseksi komission ja jäsenvaltioiden olisi varmistettava, että johtokunnan jäseniksi nimitettävillä henkilöillä on riittävä ammatillinen asiantuntemus ja asianmukainen kokemus. Johtokunnan työn jatkuvuuden varmistamiseksi komission ja jäsenvaltioiden olisi myös pyrittävä rajoittamaan johtokunnassa olevien edustajiensa vaihtuvuutta.

(59)

ENISAn moitteeton toiminta edellyttää, että sen pääjohtaja nimitetään ansioiden ja todistuksin osoitettujen hallinnollisten taitojen ja johtamistaitojen sekä kyberturvallisuuden kannalta merkityksellisen pätevyyden ja kokemuksen perusteella. Pääjohtajan tehtäviä olisi hoidettava täysin riippumattomasti. Pääjohtajan olisi laadittava ehdotus ENISAn vuotuiseksi työohjelmaksi kuultuaan ensin komissiota ja toteutettava kaikki tarvittavat toimenpiteet varmistaakseen kyseisen työohjelman asianmukaisen toteuttamisen. Pääjohtajan olisi laadittava johtokunnalle esitettävä vuosikertomus, jossa käsitellään ENISAn vuotuisen työohjelman toteuttamista, sekä esitys ENISAn tuloja ja menoja koskevaksi ennakkoarvioksi ja vastattava talousarvion toteuttamisesta. Pääjohtajan olisi myös voitava perustaa tilapäisiä työryhmiä erityisesti tieteellisten, teknisten, oikeudellisten tai sosioekonomisten erityiskysymysten käsittelyä varten. Tilapäisen työryhmän perustamista pidetään tarpeellisena etenkin ehdolla olevan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän, jäljempänä ’ehdolla oleva järjestelmä’, valmisteluun liittyen. Pääjohtajan olisi varmistettava, että tilapäisten työryhmien jäsenet valitaan huippuasiantuntemuksen perusteella ja siten, että pyritään varmistamaan sukupuolten tasapaino ja tarkasteltavien kysymysten edellyttämällä tavalla edustuksellinen tasapaino jäsenvaltioiden julkishallintojen, unionin toimielinten, elinten ja laitosten sekä yksityisen sektorin välillä, mukaan lukien toimiala, käyttäjät ja tiedeyhteisöä edustavat verkko- ja tietoturva-asiantuntijat.

(60)

Hallituksen olisi edistettävä johtokunnan moitteetonta toimintaa. Osana johtokunnan päätöksiin liittyvää valmistelutyötään sen olisi tutkittava yksityiskohtaisesti asiaan liittyvät tiedot ja tarkasteltava käytettävissä olevia vaihtoehtoja sekä tarjottava neuvoja ja ratkaisuja johtokunnan päätösten valmistelemiseksi.

(61)

ENISAlla olisi oltava neuvoa-antavana elimenä ENISAn neuvoa-antava ryhmä, jotta voitaisiin varmistaa säännöllinen vuoropuhelu yksityisen sektorin, kuluttajajärjestöjen ja muiden asianosaisten sidosryhmien kanssa. ENISAn neuvoa-antavan ryhmän, jonka johtokunta perustaa pääjohtajan ehdotuksesta, olisi keskityttävä sidosryhmiä koskeviin asioihin ja saatettava ne ENISAn tietoon. ENISAn neuvoa-antavan ryhmän kokoonpanossa ja tälle ryhmälle, jota kuullaan erityisesti työohjelmaluonnoksesta, annettavissa tehtävissä olisi varmistettava sidosryhmien riittävä edustus ENISAn työskentelyssä.

(62)

Olisi perustettava sidosryhmien kyberturvallisuuden sertifiointiryhmä auttamaan ENISAa ja komissiota helpottamaan asianomaisten sidosryhmien kuulemista. Sidosryhmien kyberturvallisuuden sertifiointiryhmän jäsenten olisi edustettava oikeassa suhteessa toimialaa – sekä tieto- ja viestintätekniikan tuotteiden ja palvelujen kysyntä- että tarjontapuolta ja erityisesti pk-yrityksiä – digitaalisten palvelujen tarjoajia, eurooppalaisia ja kansainvälisiä standardointielimiä, kansallisia akkreditointielimiä, tietosuojaviranomaisia ja vaatimustenmukaisuuden arviointilaitoksia Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008 (16) mukaisesti, tiedeyhteisöä sekä kuluttajajärjestöjä.

(63)

ENISAlla olisi oltava säännöt eturistiriitojen ehkäisemisestä ja hallinnasta. ENISAn olisi sovellettava asiakirjojen saamista yleisön tutustuttavaksi koskevia asiaankuuluvia unionin säännöksiä, sellaisina kuin ne on vahvistettu Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 1049/2001 (17). ENISAn suorittamassa henkilötietojen käsittelyssä olisi noudatettava Euroopan parlamentin ja neuvoston asetusta (EU) 2018/1725 (18). ENISAn olisi noudatettava tietojen käsittelyä koskevia unionin toimielimiin sovellettavia säännöksiä ja kansallista lainsäädäntöä, erityisesti kun on kyse arkaluonteisista turvallisuusluokittelemattomista tiedoista ja Euroopan unionin turvallisuusluokitelluista tiedoista (EUCI).

(64)

Jotta voidaan varmistaa ENISAn täydellinen itsemääräämisoikeus ja riippumattomuus ja jotta ENISA pystyy suorittamaan uusia ja täydentäviä tehtäviä, myös ennakoimattomia tehtäviä hätätilanteissa, ENISAlle olisi annettava riittävä ja itsenäinen talousarvio, jonka tulot muodostuisivat ensisijaisesti unionin rahoitusosuudesta ja ENISAn työhön osallistuvien kolmansien maiden rahoitusosuuksista. Asianmukaiset määrärahat ovat äärimmäisen tärkeät sen varmistamiseksi, että ENISAlla on riittävät valmiudet toteuttaa kaikki lisääntyvät tehtävänsä ja saavuttaa tavoitteensa. ENISAn henkilöstön enemmistön työtehtävien olisi liityttävä suoraan ENISAn toimeksiannon operatiiviseen täytäntöönpanoon. ENISAn isäntäjäsenvaltion ja minkä tahansa muun jäsenvaltion olisi voitava maksaa vapaaehtoisia rahoitusosuuksia ENISAlle. Unionin talousarviomenettelyä olisi sovellettava edelleen unionin yleisestä talousarviosta maksettaviin tukiin. Lisäksi tilintarkastustuomioistuimen olisi tarkastettava ENISAn tilit avoimuuden ja vastuuvelvollisuuden varmistamiseksi.

(65)

Kyberturvallisuussertifioinnilla on tärkeä rooli lisättäessä tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien turvallisuutta ja luottamusta niitä kohtaan. Digitaaliset sisämarkkinat ja erityisesti datatalous ja esineiden internet voivat menestyä vain, jos vallitsee yleinen julkinen luottamus siihen, että tällaisissa tuotteissa, palveluissa ja prosesseissa varmistetaan tietyntasoinen kyberturvallisuus. Verkkoyhteyksillä varustetut ja automatisoidut autot, sähköiset terveyspalvelut, teollisuusautomaation ohjausjärjestelmät ja älykkäät sähköverkot ovat joitakin esimerkkejä aloista, joilla sertifiointi on jo laajalti käytössä tai tulee todennäköisesti käyttöön lähitulevaisuudessa. Direktiivillä (EU) 2016/1148 säännellyt alat ovat samalla aloja, joilla kyberturvallisuussertifioinnilla on ratkaiseva merkitys.

(66)

Vuonna 2016 antamassaan tiedonannossa ”Euroopan kyberresilienssijärjestelmän vahvistaminen sekä kilpailukykyisen ja innovatiivisen kyberturvallisuustoimialan tukeminen” komissio linjasi tarpeen ottaa käyttöön laadukkaita, kohtuuhintaisia ja yhteentoimivia kyberturvallisuustuotteita ja -ratkaisuja. Tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien tarjonta sisämarkkinoilla on edelleen maantieteellisesti hyvin hajanaista. Tämä johtuu siitä, että Euroopan kyberturvallisuusala on kehittynyt suurelta osin kansallisista valtiollisen kysynnän lähtökohdista. Kyberturvallisuuden alalla sisämarkkinoiden toimintapuutteisiin kuuluu lisäksi yhteentoimivien ratkaisujen (teknisten standardien), toimintatapojen ja unionin laajuisten sertifiointimekanismien puuttuminen. Tämä yhtäältä vaikeuttaa eurooppalaisten yritysten kilpailua niin kansallisella kuin Euroopan ja maailmanlaajuisellakin tasolla. Toisaalta se vähentää yksilöiden ja yritysten saatavilla olevan hyödyllisen ja käyttökelpoisen kyberturvallisuusteknologian valinnanvaraa. Samoin myös komission vuonna 2017 antamassaan tiedonannossa ”Digitaalisten sisämarkkinoiden strategian täytäntöönpanon väliarviointi – Yhdennetyt digitaaliset sisämarkkinat kaikille” komissio korosti tarvetta huolehtia verkkoon liitettyjen tuotteiden ja järjestelmien turvallisuudesta ja totesi, että luomalla tieto- ja viestintätekniikan turvallisuudelle eurooppalaiset puitteet, joissa annetaan säännöt tieto- ja viestintäteknologian turvallisuussertifioinnin järjestämisestä unionissa, voitaisiin sekä ylläpitää luottamusta internetiin että puuttua sisämarkkinoiden nykyiseen hajanaisuuteen.

(67)

Tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien kyberturvallisuussertifiointia käytetään tällä hetkellä vain vähäisessä määrin. Kun sitä käytetään, käyttö rajoittuu enimmäkseen jäsenvaltioiden tasolle tai teollisuuslähtöisten järjestelmien piiriin. Tässä yhteydessä yhden kansallisen kyberturvallisuussertifioinnin myöntävän viranomaisen myöntämää sertifikaattia ei periaatteessa tunnusteta muissa jäsenvaltioissa. Yritykset voivat näin ollen joutua sertifioimaan tieto- ja viestintätekniikan tuotteensa, palvelunsa ja prosessinsa useissa jäsenvaltioissa, joissa ne toimivat, esimerkiksi voidakseen osallistua kansallisiin hankintamenettelyihin, mikä aiheuttaa yrityksille lisäkustannuksia. Syntymässä on uusia järjestelmiä, mutta vaikuttaa siltä, ettei ole olemassa johdonmukaista ja kokonaisvaltaista lähestymistapaa laaja-alaisiin kyberturvallisuuskysymyksiin esimerkiksi esineiden internetin alalla. Nykyisissä järjestelmissä on merkittäviä puutteita ja eroja, jotka liittyvät niiden tuotekatteeseen, varmuustasoihin, aineellisiin edellytyksiin ja tosiasialliseen käyttöön, mikä haittaa vastavuoroisten tunnustamismekanismien toimintaa unionissa.

(68)

Joillain toimilla on jo pyritty varmistamaan sertifikaattien vastavuoroinen tunnustaminen unionissa. Niiden tavoitteet on kuitenkin saavutettu vain osittain. Tärkein esimerkki tästä on johtavien virkamiesten tietoturvallisuusryhmän (SOG-IS) vastavuoroista tunnustamista koskeva sopimus (MRA). SOG-IS on tärkein malli yhteistyölle ja vastavuoroiselle tunnustamiselle turvallisuussertifioinnin alalla, mutta siihen kuuluu vain osa unionin jäsenvaltioista. Tämä seikka on rajoittanut SOG-ISia koskevan MRA-sopimuksen toimivuutta sisämarkkinoiden kannalta.

(69)

Sen vuoksi on tarpeen omaksua yhteinen lähestymistapa ja perustaa eurooppalainen kyberturvallisuuden sertifiointikehys, jossa vahvistetaan tärkeimmät horisontaaliset vaatimukset kehitettäville eurooppalaisille kyberturvallisuuden sertifiointijärjestelmille ja jonka ansiosta tieto- ja viestintätekniikan tuotteita, palveluja ja prosesseja koskevat eurooppalaiset kyberturvallisuussertifikaatit ja EU-vaatimustenmukaisuusilmoitukset voidaan tunnustaa ja niitä voidaan käyttää kaikissa jäsenvaltioissa. Tässä yhteydessä on olennaista käyttää perustana nykyisiä kansallisia ja kansainvälisiä järjestelmiä sekä vastavuoroisen tunnustamisen järjestelmiä, erityisesti SOG-IS-järjestelmää, sekä mahdollistaa sujuva siirtyminen tällaisten järjestelmien piiriin kuuluvista nykyisistä järjestelmistä eurooppalaisen kehyksen mukaisiin uusiin järjestelmiin. Eurooppalaisen sertifiointikehyksen olisi palveltava kahta tarkoitusta. Ensinnäkin sen pitäisi lisätä luottamusta tieto- ja viestintätekniikan tuotteisiin, palveluihin ja prosesseihin, jotka on sertifioitu eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien mukaisesti. Toiseksi sen pitäisi auttaa välttämään tilanne, jossa käytössä on monia keskenään ristiriitaisia tai päällekkäisiä kansallisia kyberturvallisuussertifiointeja, ja auttaa siten vähentämään digitaalisilla sisämarkkinoilla yrityksille aiheutuvia kustannuksia. Eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien olisi oltava syrjimättömiä ja eurooppalaisiin tai kansainvälisiin standardeihin perustuvia, paitsi jos kyseiset standardit ovat tehottomia tai epäasianmukaisia unionin oikeutettujen tavoitteiden saavuttamiseksi.

(70)

Eurooppalaisen kyberturvallisuuden sertifiointikehyksen on oltava yhdenmukainen kaikissa jäsenvaltioissa, jotta vältetään ns. sertifiointishoppailu jäsenvaltioiden erilaisten vaatimustasojen vuoksi.

(71)

Eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien olisi perustetuttava siihen, mikä on jo käytössä kansainvälisellä ja kansallisella tasolla, ja tarvittaessa eri foorumeiden ja konsortioiden teknisiin eritelmiin, nykyisten vahvuuksien hyödyntämiseen sekä heikkouksien arviointiin ja korjaamiseen.

(72)

Tarvitaan joustavia kyberturvallisuusratkaisuja, jotta toimialalla olisi etumatkaa kyberuhkiin nähden, joten sertifiointijärjestelmät olisi suunniteltava niin, että vältetään nopean vanhentumisen riski.

(73)

Komissiolle olisi siirrettävä valta hyväksyä eurooppalaiset kyberturvallisuuden sertifiointijärjestelmät yksittäisille tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien ryhmille. Kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten olisi vastattava näiden järjestelmien täytäntöönpanosta ja valvonnasta, ja näiden järjestelmien mukaisesti myönnettyjen sertifikaattien olisi oltava voimassa ja tunnustettuja kaikkialla unionissa. Toimialan tai muiden yksityisten organisaatioiden ylläpitämien sertifiointijärjestelmien ei tulisi kuulua tämän asetuksen soveltamisalaan. Tällaisia järjestelmiä ylläpitävien elinten olisi kuitenkin voitava ehdottaa, että komissio ottaa tällaiset järjestelmät lähtökohdaksi niiden hyväksymiseksi eurooppalaisena kyberturvallisuuden sertifiointijärjestelmänä.

(74)

Tämän asetuksen säännökset eivät saisi vaikuttaa unionin lainsäädäntöön, jossa annetaan erityiset säännöt tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien sertifioinnista. Erityisesti asetuksessa (EU) 2016/679 säädetään sertifiointimekanismeista sekä tietosuojasineteistä ja -merkeistä, joiden tarkoituksena on osoittaa, että rekisterinpitäjät ja henkilötietojen käsittelijät noudattavat kyseistä asetusta käsittelytoimia suorittaessaan. Rekisteröityjen olisi tällaisten sertifiointimekanismien ja tietosuojasinettien ja -merkkien avulla voitava nopeasti arvioida asianomaisten tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien tietosuojataso. Tämä asetus ei rajoita tietojenkäsittelytoimintojen sertifiointia asetuksen (EU) 2016/679 mukaisesti, ei myöskään silloin, kun nämä toimet on sisällytetty tieto- ja viestintätekniikan tuotteisiin, palveluihin ja prosesseihin.

(75)

Eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien tarkoituksena olisi oltava varmistaa, että tällaisissa järjestelmissä sertifioidut tieto- ja viestintätekniikan tuotteet, palvelut ja prosessit täyttävät määritellyt vaatimukset, joiden tavoitteena on suojella tallennettujen, siirrettävien tai käsiteltävien tietojen tai niihin liittyvien, kyseisissä tuotteissa, palveluissa ja prosesseissa tarjottavien tai välitettävien tuotteiden, toimintojen ja palvelujen käytettävyyttä, aitoutta, eheyttä ja luottamuksellisuutta niiden koko elinkaaren ajan. Tässä asetuksessa ei ole mahdollista määritellä yksityiskohtaisesti kyberturvallisuusvaatimuksia kaikille tieto- ja viestintätekniikan tuotteille, palveluille ja prosesseille. Tieto- ja viestintätekniikan tuotteet, palvelut ja prosessit ja näihin tuotteisiin, palveluihin ja prosesseihin liittyvät kyberturvallisuustarpeet ovat niin moninaiset, että on hyvin vaikeaa määritellä yleisiä kyberturvallisuusvaatimuksia, jotka olisivat voimassa kaikissa olosuhteissa. Siksi kyberturvallisuus olisi määriteltävä laajasti ja yleisesti sertifiointitarkoituksia varten, ja sitä olisi täydennettävä erityisillä kyberturvallisuustavoitteilla, jotka on tarpeen ottaa huomioon suunniteltaessa eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä. Järjestelyt, joilla tällaiset tavoitteet saavutetaan yksittäisissä tieto- ja viestintätekniikan tuotteissa, palveluissa ja prosesseissa, olisi täsmennettävä yksityiskohtaisemmin komission hyväksymien yksittäisten sertifiointijärjestelmien tasolla, esimerkiksi viittaamalla standardeihin tai teknisiin eritelmiin, jos asianmukaisia standardeja ei ole saatavilla.

(76)

Eurooppalaisissa kyberturvallisuuden sertifiointijärjestelmissä käytettävien teknisten eritelmien olisi oltava Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1025/2012 (19) liitteessä II esitettyjen vaatimusten mukaiset. Poikkeuksia näihin periaatteisiin voidaan kuitenkin katsoa tarvittavan asianmukaisesti perustelluissa tapauksissa, joissa kyseisiä teknisiä eritelmiä käytetään eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän varmuustasolla ”korkea”. Tällaisten poikkeusten syyt olisi asetettava julkisesti saataville.

(77)

Sertifiointiin kuuluva vaatimustenmukaisuuden arviointi on menettely, jossa arvioidaan, täyttyvätkö tieto- ja viestintätekniikan tuotteeseen, palveluun tai prosessiin liittyvät määritellyt vaatimukset. Arvioinnin tekee riippumaton kolmas osapuoli, joka ei ole arvioinnin kohteena olevien tieto- ja viestintätekniikan tuotteiden, palvelujen tai prosessien valmistaja tai tarjoaja. Eurooppalainen kyberturvallisuussertifikaatti olisi myönnettävä, kun tieto- tai viestintätekniikan tuote, palvelu tai prosessi on läpäissyt arvioinnin. Eurooppalaista kyberturvallisuussertifikaattia olisi pidettävä vahvistuksena siitä, että kyseinen arviointi on tehty asianmukaisesti. Eurooppalaisessa kyberturvallisuusjärjestelmässä olisi varmuustasosta riippuen määritettävä, myöntääkö eurooppalaisen kyberturvallisuussertifikaatin yksityinen taho vai julkinen elin. Vaatimustenmukaisuuden arviointi ja sertifiointi eivät sinänsä takaa, että sertifioidut tieto- ja viestintätekniikan tuotteet, palvelut ja prosessit ovat kyberturvallisia. Ne ovat pikemminkin menettelyjä ja teknisiä menetelmiä, jotka todistavat, että tieto- ja viestintätekniikan tuotteet, palvelut ja prosessit on testattu ja että ne täyttävät tietyt kyberturvallisuusvaatimukset, jotka on vahvistettu muualla, esimerkiksi teknisissä standardeissa.

(78)

Eurooppalaisten kyberturvallisuussertifikaattien käyttäjien olisi valittava asianmukainen sertifiointi ja siihen liittyvät turvallisuusvaatimukset tieto- ja viestintätekniikan tuotteeseen, palveluun tai prosessiin liittyvien riskien analyysin perusteella. Varmuustason olisi näin ollen vastattava tieto- ja viestintätekniikan tuotteen, palvelun tai prosessin käyttötarkoitukseen liittyvän riskin tasoa.

(79)

Eurooppalaisissa kyberturvallisuuden sertifiointijärjestelmissä voidaan määrätä, että vaatimustenmukaisuuden arviointi on pelkästään tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien valmistajan tai tarjoajan vastuulla, jäljempänä ’vaatimustenmukaisuuden itsearviointi’. Tällaisissa tapauksissa olisi riittävää, että tieto- ja viestintätekniikan tuotteen, palvelun tai prosessin valmistaja tai tarjoaja tekee itse kaikki tarkastukset, joilla varmistetaan, että tieto- tai viestintätekniikan tuote, palvelu tai prosessi on eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukainen. Vaatimustenmukaisuuden itsearviointi olisi katsottava asianmukaiseksi sellaisten yksinkertaisten tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien yhteydessä, jotka aiheuttavat vain vähäisen riskin yleisölle, kuten esimerkiksi yksinkertaiset suunnittelu- ja tuotantomekanismit. Vaatimustenmukaisuuden itsearviointi olisi lisäksi sallittava vain varmuustasoltaan perustason tieto- ja viestintätekniikan tuotteille, palveluille ja prosesseille.

(80)

Eurooppalaisissa kyberturvallisuuden sertifiointijärjestelmissä voidaan tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien yhteydessä käyttää sekä vaatimustenmukaisuuden itsearviointeja että sertifiointeja. Tällaisen tilanteen varalta järjestelmässä olisi määriteltävä selkeät ja ymmärrettävät käytännöt, joiden avulla kuluttajat ja muut käyttäjät erottavat, minkä tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien arvioinnista on vastannut valmistaja tai tarjoaja ja mitkä tieto- ja viestintätekniikan tuotteet, palvelut ja prosessit on sertifioinut kolmas osapuoli.

(81)

Tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien valmistajan tai tarjoajan, joka tekee vaatimustenmukaisuuden itsearvioinnin, olisi vaatimustenmukaisuuden arviointimenettelyn yhteydessä voitava antaa ja allekirjoittaa EU-vaatimustenmukaisuusilmoitus. EU-vaatimustenmukaisuusilmoitus on asiakirja, jossa todetaan, että tietty tieto- ja viestintätekniikan tuote, palvelu tai prosessi on järjestelmässä asetettujen vaatimusten mukainen. Antamalla ja allekirjoittamalla EU-vaatimustenmukaisuusilmoituksen valmistaja tai palveluntarjoaja ottaa vastuun siitä, että tieto- ja viestintätekniikan tuote, palvelu tai prosessi on eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä asetettujen oikeudellisten vaatimusten mukainen. Jäljennös EU-vaatimustenmukaisuusilmoituksesta olisi toimitettava kansalliselle kyberturvallisuussertifioinnin myöntävälle viranomaiselle ja ENISAlle.

(82)

Tieto- ja viestintätekniikan tuotteiden, palvelujen tai prosessien valmistajan tai tarjoajan olisi asetettava EU-vaatimustenmukaisuusilmoitus, tekniset asiakirjat ja kaikki tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä asetettujen vaatimusten mukaisuutta koskevat muut tiedot toimivaltaisen kansallisen kyberturvallisuussertifioinnin myöntävän viranomaisen saataville asianomaisessa eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä määrätyn ajanjakson ajaksi. Teknisissä asiakirjoissa olisi eriteltävä sovellettavat järjestelmän mukaiset vaatimukset, ja niiden olisi katettava tieto- ja viestintätekniikan tuotteen, palvelun tai prosessin suunnittelu, valmistus ja toiminta siinä määrin kuin se on olennaista itsearvioinnin noudattamisen kannalta. Tekniset asiakirjat olisi laadittava siten, että niiden perusteella voidaan arvioida, noudattaako tieto- ja viestintätekniikan tuote, palvelu tai prosessi kyseisen järjestelmän mukaan sovellettavia vaatimuksia.

(83)

Eurooppalaisen kyberturvallisuuden sertifiontikehyksen hallinnossa otetaan huomioon jäsenvaltioiden osallistuminen sekä sidosryhmien asianmukainen osallistuminen ja vahvistetaan komission rooli eurooppalaisen kyberturvallisuuden sertifiointijärjestelmien suunnittelussa, ehdottamisessa, pyytämisessä, valmistelussa, hyväksymisessä ja uudelleentarkastelussa.

(84)

Komission olisi valmisteltava Euroopan kyberturvallisuuden sertifiointiryhmän ja sidosryhmien kyberturvallisuuden sertifiointiryhmän tuella ja avoimen ja laajan kuulemisen jälkeen eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä koskeva unionin jatkuva työohjelma ja julkaistava se asiakirjana, joka ei ole oikeudellisesti sitova. Unionin jatkuvan työohjelman olisi oltava strateginen asiakirja, jonka ansiosta erityisesti toimiala, kansalliset viranomaiset ja standardointielimet voivat erityisesti valmistella tulevia eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä etukäteen. Unionin jatkuvan työohjelman olisi sisällettävä monivuotinen yleiskatsaus sellaisia ehdolla olevia järjestelmiä koskevista pyynnöistä, jotka komissio aikoo toimittaa ENISAlle valmisteltaviksi perusteltujen syiden pohjalta. Komission olisi otettava huomioon unionin jatkuva työohjelma laatiessaan tieto- ja viestintätekniikan standardointia koskevaa jatkuvaa suunnitelmaa sekä eurooppalaisille standardointiorganisaatioille osoitettuja standardointipyyntöjä. Ottaen huomioon uuden teknologian nopea käyttöönotto ja, aiemmin tuntemattomien kyberturvallisuusriskien ilmaantuminen ja lainsäädännön ja markkinoiden kehittyminen, komission tai Euroopan kyberturvallisuuden sertifiointiryhmän olisi voitava pyytää ENISAa valmistelemaan sellaisia ehdolla olevia järjestelmiä, jotka eivät sisälly unionin jatkuvaan työohjelmaan. Komission ja Euroopan kyberturvallisuuden sertifiointiryhmän olisi tällöin arvioitava myös tällaisten pyyntöjen tarpeellisuus ottamalla huomioon tämän asetuksen yleiset päämäärät ja tavoitteet sekä tarve varmistaa ENISAn suunnittelun ja resurssien käytön jatkuvuus.

Tällaisen pyynnön saatuaan ENISAn olisi valmisteltava tieto- ja viestintätekniikan tuotteita, palveluja tai prosesseja varten ehdolla olevat järjestelmät ilman aiheetonta viivytystä. Komission olisi arvioitava pyyntönsä kyseisiin markkinoihin kohdistuvia myönteisiä ja kielteisiä vaikutuksia etenkin pk-yritysten, innovoinnin, kyseisille markkinoille pääsyn esteiden sekä loppukuluttajille aiheutuvien kustannusten kannalta. Komissiolle olisi annettava valtuudet hyväksyä ENISAn valmisteleman ehdolla olevan järjestelmän pohjalta eurooppalainen kyberturvallisuuden sertifiointijärjestelmä täytäntöönpanosäädöksillä. Kun otetaan huomioon tämän asetuksen yleinen tarkoitus ja siinä määritellyt turvallisuustavoitteet, komission hyväksymissä eurooppalaisissa kyberturvallisuuden sertifiointijärjestelmissä olisi määritettävä tietyt vähimmäistekijät yksittäisen järjestelmän kohteen, soveltamisalan ja toiminnan osalta. Näihin tekijöihin olisi sisällyttävä muun muassa kyberturvallisuussertifioinnin soveltamisala ja kohde, mukaan lukien sertifioinnin kattamat tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien luokat, yksityiskohtainen eritelmä kyberturvallisuusvaatimuksista esimerkiksi viittaamalla standardeihin tai teknisiin eritelmiin, yksittäiset arviointiperusteet ja -menetelmät sekä tarkoitettu varmuustaso (”perustaso”, ”korotettu” tai ”korkea”) ja tarvittaessa arviointitasot. ENISAn olisi voitava asianmukaisesti perustelluissa tapauksissa hylätä Euroopan kyberturvallisuuden sertifiointiryhmän pyyntö. Johtokunnan olisi tehtävä tällaiset päätökset, ja ne olisi perusteltava.

(85)

ENISAn olisi ylläpidettävä verkkosivustoa, jolla annetaan tietoa eurooppalaisista kyberturvallisuuden sertifiointijärjestelmistä ja tehdään niitä tunnetuiksi. Tietojen olisi sisällettävä muun muassa pyynnöt valmistella ehdolla oleva järjestelmä sekä palaute, jota ENISA on saanut valmisteluvaiheessa tehdyistä kuulemisista. Verkkosivustolla olisi annettava tietoa myös tämän asetuksen nojalla myönnetyistä eurooppalaisista kyberturvallisuuden sertifikaateista ja annetuista EU-vaatimustenmukaisuusilmoituksista, myös tällaisten eurooppalaisten kyberturvallisuuden sertifikaattien ja EU-vaatimustenmukaisuusilmoitusten peruuttamisesta tai vanhentumisesta. Verkkosivustolla olisi myös ilmoitettava ne kansalliset kyberturvallisuuden sertifiointijärjestelmät, jotka on korvattu eurooppalaisella kyberturvallisuuden sertifiointijärjestelmällä.

(86)

Eurooppalaisen sertifiointijärjestelmän mukainen varmuustaso luo perustan sille, että tietty tieto- ja viestintätekniikan tuote, palvelu tai prosessi täyttää tietyn eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukaiset turvallisuusvaatimukset. Sertifioituja tieto- ja viestintätekniikan tuotteita, palveluja ja prosesseja koskevan eurooppalaisessa kyberturvallisuuden sertifiointikehyksen yhdenmukaisuuden varmistamiseksi eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä olisi oltava mahdollista määrittää kyseisen järjestelmän nojalla myönnettyjen eurooppalaisten kyberturvallisuussertifikaattien ja EU-vaatimustenmukaisuusilmoitusten varmuustasot. Kussakin eurooppalaisessa kyberturvallisuuden sertifikaatissa viitattaisiin johonkin kolmesta varmuustasosta: ”perustaso”, ”korotettu” tai ”korkea”. EU-vaatimustenmukaisuusilmoituksessa voitaisiin puolestaan viitata vain perustason varmuustasoon. Varmuustasot antaisivat tieto- ja viestintätekniikan tuotteen, palvelun tai prosessin arvioinnille vastaavan tiukkuuden ja kattavuuden, ja ne määritettäisiin viittaamalla teknisiin eritelmiin, standardeihin ja niihin liittyviin menetelmiin (myös teknisiin tarkastuksiin), joiden tarkoituksena on lieventää tai ehkäistä poikkeamia. Kunkin varmuustason olisi oltava yhdenmukainen eri aloilla, joilla sertifiointeja käytetään.

(87)

Eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä voitaisiin määritellä useita arviointitasoja sen mukaan, miten tiukkoja ja kattavia arviointimenetelmiä käytetään. Arviointitasojen olisi vastattava varmuustasoja ja ne olisi määriteltävä asianmukaisten osatekijöiden perusteella. Tieto- ja viestintätekniikan tuotteen, palvelun tai prosessin olisi kaikilla varmuustasoilla sisällettävä tietty määrä järjestelmässä määriteltyjä turvallisia toimintoja, joita voivat olla esimerkiksi ennalta turvalliseksi määritetty kokoonpano, allekirjoitettu koodi, suojatut päivitykset ja hyväksikäyttömenetelmien lieventäminen sekä koko pino- tai kekomuistin suojaukset. Näiden toimintojen kehitystyössä ja ylläpidossa olisi noudatettava turvallisuuskeskeistä toimintatapaa ja hyödynnettävä siihen liittyviä välineitä. Näin varmistetaan, että ohjelmistoon ja laitteistoon saadaan luotettavasti sisällytettyä toimivia mekanismeja.

(88)

Varmuustason ”perustaso” arvioinnissa olisi käsiteltävä vähintään seuraavat varmuuden osatekijät: arvioinnin olisi sisällettävä vähintään vaatimustenmukaisuuden arviointilaitoksen arvio tieto- ja viestintätekniikan tuotteen, palvelun tai prosessin teknisistä asiakirjoista. Jos sertifiointiin sisältyy tieto- ja viestintätekniikan prosesseja, tekninen arviointi olisi tehtävä myös prosessille, jota käytetään tieto- ja viestintätekniikan tuotteen tai palvelun suunnitteluun, kehittämiseen ja ylläpitoon. Tapauksissa, joissa eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukaan voidaan soveltaa vaatimustenmukaisuuden itsearviointia, olisi katsottava riittäväksi, että kyseinen valmistaja tai palveluntarjoaja tekee itsearvioinnin tieto- ja viestintätekniikan tuotteen, palvelun tai prosessin vaatimustenmukaisuudesta sertifiointijärjestelmän suhteen.

(89)

Varmuustason ”korotettu” arvioinnissa olisi varmuustason ”perustaso” vaatimusten lisäksi vähintään todennettava, noudattavatko tieto- ja viestintätekniikan tuotteen, palvelun tai prosessin turvallisuustoiminnot sen teknisiä asiakirjoja.

(90)

Varmuustason ”korkea” arviointiin olisi varmuustason ”korotettu” vaatimusten lisäksi vähintään sisällyttävä tehokkuustesti, jolla arvioidaan tieto- ja viestintätekniikan tuotteen, palvelun tai prosessin turvallisuustoimintojen vastustuskykyä sellaisten henkilöiden suorittamia vaativia pitkälle kehittyneitä kyberhyökkäyksiä vastaan, joilla on huomattavaa osaamista ja resursseja.

(91)

Eurooppalaisen kyberturvallisuussertifioinnin ja EU-vaatimustenmukaisuusilmoituksen käytön olisi oltava jatkossakin vapaaehtoista, jollei toisin säädetä unionin lainsäädännössä tai unionin oikeuden mukaisesti hyväksytyssä jäsenvaltioiden lainsäädännössä. Jos yhdenmukaista lainsäädäntöä ei ole, jäsenvaltiot voivat hyväksyä Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/1535 (20) mukaisia kansallisia teknisiä määräyksiä, joissa säädetään pakollisesta eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukaisesta sertifioinnista. Jäsenvaltiot voivat myös käyttää eurooppalaista kyberturvallisuussertifiointia julkisissa hankinnoissa ja Euroopan parlamentin ja neuvoston direktiivin 2014/24/EU (21) yhteydessä.

(92)

Joillakin aloilla saattaa myöhemmin olla tarpeen vahvistaa erityisiä kyberturvallisuusvaatimuksia ja tehdä tiettyjen tieto- ja viestintätekniikan tuotteiden, palvelujen tai prosessien sertifioinnista pakollista kyberturvallisuuden tason parantamiseksi unionissa. Komission olisi säännöllisesti seurattava hyväksyttyjen eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien vaikutuksia turvallisten tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien saatavuuteen sisämarkkinoilla sekä säännöllisesti arvioitava, missä määrin tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien valmistajat tai tarjoajat käyttävät sertifiointijärjestelmiä unionissa. Eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien tehokkuutta ja sitä, olisiko tietyt järjestelmät tehtävä pakollisiksi, olisi arvioitava kyberturvallisuuteen liittyvän unionin lainsäädännön ja erityisesti direktiivin (EU) 2016/1148 valossa ottaen huomioon keskeisten palvelujen tarjoajien käyttämien verkko- ja tietojärjestelmien turvallisuus.

(93)

Eurooppalaisten kyberturvallisuussertifikaattien ja EU-vaatimustenmukaisuusilmoitusten olisi autettava loppukäyttäjiä tekemään tietoon perustuvia valintoja. Sen vuoksi tieto- ja viestintätekniikan tuotteiden, prosessien ja palvelujen, jotka on sertifioitu tai joista on annettu EU-vaatimustenmukaisuusilmoitus, mukana olisi oltava jäsennellyssä muodossa tietoja, jotka on mukautettu suunnitellun loppukäyttäjän odotettuun tekniseen tasoon. Kaikkien tällaisten tietojen olisi oltava saatavilla verkossa ja tapauksen mukaan fyysisessä muodossa. Loppukäyttäjän olisi voitava saada tiedot sertifiointijärjestelmän numerosta ja varmuustasosta, kuvaus tieto- ja viestintätekniikan tuotteen, palvelun tai prosessin kyberturvallisuusriskeistä ja tieto sertifikaatin myöntävästä viranomaisesta tai elimestä tai heidän pitäisi voida saada kopio eurooppalaisesta kyberturvallisuussertifikaatista. Lisäksi loppukäyttäjälle olisi tiedotettava tieto- ja viestintätekniikan tuotteiden, prosessien tai palvelujen valmistajan tai tarjoajan noudattamasta kyberturvallisuuden tukemista koskevasta toimintapolitiikasta, eli siitä, kuinka kauan loppukäyttäjä voi odottaa saavansa kyberturvallisuuspäivityksiä tai -korjauksia. Tarvittaessa olisi annettava neuvontaa toimista tai asetuksista, joita loppukäyttäjä voi toteuttaa tieto- ja viestintätekniikan tuotteen, prosessin tai palvelun kyberturvallisuuden ylläpitämiseksi tai parantamiseksi, sekä yhteystiedot keskitetystä yhteyspisteestä, johon voi raportoida ja josta voi saada tukea kyberhyökkäysten tapauksissa (automaattisen raportoinnin lisäksi). Tiedot olisi päivitettävä säännöllisesti, ja niiden olisi saatettava saataville verkkosivustolla, joka tarjoaa tietoa eurooppalaisista kyberturvallisuuden sertifiointijärjestelmistä.

(94)

Jotta voitaisiin saavuttaa tämän asetuksen tavoitteet ja välttää hajanaisuus sisämarkkinoilla, sellaisten kansallisten kyberturvallisuuden sertifiointijärjestelmien tai -menettelyjen, joiden kattamat tieto- ja viestintätekniikan tuotteet, palvelut tai prosessit kuuluvat jonkin eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän soveltamisalaan, olisi lakattava tuottamasta oikeusvaikutuksia alkaen päivästä, jonka komissio vahvistaa täytäntöönpanosäädöksillä. Jäsenvaltiot eivät myöskään saisi ottaa käyttöön uusia kansallisia kyberturvallisuuden sertifiointijärjestelmiä tieto- ja viestintätekniikan tuotteille, palveluille tai prosesseille, jotka kuuluvat jo jonkin olemassa olevan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän soveltamisalaan. Jäsenvaltioita ei kuitenkaan tulisi estää hyväksymästä tai pitämästä voimassa kansallisia kyberturvallisuussertifiointijärjestelmiä kansallisen turvallisuuden nimissä. Jäsenvaltioiden olisi toimitettava komissiolle ja Euroopan kyberturvallisuuden sertifiointiryhmälle tieto aikomuksestaan laatia uusia kansallisia kyberturvallisuuden sertifiointijärjestelmiä. Komission ja Euroopan kyberturvallisuuden sertifiointiryhmän olisi arvioitava uuden kansallisen kyberturvallisuuden sertifiointijärjestelmän vaikutuksia sisämarkkinoiden moitteettomaan toimintaan ja sitä, olisiko strategisesti asianmukaista pyytää käyttämään sen sijaan eurooppalaista kyberturvallisuuden sertifiointijärjestelmää.

(95)

Eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien tarkoituksena on auttaa yhdenmukaistamaan kyberturvallisuuskäytäntöjä unionissa. Niiden on tarpeen lisätä kyberturvallisuuden tasoa unionissa. Eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien suunnittelussa olisi otettava huomioon myös kyberturvallisuusalan uusien innovaatioiden kehittäminen ja mahdollistettava ne.

(96)

Eurooppalaisissa kyberturvallisuuden sertifiointijärjestelmissä olisi otettava huomioon olemassa olevat ohjelmien ja laitteistojen kehitysmenetelmät ja erityisesti usein tapahtuvien ohjelmisto- tai valmisohjelmistopäivitysten vaikutus yksittäisiin eurooppalaisiin kyberturvallisuussertifikaatteihin. Eurooppalaisissa kyberturvallisuuden sertifiointijärjestelmissä olisi täsmennettävä olosuhteet, joiden vallitessa päivitys voi edellyttää tieto- ja viestintätekniikan tuotteen, palvelun tai prosessin sertifioimista uudelleen tai yksittäisen eurooppalaisen kyberturvallisuussertifikaatin kattavuuden supistamista ottaen huomioon päivityksen mahdolliset haitalliset vaikutukset kyseisen sertifikaatin turvallisuusvaatimusten mukaisuuteen.

(97)

Kun eurooppalainen kyberturvallisuuden sertifiointijärjestelmä on hyväksytty, tieto- ja viestintätekniikan tuotteiden, palvelujen tai prosessien valmistajien tai tarjoajien olisi voitava jättää tuotteidensa tai palvelujensa sertifiointia koskeva hakemus valitsemalleen vaatimustenmukaisuuden arviointilaitokselle kaikkialla unionissa. Kansallisten vaatimustenmukaisuuden arviointilaitosten olisi saatava akkreditointi kansalliselta akkreditointielimeltä, jos ne täyttävät tässä asetuksessa vahvistetut tietyt erityiset vaatimukset. Akkreditointi olisi myönnettävä enintään viideksi vuodeksi, ja se olisi uusittava samoin edellytyksin, jos vaatimustenmukaisuuden arviointilaitos edelleen täyttää vaatimukset. Kansallisten akkreditointielinten olisi rajoitettava vaatimustenmukaisuuden arviointilaitoksen akkreditointia, keskeytettävä sen voimassaolo tai peruutettava se, jos akkreditoinnin edellytykset eivät täyty tai eivät enää täyty tai jos vaatimustenmukaisuuden arviointilaitoksen toiminta rikkoo tätä asetusta.

(98)

Kansallisessa lainsäädännössä olevat viittaukset kansallisiin standardeihin, jotka eivät ole enää voimassa eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän tultua voimaan, voivat mahdollisesti aiheuttaa. Jäsenvaltioiden olisi sen vuoksi otettava eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän hyväksyminen huomioon kansallisessa lainsäädännössään.

(99)

Toisiaan vastaavien standardien soveltamiseksi koko unionissa, vastavuoroisen tunnustamisen helpottamiseksi sekä eurooppalaisten kyberturvallisuussertifikaattien ja EU-vaatimustenmukaisuusilmoitusten yleisen hyväksymisen edistämiseksi on perustettava kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten välinen vertaisarviointijärjestelmä. Vertaisarvioinnin olisi katettava menettelyt tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien eurooppalaisten kyberturvallisuussertifikaattien mukaisuuden valvontaa, itsearviointeja tekevien menettelyt tieto- ja viestintätekniikan tuotteiden, palvelujen tai prosessien valmistajien tai tarjoajien velvoitteiden seurantaa ja vaatimustenmukaisuuden arviointilaitosten valvontaa varten sekä varmuustason ”korkea” sertifikaatteja myöntävien elinten henkilöstön asiantuntemuksen asianmukaisuus. Komission olisi voitava täytäntöönpanosäädöksellä vahvistaa vertaisarviointeja varten vähintään viisivuotinen suunnitelma sekä säädettävä vertaisarviointijärjestelmän toimintaa koskevista kriteereistä ja menetelmistä.

(100)

Sanotun vaikuttamatta perustettavan yleisen vertaisarviointijärjestelmän soveltamiseen, joka kattaa kaikki eurooppalaiseen kyberturvallisuuden sertifiointikehykseen kuuluvat kansalliset kyberturvallisuussertifioinnin myöntävät viranomaiset, tiettyihin eurooppalaiseen kyberturvallisuuden sertifiointijärjestelmiin voi sisältyä vertaisarviointimekanismi, joka kattaa varmuustason ”korkea” eurooppalaisia kyberturvallisuussertifikaatteja näiden järjestelmien nojalla tieto- ja viestintätekniikan tuotteille, palveluille tai prosesseille myöntävät elimet. Eurooppalaisen kyberturvallisuuden sertifiointiryhmän olisi tuettava tällaisten vertaisarviointimekanismien täytäntöönpanoa. Vertaisarvioinneissa olisi arvioitava erityisesti sitä, hoitavatko kyseiset elimet tehtäviään yhdenmukaisella tavalla, ja niihin voi sisältyä muutoksenhakumekanismeja. Vertaisarviointien tulokset olisi julkistettava. Vertaisarvioinnin kohteena olevat elimet voivat toteuttaa aiheellisia toimenpiteitä, joilla ne mukauttavat käytäntöjään ja asiantuntemustaan vastaavasti.

(101)

Jäsenvaltioiden olisi nimettävä yksi tai useampi kansallinen kyberturvallisuussertifioinnin myöntävä viranomainen valvomaan tästä asetuksesta johtuvien velvoitteiden noudattamista. Kansallinen kyberturvallisuussertifioinnin myöntävä viranomainen voi olla jo olemassa oleva tai uusi viranomainen. Jäsenvaltioiden olisi myös voitava päättää sovittuaan asiasta toisen jäsenvaltion kanssa yhden tai useamman kansallisen kyberturvallisuussertifioinnin myöntävän viranomaisen nimeämisestä kyseisen toisen jäsenvaltion alueelle.

(102)

Kansallisen kyberturvallisuussertifioinnin myöntävän viranomaisen olisi erityisesti saatettava voimaan kyseisen jäsenvaltion alueelle sijoittautuneiden tieto- ja viestintätekniikan tuotteiden, palvelujen tai prosessien valmistajien tai tarjoajien velvollisuudet, jotka liittyvät EU-vaatimustenmukaisuusilmoitukseen, ja valvottava näiden velvollisuuksien noudattamista, avustettava kansallisia akkreditointielimiä niiden seuratessa ja valvoessa vaatimustenmukaisuuden arviointilaitosten toimintaa tarjoamalla niille asiantuntemusta ja asiaankuuluvia tietoja, valtuutettava vaatimustenmukaisuuden arviointilaitokset suorittamaan tehtävänsä, kun niihin kohdistuu järjestelmässä määriteltyjä Euroopan kyberturvallisuuden sertifiointijärjestelmässä esitettyjä lisävaatimuksia, ja seurattava merkityksellistä kehitystä kyberturvallisuussertifioinnin alalla. Kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten olisi myös käsiteltävä luonnollisten tai oikeushenkilöiden tekemät valitukset, jotka liittyvät näiden viranomaisten myöntämiin eurooppalaisiin kyberturvallisuussertifikaatteihin tai vaatimustenmukaisuuden arviointilaitosten myöntämiin, varmuustasoa ”korkea” osoittaviin sertifikaatteihin, tutkittava asianmukaisessa määrin valituksen kohde ja ilmoitettava valituksen tekijälle tutkinnan etenemisestä ja tuloksesta kohtuullisessa ajassa. Lisäksi kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten olisi tehtävä yhteistyötä muiden kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten tai muiden viranomaisten kanssa esimerkiksi jakamalla tietoa mahdollisista tapauksista, joissa tieto- ja viestintätekniikan tuotteet, palvelut ja prosessit eivät vastaa tämän asetuksen tai yksittäisten eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien vaatimuksia. Komission olisi helpotettava tätä tietojen jakamista asettamalla saataville yleinen sähköinen tietotukijärjestelmä, esimerkiksi markkinavalvontaa koskeva tieto- ja viestintäjärjestelmä (ICSMS) tai tuoteturvallisuutta koskeva unionin nopea tietojenvaihtojärjestelmä (RAPEX), joita markkinavalvontaviranomaiset jo käyttävät asetuksen (EY) N:o 765/2008 nojalla.

(103)

Eurooppalaisen kyberturvallisuuden sertifiointikehyksen johdonmukaisen soveltamisen varmistamiseksi olisi perustettava Euroopan kyberturvallisuuden sertifiointiryhmä, joka koostuu kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten tai muiden asiaankuuluvien kansallisten viranomaisten edustajista. Eurooppalaisen kyberturvallisuuden sertifiointiryhmän päätehtävinä olisi neuvoa ja avustaa komissiota sen pyrkiessä varmistamaan eurooppalaisen kyberturvallisuuden sertifiointikehyksen yhdenmukaisen täytäntöönpanon ja soveltamisen, avustaa ENISAa ehdolla olevien kyberturvallisuuden sertifiointijärjestelmien valmistelussa tiiviissä yhteistyössä sen kanssa, asianmukaisesti perustelluissa tapauksissa pyytää ENISAa valmistelemaan ehdolla olevan järjestelmän, sekä antaa ENISAlle osoitettuja lausuntoja ehdolla olevista järjestelmistä ja komissiolle osoitettuja lausuntoja voimassa olevien eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien ylläpitämisestä ja tarkistamisesta. Eurooppalaisen kyberturvallisuuden sertifiointiryhmän olisi helpotettava parhaiden käytäntöjen ja asiantuntemuksen vaihtoa erinäisten vaatimustenmukaisuuden arviointilaitosten valtuuttamisesta ja eurooppalaisten kyberturvallisuussertifikaattien myöntämisestä vastaavien kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten välillä.

(104)

Tietoisuuden lisäämiseksi ja tulevien eurooppalaisten kyberturvallisuusjärjestelmien hyväksymisen helpottamiseksi komissio voi antaa yleisiä tai alakohtaisia kyberturvallisuutta koskevia suuntaviivoja esimerkiksi hyvistä kyberturvallisuuskäytännöistä tai vastuullisesta kyberturvallisuuskäyttäytymisestä korostaen sertifioitujen tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien käytön myönteistä vaikutusta.

(105)

Tieto- ja viestintäalan toimitusketjut ovat maailmanlaajuisia, joten unioni voi Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 218 artiklan mukaisesti kaupankäyntiä edelleen helpottaakseen tehdä eurooppalaisia kyberturvallisuussertifikaatteja koskevia sopimuksia vastavuoroisesta tunnustamisesta. Komissio voi ENISAn ja Euroopan kyberturvallisuuden sertifiointiryhmän neuvot huomioiden suosittaa näitä koskevien neuvottelujen aloittamista. Kussakin eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä olisi määritettävä erikseen edellytykset tällaisille vastavuoroista tunnustamista koskeville sopimuksille kolmansien maiden kanssa.

(106)

Jotta voidaan varmistaa tämän asetuksen yhdenmukainen täytäntöönpano, komissiolle olisi siirrettävä täytäntöönpanovaltaa. Tätä valtaa olisi käytettävä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011 (22) mukaisesti.

(107)

Olisi sovellettava tarkastelumenettelyä hyväksyttäessä täytäntöönpanosäädöksiä, jotka koskevat tieto- ja viestintätekniikan tuotteiden, palvelujen tai prosessien eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä, ENISAn tutkimusten toteuttamista koskevia järjestelyjä, hyväksyttäessä täytäntöönpanosäädöksiä, jotka koskevat kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten vertaisarviointia koskevaa suunnitelmaa sekä hyväksyttäessä täytäntöönpanosäädöksiä, jotka koskevat kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten komissiolle tekemien, akkreditoituja vaatimustenmukaisuuden arviointilaitoksia koskevien ilmoitusten olosuhteita, muotoseikkoja ja menettelyjä.

(108)

ENISAn toimintaa olisi arvioitava säännöllisesti ja riippumattomasti. Arvioinnissa olisi otettava huomioon ENISAn tavoitteet, sen toimintatavat ja sen tehtävien merkityksellisyys, erityisesti niiden tehtävien, jotka liittyvät unionin tasolla tapahtuvaan operatiiviseen yhteistyöhön. Tässä arvioinnissa olisi myös arvioitava eurooppalaisen kyberturvallisuuden sertifiointikehyksen vaikutusta, vaikuttavuutta ja tehokkuutta. Komission olisi uudelleentarkastelussaan arvioitava, miten ENISAn roolia neuvonnan ja asiantuntemuksen viitetahona voidaan vahvistaa, sekä arvioitava myös ENISAn mahdollista roolia sellaisten unionin markkinoille tulevien kolmansien maiden tieto- ja viestintätekniikan tuotteiden ja palvelujen arvioinnin tukemisessa, jos tällaiset tuotteet, palvelut ja prosessit eivät ole unionin sääntöjen mukaisia.

(109)

Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän asetuksen tavoitteita, vaan ne voidaan saavuttaa paremmin unionin tasolla. Sen vuoksi unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen (SEU) 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tarpeen näiden tavoitteiden saavuttamiseksi.

(110)

Asetus (EU) N:o 526/2013 olisi kumottava,