(1)

S obzirom na Zaključke Vijeća od 12. veljače 2016. o borbi protiv financiranja terorizma, Komunikaciju Komisije Europskom parlamentu i Vijeću od 2. veljače 2016. o Akcijskom planu za jačanje borbe protiv financiranja terorizma i Direktivu (EU) 2017/541 Europskog parlamenta i Vijeća (2), trebalo bi donijeti zajednička pravila o trgovini s trećim zemljama kako bi se osigurali djelotvorna zaštita protiv nezakonite trgovine kulturnim dobrima i protiv njihova gubitka ili uništavanja, očuvanje kulturne baštine čovječanstva i sprečavanje financiranja terorizma i pranja novca prodajom opljačkanih kulturnih dobara kupcima u Uniji.

(2)

Iskorištavanje narodâ i područja može dovesti do nezakonite trgovine kulturnim dobrima, osobito kada takva nezakonita trgovina proizlazi iz konteksta oružanog sukoba. U tom pogledu, ovom bi se Uredbom trebale uzeti u obzir regionalne i lokalne karakteristike narodâ i područja, a ne tržišna vrijednost kulturnih dobara.

(3)

Kulturna dobra dio su kulturne baštine i često su od velike važnosti u kulturnom, umjetničkom, povijesnom i znanstvenom smislu. Kulturna baština jedno je od osnovnih obilježja civilizacije zbog, među ostalim, svoje simboličke vrijednosti i toga što čini dio kulturnog sjećanja čovječanstva. Ona obogaćuje kulturni život svih naroda i povezuje ljude na osnovi zajedničkog sjećanja, znanja i razvoja civilizacije. Stoga bi je trebalo zaštititi od nezakonita prisvajanja i pljačke. Uvijek je bilo pljačkanja arheoloških nalazišta, no sada je ono doseglo industrijske razmjere te je, zajedno s trgovinom nezakonito iskopanim kulturnim dobrima, teško kazneno djelo kojim se nanose velike patnje svima koji su njime izravno ili neizravno pogođeni. Nezakonitom trgovinom kulturnim dobrima u mnogim se slučajevima doprinosi nasilnoj kulturnoj homogenizaciji ili nasilnom gubitku kulturnog identiteta, dok pljačka kulturnih dobara dovodi, među ostalim, do dezintegracije kultura. Dokle god je moguće baviti se unosnom trgovinom nezakonito iskopanim kulturnim dobrima i od nje ostvarivati dobit bez ikakvog znatnog rizika, takva će se iskapanja i pljačka nastaviti. Zbog ekonomske i umjetničke vrijednosti kulturnih dobara velika je potražnja za njima na međunarodnom tržištu. Nepostojanje snažnih međunarodnih pravnih mjera i nedjelotvorno izvršavanje onih mjera koje eventualno postoje dovode do prijenosa takvih dobara u sivu ekonomiju. Unija bi stoga trebala zabraniti unos kulturnih dobara nezakonito izvezenih iz trećih zemalja na carinsko područje Unije, uz poseban naglasak na kulturnim dobrima iz trećih zemalja pogođenih oružanim sukobom, a osobito ako takvim kulturnim dobrima trguju terorističke organizacije ili druge zločinačke organizacije. Iako ta opća zabrana ne bi trebala povlačiti za sobom sustavne kontrole, državama članicama trebalo bi biti dopušteno da interveniraju kada prime informacije o sumnjivim pošiljkama i da poduzmu sve odgovarajuće mjere radi presretanja nezakonito izvezenih kulturnih dobara.

(4)

S obzirom na to da se na uvoz kulturnih dobara na carinsko područje Unije u državama članicama primjenjuju različita pravila, trebalo bi poduzeti mjere, posebno kako bi se osiguralo da uvoz određenih kulturnih dobara podliježe jedinstvenim kontrolama pri njihovu ulasku na carinsko područje Unije, na temelju postojećih procesa, postupaka i administrativnih instrumenata kojima se nastoji postići ujednačena provedba Uredbe (EU) br. 952/2013 Europskog parlamenta i Vijeća (3).

(5)

Zaštita kulturnih dobara koja se smatraju nacionalnim blagom država članica već je obuhvaćena Uredbom Vijeća (EZ) br. 116/2009 (4) i Direktivom 2014/60/EU Europskog parlamenta i Vijeća (5).Ova se Uredba stoga ne bi trebala primjenjivati na kulturna dobra koja su stvorena ili otkrivena na carinskom području Unije. Zajednička pravila koja se uvode ovom Uredbom trebala bi obuhvaćati carinsko postupanje s kulturnim dobrima koja nisu kulturna dobra Unije, a koja ulaze na carinsko područje Unije. Za potrebe ove Uredbe, relevantno carinsko područje trebalo bi biti carinsko područje Unije u trenutku uvoza.

(6)

Mjere kontrole koje je potrebno uspostaviti u vezi sa slobodnim zonama i takozvanim „slobodnim lukama” trebale bi imati što veće područje primjene u smislu dotičnih carinskih postupaka kako bi se spriječilo izbjegavanje ove Uredbe iskorištavanjem tih slobodnih zona, koje imaju potencijal da budu iskorištene za kontinuirano širenje nezakonite trgovine. Te se mjere kontrole stoga ne bi trebale odnositi samo na kulturna dobra puštena u slobodni promet, nego i na kulturna dobra stavljena u posebni carinski postupak. Međutim, njihovo područje primjene ne bi trebalo nadilaziti cilj sprečavanja ulaska nezakonito izvezenih kulturnih dobara na carinsko područje Unije. Prema tome, iako obuhvaćaju puštanje u slobodni promet i pojedine od posebnih carinskih postupaka u koje mogu biti stavljena dobra koja ulaze na carinsko područje Unije, sustavne mjere kontrole ne bi trebale obuhvaćati provoz.

(7)

Mnoge treće zemlje i većina država članica poznaju definicije koje se upotrebljavaju u Konvenciji Unesco-a o mjerama zabrane i sprječavanja nezakonitog uvoza, izvoza i prijenosa vlasništva kulturnih dobara, potpisanoj u Parizu 14. studenoga 1970., („Konvencija Unesco-a iz 1970.”), čije su stranke znatan broj država članica, i u Konvenciji UNIDROIT-a o ukradenim ili nezakonito izvezenim kulturnim dobrima, potpisanoj u Rimu 24. lipnja 1995. Zbog tog se razloga definicije koje se upotrebljavaju u ovoj Uredbi temelje na navedenim definicijama.

(8)

Zakonitost izvoza kulturnih dobara trebalo bi prvenstveno ispitati na temelju zakonâ i drugih propisa zemlje u kojoj su ta kulturna dobra stvorena ili otkrivena. Međutim, kako se ne bi neopravdano ometala zakonita trgovina, osobi koja želi uvesti kulturna dobra na carinsko područje Unije trebalo bi, u određenim slučajevima, iznimno dopustiti da umjesto toga dokaže zakonit izvoz iz neke druge treće zemlje u kojoj su se kulturna dobra nalazila prije njihove otpreme u Uniju. Ta iznimka trebala bi se primjenjivati u slučajevima u kojima se ne može pouzdano utvrditi zemlja u kojoj su kulturna dobra stvorena ili otkrivena ili u slučajevima u kojima su dotična kulturna dobra izvezena prije nego što je Konvencija Unesco-a iz 1970. stupila na snagu, odnosno prije 24. travnja 1972. Kako bi se spriječilo izbjegavanje ove Uredbe jednostavnim slanjem nezakonito izvezenih kulturnih dobara u neku drugu treću zemlju prije njihova uvoza u Uniju, iznimke bi se trebale primjenjivati ako su se kulturna dobra nalazila u trećoj zemlji tijekom razdoblja duljeg od pet godina u druge svrhe osim u svrhe privremene upotrebe, provoza, ponovnog izvoza ili pretovara. Ako navedene uvjete ispunjavaju dvije zemlje ili više njih, relevantna zemlja trebala bi biti zemlja koja je bila posljednja prije unosa kulturnih dobara na carinsko područje Unije.

(9)

U članku 5. Konvencije Unesco-a iz 1970. poziva se države stranke na uspostavu jedne ili više nacionalnih službi za zaštitu kulturnih dobara od nezakonitog uvoza, izvoza i prijenosa vlasništva. Takve nacionalne službe trebale bi raspolagati dostatnim brojem kvalificiranog osoblja kako bi osigurale navedenu zaštitu u skladu s tom konvencijom te bi također trebale omogućiti potrebnu aktivnu suradnju između nadležnih tijela država članica koje su stranke te konvencije u području sigurnosti i u borbi protiv nezakonitog uvoza kulturnih dobara, posebno iz područja pogođenih oružanim sukobima.

(10)

Kako bi se izbjeglo nerazmjerno ometanje trgovine kulturnim dobrima preko vanjske granice Unije, ova bi se Uredba trebala primjenjivati samo na kulturna dobra iznad određene granice starosti koja je utvrđena ovom Uredbom. Također se čini primjerenim utvrditi financijski prag kako bi se iz primjene uvjeta i postupaka za uvoz kulturnih dobara na carinsko područje Unije isključila kulturna dobra manje vrijednosti. Tim će se pragovima osigurati da mjere predviđene u ovoj Uredbi budu usmjerene na ona kulturna dobra za koja je najvjerojatnije da bi mogla postati metom pljačkaša na područjima zahvaćenima sukobima, ne isključujući pritom druga dobra koja je potrebno kontrolirati kako bi se osigurala zaštita kulturne baštine.

(11)

Utvrđeno je da nezakonita trgovina opljačkanim kulturnim dobrima može biti izvor financiranja terorizma i način pranja novca u kontekstu nadnacionalne procjene rizika u pogledu rizika povezanih s pranjem novca i financiranjem terorizma koji utječu na unutarnje tržište.

(12)

Budući da su određene kategorije kulturnih dobara, točnije arheološki predmeti i dijelovi spomenika posebno podložni pljački i uništavanju, čini se da je potrebno predvidjeti sustav pojačanog nadzora prije nego što im se dopusti ulazak na carinsko područje Unije. U takvom bi sustavu, prije puštanja takvih kulturnih dobara u slobodni promet u Uniji ili njihova stavljanja u posebni carinski postupak, osim provoza, trebalo zahtijevati podnošenje uvozne dozvole koju je izdalo nadležno tijelo države članice. Osobe koje žele dobiti takvu dozvolu trebale bi moći dokazati zakonit izvoz iz zemlje u kojoj su kulturna dobra stvorena ili otkrivena, i to s pomoću odgovarajućih pratećih dokumenata i dokaza, kao što su izvozna uvjerenja, isprave o vlasništvu, računi, kupoprodajni ugovori, dokumenti o osiguranju, prijevozne isprave i procjene stručnjaka. Nadležna tijela država članica trebala bi na temelju potpunih i točnih zahtjeva bez nepotrebne odgode odlučiti hoće li izdati dozvolu. Sve uvozne dozvole trebale bi biti pohranjene u elektroničkom sustavu.

(13)

Ikona je prikaz neke vjerske ličnosti ili nekog vjerskog događaja. Može biti izrađena od raznih materijala i u raznim veličinama te može biti monumentalna ili prenosiva. U slučajevima u kojima je ikona nekoć bila dio, primjerice, unutrašnjosti crkve, samostana ili kapele, kao samostojeća ili kao dio arhitektonskog namještaja, primjerice, ikonostas ili postolje za ikone, ona je ključan i nedjeljiv dio bogoslužja i liturgijskog života, te bi je trebalo smatrati sastavnim dijelom vjerskog spomenika koji je raskomadan. Čak i u slučajevima kada je određeni spomenik kojem je ikona pripadala nepoznat, ali u kojima postoje dokazi da je ona nekoć bila sastavni dio nekog spomenika, a posebno ako postoje znakovi ili elementi koji ukazuju na to da je ona nekoć bila dio ikonostasa ili postolja za ikone, ikona bi svejedno trebala biti obuhvaćena kategorijom „dijelovi raskomadanih umjetničkih ili povijesnih spomenika ili arheoloških nalazišta” navedenom u Prilogu.

(14)

Uzimajući u obzir posebnu prirodu kulturnih dobara, uloga carinskih tijela iznimno je važna i ona bi trebala moći, prema potrebi, zatražiti dodatne informacije od deklaranta i obaviti fizički pregled kulturnih dobara.

(15)

Kada je riječ o kategorijama kulturnih dobara za čiji uvoz nije potrebna uvozna dozvola, osobe koje žele uvesti takva dobra na carinsko područje Unije trebale bi s pomoću izjave potvrditi i preuzeti odgovornost za njihov zakonit izvoz iz treće zemlje i pružiti dovoljno informacija kako bi carinska tijela mogla identificirati ta kulturna dobra. Radi olakšavanja postupka i zbog pravne sigurnosti, informacije o kulturnim dobrima trebalo bi pružati uz upotrebu standardiziranog dokumenta. Identifikacijska oznaka predmeta, koja je standard koji je preporučio Unesco, mogla bi se upotrebljavati za opis kulturnih dobara. Posjednik dobara trebao bi unijeti te pojedinosti u elektronički sustav kako bi se carinskim tijelima olakšala identifikacija tih dobara i kako bi se omogućile analiza rizika i ciljane kontrole te kako bi se osigurala sljedivost kulturnih dobara nakon njihova ulaska na unutarnje tržište.

(16)

U okviru okruženja jedinstvenog sučelja EU-a za carinu Komisija bi trebala biti odgovorna za uspostavu centraliziranog elektroničkog sustava za podnošenje zahtjevâ za uvozne dozvole i izjava uvoznika kao i za pohranu i razmjenu informacija među tijelima država članica, osobito onih koje se odnose na izjave uvoznika i uvozne dozvole.

(17)

Obradom podataka u skladu s ovom Uredbom trebalo bi moći obuhvatiti i osobne podatke te bi tu obradu trebalo provoditi u skladu s pravom Unije. Države članice i Komisija trebale bi osobne podatke obrađivati samo za potrebe ove Uredbe ili u propisno opravdanim slučajevima za potrebe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, među ostalim za potrebe zaštite od prijetnji javnoj sigurnosti i njihovo sprečavanje. Svako prikupljanje, otkrivanje, prijenos, objava i druga obrada osobnih podataka obuhvaćenih područjem primjene ove Uredbe trebali bi podlijegati zahtjevima iz uredaba (EU) 2016/679 (6) i (EU) 2018/1725 (7) Europskog parlamenta i Vijeća. Pri obradi osobnih podataka za potrebe ove Uredbe trebalo bi se također poštovati pravo na poštovanje privatnog i obiteljskog života priznato člankom 8. Konvencije za zaštitu ljudskih prava i temeljnih sloboda Vijeća Europe te pravo na poštovanje privatnog i obiteljskog života i pravo na zaštitu osobnih podataka, priznato člankom 7., odnosno člankom 8. Povelje Europske unije o temeljnim pravima.

(18)

Kulturna dobra koja nisu stvorena ni otkrivena na carinskom području Unije, ali su izvezena kao roba Unije, ne bi trebala podlijegati podnošenju uvozne dozvole ni izjave uvoznika pri njihovu vraćanju na to područje kao vraćene robe u smislu Uredbe (EU) br. 952/2013.

(19)

Privremeni uvoz kulturnih dobara u svrhu obrazovanja, znanosti, konzervacije, restauracije, izlaganja, digitalizacije, izvedbenih umjetnosti, istraživanja koja provode akademske ustanove ili suradnje među muzejima ili sličnim ustanovama također ne bi trebao podlijegati podnošenju uvozne dozvole ni izjave uvoznika.

(20)

Smještaj kulturnih dobara iz zemalja pogođenih oružanim sukobima ili prirodnim katastrofama, u izričitu svrhu osiguravanja njihove sigurne pohrane i očuvanja od strane ili pod nadzorom javnog tijela, ne bi trebao podlijegati podnošenju uvozne dozvole ili izjave uvoznika.

(21)

Radi olakšavanja izlaganja kulturnih dobara na komercijalnim sajmovima umjetnina, uvozna dozvola ne bi trebala biti potrebna za privremeno uvezena kulturna dobra, u smislu članka 250. Uredbe (EU) br. 952/2013, i ako je umjesto uvozne dozvole predočena izjava uvoznika. Međutim, podnošenje uvozne dozvole trebalo bi se zahtijevati ako takva kulturna dobra trebaju ostati u Uniji nakon sajma umjetnina.

(22)

Radi osiguranja jedinstvenih uvjeta za provedbu ove Uredbe, provedbene ovlasti trebalo bi dodijeliti Komisiji radi donošenja detaljnih aranžmana za: kulturna dobra koja su vraćena roba ili privremeni uvoz kulturnih dobara na carinsko područje Unije i njihovu sigurnu pohranu, predložaka zahtjevâ za izdavanje uvozne dozvole i obrazaca za uvozne dozvole te predložaka za izjave uvoznika i njihove prateće dokumente te daljnjih postupovnih pravila o njihovu podnošenju i obradi. Provedbene ovlasti trebalo bi dodijeliti Komisiji i za izradu aranžmana za uspostavu elektroničkog sustava za podnošenje zahtjeva za uvozne dozvole i izjava uvoznika te za pohranu i razmjenu informacija među državama članicama. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća (8).

(23)

Kako bi se osigurala djelotvorna koordinacija te izbjeglo podvostručivanje napora pri organizaciji osposobljavanja, aktivnosti izgradnje kapaciteta i kampanja za podizanje razine osviještenosti te kako bi se, prema potrebi, naručila relevantna istraživanja i izrada standarda, Komisija i države članice trebale bi surađivati s međunarodnim organizacijama i tijelima kao što su Unesco, Interpol, Europol, Svjetska carinska organizacija, Međunarodni centar za očuvanje i restauraciju kulturnih dobara i Međunarodno vijeće muzeja (ICOM).

(24)

Radi potpore učinkovitoj provedbi ove Uredbe i kao osnova za njezinu buduću evaluaciju, relevantne informacije o trgovinskim tokovima kulturnih dobara trebale bi se prikupljati elektroničkim putem te bi ih države članice i Komisija trebale razmjenjivati. U interesu transparentnosti i javnog nadzora trebalo bi objaviti što više informacija. Trgovinski tokovi kulturnih dobara ne mogu se učinkovito pratiti samo na temelju njihove vrijednosti ili težine. Iznimno je važno elektroničkim putem prikupljati informacije o broju deklariranih predmeta. Budući da za kulturna dobra u kombiniranoj nomenklaturi nije predviđena dodatna mjerna jedinica, potrebno je zahtijevati da se deklarira broj predmetâ.

(25)

Strategijom EU-a i Akcijskim planom za upravljanje rizicima u carinskim pitanjima nastoje se, među ostalim, ojačati kapaciteti carinskih tijela kako bi se povećala sposobnost pružanja odgovora na rizike u području kulturnih dobara. Trebalo bi upotrebljavati zajednički okvir upravljanja rizikom utvrđen u Uredbi (EU) br. 952/2013, a carinska tijela trebala bi razmjenjivati relevantne informacije o riziku.

(26)

Kako bi se iskoristilo stručno znanje međunarodnih organizacija i tijela koja djeluju u području kulture te njihovo iskustvo u vezi s nezakonitom trgovinom kulturnim dobrima, u zajedničkom okviru upravljanja rizikom pri utvrđivanja rizika povezanih s kulturnim dobrima u obzir bi trebalo uzeti preporuke i smjernice koje su te organizacije i tijela izdali. Pri utvrđivanju onih trećih zemalja čija je baština u najvećoj opasnosti i predmeta koji se iz tih trećih zemalja često izvoze u okviru nezakonite trgovine osobito bi se trebalo voditi Crvenim popisima koje je izdao ICOM.

(27)

Potrebno je organizirati kampanje za podizanje razine osviještenosti usmjerene prema kupcima kulturnih dobara u pogledu rizika povezanih s nezakonitom trgovinom te pomagati tržišnim subjektima da shvate ovu Uredbu i primjenjuju je. U širenje tih informacija države članice trebale bi uključiti relevantne nacionalne kontaktne točke i druge službe za pružanje informacija.

(28)

Komisija bi trebala osigurati da mikropoduzeća te mala i srednja poduzeća (MSP-ovi) ostvaruju korist od odgovarajuće tehničke pomoći te bi trebala olakšati pružanje informacija takvim poduzećima radi učinkovite provedbe ove Uredbe. MSP-ovi s poslovnim nastanom u Uniji koji uvoze kulturna dobra trebali bi stoga ostvarivati korist od sadašnjih i budućih programa Unije za potporu kompetitivnosti malih i srednjih poduzeća.

(29)

Radi poticanja usklađenosti i sprečavanja izbjegavanja obveza, države članice trebale bi uvesti učinkovite, proporcionalne i odvraćajuće sankcije za nepoštovanje odredaba ove Uredbe i o tim sankcijama obavijestiti Komisiju. Sankcije koje države članice uvedu za kršenja ove Uredbe trebale bi imati istovjetan učinak odvraćanja u cijeloj Uniji.

(30)

Države članice trebale bi osigurati da se carinska tijela i nadležna tijela dogovore o mjerama iz članka 198. Uredbe (EU) br. 952/2013. Pojedinosti u pogledu tih mjera trebale bi podlijegati nacionalnom pravu.

(31)

Komisija bi trebala bez odgode donijeti pravila kojima se provodi ova Uredba, posebno ona koja se odnose na odgovarajuće elektroničke standardizirane obrasce koje treba koristiti za podnošenje zahtjeva za izdavanje uvozne dozvole ili za pripremu izjave uvoznika te zatim u što kraćem roku uspostaviti elektronički sustav. Primjenu odredaba koje se odnose na uvozne dozvole i izjave uvoznika trebalo bi u skladu s time odgoditi.

(32)

U skladu s načelom proporcionalnosti, radi ostvarenja temeljnih ciljeva ove Uredbe potrebno je i primjereno utvrditi pravila o unosu te uvjetima i postupcima za uvoz kulturnih dobara na carinsko područje Unije. Ova Uredba ne prelazi ono što je potrebno za ostvarivanje ciljeva koji se nastoje ostvariti u skladu s člankom 5. stavkom 4. Ugovora o Europskoj uniji,

(1)

Mrežni i informacijski sustavi i elektroničke komunikacijske mreže i usluge imaju ključnu ulogu u društvu i postali su okosnica gospodarskog rasta. Na informacijskoj i komunikacijskoj tehnologiji (IKT) temelje se složeni sustavi kojima se podupiru svakodnevne društvene aktivnosti, osigurava neprekinuto funkcioniranje naših gospodarstava u ključnim sektorima poput zdravstva, energetike, financija i prometa te se posebno podupire funkcioniranje unutarnjeg tržišta.

(2)

Građani, organizacije i poduzeća u cijeloj Uniji sada se u znatnoj mjeri koriste mrežnim i informacijskim sustavima. Digitalizacija i povezivost postaju ključne značajke sve većeg broja proizvoda i usluga, a pojavom interneta stvari (IoT) očekuje se da će se u Uniji tijekom sljedećeg desetljeća upotrebljavati iznimno velik broj povezanih digitalnih uređaja. Iako se s internetom povezuje sve veći broj uređaja, pri njihovom dizajnu se ne vodi dovoljno računa o sigurnosti i otpornosti, što dovodi do nedostatne kibersigurnosti. U tom kontekstu, zbog ograničene uporabe certifikacije, pojedinačni korisnici, organizacije i poduzeća nemaju dovoljno informacija o kibersigurnosnim značajkama IKT proizvoda i IKT usluga, što smanjuje povjerenje u digitalna rješenja. Mrežni i informacijski sustavi imaju sposobnost podupiranja svih aspekata naših života i poticanja gospodarskog rasta Unije. Okosnica su za ostvarenje jedinstvenog digitalnog tržišta.

(3)

Rast digitalizacije i povezivosti dovode do većih kibersigurnosnih rizika, zbog čega je društvo u cjelini osjetljivije na kiberprijetnje, a pojedinci se suočavaju sa sve većim opasnostima, uključujući ranjive osobe kao što su djeca. Kako bi se ti rizici ublažili, treba poduzeti sve nužne mjere za poboljšanje kibersigurnosti u Uniji s ciljem bolje zaštite od kiberprijetnji mrežnih i informacijskih sustava, telekomunikacijskih mreža, digitalnih proizvoda, usluga i uređaja kojima se koriste građani, organizacije i poduzeća, od malih i srednjih poduzeća (MSP-ovi), kako su definirana u Preporuci Komisije 2003/361/EZ (4) do operatora ključnih infrastruktura.

(4)

Agencija Europske unije za mrežnu i informacijsku sigurnost (ENISA), osnovana Uredbom (EU) br. 526/2013. Europskog parlamenta i Vijeća (5) stavljanjem na raspolaganje relevantnih informacija javnosti doprinosi razvoju kibersigurnosnog sektora u Uniji, a posebice MSP-ova te novoosnovanih poduzeća. ENISA bi trebala nastojati ostvariti bližu suradnju sa sveučilištima i istraživačkim subjektima kako bi se doprinijelo smanjenju ovisnost o kibersigurnosnim proizvodima i uslugama izvan Unije i ojačalo opskrbne lance unutar Unije.

(5)

Kibernapadi su sve češći te je potrebna snažnija obrana povezanoga gospodarstva i društva koje je osjetljivije na kiberprijetnje i napade. Međutim, dok su kibernapadi često prekogranični, nadležnost i politički odgovori nadležnih tijela za kibersigurnost i za izvršavanje zakonodavstva uglavnom su nacionalni. Veliki incidenti mogli bi uzrokovati prekid u pružanju ključnih usluga u cijeloj Uniji. Zbog toga su potrebni učinkoviti i koordinirani odgovori te upravljanje krizama na razini Unije, koji se temelje na ciljanim politikama i opsežnijim instrumentima za europsku solidarnost i uzajamnu pomoć. Nadalje, za oblikovatelje politika, industriju i korisnike važno je redovito ocjenjivanje stanja kibersigurnosti i otpornosti u Uniji na temelju pouzdanih podataka Unije i sustavno predviđanje budućeg razvoja, izazova i opasnosti na razini Unije i na globalnoj razni.

(6)

Zbog sve većih kibersigurnosnih izazova s kojima se Unija suočava potrebno je donijeti sveobuhvatan skup mjera koje bi se temeljile na prethodnom djelovanju Unije i kojima bi se poticali ciljevi koji se uzajamno podupiru. Ti ciljevi uključuju daljnje povećanje sposobnosti i spremnosti država članica i poduzeća te poboljšanje suradnje, razmjene informacija i koordinacije među državama članicama i institucijama, tijelima, uredima i agencijama Unije. Nadalje, s obzirom na to da kiberprijetnje ne poznaju granice, trebalo bi povećati sposobnosti na razini Unije kojima bi se mogla dopuniti djelovanja država članica, posebno u slučajevima velikih prekograničnih incidenata i kriza uz istodobno vođenje računa o važnosti održavanja i daljnjeg poboljšavanja nacionalnih sposobnosti za odgovor na kiberprijetnje svih razmjera.

(7)

Potrebno je također uložiti dodatne napore u podizanje osviještenosti građana, organizacija i poduzeća o pitanjima kibersigurnosti. Nadalje, budući da incidenti narušavaju povjerenje u pružatelje digitalnih usluga i u samo jedinstveno digitalno tržište, posebno u redovima potrošača, povjerenje bi trebalo dodatno ojačati transparentnom ponudom informacija o razini sigurnosti IKT proizvoda, IKT usluga i IKT procesa kojima se ističe da čak i visoka razina kibersigurnosne certifikacije nije jamstvo da su IKT proizvod, IKT usluga ili IKT proces potpuno sigurni. Jačanje povjerenja može se olakšati certifikacijom na razini Unije kojom će se osigurati zajednički kibersigurnosni zahtjevi i kriteriji za evaluaciju na svim nacionalnim tržištima i u svim sektorima.

(8)

Kibersigurnost nije samo problem povezan s tehnologijom, već je za njega od jednake važnosti ljudsko ponašanje. Stoga bi trebalo snažno promicati „kiberhigijenu”, odnosno jednostavne, rutinske mjere kojima se, ako ih građani, organizacije i poduzeća redovito provode, na najmanju moguću mjeru smanjuje njihova izloženost rizicima od kiberprijetnji.

(9)

Radi jačanja struktura Unije u području kibersigurnosti važno je održati i razviti sposobnosti država članica za sveobuhvatan odgovor na kiberprijetnje, što obuhvaća prekogranične incidente.

(10)

Poduzeća i pojedinačni potrošači trebali bi imati točne informacije o tome do koje su jamstvene razine certificirani njihovi IKT proizvodi, IKT usluge i IKT procesi. Istodobno, nijedan IKT proizvod, IKT usluga ili IKT proces nije u potpunosti kibersiguran i potrebno je promicati i prioritizirati osnovna pravila kiberhigijene. S obzirom na sve veću dostupnost uređaja IoT-a postoji niz dobrovoljnih mjera koje privatni sektor može poduzeti kako bi ojačao povjerenje u sigurnost IKT proizvoda, IKT usluga i IKT procesa.

(11)

Moderni IKT proizvodi i sustavi često se integriraju i oslanjaju se na jednu ili više tehnologija i komponenti treće strane, kao što su softverski moduli, knjižnice ili aplikacijska programska sučelja. To oslanjanje, koje se naziva „ovisnost”, moglo bi predstavljati dodatne kibersigurnosne rizike jer bi ranjivosti prisutne u komponentama treće strane mogle utjecati i na sigurnost IKT proizvoda, IKT usluga i IKT procesa. U mnogim slučajevima utvrđivanje i dokumentiranje takvih ovisnosti omogućuje krajnjim korisnicima IKT proizvoda, IKT usluga i IKT procesa da poboljšaju svoje aktivnosti upravljanja kibersigurnosnim rizicima poboljšanjem, primjerice, korisničkih postupaka upravljanja ranjivostima i otklanjanja ranjivosti u području kibersigurnosti.

(12)

Trebalo bi poticati organizacije, proizvođače ili pružatelje usluga koji su uključeni u oblikovanje i razvoj IKT proizvoda, IKT usluga i IKT procesa da u najranijim fazama oblikovanja i razvoja provedu mjere radi zaštite sigurnosti tih proizvoda, procesa i usluga u najvećoj mogućoj mjeri, na način da se pretpostavlja pojava napada te da se njihov učinak očekuje i smanjuje na najmanju moguću mjeru („integrirana sigurnost”). Sigurnosti bi trebalo jamčiti tijekom cijelog životnog vijeka IKT proizvoda, IKT usluge i IKT procesa i to tako da se postupci oblikovanja i razvoja stalno razvijaju s ciljem smanjenja štete od zlonamjernog iskorištavanja.

(13)

Poduzeća, organizacije i javni sektor trebali bi konfigurirati IKT proizvode, IKT procese ili IKT usluge koje osmišljavaju tako da se osigura viši stupanj sigurnosti, što bi prvom korisniku omogućilo da dobije zadanu konfiguraciju s najsigurnijim mogućim postavkama („zadana sigurnost”) čime bi se smanjilo opterećenje za korisnike da na odgovarajući način moraju konfigurirati IKT proizvod, IKT uslugu i IKT procesd. Zadana sigurnost ne bi trebala zahtijevati opsežnu konfiguraciju ni specifično tehničko razumijevanje ili neintuitivno ponašanje korisnika već bi, ako je ugrađena, trebala funkcionirati jednostavno i pouzdano. Ako se na pojedinačnoj osnovi analizom rizika i upotrebljivosti pokaže da takve zadane postavke nisu ostvarive, korisnike bi trebalo upozoriti da se odluče za najsigurniju postavku.

(14)

Uredbom (EZ) br. 460/2004 Europskog parlamenta i Vijeća (6) osnovana je ENISA za potrebe doprinosa ciljevima osiguravanja visoke i učinkovite razine mrežne i informacijske sigurnosti u Uniji te razvoja kulture mrežne i informacijske sigurnosti u korist građana, potrošača, poduzeća i javnih uprava. Uredbom (EZ) br. 1007/2008 Europskog parlamenta i Vijeća (7) produljen je mandat ENISA-e do ožujka 2012. Uredbom (EU) br. 580/2011 Europskog parlamenta i Vijeća (8) dodatno je produljen mandat ENISA-e do 13. rujna 2013. Uredbom (EU) br. 526/2013 mandat ENISA-e produljen je do 19. lipnja 2020.

(15)

Unija je već poduzela važne korake kako bi osigurala kibersigurnost i povećala povjerenje u digitalne tehnologije. Godine 2013. donesena je Strategija Europske unije za kibersigurnost kako bi se usmjerio politički odgovor Unije na kiberprijetnje i kiberrizike. S ciljem bolje zaštite građana na internetu Unija je 2016. donijela prvi zakonodavni akt u području kibersigurnosti u obliku Direktive (EU) 2016/1148 Europskog parlamenta i Vijeća (9). Direktivom (EU) 2016/1148 utvrđuju se zahtjevi u pogledu nacionalnih sposobnosti u području kibersigurnosti, uspostavljeni su prvi mehanizmi za jačanje strateške i operativne suradnje među državama članicama i uvedene su obveze u pogledu sigurnosnih mjera i obavijesti o incidentima u sektorima koji su od ključne važnosti za gospodarstvo i društvo, kao što su energetika, promet, opskrba pitkom vodom i njezina distribucija, bankarstvo, infrastruktura financijskog tržišta, zdravstvena skrb, digitalna infrastruktura i pružatelji ključnih digitalnih usluga (tražilice, usluge računalstva u oblaku i internetska tržišta).

ENISA je dobila ključnu ulogu u podupiranju provedbe te direktive. Nadalje, djelotvorna borba protiv kiberkriminaliteta važan je prioritet Europskog programa sigurnosti, čime se doprinosi općem cilju postizanja visoke razine kibersigurnosti. Drugi pravni akti, kao što su Uredba (EU) 2016/679 Europskog parlamenta i Vijeća (10) i direktive 2002/58/EZ (11) i (EU) 2018/1972 (12) Europskog parlamenta i Vijeća, također doprinose visokoj razini kibersigurnosti na jedinstvenom digitalnom tržištu.

(16)

Od donošenja strategije Europske unije o kibersigurnosti iz 2013. i posljednje revizije mandata ENISA-ee znatno se promijenio opći kontekst politike rastom neizvjesnosti i nesigurnosti globalnog okruženja. Imajući to u vidu te u kontekstu pozitivnog razvoja uloge ENISA-e kao referentne točke za savjetovanje i stručno znanje, posredovatelja suradnje i izgradnje kapaciteta te u okviru nove politike Unije u području kibersigurnosti nužno je preispitati mandat ENISA-e kako bi se utvrdila njezina uloga u promijenjenom kibersigurnosnom ekosustavu i osiguralo da ona djelotvorno doprinosi odgovoru Unije na kiberizazove koji proizlaze iz bitno preobraženog okruženja kiberprijetnji na koje ENISA, kao što se pokazalo tijekom njezine evaluacije, u okviru svojeg trenutačnog mandata, ne može dostatno odgovoriti.

(17)

ENISA osnovana ovom Uredbom trebala bi naslijediti ENISA-u osnovanu Uredbom (EU) br. 526/2013. ENISA bi trebala izvršavati zadaće koje su joj povjerene ovom Uredbom i drugim pravnim aktima Unije u području kibersigurnosti pružanjem, među ostalim, savjeta i stručnog znanja te djelujući kao centar za informacije i znanje u Uniji. Ona bi trebala promicati razmjenu najbolje prakse među državama članicama i privatnim dionicima, Komisiji i državama članicama trebala bi davati prijedloge o politikama, djelovati kao referentna točka za sektorske inicijative politike Unije u području kibersigurnosti i poticati operativnu suradnju među državama članicama i između država članica i institucija, tijela, ureda i agencija Unije.

(18)

Odlukom 2004/97/EZ, Euratom donesenom zajedničkim dogovorom predstavnika država članica koji su se sastali na razini šefova država i vlada (13), predstavnici država članica odlučili su da će sjedište ENISA-e biti u Grčkoj u gradu koji odredi grčka vlada. Država članica domaćin ENISA-e trebala bi osigurati najbolje moguće uvjete za njezin nesmetan i učinkovit rad. Za pravilno i učinkovito obavljanje zadaća, za odabir i zadržavanje osoblja te za jačanje učinkovitosti aktivnosti umrežavanja nužno je da se ENISA nalazi na odgovarajućoj lokaciji na kojoj su, među ostalim, osigurani odgovarajuća prometna povezanost te prostori za supružnike i djecu koji prate članove osoblja ENISA-e. Potrebne aranžmane trebalo bi utvrditi u sporazumu između ENISA-e i države članice domaćina koji se sklapa nakon dobivanja suglasnosti Upravljačkog odbora ENISA-e.

(19)

S obzirom na sve veće rizike i izazove u području kibersigurnosti s kojima se Unija suočava, trebalo bi povećati financijske i ljudske resurse dodijeljene ENISA-i u skladu s njezinom pojačanom ulogom i zadaćama i njezinom ključnom ulogom u ekosustavu organizacija koje brane digitalni ekosustav Unije koji bi ENISA-i omogućili da učinkovito izvršava zadaće koje su joj dodijeljene ovom Uredbom.

(20)

ENISA bi trebala razviti i održavati visoku razinu stručnosti i djelovati kao referentna točka koja svojom neovisnošću, kvalitetom savjeta i informacija koje pruža, transparentnošću postupaka i metoda rada te marljivošću u obavljanju svojih zadaća uspostavlja povjerenje u jedinstveno tržište. ENISA bi trebala aktivno podupirati nacionalne napore te bi trebala proaktivno doprinositi naporima Unije obavljajući pritom svoje zadaće u potpunoj suradnji s institucijama, tijelima, uredima i agencijama Unije te s državama članicama, uz izbjegavanje udvostručavanja posla i promicanje sinergije. Nadalje, rad ENISA-e trebao bi se temeljiti na informacijama dobivenima od privatnog sektora i relevantnih dionika i suradnji s njima. Skupom zadaća trebao bi se utvrditi način na koji će ENISA ostvariti svoje ciljeve, pri čemu joj se treba omogućiti fleksibilnost u radu.

(21)

ENISA bi trebala dodatno ojačati vlastite tehničke i ljudske sposobnosti i vještine kako bi mogla pružiti odgovarajuću potporu operativnoj suradnji između država članica. ENISA bi trebala povećati svoje znanje i iskustvo te sposobnosti. ENISA i države članice mogli bi na dobrovoljnoj osnovi osmisliti programe za upućivanje nacionalnih stručnjaka u ENISA-u, stvaranje skupina stručnjaka i razmjenu osoblja.

(22)

ENISA bi trebala pomagati Komisiji davanjem savjeta, mišljenja i analiza u vezi sa svim pitanjima Unije koja se odnose na razvoj, ažuriranje i preispitivanje politika i prava u području kibersigurnosti te njihovih sektorskih aspekata radi jačanja relevantnosti politika i prava Unije s dimenzijom kibersigurnosti i omogućavanja dosljednosti u njihovoj provedbi na nacionalnoj razini. ENISA bi trebala djelovati kao referentna točka za pružanje savjeta i stručnog znanja o sektorskoj politici i pravnim inicijativama Unije kada je riječ o pitanjima kibersigurnosti. ENISA bi trebala redovito obavješćivati Europski parlament o svojim aktivnostima.

(23)

Javna jezgra otvorenog interneta, odnosno njegovi glavni protokoli i infrastruktura koji su globalno javno dobro, omogućuje temeljnu funkcionalnost interneta i osnova je njegova normalnog funkcioniranja. ENISA bi trebala podupirati sigurnost i stabilnost funkcioniranja javne jezgre otvorenog interneta, uključujući, ali ne ograničavajući se na ključne protokole (posebno DNS, BGP i IPv6), rad sustava naziva domena (DNS) (kao što je funkcioniranje svih vršnih domena), te rad korijenske zone (root zone).

(24)

Osnovna je zadaća ENISA-e promicati dosljednu provedbu odgovarajućeg pravnog okvira, a posebno učinkovitu provedbu Direktive (EU) 2016/1148 i drugih relevantnih pravnih instrumenata koji sadržavaju aspekte kibersigurnosti, što je od ključne važnosti za povećanje kiberotpornosti. S obzirom na kiberprijetnje koje se brzo razvijaju, jasno je da države članice trebaju potporu sveobuhvatnijeg, horizontalnog pristupa izgradnji kiberotpornosti.

(25)

ENISA bi trebala pomagati državama članicama i institucijama, tijelima, uredima i agencijama Unije u njihovim naporima usmjerenima na izgradnju i jačanje sposobnosti i pripravnosti s ciljem sprječavanja i otkrivanja kiberprijetnji i kiberincidenata i odgovora na njih te u vezi sa sigurnošću mrežnih i informacijskih sustava. ENISA bi posebno trebala poduprijeti razvoj i jačanje nacionalnih i Unijinih timova za odgovor na računalne sigurnosne incidente („CSIRT-ovi”) iz Direktive (EU) 2016/1148 s ciljem postizanja visoke zajedničke razine njihove zrelosti u Uniji. Aktivnostima ENISA-e koje se odnose na operativne kapacitete država članica trebale bi se aktivno podupirati mjere koje države članice poduzimaju radi ispunjenja svojih obveza proizašlih iz Direktive (EU) 2016/1148 te ih stoga ne bi trebale nadomjestiti.

(26)

ENISA bi usto trebala pomagati u razvoju i ažuriranju strategija o sigurnosti mrežnih i informacijskih sustava na razini Unije i, na zahtjev, na razini država članica, osobito o kibersigurnosti, te bi trebala promicati širenje tih strategija i pratiti njihovu provedbu. ENISA bi ujedno trebala doprinositi pokrivanju potreba za osposobljavanjem i obrazovnim materijalima, uključujući potrebe javnih tijela, i prema potrebi, u velikoj mjeri „osposobljavati voditelje osposobljavanja” nadovezujući se na Okvir digitalne kompetencije za građane kako bi pomogla državama članicama te institucijama, tijelima, uredima i agencijama Unije da razviju vlastite sposobnosti za osposobljavanje.

(27)

ENISA bi trebala podupirati države članice u području podizanja svijesti i obrazovanja o kibersigurnosti olakšavanjem bliže koordinacije i razmjene najboljih praksi među državama članicama. Takva bi se potpora mogla sastojati od razvoja mreže nacionalnih obrazovnih kontaktnih točaka i razvoja platforme za osposobljavanje u području kibersigurnosti. Mreža nacionalnih obrazovnih kontaktnih točaka mogla bi djelovati u okviru mreže nacionalnih časnika za vezu te osigurati početnu točku za buduću koordinaciju unutar država članica.

(28)

ENISA bi trebala pomagati Skupini za suradnju osnovanoj Direktivom (EU) 2016/1148 pri izvršavanju njezinih zadaća, posebno pružanjem stručnog znanja i savjeta te olakšavanjem razmjene najbolje prakse, među ostalim, u pogledu utvrđivanja operatora ključnih usluga u državama članicama, kao i u pogledu prekograničnih ovisnosti, rizika i incidenata.

(29)

S ciljem poticanja suradnje između javnog i privatnog sektora te unutar privatnog sektora, posebice radi potpore zaštiti kritične infrastrukture, ENISA bi trebala podupirati unutarsektorsku i međusektorsku razmjenu informacija, osobito u sektorima s popisa u Prilogu II. Direktivi (EU) 2016/1148, pružanjem najboljih praksi i smjernica o dostupnim alatima i postupcima, kao i pružanjem smjernica za rješavanje regulatornih pitanja povezanih s razmjenom informacija, primjerice olakšavanjem uspostave sektorskih centara za razmjenu i analizu informacija.

(30)

Budući da je mogući negativni učinak ranjivosti IKT proizvoda, IKT usluga i IKT procesa u stalnom porastu, pronalaženje i otklanjanje takvih ranjivosti ima važnu ulogu u smanjenju ukupnih kibersigurnosnih rizika. Pokazalo se da se suradnjom između organizacija, proizvođača ili pružatelja ranjivih IKT proizvoda, IKT usluga i IKT procesa te članova istraživačke zajednice u području kibersigurnosti i vladâ, koji pronalaze takve ranjivosti, znatno povećava i stopa otkrivanja i stopa uklanjanja ranjivosti IKT proizvoda, IKT usluga i IKT procesa. Koordinirano otkrivanje ranjivosti odvija se strukturiranim postupkom suradnje u kojem se ranjivosti prijavljuju vlasniku informacijskog sustava, čime se organizaciji omogućuje da dijagnosticira i otkloni ranjivost prije nego što se detaljne informacije o njoj otkriju trećim stranama ili javnosti. Tim se postupkom predviđa i koordinacija između strane koja je otkrila ranjivosti i organizacije u pogledu objave tih ranjivosti. Politike koordiniranog otkrivanja ranjivosti mogle bi imati važnu ulogu u nastojanjima država članica da poboljšaju kibersigurnost.

(31)

ENISA bi trebala objedinjavati i analizirati dobrovoljno podijeljena zajednička nacionalna izvješća CSIRT-ova i međuinstitucijskog tima za hitne računalne intervencije za institucije, tijela i agencije Unije uspostavljenog Dogovorom između Europskog parlamenta, Europskog vijeća, Vijeća Europske unije, Europske komisije, Suda Europske unije, Europske središnje banke, Europskog revizorskog suda, Europske službe za vanjsko djelovanje, Europskog gospodarskog i socijalnog odbora, Europskog Odbora regija i Europske investicijske banke o organizaciji i radu tima za hitne računalne intervencije za institucije, tijela i agencije Unije (CERT-EU) (14) radi doprinosa uspostavi zajedničkih postupaka, jezika i terminologije za razmjenu informacija. U tom bi kontekstu ENISA trebala uključiti i privatni sektor u okvir Direktive (EU) 2016/1148 kojom se utvrđuje osnova za dobrovoljnu razmjenu tehničkih informacija na operativnoj razini u okviru mreže timova za odgovor na računalne sigurnosne incidente („mreža CSIRT-ova”) uspostavljene tom direktivom.

(32)

ENISA bi trebala doprinijeti odgovorima na razini Unije u slučaju prekograničnih incidenata i kriza velikih razmjera povezanih s kibersigurnošću. Tu bi zadaću ENISA trebala obavljati sukladno svojem mandatu u skladu s ovom Uredbom i pristupom koji trebaju dogovoriti države članice u kontekstu Preporuke Komisije (EU) 2017/1584 (15) i Zaključaka Vijeća od 26. lipnja 2018. o koordiniranom odgovoru EU-a na kiberincidente i kiberkrize velikih razmjera. Ta bi zadaća mogla uključivati prikupljanje relevantnih informacija i posredovanje između mreže CSIRT-ova i tehničke zajednice te između donositelja odluka koji su odgovorni za upravljanje krizom. Nadalje, ENISA bi trebala podupirati operativnu suradnju među državama članicama, ako to zahtijeva jedna ili više država članica, pri rješavanju incidenata s tehničkog gledišta olakšavanjem relevantne razmjene tehničkih rješenja među državama članicama i doprinosom komunikaciji s javnošću. ENISA bi trebala podupirati operativnu suradnju ispitivanjem uređenja za takvu suradnju s pomoću redovnih vježbi u području kibersigurnosti.

(33)

ENISA bi pri podupiranju operativne suradnje trebala iskoristiti dostupnu tehničku i operativnu stručnost CERT-EU-a u okviru strukturirane suradnje. Takvom strukturiranom suradnjom moglo bi se izgraditi stručno znanje ENISA-e. Prema potrebi trebalo bi definirati odgovarajuće namjenske aranžmane između ta dva subjekta kako bi se utvrdila praktična provedba takve suradnje i izbjeglo udvostručivanje aktivnosti.

(34)

U obavljanju svoje zadaće pružanja potpore operativnoj suradnji u okviru mreže CSIRT-ova ENISA bi trebala moći pružiti potporu državama članicama na njihov zahtjev, primjerice pružanjem savjeta o tome kako poboljšati njihove sposobnosti za sprečavanje, otkrivanje i odgovor na incidente, olakšavanjem tehničkog rješavanja incidenata sa značajnim ili bitnim učinkom, ili osiguravanjem da kiberprijetnje i kiberincidenati budu podvrgnuti analizi. ENISA bi trebala olakšati tehničko rješavanje incidenata sa značajnim ili bitnim učinkom i to posebice podupiranjem dobrovoljne razmjene tehničkih rješenja među državama članicama ili izradom objedinjenih tehničkih informacija kao što su tehnička rješenja koja države članice dobrovoljno razmjenjuju. U Preporuci (EU) 2017/1584 preporučuje se da države članice surađuju u dobroj vjeri te da uzajamno i s ENISA-om bez nepotrebnog odlaganja razmjenjuju informacije o incidentima i krizama velikih razmjera povezanima s kibersigurnošću. Takvim bi se informacijama dodatno pomoglo ENISA-i pri izvršavanju zadaća podupiranja operativne suradnje.

(35)

U okviru redovne suradnje na tehničkoj razini s ciljem podupiranja informiranosti o stanju u Uniji, ENISA bi trebala u bliskoj suradnji s državama članicama izrađivati redovito i temeljito tehničko izvješće o stanju kibersigurnosti EU-a u pogledu incidenata i kiberprijetnji, na temelju javno dostupnih informacija, vlastite analize i izvješća koje s njom dijele CSIRT-ovi država članica ili nacionalne jedinstvene kontaktne točke za sigurnost mrežnih i informacijskih sustava („jedinstvene kontaktne točke”) iz Direktive (EU) 2016/1148,u oba slučaja na dobrovoljnoj osnovi, Europski centar za kiberkriminalitet (EC3) pri Europolu, CERT-EU i, prema potrebi, Obavještajni i situacijski centar EU-a (EU INTCEN) pri Europskoj službi za vanjsko djelovanje. To bi izvješće trebalo biti dostupno Vijeću, Komisiji, Visokom predstavniku Unije za vanjske poslove i sigurnosnu politiku i mreži CSIRT-ova.

(36)

Potpora ENISA-e ex-post tehničkim istragama incidenata sa značajnim ili bitnim učinkom poduzete na zahtjev pogođenih država članica trebala bi biti usmjerena na sprečavanje budućih incidenata. Dotične države članice trebale bi pružiti potrebne informacije i pomoć kako bi ENISA mogla učinkovito podupirati ex-post tehničku istragu.

(37)

Države članice mogu pozvati poduzeća pogođena incidentom da surađuju pružanjem potrebnih informacija i pomoći ENISA-i ne dovodeći u pitanje njihovo pravo na zaštitu poslovno osjetljivih informacija i informacija koje se odnose na javnu sigurnost.

(38)

Kako bi bolje razumjela izazove u području kibersigurnosti i s ciljem pružanja strateških dugoročnih savjeta državama članicama i institucijama, tijelima, uredima i agencijama Unije, ENISA mora analizirati postojeće i nove kibersigurnosne rizike. U tu svrhu ENISA bi trebala, u suradnji s državama članicama i, prema potrebi, s tijelima za statistiku i drugim tijelima, prikupljati relevantne javno dostupne informacije ili one dobrovoljno stavljene na raspolaganje i provoditi analize novih tehnologija te davati tematske procjene očekivanih društvenih, pravnih, gospodarskih i regulatornih učinaka tehnoloških inovacija na mrežnu i informacijsku sigurnost, a posebno na kibersigurnost. Nadalje, ENISA bi analizom kiberprijetnji, ranjivosti i incidenata trebala pomagati državama članicama i institucijama, tijelima, uredima i agencijama Unije u prepoznavanju novih kibersigurnosnih rizika i sprečavanju incidenata.

(39)

S ciljem povećanja otpornosti Unije ENISA bi trebala razvijati stručnost u području kibersigurnosti infrastruktura posebno radi potpore sektorima iz Priloga II. Direktivi (EU) 2016/1148 i onih koje upotrebljavaju pružatelji digitalnih usluga navedeni u Prilogu III. toj direktivi pružanjem savjeta, izdavanjem smjernica i razmjenom najboljih praksi. Kako bi osigurala lakši pristup bolje strukturiranim informacijama o kibersigurnosnim rizicima i mogućim lijekovima, ENISA bi trebala razviti i održavati „informativni centar” Unije, središnji portal na kojem će javnost moći na jednom mjestu dobiti informacije o kibersigurnosti koje potječu od institucija, tijela, ureda i agencija na razini Unije i nacionalnoj razini. Olakšavanje pristupa bolje strukturiranim informacijama o kibersigurnosnim rizicima i mogućim lijekovima moglo bi također pomoći državama članicama da ojačaju svoje sposobnosti i usklade svoje prakse, čime bi povećale svoju ukupnu otpornost na kibernapade.

(40)

ENISA bi trebala doprinositi podizanju osviještenosti javnosti o kibersigurnosti, među ostalim putem kampanje podizanja svijesti na razini EU-a promicanjem obrazovanja, i davanjem savjeta o dobrim praksama za pojedinačne korisnike koje su namijenjene građanima, organizacijama i poduzećima. ENISA bi trebala doprinositi i promicanju najboljih praksi i rješenja, među ostalim kiberhigijenu i kiberpismenost, na razini građana, organizacija i poduzeća prikupljanjem i analizom javno dostupnih informacija o značajnim incidentima te sastavljanjem i objavljivanjem izvješća i savjeta za građane, organizacije i poduzeća kako bi se poboljšala njihova opća razina pripravnosti i otpornosti. ENISA bi također trebala težiti tome da potrošačima pruži relevantne informacije o primjenjivim programima certifikacije, na primjer davanjem smjernica i preporuka. ENISA bi, nadalje, u skladu s akcijskim planom o digitalnom obrazovanju uspostavljenim u Komunikaciji Komisije od 17. siječnja 2018. i u suradnji s državama članicama i institucijama, tijelima, uredima i agencijama Unije trebala organizirati redovite kampanje informiranja i obrazovanja krajnjih korisnika s ciljem poticanja sigurnijeg ponašanja pojedinaca na internetu, digitalne pismenosti i podizanja osviještenosti o potencijalnim kiberprijetnjama, uključujući kriminalne aktivnosti na internetu kao što su phishing napadi, mreže zaraženih računala (botnet), financijske i bankovne prijevare, prijevare povezane s podacima, te promicanja osnovnih savjeta o višestrukoj autentifikaciji, zakrpama, enkripciji, anonimizaciji i zaštiti podataka.

(41)

ENISA bi trebala imati glavnu ulogu u bržem osvješćivanju krajnjih korisnika o sigurnosti uređaja i sigurnom korištenju uslugama te bi trebala promicati integriranu sigurnost i integriranu privatnost na razini Unije. U postizanju tog cilja ENISA bi trebala najbolje iskoristiti dostupne najbolje prakse i iskustva, posebice najbolje prakse i iskustva akademskih institucija i istraživača u području IT sigurnosti.

(42)

Kako bi pružala potporu poduzećima koja djeluju u sektoru kibersigurnosti i korisnicima kibersigurnosnih rješenja, ENISA bi trebala razviti i održavati „opservatorij tržišta” provođenjem redovitih analiza i širenjem informacija o glavnim kretanjima na kibersigurnosnom tržištu na strani ponude i potražnje.

(43)

ENISA bi trebala doprinositi naporima Unije u suradnji s međunarodnim organizacijama te u okviru odgovarajućih okvira za međunarodnu suradnju u području kibersigurnosti. ENISA bi prema potrebi posebno trebala doprinositi suradnji s organizacijama kao što su OECD, OESS i NATO. Takva suradnja mogla bi, među ostalim, uključivati zajedničke vježbe u području kibersigurnosti i zajedničku koordinaciju odgovora na incidente. Te se aktivnosti trebaju provoditi u potpunosti poštujući Unijina načela uključivosti, uzajamnosti i autonomije u donošenju odluka, ne dovodeći u pitanje posebnu narav sigurnosne i obrambene politike nijedne države članice.

(44)

Kako bi se osiguralo da ENISA u potpunosti ostvari svoje ciljeve, ona bi se trebala povezati s relevantnim nadzornim tijelima Unije i drugim nadležnim tijelima u Uniji, institucijama, tijelima, uredima i agencijama Unije, među ostalim s CERT-EU-om, EC3-om, Europskom obrambenom agencijom (EDA), Agencijom za europski globalni navigacijski satelitski sustav (Europska agencija za GNSS), Uredom tijela europskih regulatora za elektroničke komunikacije (BEREC), Europskom agencijom za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde (eu-LISA), Europskom središnjom bankom (ESB), Europskim nadzornim tijelom za bankarstvo (EBA), Europskim odborom za zaštitu podataka, Agencijom Unije za suradnju energetskih regulatora (ACER), Europskom agencijom za sigurnost zračnog prometa (EASA) i sa svim drugim agencijama Unije koje djeluju u području kibersigurnosti. ENISA bi se trebala povezati i s nadležnim tijelima za zaštitu podataka s ciljem razmjene znanja i najbolje prakse i trebala bi davati savjete o aspektima kibersigurnosti koji bi mogli utjecati na njihov rad. Predstavnici nacionalnih tijela za izvršavanje zakonodavstva i tijela za izvršavanje zakonodavstva na razini Unije te nacionalnih tijela i tijela Unije za zaštitu privatnosti trebali bi imati pravo da budu zastupljeni u savjetodavnoj skupini ENISA-e. Pri povezivanju s tijelima za izvršavanje zakonodavstva u vezi s pitanjima mrežne i informacijske sigurnosti koji mogu utjecati na njihov rad, ENISA bi trebala poštovati postojeće informacijske kanale i uspostavljene mreže.

(45)

Mogla bi se uspostaviti partnerstva s akademskim institucijama u kojima su pokrenute istraživačke inicijative u relevantnim područjima te bi trebali postojati odgovarajući kanali za doprinose organizacija potrošača i drugih organizacija koje bi trebalo uzeti u obzir.

(46)

ENISA bi u svojoj ulozi tajništva mreže CSIRT-ova trebala podupirati CSIRT-ove u državama članicama i CERT-EU u operativnoj suradnji u vezi s relevantnim zadaćama mreže CSIRT-ova kako su navedene u Direktivi (EU) 2016/1148. Nadalje, ENISA bi trebala poticati i podržavati suradnju između relevantnih CSIRT-ova u slučaju incidenata, napada ili poremećaja mreža ili infrastrukture kojima upravljaju ili koje oni štite i koje uključuju ili imaju mogućnost uključivanja najmanje dva CSIRT-a uzimajući u obzir standardne operativne postupke mreže CSIRT-ova.

(47)

S ciljem povećanja pripravnosti Unije za odgovor na incidente ENISA bi trebala redovito organizirati vježbe u području kibersigurnosti na razini Unije te državama članicama, institucijama, tijelima, uredima i agencijama Unije na njihov zahtjev pomagati pri organizaciji takvih vježbi. Jednom svake dvije godine trebalo bi organizirati sveobuhvatne vježbe velikog razmjera koja bi obuhvaćala tehničke, operativne ili strateške elemente. Osim toga, ENISA bi trebala moći redovito organizirati manje opsežne vježbe s istim ciljem povećanja pripravnosti Unije za odgovor na incidente

(48)

ENISA bi trebala dalje razvijati i održavati svoje stručno znanje u području kibersigurnosne certifikacije radi potpore politici Unije u tom području. ENISA bi se trebala oslanjati na postojeće najbolje prakse te bi trebala promicati prihvaćanje kibersigurnosne certifikacije u Uniji, među ostalim doprinosom uspostavi okvira za kibersigurnosnu certifikaciju na razini Unije (europski okvir za kibersigurnosnu certifikaciju) i njegovu održavanju, s ciljem povećanja transparentnosti kibersigurnosnog jamstva za IKT proizvode, IKT usluge i IKT procese, jačajući time povjerenje u digitalno unutarnje tržište i njegovu konkurentnost.

(49)

Učinkovita kibersigurnosna politika trebala bi se temeljiti na dobro razrađenim metodama procjene rizika i u javnom i u privatnom sektoru. Metode za procjenu rizika upotrebljavaju se na različitim razinama, međutim ne postoji zajednička praksa u pogledu njihove učinkovite primjene. Poticanjem i razvojem najboljih praksa za procjenu rizika i za interoperabilna rješenja za upravljanje rizicima u organizacijama javnog i privatnog sektora povećat će se razina kibersigurnosti u Uniji. U tu bi svrhu ENISA trebala podupirati suradnju između dionika na razini Unije i olakšavati njihova nastojanja u vezi s utvrđivanjem i preuzimanjem europskih i međunarodnih norma za upravljanje rizicima i za mjerljivu sigurnost elektroničkih proizvoda, sustava, mreža i usluga koji zajedno sa softverom čine mrežne i informacijske sustave.

(50)

ENISA bi trebala ohrabrivati države članice, proizvođače ili pružatelje IKT proizvoda, IKT usluga ili IKT procesa da povećaju svoje opće sigurnosne norme kako bi svi korisnici interneta mogli poduzeti potrebne korake za osiguranje svoje osobne kibersigurnosti te bi ih trebala poticati da to učine. Konkretno, proizvođači i pružatelji IKT proizvoda, IKT usluga i IKT procesa trebali bi osigurati sva nužna ažuriranja i trebali bi opozvati, povući ili reciklirati IKT proizvode, IKT usluge i IKT procese koji ne zadovoljavaju kibersigurnosne norme, dok bi uvoznici i distributeri trebali osigurati da IKT proizvodi, IKT usluge i IKT procesi koje stavljaju na tržište Unije ispunjavaju primjenjive zahtjeve i ne predstavljaju rizik za potrošače Unije.

(51)

ENISA bi, u suradnji s nadležnim tijelima, trebala moći širiti informacije o razini kibersigurnosti IKT proizvoda, IKT usluga i IKT procesa koje se nude na unutarnjem tržištu te bi pružateljima i proizvođačima IKT proizvoda, IKT usluga i IKT procesa trebala izdavati upozorenja u kojima od njih traži da poboljšaju sigurnost svojih IKT proizvoda, IKT usluga i IKT procesa, uključujući kibersigurnost.

(52)

ENISA bi trebala u potpunosti uzeti u obzir aktualne aktivnosti istraživanja, razvoja i tehnoloških ocjena, a osobito one aktivnosti koje se provode u okviru različitih istraživačkih inicijativa Unije kako bi institucijama, tijelima, uredima i agencijama Unije te, kada je to relevantno, državama članicama na njihov zahtjev pružala savjete o istraživačkim potrebama i prioritetima u području kibersigurnosti. S ciljem utvrđivanja istraživačkih potreba i prioriteta ENISA bi se također trebala savjetovati s relevantnim skupinama korisnika. Konkretnije, mogla bi se uspostaviti suradnja s Europskim istraživačkim vijećem, Europskim institutom za inovacije i tehnologiju te s Institutom Europske unije za sigurnosne studije.

(53)

Prilikom izrade europskih programa kibersigurnosne certifikacije ENISA bi se trebala redovito savjetovati s organizacijama za normizaciju, a posebno s europskim organizacijama za normizaciju.

(54)

Kiberprijetnje su globalni problem. Potrebna je i bliža međunarodna suradnja radi unaprjeđenja kibersigurnosnih normi, što obuhvaća potrebu za definiranjem zajedničkih normi ponašanja, donošenja kodeksa ponašanja, upotrebu međunarodnih normi i razmjenu informacija, poticanje brže međunarodne suradnje kao odgovor na pitanja mrežne i informacijske sigurnosti, kao i poticanje zajedničkog globalnog pristupa tim pitanjima. ENISA bi u tu svrhu, prema potrebi, pružanjem potrebnog stručnog znanja i analize relevantnim institucijama, tijelima, uredima i agencijama Unije trebala podupirati daljnje uključivanje Unije te njezinu suradnju s trećim zemljama i međunarodnim organizacijama.

(55)

ENISA bi trebala moći odgovoriti na ad hoc zahtjeve za savjet i pomoć država članica i institucija, tijela, ureda i agencija Unije o pitanjima koja su obuhvaćena njezinim mandatom.

(56)

Razumno je i preporučuje se primijeniti određena načela u vezi s upravljanjem ENISA-om radi usklađenosti sa zajedničkom izjavom i zajedničkim pristupom koje je u srpnju 2012. dogovorila Međuinstitucionalna radna skupina za decentralizirane agencije EU-a, čija je svrha pojednostavnjivanje aktivnosti decentraliziranih agencija i poboljšanje njihova djelovanja. U ovoj bi Uredbi ujedno trebalo prema potrebi odraziti preporuke iz zajedničke izjave i zajedničkog pristupa za programe rada ENISA-e, evaluacije ENISA-e te prakse ENISA-e u vezi s izvješćivanjem i upravljanjem.

(57)

Upravljački odbor sastavljen od predstavnika država članica i Komisije trebao bi utvrditi opće usmjerenje rada ENISA-e i osigurati da ona obavlja svoje zadaće u skladu s ovom Uredbom. Upravljačkom odboru trebalo bi povjeriti ovlasti potrebne za izradu proračuna, provjeru izvršenja proračuna, donošenje odgovarajućih financijskih pravila, uspostavu transparentnih radnih postupaka za donošenje odluka ENISA-e, donošenje jedinstvenog programskog dokumenta ENISA-e, donošenje svog poslovnika, imenovanje izvršnog direktora i odlučivanje o produljenju ili prestanku mandata izvršnog direktora.

(58)

S ciljem pravilnog i djelotvornog funkcioniranja ENISA-e Komisija i države članice trebale bi osigurati da osobe koje će imenovati u Upravljački odbor imaju odgovarajuća stručna znanja i iskustvo. Komisija i države članice također bi trebale ograničiti učestalost izmjena njihovih predstavnika u Upravljačkom odboru kako bi se osigurao kontinuitet njihova rada.

(59)

Kako bi se osiguralo nesmetano funkcioniranje ENISA-e, njezin izvršni direktor imenuje se na temelju zasluga i dokazanih administrativnih i rukovoditeljskih sposobnosti, kao i sposobnosti i iskustava relevantnih za kibersigurnost. Dužnosti izvršnog direktora trebalo bi obavljati potpuno neovisno. Izvršni direktor trebao bi, nakon prethodnog savjetovanja s Komisijom, pripremiti prijedlog godišnjeg programa rada ENISA-e te bi trebao poduzeti sve potrebne korake kako bi osigurao njegovu pravilnu provedbu. Izvršni direktor trebao bi izraditi godišnje izvješće koje se dostavlja Upravljačkom odboru, a koje obuhvaća provedbu godišnjeg programa rada ENISA-e, sastaviti nacrt izvješća o procjenama prihoda i rashoda ENISA-e te provoditi proračun. Nadalje, izvršni direktor trebao bi imati mogućnost osnivanja ad hoc radnih skupina za rješavanje određenih pitanja, a posebno pitanja znanstvene, tehničke, pravne ili socioekonomske prirode. Osobito, u vezi s pripremom posebnog prijedloga europskog programa kibersigurnosne certifikacije („prijedlog programa certifikacije”), smatra se da je potrebno osnivanje ad hoc radne skupine.Izvršni direktor trebao bi osigurati odabir članova ad hoc radnih skupina u skladu s najvišim normama stručnosti, nastojeći pritom osigurati rodnu ravnotežu i primjerenu ravnotežu, ovisno o specifičnim pitanjima, među predstavnicima javnih uprava država članica, institucija, tijela, ureda i agencija Unije i privatnog sektora, uključujući industriju, korisnike i akademske stručnjake iz područja mrežne i informacijske sigurnosti.

(60)

Izvršni odbor trebao bi doprinositi učinkovitosti Upravljačkog odbora. U okviru priprema povezanih s donošenjem odluka Upravljačkog odbora, Izvršni bi odbor trebao detaljno ispitivati relevantne informacije i istraživati dostupne mogućnosti te nuditi savjete i rješenja za pripremu odluka Upravljačkog odbora.

(61)

ENISA bi trebala imati Savjetodavnu skupinu ENISA-e kao savjetodavno tijelo kako bi se osigurao redoviti dijalog s privatnim sektorom, organizacijama potrošača i drugim interesnim skupinama. Savjetodavna skupina ENISA-e, koju na prijedlog izvršnog direktora osniva Upravljački odbor, trebala bi se usredotočiti na pitanja relevantna za dionike te bi trebala ENISA-i skretati pozornost na njih. Sa Savjetodavnom skupinom ENISA-e posebno se treba savjetovati u pogledu nacrta godišnjeg programa rada ENISA-e. Sastav Savjetodavne skupine ENISA-e i zadaće koje su joj dodijeljene trebali bi osigurati dostatnu zastupljenost dionika u radu ENISA-e.

(62)

Potrebno je uspostaviti Interesnu skupinu za kibersigurnosnu certifikaciju kako bi ENISA-i i Komisiji pomogla u olakšavanju savjetovanja relevantnih dionika. Interesna skupina za kibersigurnosnu certifikaciju trebala bi se sastojati od članova koji predstavljaju industriju u uravnoteženim udjelima, kako na strani potražnje tako i na strani ponude IKT proizvoda i IKT usluga, uključujući posebno MSP-ove, pružatelje digitalnih usluga, europska i međunarodna tijela za normizaciju, nacionalna akreditacijska tijela, nadzorna tijela za zaštitu podataka i tijela za ocjenjivanje sukladnosti u skladu s Uredbom (EZ) br. 765/2008 Europskog parlamenta i Vijeća (16) te akademsku zajednicu i organizacije potrošača.

(63)

ENISA bi trebala uspostaviti pravila o sprečavanju sukoba interesa i upravljanju njime. ENISA bi trebala također primjenjivati relevantne odredbe Unije o javnom pristupu dokumentima u skladu s Uredbom (EZ) br. 1049/2001 Europskog parlamenta i Vijeća (17). ENISA bi trebala obrađivati osobne podatke u skladu s Uredbom (EU) 2018/1725 Europskog parlamenta i Vijeća (18) ENISA bi se trebala pridržavati odredaba primjenjivih na institucije, tijela, urede i agencije Unije i nacionalnog zakonodavstva u vezi s postupanjem s osjetljivim dokumentima, posebno s osjetljivim neklasificiranim podacima i klasificiranim podacima Europske unije.

(64)

Kako bi se zajamčila potpuna autonomija i neovisnost ENISA-e i kako bi joj se omogućilo obavljanje dodatnih zadaća, uključujući nepredviđene hitne zadaće, ENISA-i bi trebalo osigurati dostatan i autonoman proračun čiji bi prihodi prvenstveno trebali dolaziti iz doprinosa Unije i doprinosa trećih zemalja koje sudjeluju u radu ENISA-e. Prikladan proračun od presudne je važnosti kako bi se osiguralo da ENISA ima dovoljne kapacitete za ispunjavanje svih svojih zadaća i postizanje ciljeva, koji su sve brojniji. Veći dio osoblja ENISA-e trebao bi izravno sudjelovati u operativnoj provedbi mandata ENISA-e. Državi članici domaćinu ili bilo kojoj drugoj državi članici trebalo bi omogućiti davanje dobrovoljnih doprinosa proračunu ENISA-e. Na subvencije koje se financiraju iz općeg proračuna Unije trebao bi se i dalje primjenjivati proračunski postupak Unije. Nadalje, Revizorski sud trebao bi provesti reviziju računovodstvene dokumentacije ENISA-e radi osiguranja transparentnosti i odgovornosti.

(65)

Kibersigurnosna certifikacija ima važnu ulogu u jačanju povjerenja u IKT proizvode, IKT usluge i IKT procese. Jedinstveno digitalno tržište, posebno podatkovno gospodarstvo i IoT, mogu se razvijati samo ako postoji opće povjerenje javnosti da se takvim proizvodima, uslugama i procesima osigurava određena razina kibersigurnosti. Povezani i automatizirani automobili, elektronički medicinski proizvodi, industrijski automatizirani kontrolni sustavi i pametne mreže samo su primjeri sektora u kojima se certifikacija već u velikoj mjeri primjenjuje ili će se vjerojatno primjenjivati u skoroj budućnosti. Kibersigurnosna certifikacija od ključne je važnosti u sektorima uređenima Direktivom (EU) 2016/1148.

(66)

U svojoj komunikaciji iz 2016. pod naslovom „Jačanje europskog sustava kibernetičke sigurnosti i poticanje konkurentne i inovativne industrije kibernetičke sigurnosti” Komisija je istaknula potrebu za visokokvalitetnim, povoljnim i interoperabilnim proizvodima i rješenjima za kibersigurnost. Ponuda IKT proizvoda, IKT usluga i IKT procesa na jedinstvenom tržištu vrlo je zemljopisno rascjepkana. To je zato što se industrija kibersigurnosti u Europi u velikoj mjeri razvila na temelju potražnje nacionalnih vlada. Nadalje, nepostojanje interoperabilnih rješenja (tehničke norme), praksi i mehanizama certifikacije na razini Unije neki su od nedostataka koji utječu na jedinstveno tržište kibersigurnosti. Time je europskim poduzećima otežano tržišno natjecanje na nacionalnoj razini, na razini Uniji i na globalnoj razini. Također je ograničen izbor održivih i iskoristivih kibersigurnosnih tehnologija koje su dostupne građanima i poduzećima.Slično tomu, u svojoj Komunikaciji iz 2017. o preispitivanju provedbe Strategije jedinstvenog digitalnog tržišta na sredini provedbenog razdoblja - Povezano jedinstveno digitalno tržište za sve, Komisija je istaknula da su potrebni sigurni povezani proizvodi i sustavi te navela je da bi se stvaranjem europskog okvira za sigurnost IKT-a kojim se utvrđuju pravila o organizaciji sigurnosne certifikacije u području IKT-a u Uniji moglo očuvati povjerenje u internet i riješiti trenutačni problem fragmentacije unutarnjeg tržišta.

(67)

Trenutačno se kibersigurnosna certifikacija IKT proizvoda, IKT usluga i IKT procesa provodi samo u ograničenoj mjeri. Ako postoji, ona se većinom provodi na razini države članice ili u okviru programa industrijskih sektora. U tom kontekstu certifikat koji je izdalo nacionalno tijelo za kibersigurnosnu certifikaciju druge države članice u načelu ne priznaju. Trgovačka društva stoga možda moraju certificirati svoje IKT proizvode, IKT usluge i IKT procese u nekoliko država članica u kojima posluju, na primjer radi sudjelovanja u nacionalnim postupcima javne nabave, što povećava njihove troškove. Nadalje, iako se pojavljuju novi programi, čini se da ne postoji usklađen i holistički pristup pitanjima horizontalne kibersigurnosti, na primjer u području IoT-a. U postojećim programima postoje znatni nedostaci i razlike u pogledu pokrivenosti proizvoda, jamstvene razine, materijalnih kriterija i stvarne upotrebe, čime se otežava uspostava mehanizama uzajamnog priznavanja u Uniji.

(68)

Bilo je pokušaja postizanja uzajamnog priznavanja certifikata u Uniji. Međutim, oni su bili samo djelomično uspješni. Najvažniji primjer u tome pogledu jest sporazum o uzajamnom priznavanju (MRA) Skupine viših dužnosnika za sigurnost informacijskih sustava (SOG-IS). Iako predstavlja najvažniji model suradnje i uzajamnog priznavanja u području sigurnosne certifikacije, SOG-IS obuhvaća samo dio država članica. Time je ograničena djelotvornost sporazuma o uzajamnom priznavanju SOG-IS-a sa stajališta unutarnjeg tržišta.

(69)

Stoga je potrebno usvojiti zajednički pristup i uspostaviti europski okvir za kibersigurnosnu certifikaciju kojim se utvrđuju glavni horizontalni zahtjevi za razvoj budućih europskih programa kibersigurnosne certifikacije i koji omogućuje priznavanje i uporabu europskih kibersigurnosnih certifikata i EU izjava o sukladnosti za IKT proizvode, IKT usluge ili IKT procese u svim državama članicama. Pritom je ključno nadovezati se na postojeće nacionalne i međunarodne programe i sustave uzajamnog priznavanja, osobito SOG-IS, te omogućiti neometan prijelaz iz postojećih programa u takvim sustavima na programe u novom europskom okviru za kibersigurnosnu certifikaciju. Europski okvir za kibersigurnosnu certifikaciju trebao bi imati dvostruku svrhu. Prvo, njime bi se trebalo doprinijeti povećanju povjerenja u IKT proizvode, IKT usluge i IKT procese koji su certificirani u skladu s tim europskim programima kibersigurnosne certifikacije. Drugo, on bi trebao pomoći da se izbjegne umnožavanje proturječnih ili preklapajućih nacionalnih programa kibersigurnosne certifikacije i tako smanjiti troškove poduzećima koja djeluju na jedinstvenom digitalnom tržištu. Europski programi kibersigurnosne certifikacije trebali bi biti nediskriminirajući i temeljiti se na europskim ili međunarodnim normama, osim ako su te norme neučinkovite ili neprimjerene za ispunjavanje zakonitih ciljeva Unije u tom pogledu.

(70)

Taj europski okvir za kibersigurnosnu certifikaciju trebalo bi na ujednačen način uspostaviti u svim državama članicama kako bi se izbjegla praksa „traženja povoljnije certifikacije” zbog razlika u razini strogoće u različitim državama članicama.

(71)

Europske programe kibersigurnosne certifikacije trebalo bi temeljiti na onome što već postoji na međunarodnoj i nacionalnoj razini te, prema potrebi, na tehničkim specifikacijama iz foruma i konzorcijâ, učenju od sadašnjih pozitivnih primjera te analiziranju i ispravljanju nedostataka.

(72)

Potrebna su fleksibilna rješenja kako bi taj sektor bio korak ispred kiberprijetnji te bi stoga trebalo osigurati da programi certifikacije budu tako osmišljeni da se izbjegne rizik da ubrzo postanu zastarjeli.

(73)

Komisija bi trebala imati ovlasti donositi europske programe kibersigurnosne certifikacije za određene skupine IKT proizvoda, IKT usluga i IKT procesa. Te programe trebala bi provoditi i nadzirati nacionalna tijela za kibersigurnosnu certifikaciju, a certifikati izdani u okviru tih programa trebali bi biti valjani i priznati u cijeloj Uniji. Programi certifikacije kojima upravlja industrija ili privatne organizacije trebali bi biti izvan područja primjene ove Uredbe. Međutim, tijela koja provode takve programe trebala bi moći Komisiji predložiti da razmotri odobravanje tih programa kao europskih programa kibersigurnosne certifikacije.

(74)

Odredbama ove Uredbe ne bi se smjelo dovoditi u pitanje pravo Unije kojim se propisuju posebna pravila o certifikaciji IKT proizvoda, IKT usluga i IKT procesa. Naime, u Uredbi (EU) 2016/679 utvrđene su odredbe o uspostavi mehanizama certifikacije te pečata i oznaka za zaštitu podataka za potrebe dokazivanja usklađenosti s tom Uredbom postupaka obrade koje obavljaju voditelji ili izvršitelji obrade. Tim mehanizmima certifikacije te pečatima i oznakama za zaštitu podataka trebalo bi se osobama čiji se podaci obrađuju omogućiti da brzo ocijene razinu zaštite podataka relevantnih IKT proizvoda, IKT usluga i IKT procesa. Ovom Uredbom ne dovodi se u pitanje certifikacija postupaka obrade podataka u skladu s Uredbom (EU) 2016/679, uključujući i kada su ti postupci ugrađeni u IKT proizvode, IKT usluge i IKT procese.

(75)

Svrha europskih programa kibersigurnosne certifikacije trebala bi biti osiguravanje toga da IKT proizvodi, IKT usluge i IKT procesi koji su certificirani u okviru takvog programa zadovoljavaju određene zahtjeve čiji je cilj zaštita dostupnosti, izvornosti, cjelovitosti i povjerljivosti pohranjenih, poslanih ili obrađenih podataka ili povezanih funkcija ili usluga koje se nude ili kojima se može pristupiti s pomoću tih proizvoda, usluga i procesa, tijekom njihova životnog ciklusa. U ovoj Uredbi ne mogu se podrobno utvrditi kibersigurnosni zahtjevi povezani sa svim IKT proizvodima, IKT uslugama i IKT procesima. IKT proizvodi, IKT usluge i IKT procesi te kibersigurnosne potrebe povezane s tim proizvodima, uslugama i procesima toliko su različiti da je teško osmisliti opće kibersigurnosne zahtjeve koji se mogu primijeniti u svim okolnostima. Stoga je za potrebe certifikacije potrebno prihvatiti širok i općenit pojam kibersigurnosti koji bi trebalo dopuniti skupom kibersigurnosnih ciljeva koje treba uzeti u obzir pri izradi europskih programa kibersigurnosne certifikacije. Načine postizanja tih ciljeva u određenim IKT proizvodima, IKT uslugama i IKT procesima trebalo bi potom podrobnije opisati na razini pojedinačnog programa certifikacije koji je donijela Komisija, na primjer upućivanjem na norme ili tehničke specifikacije ako nisu dostupne odgovarajuće norme.

(76)

Tehničke specifikacije koje treba upotrebljavati u europskom programu kibersigurnosne certifikacije trebale bi poštovati zahtjeve određene u Prilogu II. Uredbi (EU) br. 1025/2012 Europskog parlamenta i Vijeća (19). Neka odstupanja od tih zahtjeva mogla bi se ipak smatrati potrebnima u opravdanim slučajevima upotrebe tih tehničkih specifikacija u europskom programu kibersigurnosne certifikacije koji se odnosi na visoku jamstvenu razinu. Razlozi za takva odstupanja trebali bi biti javno dostupni.

(77)

Ocjenjivanje sukladnosti postupak je kojim se evaluira jesu li ispunjeni određeni zahtjevi koji se odnose na IKT proizvod, IKT uslugu ili IKT proces. Taj postupak provodi neovisna treća strana koja nije proizvođač ili pružatelj IKT proizvoda, IKT usluga ili IKT procesa koji se ocjenjuje. Nakon uspješne evaluacije IKT proizvoda, IKT usluge ili IKT procesa trebalo bi izdati europski kibersigurnosni certifikat. Europski kibersigurnosni certifikat trebalo bi smatrati potvrdom da je evaluacija pravilno provedena. Ovisno o jamstvenoj razini, u okviru europskog programa kibersigurnosne certifikacije trebalo bi navesti izdaje li europski kibersigurnosni certifikat privatno ili javno tijelo. Ocjenjivanjem sukladnosti i certifikacijom ne može se samim po sebi jamčiti kibersigurnost certificiranih IKT proizvoda, IKT usluga i IKT procesa. Umjesto toga, riječ je o postupcima i tehničkoj metodologiji kojima se potvrđuje da su IKT proizvodi IKT usluge i IKT procesi testirani i da su u skladu s određenim kibersigurnosnim zahtjevima koji su propisani drugdje, na primjer u tehničkim normama.

(78)

Odabir odgovarajuće certifikacije i pripadajućih joj sigurnosnih zahtjeva, koji vrše korisnici europskih kibersigirnosnih certifikata, trebao bi se temeljiti na analizi rizika povezanih s uporabom IKT proizvoda, IKT usluga ili IKT procesa. Slijedom toga, jamstvena razina trebala bi biti razmjerna razini rizika povezanog s predviđenom uporabom IKT proizvoda, IKT usluge ili IKT procesa.

(79)

Europskim programima kibersigurnosne certifikacije moglo bi se osigurati da se ocjenjivanje sukladnosti provodi pod isključivom odgovornošću proizvođača ili pružatelja IKT proizvoda IKT usluga ili IKT procesa („samoocjenjivanje sukladnosti”). U takvim bi slučajevima trebalo biti dovoljno da proizvođač ili pružatelj IKT proizvoda, IKT usluga i IKT procesa sam provodi sve provjere kako bi osigurao da su IKT proizvod, IKT usluga ili IKT proces budu sukladni s europskim programom kibersigurnosne certifikacije. Samoocjenjivanje sukladnosti trebalo bi smatrati primjerenom za IKT proizvode, IKT usluge i IKT procese niske razine složenosti koji predstavljaju nizak rizik za javnost kao što su mehanizmi jednostavnog dizajna i proizvodnje. Osim toga, samoocjenjivanje sukladnosti trebalo bi biti dopušteno samo za IKT proizvode, IKT usluge i IKT procese kada oni odgovaraju osnovnoj jamstvenoj razini.

(80)

U okviru europskih programa kibersigurnosne certifikacije moglo bi se omogućiti i samoocjenjivanje sukladnosti i certifikaciju IKT proizvoda, IKT usluga i IKT procesa. U tom slučaju programom bi trebalo osigurati jasan i razumljiv način s pomoću kojeg bi potrošači ili drugi korisnici razlikovali IKT proizvode, IKT usluge i IKT procese s obzirom na to čiji je proizvođač ili pružatelj IKT proizvoda, IKT usluga i IKT procesa odgovoran za ocjenu te IKT proizvode, IKT usluge i IKT procese koje certificira treća strana.

(81)

Proizvođač ili pružatelj IKT proizvoda, IKT usluga ili IKT procesa koji provodi samoocjenjivanje sukladnosti trebao bi moći sastaviti i potpisati EU izjavu o sukladnosti kao dio postupka ocjenjivanja sukladnosti. EU izjava o sukladnosti dokument je u kojem se navodi da određeni IKT proizvod, IKT usluga ili IKT proces ispunjava zahtjeve europskog programa kibersigurnosne certifikacije. Izdavanjem i potpisivanjem EU izjave o sukladnosti proizvođač ili pružatelj IKT proizvoda, IKT usluge ili IKT procesa preuzima odgovornost za sukladnost IKT proizvoda, IKT usluge ili IKT procesa s pravnim zahtjevima europskog programa kibersigurnosne certifikacije. Primjerak EU izjave o sukladnosti trebalo bi podnijeti nacionalnom tijelu za kibersigurnosnu certifikaciju i ENISA-i.

(82)

Proizvođači ili pružatelji IKT proizvoda, IKT usluga ili IKT procesa trebali bi EU izjavu o sukladnosti, tehničku dokumentaciju i sve druge informacije o sukladnosti IKT proizvoda, IKT usluga ili IKT procesa s europskim programom kibersigurnosne certifikacije trebali bi držati dostupnom nadležnom nacionalnom tijelu za kibersigurnosnu certifikaciju u razdoblju utvrđenom u relevantnom europskom programu kibersigurnosne certifikacije. U tehničkoj bi dokumentacijom trebalo pobliže odrediti zahtjeve koji se primjenjuju u okviru programa i trebalo bi obuhvatiti dizajn, izrada i funkcioniranje IKT proizvoda, IKT usluge ili IKT procesa u mjeri u kojoj je to relevantno za samoocjenjivanje sukladnosti. Tehničku dokumentaciju trebalo bi sastaviti tako da se omogući ocjena jesu li IKT proizvod, IKT usluga ili IKT proces sukladni s zahtjevima koji se primjenjuju u okviru tog programa.

(83)

Pri upravljanju europskim okvirom za kibersigurnosnu certifikaciju uzima se u obzir sudjelovanje država članica te odgovarajuće sudjelovanje dionika i utvrđuje uloga Komisije tijekom planiranja i predlaganja, traženja, izrade, donošenja i preispitivanja europskih programa kibersigurnosne certifikacije.

(84)

Komisija bi uz potporu Europske skupine za kibersigurnosnu certifikaciju („ECCG”) i Interesne skupine za kibersigurnosnu certifikaciju trebala pripremiti kontinuirani program rada Unije za europsku kibersigurnosnu certifikaciju te nakon otvorenog i širokog savjetovanja i objaviti ga u obliku pravno neobvezujućeg instrumenta. Kontinuirani program rada Unije trebao bi biti strateški dokument kojim se omogućuje industriji, nacionalnim tijelima i tijelima za normizaciju da se unaprijed pripreme za buduće europske programe kibersigurnosne certifikacije. Kontinuirani program rada Unije trebao bi obuhvaćati višegodišnji pregled zahtjeva za izradu prijedloga programa certifikacije koje Komisija namjerava dostaviti ENISA-i na izradu na temelju određenih razloga. Komisija bi kontinuirani program rada Unije trebala uzeti u obzir tijekom izrade svojeg Kontinuiranog plana normizacije IKT-a i zahtjevâ za normizacijom upućenih europskim organizacijama za normizaciju. S obzirom na brzo uvođenje i prihvaćanje novih tehnologija, pojavu prethodno nepoznatih kibersigurnosnih rizika i promjena u zakonodavstvu i na tržištu, Komisija ili ECCG trebali bi imati pravo zatražiti od ENISA-e da izradi prijedloge programa certifikacije koji nisu bili uključeni u kontinuirani program rada Unije. U takvim slučajevima, Komisija i ECCG također bi trebali procijeniti nužnost takvog zahtjeva uzimajući u obzir opće ciljeve ove Uredbe i potrebu osiguravanja kontinuiteta u pogledu planiranja i uporabe resursa ENISA-e.

Nakon takvog zahtjeva ENISA bi trebala izraditi prijedloge programa certifikacije za određene IKT proizvode, IKT usluge ili IKT procese. Komisija bi trebala procijeniti pozitivan i negativan učinak zahtjeva na određeno tržište u pitanju, a posebice njegov učinak u odnosu na mala i srednja poduzeća, na inovacije, na prepreke pristupa tom tržištu i na trošak za krajnje korisnike. Komisija bi na temelju prijedloga programa certifikacije koji je predložila ENISA trebala imati ovlasti donijeti europski program kibersigurnosne certifikacije s pomoću provedbenih akata. Uzimajući u obzir opću svrhu i sigurnosne ciljeve utvrđene u ovoj Uredbi, u europskim programima kibersigurnosne certifikacije koje donosi Komisija trebalo bi odrediti minimalni skup elemenata koji se odnose na predmet, područje primjene i funkcioniranje pojedinačnog programa. Ti elementi trebali bi uključivati, među ostalim, područje primjene i cilj kibersigurnosne certifikacije, uključujući kategorije obuhvaćenih IKT proizvoda, IKT usluga i IKT procesa, detaljnu specifikaciju kibersigurnosnih zahtjeva, na primjer upućivanjem na norme ili tehničke specifikacije, posebne kriterije i metode evaluacije i predviđenu jamstvenu razinu: osnovnu, znatnu ili visoku i prema potrebi, razine evaluacije. ENISA bi trebala moći odbiti zahtjev ECCG-a. Takve odluke trebao bi donositi Upravljački odbor i one bi trebale biti propisno obrazložene.

(85)

ENISA bi trebala održavati internetske stranice na kojima se pružaju informacije o europskim programima kibersigurnosne certifikacije i daje im vidljivost, a koje bi, među ostalim, trebale uključivati zahtjeve za izradu prijedloga programa certifikacije kao i povratne informacije dobivene u okviru postupka savjetovanja koje ENISA provodi u pripremnoj fazi. Internetske stranice također bi trebale pružati informacije o europskim kibersigurnosnim certifikatima i EU izjavama o sukladnosti izdanima na temelju ove Uredbe, uključujući informacije o njihovu povlačenju i isteku valjanosti tih europskih kibersigurnosnih certifikata i EU izjava o sukladnosti. Na internetskim stranicama trebali bi se navoditi i oni nacionalni programi kibersigurnosne certifikacije koji su zamijenjeni europskim programom kibersigurnosne certifikacije.

(86)

Jamstvena razina europskog programa certifikacije temelj je za povjerenje u to da IKT proizvod, IKT usluga ili IKT proces zadovoljava sigurnosne zahtjeve određenog europskog programa kibersigurnosne certifikacije. Kako bi se osigurala dosljednost europskog okvira za kibersigurnosnu certifikaciju, europskim programom kibersigurnosne certifikacije trebalo bi moći definirati jamstvene razine za europske kibersigurnosne certifikate i EU izjave o sukladnosti izdane u okviru tog programa. Svaki bi se europski kibersigurnosni certifikat mogao odnositi na jednu od jamstvenih razina: osnovnu, znatnu ili visoku, dok bi se EU izjava o sukladnosti mogla odnositi samo na osnovnu jamstvenu razinu. Jamstvene razine osigurale bi odgovarajuću strogoću i opsežnost evaluacije IKT proizvoda, IKT usluge ili IKT procesa i određivalo bi ih upućivanje na tehničke specifikacije, norme i s njima povezane procedure, uključujući tehničke kontrole, čija je svrha ublažiti ili spriječiti incidente. Svaka jamstvena razina trebala bi biti usklađena među različitim sektorima u kojima se primjenjuje certifikacija.

(87)

U okviru europskog programa kibersigurnosne certifikacije moglo bi se utvrditi nekoliko razina evaluacije ovisno o strogoći i opsežnosti upotrijebljene metodologije evaluacije. Razine evaluacije trebale bi odgovarati jednoj od jamstvenih razina i trebale bi biti povezane s odgovarajućom kombinacijom sastavnica jamstva. Pri svim jamstvenim razinama IKT proizvod, IKT usluga ili IKT proces trebali bi sadržavati određen broj sigurnih funkcija, kako je predviđeno programom, koje mogu uključivati: sigurnu zadanu konfiguraciju, potpisanu šifru, sigurno ažuriranje i ublažavanje mogućnosti iskorištavanja te potpunu zaštitu stack ili heap memorije. Te bi funkcije trebale biti razvijene i održavati se upotrebom razvojnih pristupa usmjerenih na sigurnost i s njima povezanih alata kako bi se osiguralo da su učinkoviti mehanizmi softvera i hardvera pouzdano ugrađeni.

(88)

Za osnovnu jamstvenu razinu evaluacija bi se trebala rukovoditi barem sljedećim sastavnicama jamstva: evaluacija bi trebala uključivati barem pregled tehničke dokumentacije IKT proizvoda, IKT usluge ili IKT procesa od strane tijela za ocjenjivanje sukladnosti. Ako certifikacija uključuje IKT procese, postupak koji se upotrebljava za oblikovanje, razvoj i održavanje IKT proizvoda, IKT usluge ili IKT procesa trebao bi također biti podložan tehničkom preispitivanju. U slučajevima kada se europskim programom kibersigurnosne certifikacije predviđa samoocjenjivanje sukladnosti, trebalo bi biti dovoljno da proizvođač ili pružatelj IKT proizvoda, IKT usluga ili IKT procesa provede samoocjenjivanje sukladnosti IKT proizvoda, IKT usluga ili IKT procesa s programom certifikacije.

(89)

Kad je riječ o znatnoj jamstvenoj razini, evaluacija bi, uz zahtjeve za osnovnu jamstvenu razinu, trebala uključivati barem provjeru sukladnosti sigurnosnih funkcija IKT proizvoda, IKT usluge ili IKT procesa s njegovom tehničkom dokumentacijom.

(90)

Kad je riječ o visokoj jamstvenoj razini, evaluacija bi, uz zahtjeve za znatnu jamstvenu razinu, trebala uključivati barem ispitivanje učinkovitosti kojim se procjenjuje otpornost sigurnosnih funkcija IKT proizvoda, IKT usluge ili IKT procesa na napredne kibernapade koje provode osobe koje posjeduju značajne vještine i resurse.

(91)

Primjena europske kibersigurnosne certifikacije i EU izjava o sukladnosti trebala bi i dalje biti dobrovoljna, osim ako je u pravu Unije ili pravu država članica donesenom u skladu s pravom Unije predviđeno drugačije. U nedostatku usklađenog prava Unije, države članice mogu donijeti nacionalne tehničke propise kojima se predviđa obvezna certifikacija u okviru europskog programa kibersigurnosne certifikacije u skladu s Direktivom (EU) 2015/1535 Europskog parlamenta i Vijeća (20). Države članice također mogu upotrebljavati i europsku kibersigurnosnu certifikaciju u kontekstu javne nabave i Direktive 2014/24/EU Europskog parlamenta i Vijeća (21).

(92)

U budućnosti bi u nekim područjima moglo biti potrebno odrediti da pojedini kibersigurnosni zahtjevi i njihova certifikacija budu obvezni za određene IKT proizvode, IKT usluge ili IKT procese kako bi se poboljšala razina kibersigurnosti u Uniji. Komisija bi trebala redovito pratiti učinak donesenih europskih programa kibersigurnosne certifikacije na dostupnost sigurnih IKT proizvoda, IKT usluga i IKT procesa na unutarnjem tržištu te bi trebala redovito procjenjivati koliko se proizvođači ili pružatelji IKT proizvoda, IKT usluga ili IKT procesa u Uniji koriste programima certifikacije. Učinkovitost europskih programa kibersigurnosne certifikacije i pitanje bi li određeni programi trebali biti obvezni trebalo bi procijeniti u svjetlu zakonodavstva Unije koje se odnosi na kibersigurnost, a posebno Direktive (EU) 2016/1148 vodeći računa o sigurnosti mrežnih i informacijskih sustava koje upotrebljavaju operatori ključnih usluga.

(93)

Europski kibersigurnosni certifikati i EU izjava o sukladnosti trebali bi krajnjim korisnicima pomoći pri donošenju informiranih odluka. IKT proizvodi, IKT usluge i IKT procesi koji su certificirani ili za koje je izdana EU izjava o sukladnosti trebali bi stoga biti popraćeni strukturiranim informacijama koje su prilagođene očekivanoj tehničkoj razini predviđenog krajnjeg korisnika. Sve bi takve informacije trebale biti dostupne na internetu, a, gdje je to primjereno, i u fizičkom obliku. Krajnji korisnik trebao bi imati pristup informacijama o referentnom broju programa certifikacije, jamstvenoj razini, opisu rizikâ povezanih s IKT proizvodom, IKT uslugom ili IKT procesom te tijelu izdavatelja ili preslici europskog kibersigurnosnog certifikata. Osim toga, krajnjeg bi korisnika trebalo obavijestiti o politici kibersigurnosne podrške, odnosno o tome koliko dugo krajnji korisnik može očekivati primati kibersigurnosna ažuriranja ili zakrpe, o proizvođaču ili pružatelju IKT proizvoda, IKT usluga ili IKT procesa. Prema potrebi, trebalo bi pružiti i savjete o radnjama ili postavkama koje krajnji korisnik može provesti kako bi održao ili ojačao kibersigurnost IKT proizvoda ili IKT usluge te podatke za kontakt jedinstvene kontaktne točki za prijavu i potporu u slučaju kibernapada (uz automatsko izvješćivanje). Te bi informacije trebalo redovito ažurirati i trebale bi biti obznanjene na internetskim stranicama koje pružaju informacije o europskim programima kibersigurnosne certifikacije.

(94)

Kako bi se ostvarili ciljevi ove Uredbe i izbjegla fragmentacija unutarnjeg tržišta, nacionalni programi kibersigurnosne certifikacije ili postupci za IKT proizvode, IKT usluge i IKT procese obuhvaćene europskim programom kibersigurnosne certifikacije trebali bi prestati biti valjani od datuma koji Komisija odredi provedbenim aktima. Štoviše, države članice ne bi trebale uvoditi nove nacionalne programe kibersigurnosne certifikacije IKT proizvoda, IKT usluga i IKT procesa koji su već obuhvaćeni postojećim europskim programom kibersigurnosne certifikacije. Međutim, države članice ne bi trebalo sprečavati da donesu ili zadrže nacionalne programe certifikacije za potrebe nacionalne sigurnosti.Države članice trebale bi priopćiti Komisiji i ECCG-u svaku namjeru izrade novog nacionalnog programa kibersigurnosne certifikacije. Komisija i ECCG trebali bi procijeniti učinke novog nacionalnog programa kibersigurnosne certifikacije na pravilno funkcioniranje unutarnjeg tržišta i s obzirom na strateški interes da se umjesto toga zatraži europski program kibersigurnosne certifikacije.

(95)

Svrha europskih programa kibersigurnosne certifikacije jest da pomognu u usklađivanju kibersigurnosnih praksi u Uniji. Oni trebaju doprinijeti povećanju razine kibersigurnosti u Uniji. Pri osmišljavanju europskih programa kibersigurnosne certifikacije treba voditi računa o razvoju inovacija u području kibersigurnosti te ostaviti prostor za njih.

(96)

U okviru europskih programa kibersigurnosne certifikacije trebalo bi uzeti u obzir postojeće metode razvoja softvera i hardvera, a posebno učinak čestih ažuriranja softvera ili ugrađenih programa na pojedinačne europske kibersigurnosne certifikate. U europskim programima kibersigurnosne certifikacije trebalo bi navesti uvjete pod kojima bi se zbog ažuriranja moglo zahtijevati da se IKT proizvod, IKT usluga ili IKT proces ponovno certificiraju ili da se područje primjene određenog europskog kibersigurnosnog certifikata smanji uzimajući u obzir sve moguće štetne učinke ažuriranja na sukladnost sa sigurnosnim zahtjevima tog certifikata.

(97)

Nakon donošenja europskog programa kibersigurnosne certifikacije proizvođači ili pružatelji IKT proizvoda, IKT usluga ili IKT procesa trebali bi moći podnijeti zahtjev za certifikaciju svojih IKT proizvoda ili IKT usluga tijelu za ocjenjivanje sukladnosti po svojem izboru bilo gdje u Uniji. Tijela za ocjenjivanje sukladnosti trebalo bi akreditirati nacionalno akreditacijsko tijelo ako ispunjavaju određene zahtjeve propisane ovom Uredbom. Akreditacija bi se trebala izdavati na najviše pet godina i trebala bi se moći obnoviti pod istim uvjetima ako tijelo za ocjenjivanje sukladnosti i nadalje ispunjava zahtjeve. Nacionalna akreditacijska tijela trebala bi ograničiti, suspendirati ili ukinuti akreditaciju tijela za ocjenjivanje sukladnosti ako ono ne ispunjava uvjete za akreditaciju, ili ih je prestalo ispunjavati, ili ako se mjerama koje je poduzelo tijelo za ocjenjivanje sukladnosti krši ova Uredba.

(98)

Upućivanja u nacionalnom zakonodavstvu na nacionalne norme koje su prestale proizvoditi učinke zbog stupanja na snagu europskog programa kibersigurnosne certifikacije mogu biti izvor zabune. Države članice trebale bi stoga u svojem nacionalnom zakonodavstvu odraziti donošenje europskog programa kibersigurnosne certifikacije.

(99)

Kako bi se postigle istovjetne norme u cijeloj Uniji, olakšalo uzajamno priznavanje i promicalo opće prihvaćanje europskih kibersigurnosnih certifikata i EU izjava o sukladnosti, potrebno je uspostaviti sustav istorazinskog ocjenjivanja među nacionalnim tijelima za kibersigurnosnu certifikaciju. Istorazinsko ocjenjivanje trebalo bi obuhvatiti postupke za nadzor sukladnosti IKT proizvoda, IKT usluga i IKT procesa s europskim kibersigurnosnim certifikatima, za praćenje obveza proizvođača ili pružatelja IKT proizvoda, IKT usluga i IKT procesa koji provode samoocjenjivanje sukladnosti, za praćenje tijelâ za ocjenjivanje sukladnosti te primjerenost stručnog znanja osoblja tijela koja izdaju certifikate za visoku jamstvenu razinu. Komisija bi trebala provedbenim aktom moći utvrditi barem petogodišnji plan istorazinskog ocjenjivanja, kao i definirati kriterije i metodologije za rad sustava istorazinskog ocjenjivanja.

(100)

Ne dovodeći u pitanje opći sustav istorazinskog ocjenjivanja koji treba uspostaviti u svim nacionalnim tijelima za kibersigurnosnu certifikaciju, unutar okvira za europsku kibersigurnosnu certifikaciju, određeni europski programi kibersigurnosne certifikacije mogu uključivati mehanizam istorazinske ocjene za tijela koja izdaju europske kibersigurnosne certifikate za IKT proizvode, IKT usluge i IKT procese za visoku jamstvenu razinu u okviru takvih programa.ECCG bi trebao podupirati provedbu takvih mehanizama istorazinske ocjene. Istorazinskim bi ocjenama trebalo konkretno ocijeniti obavljaju li dotična tijela svoje zadaće na usklađen način i one mogu uključivati mehanizme za žalbu. Rezultati istorazinskih ocjena trebali bi biti javno dostupni. Dotična bi tijela mogu donijeti odgovarajuće mjere za prilagodbu svojih praksi i stručnog znanja.

(101)

Države članice trebale bi imenovati jedno ili više nacionalnih tijela za kibersigurnosnu certifikaciju u svrhu nadzora usklađenosti s obvezama koje proizlaze iz ove Uredbe. Nacionalno tijelo za kibersigurnosnu certifikaciju može biti novo ili već postojeće tijelo. Država članica također bi trebala moći imenovati, nakon dogovora s drugom državom članicom, jedno ili više nacionalnih tijela za kibersigurnosnu certifikaciju na državnom području te druge države članice.

(102)

Nacionalna tijela za kibersigurnosnu certifikaciju posebno bi trebala pratiti i izvršavati obveze proizvođača ili pružatelja IKT proizvoda, IKT usluga i IKT procesa s poslovnim nastanom na njihovu državnom području u vezi s EU izjavom o sukladnosti, trebala bi pomagati nacionalnim tijelima za akreditaciju u praćenju i nadzoru aktivnosti tijela za ocjenjivanje sukladnosti tako što će im pružiti stručno znanje i relevantne informacije, trebala bi ovlastiti tijela za ocjenjivanje sukladnosti za izvršavanje svojih zadaća ako ta tijela ispunjavaju dodatne zahtjeve iz europskog programa kibersigurnosne certifikacije i trebala bi pratiti relevantne promjene u području kibersigurnosne certifikacije. Nacionalna tijela za kibersigurnosnu certifikaciju trebala bi također rješavati pritužbe fizičkih ili pravnih osoba u pogledu europskih kibersigurnosnih certifikata koje su sama izdala ili, u vezi s europskim kibersigurnosnim certifikatima koje su izdala tijela za ocjenjivanje sukladnosti, kada ti certifikati navode visoku jamstvenu razinu, trebala bi u prikladnoj mjeri istražiti predmet pritužbe te bi u razumnom roku trebala obavijestiti podnositelja pritužbe o napretku i rezultatu istrage. Nadalje, nacionalna tijela za kibersigurnosnu certifikaciju trebala bi surađivati s drugim nacionalnim tijelima za kibersigurnosnu certifikaciju ili s drugim javnim tijelima, među ostalim razmjenom informacija o mogućoj neusklađenosti IKT proizvoda, IKT usluga i IKT procesa sa zahtjevima iz ove Uredbe ili s posebnim europskim programima kibersigurnosne certifikacije. Komisija bi trebala olakšati tu razmjenu informacija stavljanjem na raspolaganje općeg elektroničko-informacijskog sustava podrške, primjerice postojećeg Informacijskog i komunikacijskog sustava za tržišni nadzor (ICSMS) i sustava brzog uzbunjivanja za opasne neprehrambene proizvode (RAPEX) kojima se već koriste tijela za nadzor tržišta u skladu s Uredbom (EZ) br. 765/2008.

(103)

Radi osiguranja dosljedne primjene europskog okvira za kibersigurnosnu certifikaciju trebalo bi osnovati ECCG koji se sastoji od predstavnika nacionalnih tijela za kibersigurnosnu certifikaciju ili drugih relevantnih nacionalnih tijela. Glavne bi zadaće ECCG-a trebale biti savjetovanje Komisije i pomoć Komisiji u njezinu radu prema osiguranju dosljedne provedbe i primjene europskog okvira za kibersigurnosnu certifikaciju, pomoć ENISA-i i bliska suradnja s njome u izradi prijedloga programâ certifikacije, u propisno opravdanim slučajevima, da od ENISA-e zatraži izradu prijedloga programa certifikacije i donošenje mišljenja upućenih ENISA-i o prijedlozima programa certifikacije te donošenje mišljenja upućenih Komisiji o održavanju i preispitivanju postojećih europskih programa kibersigurnosne certifikacije. ECCG bi trebao olakšati razmjenu dobre prakse i stručnog znanja između raznih nacionalnih tijela za kibersigurnosnu certifikaciju koja su odgovorna za ovlašćivanje tijela za ocjenjivanje sukladnosti i izdavanje europskih kibersigurnosnih certifikata.

(104)

S ciljem podizanja svijesti i radi lakšeg prihvaćanja budućih europskih programa kibersigurnosne certifikacije Europska komisija može izdati opće ili sektorske smjernice u području kibersigurnosti, na primjer o dobroj praksi u području kibersigurnosti ili odgovornom ponašanju povezanom s kibersigurnošću, ističući pozitivan učinak uporabe certificiranih IKT proizvoda, IKT usluga i IKT procesa.

(105)

Kako bi se dodatno olakšala trgovina i prepoznalo da su lanci opskrbe IKT-a globalni Unija može sklopiti sporazume o uzajamnom priznavanju europskih kibersigurnosnih certifikata u skladu s člankom 218. Ugovora o funkcioniranju Europske unije (UFEU). Komisija može, uzimajući u obzir savjete ENISA-e i Europske skupine za kibersigurnosnu certifikaciju, preporučiti pokretanje relevantnih pregovora. Svakim europskim programom kibersigurnosne certifikacije trebalo bi osigurati posebne uvjete za takve sporazume o uzajamnom priznavanju s trećim zemljama.

(106)

Kako bi se osigurali ujednačeni uvjeti za provedbu ove Uredbe, Komisiji bi trebalo dodijeliti provedbene ovlasti. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća (22).

(107)

Postupak ispitivanja trebao bi se upotrebljavati za donošenje provedbenih akata o europskim programima kibersigurnosne certifikacije za IKT proizvode, IKT usluge i IKT procese, za donošenje provedbenih akata o uređenju za provođenje istraga ENISA-e, za donošenje provedbenih akata o planu istorazinskog ocjenjivanja nacionalnih tijela za kibersigurnosnu certifikaciju te za donošenje provedbenih akata o okolnostima, formatima i postupcima u skladu s kojima nacionalna tijela za kibersigurnosnu certifikaciju Komisiji dostavljaju obavijesti o akreditiranim tijelima za ocjenjivanje sukladnosti.

(108)

Rad ENISA-e trebao bi podlijegati redovitoj i neovisnoj evaluaciji. Tom bi evaluacijom trebalo uzeti u obzir ostvaruje li ENISA svoje ciljeve, njezin način rada i relevantnost njezinih zadaća, posebno njezine zadaće u vezi s operativnom suradnjom na razini Unije. Tom bi evaluacijom također trebalo procijeniti i učinak, djelotvornost i učinkovitost europskog okvira za kibersigurnosnu certifikaciju. U slučaju preispitivanja Komisija bi trebala ocijeniti kako se uloga ENISA-e kao referentne točke za savjetovanje i stručno znanje može ojačati te bi također trebala ocijeniti mogućnost za ulogu ENISA-e u podupiranju ocjene IKT proizvoda, IKT usluga i IKT procesa iz trećih zemalja koji nisu usklađeni s pravilima Unije, kada takvi proizvodi, usluge i procesi ulaze u Uniju.

(109)

S obzirom na to da ciljeve ove Uredbe ne mogu dostatno ostvariti države članice, nego se oni, zbog opsega ili učinaka djelovanja, na bolji način mogu ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji (UEU). U skladu s načelom proporcionalnosti utvrđenim u tom članku, ova Uredba ne prelazi ono što je potrebno za ostvarivanje tih ciljeva.

(110)

Uredbu (EU) br. 526/2013 trebalo bi staviti izvan snage,

(1)

Svrha je ove Direktive doprinijeti pravilnom funkcioniranju unutarnjeg tržišta usklađivanjem zakona i drugih propisa država članica u pogledu zahtjeva za pristupačnost određenih proizvoda i usluga, posebno ukidanjem i sprječavanjem prepreka slobodnom kretanju određenih pristupačnih proizvoda i usluga, koje proizlaze iz različitih zahtjeva za pristupačnost u državama članicama. Time bi se povećala dostupnost pristupačnih proizvoda i usluga na unutarnjem tržištu te poboljšala pristupačnost relevantnih informacija.

(2)

Potražnja za pristupačnim proizvodima i uslugama velika je, a predviđa se da će se broj osoba s invaliditetom znatno povećati. Okruženje s pristupačnijim proizvodima i uslugama omogućuje uključivije društvo i olakšava samostalan život osobama s invaliditetom. U tom kontekstu trebalo bi imati na umu da se invaliditet u Uniji u većoj mjeri pojavljuje među ženama nego muškarcima.

(3)

Ovom se Direktivom osobe s invaliditetom definiraju u skladu s Konvencijom Ujedinjenih naroda o pravima osoba s invaliditetom, donesenoj 13. prosinca 2006. (UN CRPD), čija je Unija stranka od 21. siječnja 2011. i koju su ratificirale sve države članice. U Konvenciji Ujedinjenih naroda o pravima osoba s invaliditetom navodi se da su osobe s invaliditetom „one koje imaju dugotrajna tjelesna, mentalna, intelektualna ili osjetilna oštećenja, koja u međudjelovanju s različitim preprekama mogu sprječavati njihovo puno i učinkovito sudjelovanje u društvu na ravnopravnoj osnovi s ostalima”. Ovom Direktivom promiče se potpuno i učinkovito ravnopravno sudjelovanje poboljšanjem pristupa proizvodima i uslugama široke potrošnje koji svojim prvotnim dizajnom ili naknadnim prilagodbama zadovoljavaju posebne potrebe osoba s invaliditetom.

(4)

Druge osobe sa smanjenom funkcionalnom sposobnošću, kao što su starije osobe, trudnice ili putnici s prtljagom, također bi imale koristi od ove Direktive. Koncept „osobe sa smanjenom funkcionalnom sposobnošću”, kako se navodi u ovoj Direktivi, uključuje osobe s tjelesnim, mentalnim, intelektualnim ili osjetilnim poteškoćama, poteškoćama povezanima sa starenjem ili drugim trajnim ili privremenim uzrocima povezanima s radom tjelesnih funkcija, koje u međudjelovanju s različitim preprekama uzrokuju smanjenu mogućnost pristupa tih osoba proizvodima i uslugama što dovodi do situacija u kojima je nužno da ti proizvodi i usluge budu prilagođeni njihovim posebnim potrebama.

(5)

Razlike u zakonima i drugim propisima država članica u pogledu pristupačnosti proizvoda i usluga za osobe s invaliditetom stvaraju prepreke slobodnom kretanju proizvoda i usluga i narušavaju učinkovito tržišno natjecanje na unutarnjem tržištu. U pogledu nekih proizvoda i usluga te će se razlike u Uniji vjerojatno povećati nakon stupanja na snagu Konvencije Ujedinjenih naroda o pravima osoba s invaliditetom. Te prepreke osobito ugrožavaju gospodarske subjekte, a posebno mala i srednja poduzeća (MSP-ove).

(6)

Razlike u nacionalnim zahtjevima za pristupačnost posebno su velika prepreka pojedinačnim poduzetnicima, malim i srednjim poduzećima te mikropoduzećima pri pokretanju posla izvan vlastitog domaćeg tržišta. Nacionalni, pa čak i regionalni ili lokalni zahtjevi za pristupačnost koje su uspostavile države članice trenutačno se razlikuju u pogledu pokrivenosti i razine detaljnosti. Te razlike negativno utječu na konkurentnost i rast zbog toga što izrada i uvođenje na tržište pristupačnih proizvoda i usluga za svako nacionalno tržište zahtijeva dodatne troškove.

(7)

Potrošači pristupačnih proizvoda i usluga te pomoćnih tehnologija suočeni su s visokim cijenama zbog ograničenog tržišnog natjecanja među dobavljačima. Zbog neujednačenosti među nacionalnim propisima smanjuje se korist koja bi mogla proizaći iz razmjene iskustava na nacionalnoj i međunarodnoj razini o odgovoru na društveni i tehnološki razvoj.

(8)

Približavanje nacionalnih mjera na razini Unije stoga je potrebno za pravilno funkcioniranje unutarnjeg tržišta kako bi se stalo na kraj neujednačenosti tržišta pristupačnih proizvoda i usluga, omogućila ekonomija razmjera, olakšala prekogranična trgovina i mobilnost te pomoglo gospodarskim subjektima da usmjere sredstva na inovacije umjesto da ih upotrebljavaju za pokrivanje troškova koji proizlaze iz neujednačenog zakonodavstva širom Unije.

(9)

Koristi od usklađivanja zahtjeva za pristupačnost za unutarnje tržište već su se pokazale primjenom Direktive 2014/33/EU Europskog parlamenta i Vijeća (3) o dizalima i Uredbe (EZ) br. 661/2009 Europskog parlamenta i Vijeća (4) u području prijevoza.

(10)

U Izjavi br. 22, o osobama s invaliditetom, priloženoj Ugovoru iz Amsterdama, na konferenciji predstavnika vlada država članica usuglašeno je da institucije Unije moraju uzeti u obzir potrebe osoba s invaliditetom pri sastavljanju mjera na temelju članka 114. Ugovora o funkcioniranju Europske unije (UFEU).

(11)

Komunikacija Komisije od 6. svibnja 2015.„Strategija jedinstvenog digitalnog tržišta za Europu” usmjerena je na ostvarenje održivih ekonomskih i socijalnih koristi na povezanom jedinstvenom digitalnom tržištu olakšavanjem trgovine, čime se potiče zapošljavanja unutar Unije. Potrošači Unije još uvijek ne mogu potpuno iskoristiti prednosti jedinstvenog tržišta u pogledu cijena i izbora jer su prekogranične internetske transakcije i dalje vrlo ograničene. Zbog neujednačenosti smanjeno je i prekogranično korištenje transakcijama e-trgovine. Potrebno je također usklađeno djelovati kako bi se osiguralo da elektronički sadržaji, usluge elektroničke komunikacije i pristup audiovizualnim medijskim uslugama budu potpuno dostupni osobama s invaliditetom. Stoga je potrebno uskladiti zahtjeve za pristupačnost diljem jedinstvenog digitalnog tržišta i osigurati da svi građani Unije neovisno o njihovim sposobnostima mogu uživati u pogodnostima takvog tržišta.

(12)

Nakon što je Unija postala stranka Konvencije Ujedinjenih naroda o pravima osoba s invaliditetom, njezine su odredbe postale sastavni dio pravnog poretka Unije te su obvezujuće za institucije Unije i za njezine države članice.

(13)

U skladu s Konvencijom Ujedinjenih naroda o pravima osoba s invaliditetom, njezine stranke obvezne su poduzeti odgovarajuće mjere kako bi se osiguralo da osobe s invaliditetom, na ravnopravnoj osnovi s ostalima, imaju pristup fizičkom okruženju, prijevozu, informacijama i komunikacijama, uključujući informacijske i komunikacijske tehnologije i sustave, te drugim uslugama i prostorima otvorenima ili namijenjenima javnosti, i u urbanim i u ruralnim područjima. Odbor Ujedinjenih naroda za prava osoba s invaliditetom utvrdio je potrebu izrade zakonodavnog okvira s konkretnim, ostvarivim i vremenski ograničenim mjerilima za praćenje postupne provedbe pristupačnosti.

(14)

Konvencijom Ujedinjenih naroda o pravima osoba s invaliditetom njezine stranke poziva se da provode ili promiču istraživanje i razvoj novih tehnologija te da promiču njihovu dostupnost i upotrebu, uključujući informacijske i komunikacijske tehnologije, pomagala za kretanje, uređaje i pomoćne tehnologije prikladne za osobe s invaliditetom. Konvencijom Ujedinjenih naroda o pravima osoba s invaliditetom također se poziva na davanje prioriteta cjenovno pristupačnim tehnologijama.

(15)

Stupanje na snagu Konvencije Ujedinjenih naroda o pravima osoba s invaliditetom u pravnim porecima država članica podrazumijeva potrebu za donošenjem dodatnih nacionalnih odredaba o pristupačnosti proizvoda i usluga. Bez djelovanja Unije te odredbe dovele bi do daljnjeg povećanja razlika između zakona i drugih propisa država članica.

(16)

Stoga je u Uniji potrebno olakšati provedbu Konvencije Ujedinjenih naroda o pravima osoba s invaliditetom utvrđivanjem zajedničkih pravila Unije. Ovom Direktivom ujedno se podupire države članice u njihovim naporima da na usklađen način ispune svoje nacionalne obveze kao i obveze u okviru Konvencije Ujedinjenih naroda o pravima osoba s invaliditetom u pogledu pristupačnosti.

(17)

U komunikaciji Komisije od 15. studenoga 2010. naslovljenoj „Europska strategija za osobe s invaliditetom 2010. – 2020.: obnovljena obveza za Europu bez zapreka”, u skladu s Konvencijom Ujedinjenih naroda o pravima osoba s invaliditetom, pristupačnost se utvrđuje kao jedno od osam područja djelovanja i navodi se kao osnovni preduvjet za sudjelovanje u društvu te se njome nastoji osigurati pristupačnost proizvoda i usluga.

(18)

Određivanje proizvoda i usluga obuhvaćenih područjem primjene ove Direktive temelji se na analitičkom pregledu provedenom tijekom pripreme procjene učinka u kojem su utvrđeni relevantni proizvodi i usluge za osobe s invaliditetom, a za koje su države članice donijele ili će vjerojatno donijeti različite nacionalne zahtjeve za pristupačnost kojima se narušava funkcioniranje unutarnjeg tržišta.

(19)

Kako bi se osigurala pristupačnost usluga obuhvaćenih područjem primjene ove Direktive, za proizvode koji se upotrebljavaju pri pružanju onih usluga s kojima potrošač ostvaruje interakciju trebala bi također postojati obveza da udovoljavaju primjenjivim zahtjevima za pristupačnost iz ove Direktive.

(20)

Čak i ako se usluga ili dio usluge daje u podugovor trećoj strani, pristupačnost te usluge ne bi smjela biti dovedena u pitanje, a pružatelji usluga trebali bi ispuniti obveze iz ove Direktive. Pružatelji usluga također bi trebali voditi računa o tome da se njihovo osoblje prikladno i stalno osposobljava kako bi se zajamčilo da ima potrebno znanje o upotrebi pristupačnih proizvoda i usluga. Ta bi osposobljavanja trebala obuhvaćati teme kao što su pružanje informacija, savjetovanje i reklamiranje.

(21)

Zahtjeve za pristupačnost trebalo bi uvesti na način kojim se najmanje opterećuje gospodarske subjekte i države članice.

(22)

Potrebno je odrediti zahtjeve za pristupačnost radi stavljanja na tržište proizvoda i usluga koji spadaju u područje primjene ove Direktive kako bi se osiguralo njihovo slobodno kretanje na unutarnjem tržištu.

(23)

Ovom bi Direktivom trebalo propisati obveznu upotrebu zahtjeva za funkcionalnu pristupačnost te bi ih trebalo formulirati kao opće ciljeve. Ti bi zahtjevi trebali biti dovoljno precizni kako bi se njima stvorile pravno obvezujuće obveze te dovoljno detaljni da omoguće ocjenu sukladnosti kako bi se osiguralo dobro funkcioniranje unutarnjeg tržišta za proizvode i usluge obuhvaćene ovom Direktivom te bi se njima trebao pružiti određen stupanj fleksibilnosti kako bi se omogućile inovacije.

(24)

Ova Direktiva sadržava niz kriterija funkcionalne učinkovitosti povezanih s načinima rada proizvoda i usluga. Ti kriteriji ne služe kao opća alternativa zahtjevima za pristupačnost iz ove Direktive, već bi se trebali upotrebljavati samo u vrlo specifičnim okolnostima. Ti kriteriji trebali bi se primjenjivati na posebne funkcije ili obilježja proizvoda ili usluga kako bi ih se učinilo pristupačnima ako se zahtjevi za pristupačnost iz ove Direktive ne odnose na jedno ili više tih posebnih funkcija ili obilježja. Osim toga, u slučaju da zahtjev za pristupačnost sadržava posebne tehničke zahtjeve, a u proizvodu ili usluzi postoji alternativno tehničko rješenje za te tehničke zahtjeve, to alternativno tehničko rješenje trebalo bi i dalje biti u skladu s povezanim zahtjevima za pristupačnost te bi trebalo dovesti do istovrijedne ili povećane pristupačnosti primjenom odgovarajućih kriterija za funkcionalnu učinkovitost.

(25)

Ovom Direktivom trebalo bi obuhvatiti potrošačke sustave računalne strojne opreme opće namjene. Kako bi ti sustavi mogli funkcionirati na pristupačan način, i njihovi operativni sustavi trebali bi biti pristupačni. Značajka takvih sustava računalne strojne opreme njihova je višenamjenska priroda i sposobnost da uz pomoć odgovarajuće programske opreme obavljaju najčešće računalske zadatke koje traže potrošači te je predviđeno da njima upravljaju potrošači. Osobna računala, uključujući stolna računala, prijenosna računala, pametne telefone i tablete, primjeri su takvih sustava računalne strojne opreme. Specijalizirana računala ugrađena u potrošačke elektroničke proizvode ne predstavljaju potrošačke sustave računalne strojne opreme opće namjene. Ova Direktiva ne bi trebala na pojedinačnoj osnovi obuhvaćati pojedinačne komponente s posebnim funkcijama kao što su matična ploča ili memorijski čip koji se upotrebljavaju ili bi se mogli upotrebljavati u takvom sustavu.

(26)

Ovom Direktivom trebalo bi obuhvatiti i terminale za plaćanje, uključujući i njihovu strojnu i programsku opremu, te određene interaktivne samoposlužne terminale, uključujući i njihovu strojnu i programsku opremu, namijenjene upotrebi u pružanju usluga obuhvaćenih ovom Direktivom, na primjer: bankomate; uređaje za izdavanje karata s pomoću kojih se izdaju fizičke karte kojima se omogućuje pristup uslugama, kao što su automati za izdavanje putnih karata, uređaji za izdavanje brojeva za red čekanja u bankama; uređaje za prijavu; i interaktivne samoposlužne terminale na kojima se pružaju informacije, uključujući interaktivne informativne zaslone.

(27)

Međutim, određeni interaktivni samoposlužni terminali na kojima se pružaju informacije ugrađeni kao integrirani dijelovi vozila, zrakoplova, brodova ili željezničkih vozila trebali bi biti isključeni iz područja primjene ove Direktive jer oni sačinjavaju dio tih vozila, zrakoplova, brodova ili željezničkih vozila koji nisu obuhvaćeni ovom Direktivom.

(28)

Ova Direktiva trebala bi također obuhvatiti elektroničke komunikacijske usluge, uključujući komunikaciju prema hitnim službama, kako su definirane u Direktivi (EU) 2018/1972 Europskog parlamenta i Vijeća (5). Mjere koje države članice trenutačno poduzimaju radi osiguravanja pristupačnosti osobama s invaliditetom različite su i nisu usklađene na cijelom unutarnjem tržištu. Osiguravanjem primjene istih zahtjeva za pristupačnost diljem Unije dovest će se do ekonomije razmjera za gospodarske subjekte koji su aktivni u više država članica i olakšat će se učinkovit pristup osobama s invaliditetom u njihovim državama članicama i kada putuju među državama članicama. Kako bi se ostvarila pristupačnost elektroničkih komunikacijskih usluga, uključujući komunikaciju prema hitnim službama, pružatelji bi pored glasovne usluge trebali omogućiti usluge tekstualne komunikacije u stvarnom vremenu i usluge cjelokupnog razgovora ako nude videozapis, istodobno osiguravajući usklađenost svih tih komunikacijskih sredstava. Uz zahtjeve ove Direktive, države članice trebale bi, u skladu s Direktivom (EU) 2018/1972, moći odrediti posrednog pružatelja usluga prijenosa kojim bi se mogle koristiti osobe s invaliditetom.

(29)

Ovom Direktivom usklađuju se zahtjevi za pristupačnost za elektroničke komunikacijske usluge i povezane proizvode te se dopunjuje Direktiva (EU) 2018/1972 kojom su utvrđeni zahtjevi u pogledu jednakovrijednog pristupa i izbora za krajnje korisnike s invaliditetom. Direktivom (EU) 2018/1972 utvrđuju se i zahtjevi u pogledu obveza pružanja univerzalne usluge koji se odnose na cjenovnu pristupačnost pristupa internetu i glasovnih komunikacija te cjenovnu pristupačnost i dostupnost povezane terminalne opreme, posebne opreme i usluga za potrošače s invaliditetom.

(30)

Ovom Direktivom trebalo bi obuhvatiti i potrošačku terminalnu opremu s interaktivnim računalnim svojstvima za koju se predviđa da bi se ponajprije upotrebljavala za pristup elektroničkim komunikacijskim uslugama. Za potrebe ove Direktive za tu bi opremu trebalo smatrati da uključuje opremu koja se upotrebljava kao dio postava za pristup elektroničkim komunikacijskim uslugama kao što su ruter ili modem.

(31)

Za potrebe ove Direktive pristup audiovizualnim medijskim uslugama trebao bi značiti da pristup audiovizualnom sadržaju bude pristupačan, kao i mehanizmi s pomoću kojih se korisnicima s invaliditetom omogućuje da se koriste svojim pomoćnim tehnologijama. Usluge kojima se omogućuje pristup audiovizualnim medijskim uslugama mogle bi obuhvaćati internetske stranice, internetske aplikacije, aplikacije za digitalne prijamnike, aplikacije koje se mogu preuzimati, usluge na mobilnim uređajima, uključujući mobilne aplikacije i povezane reproduktore, kao i povezane televizijske usluge. Pristupačnost audiovizulanih medijskih usluga regulirana je u Direktivi 2010/13/EU Europskog parlamenta i Vijeća (6), uz iznimku elektroničkih programskih vodiča (EPV-ovi) koji su uključeni u definiciju usluga kojima se pruža pristup audiovizualnim medijskim uslugama na koje se primjenjuje ova Direktiva.

(32)

U kontekstu zrakoplovnih, autobusnih i željezničkih usluga putničkog prijevoza te usluga putničkog prijevoza vodnim putovima ovom bi Direktivom trebalo obuhvatiti, među ostalim, pružanje informacija o prijevoznim uslugama, uključujući informacije o putovanjima u stvarnom vremenu, putem internetskih stranica, usluga na mobilnim uređajima, interaktivnih informacijskih zaslona i interaktivnih samoposlužnih terminala koji su putnicima s invaliditetom potrebni kako bi mogli putovati. To bi moglo uključivati informacije o proizvodima i uslugama pružatelja usluga putničkog prijevoza, informacije prije putovanja, informacije tijekom putovanja i informacije koje se pružaju u slučaju otkazivanja usluge ili kašnjenja u polasku. Drugi elementi informacija mogli bi uključivati i informacije o cijenama i promotivnim ponudama.

(33)

Ovom Direktivom trebalo bi obuhvatiti i internetske stranice, usluge na mobilnim uređajima, uključujući mobilne aplikacije koje su razvili ili koje na raspolaganje stavljaju operatori usluga putničkog prijevoza u okviru područja primjene ove Direktive ili koje se razvijaju ili stavljaju na raspolaganje u njihovo ime, usluge elektroničkog izdavanja karata, elektroničke karte i interaktivne informacijske zaslone.

(34)

Određivanje područja primjene ove Direktive u pogledu usluga zrakoplovnog, autobusnog i željezničkog prijevoza putnika te prijevoza putnika vodnim putovima trebalo bi se temeljiti na postojećem zakonodavstvu za te sektore koje se odnosi na prava putnika. Ako se ova Direktiva ne primjenjuje na određene vrste usluga prijevoza, države članice trebale bi poticati pružatelje usluga da primjenjuju relevantne zahtjeve za pristupačnost iz ove Direktive.

(35)

Direktivom (EU) 2016/2102 Europskog parlamenta i Vijeća (7) već su utvrđene obveze tijela javnog sektora koja pružaju usluge prijevoza, uključujući usluge gradskog i prigradskog prijevoza te usluge regionalnog prijevoza, da svoje internetske stranice učine pristupačnima. Ova Direktiva također sadrži izuzeća za mikropoduzeća koja nude usluge, uključujući i usluge gradskog i prigradskog prijevoza te usluge regionalnog prijevoza. Osim toga, ovom Direktivom obuhvaćene su obveze za osiguravanje pristupačnosti internetskih stranica na kojima se nude usluge e-trgovine. Budući da ova Direktiva sadržava obveze za veliku većinu privatnih pružatelja usluga prijevoza da pri prodaji karata preko interneta, svoje internetske stranice učine pristupačnima, u ovoj Direktivi nije potrebno uvoditi dodatne zahtjeve za internetske stranice pružatelja usluga gradskog i prigradskog prijevoza te pružatelja usluga regionalnog prijevoza.

(36)

Određeni elementi zahtjeva za pristupačnost, osobito oni koji se odnose na pružanje informacija kako je utvrđeno u ovoj Direktivi, već su obuhvaćeni postojećim zakonodavstvom Unije u području prijevoza putnika. To uključuje elemente Uredbe (EZ) br. 261/2004 Europskog parlamenta i Vijeća (8), Uredbe (EZ) br. 1107/2006 Europskog parlamenta i Vijeća (9), Uredbe (EZ) br. 1371/2007 Europskog parlamenta i Vijeća (10), Uredbe (EU) br. 1177/2010 Europskog parlamenta i Vijeća (11) i Uredbe (EU) br. 181/2011 Europskog parlamenta i Vijeća (12). To uključuje i relevantne akte donesene na temelju Direktive 2008/57/EZ Europskog parlamenta i Vijeća (13). Kako bi se osigurala regulatorna dosljednost, zahtjevi za pristupačnost utvrđeni u tim uredbama i aktima trebali bi se i dalje primjenjivati. Međutim, dodatnim bi se zahtjevima iz ove Direktive dopunili postojeći zahtjevi te bi se time poboljšalo funkcioniranje unutarnjeg tržišta u području prijevoza i pogodovalo osobama s invaliditetom.

(37)

Određeni elementi usluga prijevoza ne bi trebali biti obuhvaćeni ovom Direktivom kada se pružaju izvan državnog područja država članica, čak i ako je usluga namijenjena tržištu Unije. U pogledu tih elemenata operator usluge putničkog prijevoza trebao bi samo biti obvezan osigurati da su zahtjevi iz ove Direktive zadovoljeni u odnosu na dio usluge koja se nudi na području Unije. Međutim, u slučaju zračnog prijevoza, zračni prijevoznici Unije trebali bi osigurati da su primjenjivi zahtjevi iz ove Direktive zadovoljeni i na letovima s polaskom iz zračne luke koja se nalazi u trećoj zemlji i kojima je odredište zračna luka koja se nalazi na državnom području država članica. Nadalje, svi zračni prijevoznici, uključujući one koji nisu licencirani u Uniji, trebali bi osigurati da su primjenjivi zahtjevi iz ove Direktive zadovoljeni u slučaju letova s polaskom s područja Unije prema državnom području treće zemlje.

(38)

Gradske vlasti trebalo bi poticati da integriraju pristupačnost uslugama gradskog prijevoza bez prepreka u svoje planove održive gradske mobilnosti i da redovito objavljuju popise najboljih praksi povezanih s pristupačnošću javnog gradskog prijevoza bez prepreka i s mobilnošću.

(39)

Pravom Unije o bankarskim i financijskim uslugama nastoji se zaštiti potrošače koji su korisnici tih usluga diljem Unije i pružiti im informacije, ali njime nisu obuhvaćeni zahtjevi za pristupačnost. Kako bi osobe s invaliditetom mogle upotrebljavati te usluge u cijeloj Uniji, uključujući, ako je moguće, putem internetskih stranica i usluga na mobilnim uređajima, uključujući mobilne aplikacije, donositi utemeljene odluke i biti sigurne da su prikladno zaštićene jednako kao i drugi potrošači te kako bi se osigurali jednaki uvjeti za pružatelje usluga, ovom bi se Direktivom trebali utvrditi zajednički zahtjevi za pristupačnost za određene bankarske i financijske usluge koje se pružaju potrošačima.

(40)

Odgovarajući zahtjevi za pristupačnost trebali bi se primjenjivati i na metode za identifikaciju, elektroničke potpise i platne usluge, s obzirom na to da su oni potrebni za provođenje potrošačkih bankarskih transakcija.

(41)

Datoteke e-knjiga temelje se na elektroničkom računalnom kodiranju kojim se omogućuje optjecaj i pregled uglavnom tekstualnog i grafičkog intelektualnog djela. Pristupačnost datoteka e-knjiga ovisi o stupnju preciznosti tog kodiranja, osobito u pogledu kvalifikacije različitih sastavnih elemenata tog djela te standardiziranog opisa njegove strukture. Interoperabilnošću u pogledu pristupačnosti trebalo bi optimizirati kompatibilnost tih datoteka s korisničkim agentima te s trenutačnim i budućim pomoćnim tehnologijama. Određene elemente posebnih djela kao što su stripovi, dječje knjige i knjige o umjetnosti trebalo bi uzeti u obzir imajući u vidu sve primjenjive zahtjeve za pristupačnost. Različitim zahtjevima za pristupačnost u državama članicama otežalo bi se izdavačima i drugim gospodarskim subjektima da iskoriste prednosti unutarnjeg tržišta, mogli bi se pojaviti problemi interoperabilnosti s e-čitačima te bi se njima ograničio pristup za korisnike s invaliditetom. U kontekstu e-knjiga pojmom pružatelja usluge moglo bi se obuhvatiti izdavače i druge gospodarske subjekte koji sudjeluju u njihovoj distribuciji.

Prepoznato je da se osobe s invaliditetom i dalje suočavaju s preprekama za pristup sadržaju koji je zaštićen autorskim i srodnim pravima te da su već poduzete određene mjere za rješavanje takvih situacija, primjerice donošenjem Direktive (EU) 2017/1564 Europskog parlamenta i Vijeća (14) i Uredbe (EU) 2017/1563 Europskog parlamenta i Vijeća (15), te da bi se u budućnosti s tim u vezi mogle poduzeti dodatne mjere Unije.

(42)

U ovoj se Direktivi usluge e-trgovine definiraju kao usluge koja se pružaju na daljinu, putem internetskih stranica i usluga na mobilnim uređajima, elektroničkim sredstvima i na pojedinačni zahtjev potrošača, s ciljem sklapanja potrošačkog ugovora. Za potrebe te definicije „na daljinu” znači da se usluga pruža bez istodobne prisutnosti stranaka; „elektroničkim sredstvima” znači da se usluga prvotno šalje i prima na odredištu s pomoću elektroničke opreme za obradu (uključujući digitalnu kompresiju) i pohranu podataka te u potpunosti šalje, prenosi i prima telegrafski, radiovezom, optičkim sredstvima ili drugim elektromagnetskim sredstvima; „na pojedinačni zahtjev potrošača” znači da se usluga pruža na temelju pojedinačnog zahtjeva. S obzirom na povećanu važnost usluga e-trgovine i njihovu iznimno tehnološku narav, važno je imati usklađene zahtjeve za njihovu pristupačnost.

(43)

Obveze pristupačnosti za usluge e-trgovine iz ove Direktive trebale bi se primjenjivati na internetsku prodaju bilo kojeg proizvoda ili usluge i trebale bi se stoga također primjenjivati na prodaju proizvoda ili usluge zasebno obuhvaćenih ovom Direktivom.

(44)

Mjere u vezi s pristupačnošću odgovora u komunikaciji prema hitnim službama trebale bi se donijeti bez dovođenja u pitanje organizacije hitnih službi i ne bi trebale utjecati na nju, što ostaje u isključivoj nadležnosti država članica.

(45)

U skladu s Direktivom (EU) 2018/1972, države članice osiguravaju da krajnji korisnici s invaliditetom imaju pristup hitnim službama koji je dostupan putem komunikacija prema hitnim službama te je jednak pristupu drugih krajnjih korisnika u skladu s pravom Unije kojim se usklađuju zahtjevi za dostupnost proizvoda i usluga. Komisija te nacionalna regulatorna tijela ili druga nadležna tijela trebaju poduzeti odgovarajuće mjere kako bi se osiguralo da krajnji korisnici s invaliditetom, tijekom putovanja u drugoj državi članici, imaju pristup hitnim službama uz jednake uvjete kao i drugi krajni korisnici, ako je to izvedivo, bez prethodne registracije. Tim se mjerama nastoji osigurati interoperabilnost u svim državama članicama te se one u najvećoj mogućoj mjeri trebaju temeljiti na europskim normama ili specifikacijama utvrđenima u skladu s člankom 39. Direktive (EU) 2018/1972. Te mjere ne sprječavaju države članice da donose dodatne zahtjeve u svrhu ostvarivanja ciljeva iz te Direktive. Kao druga mogućnost za ispunjavanje zahtjeva za pristupačnost u pogledu odgovora u komunikaciji prema hitnim službama za korisnike s invaliditetom utvrđenih u ovoj Direktivi, države članice trebale bi moći odrediti posrednog pružatelja usluga prijenosa, u svojstvu treće strane, kojim bi se koristile osobe s invaliditetom za komunikaciju s pristupnom točkom sigurnosnog poziva dok te pristupne točke sigurnosnog poziva ne budu sposobne upotrebljavati elektroničke komunikacijske usluge putem internetskih protokola za osiguravanje pristupačnosti odgovora komunikacija prema hitnim službama. U svakom slučaju obveze iz ove Direktive ne bi se smjele tumačiti tako da ograničavaju ili umanjuju bilo kakve obveze u korist krajnjih korisnika s invaliditetom, uključujući istovjetni pristup elektroničkim komunikacijskim uslugama hitnim službama, kao ni obveze o pristupačnosti kako su utvrđene u Direktivi (EU) 2018/1972.

(46)

U Direktivi (EU) 2016/2102 definiraju se zahtjevi za pristupačnost internetskih stranica i mobilnih aplikacija tijela javnog sektora i drugih povezanih aspekata, posebice zahtjeva u pogledu usklađenosti relevantnih internetskih stranica i mobilnih aplikacija. Ta Direktiva, međutim, sadrži poseban popis izuzetaka. Slični izuzeci relevantni su i za ovu Direktivu. Neke aktivnosti koje se odvijaju putem internetskih stranica i mobilnih aplikacija tijelâ javnog sektora, poput usluga putničkog prijevoza ili usluga e-trgovine, koje su obuhvaćene područjem primjene ove Direktive, trebale bi uz ostalo biti u skladu s primjenjivim zahtjevima za pristupačnost iz ove Direktive kako bi se osiguralo da je internetska prodaja proizvoda i usluga pristupačna osobama s invaliditetom bez obzira na to je li prodavač javni ili privatni gospodarski subjekt. Zahtjeve za pristupačnost iz ove Direktive trebalo bi uskladiti sa zahtjevima iz Direktive (EU) 2016/2102 unatoč razlikama primjerice u pogledu praćenja, izvješćivanja ili primjene.

(47)

Četiri načela pristupačnosti internetskim stranicama i mobilnim aplikacijama koja se koriste u Direktivi (EU) 2016/2102 jesu: mogućnost percepcije, što znači da informacije i sastavni dijelovi korisničkog sučelja moraju biti predstavljeni korisnicima tako da ih oni mogu percipirati; operabilnost, što znači da se sastavnim dijelovima korisničkog sučelja i navigacije mora moći upravljati; razumljivost, što znači da informacije i način rada korisničkog sučelja moraju biti razumljivi; i stabilnost, što znači da sadržaji moraju biti dovoljno stabilni da ih može pouzdano tumačiti širok raspon korisničkih agenata, uključujući pomoćne tehnologije. Ta su načela relevantna i za ovu Direktivu.

(48)

Države članice trebale bi poduzeti sve odgovarajuće mjere kako bi osigurale da se zbog razloga koji se odnose na zahtjeve za pristupačnost ne ograničava slobodno kretanje proizvoda i usluga obuhvaćenih ovom Direktivom unutar Unije ako su ti proizvodi i usluge u skladu s primjenjivim zahtjevima za pristupačnost.

(49)

U nekim situacijama, zajedničkim zahtjevima za pristupačnost izgrađenog okoliša olakšalo bi se slobodno kretanje povezanih usluga i osoba s invaliditetom. Stoga bi ovom Direktivom trebalo omogućiti državama članicama da izgrađeni okoliš koji se koristi za pružanje usluga uključe u područje primjene ove Direktive te tako osiguraju sukladnost sa zahtjevima za pristupačnost određenima u Prilogu III.

(50)

Pristupačnost bi trebalo postići sustavnim uklanjanjem i sprječavanjem prepreka, po mogućnosti pristupom univerzalnog dizajna ili „dizajna za sve”, koji pomaže da se osobama s invaliditetom osigura pristup na ravnopravnoj osnovi s ostalima. Prema Konvenciji Ujedinjenih naroda o pravima osoba s invaliditetom taj pristup „označava oblikovanje proizvoda, okruženja, programa i usluga na način da ih mogu koristiti svi ljudi u najvećoj mogućoj mjeri, bez potrebe prilagođavanja ili posebnog oblikovanja”. U skladu s Konvencijom Ujedinjenih naroda o pravima osoba s invaliditetom, „‚univerzalni dizajn’ ne isključuje pomoćne naprave za određene skupine osoba s invaliditetom u onim slučajevima kada je to potrebno”. Nadalje, načelom pristupačnosti ne bi trebalo isključiti omogućivanje razumne prilagodbe ako je obvezna prema nacionalnom pravu ili pravu Unije. Pristupačnost i univerzalni dizajn trebalo bi tumačiti u skladu s Općom napomenom br. 2(2014)- Članak 9.: Pristupačnost kako ju je napisao Odbor za prava osoba s invaliditetom.

(51)

Proizvodi ili usluge obuhvaćeni područjem primjene ove Direktive nisu automatski obuhvaćeni područjem primjene Direktive Vijeća 93/42/EEZ (16). Međutim, neke pomoćne tehnologije koje su medicinski proizvodi mogle bi biti obuhvaćene područjem primjene te Direktive.

(52)

Većinu radnih mjesta u Uniji osiguravaju MSP-ovi i mikropoduzeća. Oni imaju presudnu važnost za budući rast, ali se vrlo često suočavaju sa smetnjama i preprekama u razvoju svojih proizvoda ili usluga, posebno u prekograničnom kontekstu. Stoga je potrebno olakšati rad MSP-ovima i mikropoduzećima usklađivanjem nacionalnih odredbi o pristupačnosti te pritom zadržati potrebne zaštitne mjere.

(53)

Da bi mikropoduzeća te mala i srednja poduzeća imala koristi od ove Direktive, ona istinski moraju ispunjavati zahtjeve iz Preporuke Komisije 2003/361/EZ (17) i mjerodavne sudske prakse, s ciljem sprječavanja zaobilaženja njezinih pravila.

(54)

Da bi se osigurala dosljednost zakonodavstva Unije, ova Direktiva trebala bi se temeljiti na Odluci br. 768/2008/EZ Europskog parlamenta i Vijeća (18) s obzirom na to da se odnosi na proizvode koji već podliježu drugim aktima Unije, uvažavajući istodobno posebne značajke zahtjeva za pristupačnost iz ove Direktive.

(55)

Svi gospodarski subjekti koji su obuhvaćeni područjem primjene ove Direktive i sudjeluju u opskrbnom i distribucijskom lancu trebali bi osigurati da se na raspolaganje na tržištu stavljaju isključivo proizvodi koji su u skladu s ovom Direktivom. Isto bi se trebalo primjenjivati na gospodarske subjekte koji pružaju usluge. Potrebno je osigurati jasnu i razmjernu raspodjelu obveza koje odgovaraju ulozi svakog gospodarskog subjekta u opskrbnom i distribucijskom procesu.

(56)

Gospodarski subjekti trebali bi biti odgovorni za usklađenost proizvoda i usluga, u odnosu sa svojom ulogom u opskrbnom lancu, kako bi se osigurala visoka razina zaštite pristupačnosti i zajamčilo pošteno tržišno natjecanje na tržištu Unije.

(57)

Obveze iz ove Direktive trebale bi se jednako primjenjivati na gospodarske subjekte u javnom i privatnom sektoru.

(58)

Proizvođač koji detaljno poznaje postupak osmišljavanja i proizvodnje najprimjereniji je za provedbu cijelog postupka ocjenjivanja sukladnosti. Proizvođač je odgovoran za sukladnost proizvoda, a tijela za nadzor tržišta trebala bi imati ključnu ulogu pri provjeri toga jesu li proizvodi koji su stavljeni na raspolaganje u Uniju proizvedeni u skladu s pravom Unije.

(59)

Uvoznici i distributeri trebali bi biti uključeni u nadzor tržišta koji provode nacionalna tijela i u tome aktivno sudjelovati te nadležnim tijelima dostavljati sve potrebne informacije o određenom proizvodu.

(60)

Uvoznici bi trebali osigurati da su proizvodi iz trećih zemalja koji dolaze na tržište Unije u skladu s ovom Direktivom i osobito da su proizvođači proveli odgovarajuće postupke ocjenjivanja sukladnosti u odnosu na te proizvode.

(61)

Prilikom stavljanja proizvoda na tržište uvoznici bi trebali na proizvodu navesti svoje ime, registrirano trgovačko ime ili registrirani trgovački znak i adresu na koju ih je moguće kontaktirati.

(62)

Distributeri bi trebali osigurati da njihovo postupanje s proizvodom ne utječe negativno na sukladnost proizvoda sa zahtjevima za pristupačnost iz ove Direktive.

(63)

Svaki gospodarski subjekt koji na tržište stavlja proizvode pod svojim imenom ili zaštitnim znakom ili proizvod već dostupan na tržištu izmijeni na takav način da bi to moglo utjecati na usklađenost s primjenjivim zahtjevima trebao bi se smatrati proizvođačem i trebao bi preuzeti obveze proizvođača.

(64)

Zahtjevi za pristupačnost trebali bi se zbog proporcionalnosti primjenjivati samo u mjeri u kojoj oni ne uzrokuju nerazmjerno opterećenje dotičnom gospodarskom subjektu i u mjeri u kojoj se zbog njih ne zahtijeva znatna promjena proizvoda i usluga zbog koje bi se oni iz temelja morali promijeniti uzimajući u obzir ovu Direktivu. Ipak, trebali bi postojati kontrolni mehanizmi kako bi se provjeravalo pravo na izuzeće od primjenjivosti zahtjeva za pristupačnost.

(65)

U ovoj bi se Direktivi trebalo slijediti načelo „prvo misli na male” i uzeti u obzir administrativno opterećenje s kojim se suočavaju MSP-ovi. U njoj bi trebalo postaviti manje stroga pravila u pogledu ocjenjivanja sukladnosti te utvrditi zaštitne odredbe za gospodarske subjekte umjesto općih izuzeća i odstupanja za ta poduzeća. Stoga bi se, pri uspostavljanju pravila za odabir i provedbu najprikladnijih postupaka ocjenjivanja sukladnosti trebala uzeti u obzir situacija malih i srednjih poduzeća, a obveze za ocjenjivanje sukladnosti sa zahtjevima za pristupačnost trebalo bi ograničiti na mjeru u kojoj one ne nameću nerazmjerno opterećenje za MSP-ove. Osim toga, tijela za nadzor tržišta trebala bi djelovati na način razmjeran veličini poduzeća i voditi računa o tome je li riječ o maloserijskoj ili izvanserijskoj proizvodnji dotičnoga proizvoda, bez stvaranja nepotrebnih prepreka za MSP-ove, ne dovodeći pritom u pitanje zaštitu javnog interesa.

(66)

U iznimnim slučajevima u kojima bi usklađenost sa zahtjevima za pristupačnost iz ove Direktive nametala nerazmjerno opterećenje za gospodarske subjekte, od gospodarskih subjekata trebalo bi tražiti da ispune te zahtjeve samo do mjere u kojoj oni ne uzrokuju nerazmjerno opterećenje. U takvim opravdanim slučajevima bilo bi razumno nemoguće da gospodarski subjekt potpuno primijeni jedan ili više zahtjeva za pristupačnost. Međutim, primjenom tih zahtjeva gospodarski subjekt trebao bi uslugu ili proizvod obuhvaćene područjem primjene ove Direktive učiniti što je moguće pristupačnijim do mjere u kojoj ti zahtjevi ne uzrokuju nerazmjerno opterećenje. Oni zahtjevi za pristupačnost za koje je gospodarski subjekt smatrao da ne uzrokuju nerazmjerno opterećenje trebali bi se primjenjivati u potpunosti. Iznimke od usklađenosti s jednim ili više zahtjeva za pristupačnost zbog nerazmjernog opterećenja koje se njima nameće ne bi smjele prelaziti ono što je strogo potrebno za ograničenje tog opterećenja u odnosu na dotični određeni proizvod ili uslugu u svakom pojedinom slučaju. Mjere kojima bi se uzrokovalo nerazmjerno opterećenje trebalo bi tumačiti kao mjere kojima bi se gospodarskom subjektu nametnulo dodatno pretjerano organizacijsko ili financijsko opterećenje, uzimajući pritom u obzir vjerojatne koristi koje se time ostvaruju za osobe s invaliditetom u skladu s kriterijima iz ove Direktive. Na temelju tih razmatranja trebalo bi utvrditi kriterije kako bi se gospodarskim subjektima i odgovarajućim tijelima omogućila usporedba različitih situacija i sustavna procjena postoji li nerazmjerno opterećenje. Pri svakoj procjeni mjere u kojoj se zahtjevi za pristupačnost ne mogu ispuniti jer bi se njima uzrokovalo nerazmjerno opterećenje trebali bi se uzimati u obzir samo legitimni razlozi. Nedostatak prioriteta, vremena ili znanja ne bi se smio smatrati legitimnim razlogom.

(67)

Ukupna procjena nerazmjernog opterećenja trebala bi se provesti primjenom kriterija određenih u Prilogu VI. Gospodarski subjekt trebao bi dokumentirati procjenu nerazmjernog opterećenja uzimajući u obzir relevantne kriterije. Pružatelji usluga trebali bi barem svakih pet godina obnoviti svoju procjenu nerazmjernog opterećenja.

(68)

Gospodarski subjekt trebao bi obavijestiti odgovarajuća tijela da je djelovao na temelju odredaba ove Direktive koje se odnose na temeljnu promjenu i/ili nerazmjerno opterećenje. Isključivo na zahtjev odgovarajućeg tijela, gospodarski subjekt trebao bi dostaviti presliku procjene o tome zašto njegov proizvod ili usluga nisu u potpunosti pristupačni i dostaviti dokaze o nerazmjernom opterećenju i/ili temeljnoj promjeni.

(69)

Ako na temelju tražene procjene pružatelj usluga zaključi da bi zahtjev da svi samoposlužni terminali koji se upotrebljavaju za pružanje usluga obuhvaćenih ovom Direktivom budu u skladu sa zahtjevima za pristupačnost iz ove Direktive predstavljao nerazmjerno opterećenje, gospodarski subjekt i dalje bi trebao primjenjivati te zahtjeve u mjeri u kojoj mu se tim zahtjevima ne uzrokuje takvo nerazmjerno opterećenje. Slijedom toga pružatelj usluga trebao bi procijeniti mjeru do koje bi mu ograničena razina pristupačnosti u svim samoposlužnim terminalima ili ograničeni broj potpuno pristupačnih samoposlužnih terminala omogućili da izbjegne nerazmjerno opterećenje koje bi mu u protivnom bilo nametnuto i koje bi trebalo biti potrebno radi ispunjavanja zahtjeva za pristupačnost iz ove Direktive u onoj mjeri kojom se izbjegava nametanje nerazmjernog opterećenja.

(70)

Mikropoduzeća se razlikuju od svih ostalih poduzeća ograničenom količinom ljudskih resursa, godišnjim prometom ili ukupnom godišnjom bilancom. Mikropoduzećima stoga obveza usklađivanja sa zahtjevima za pristupačnost općenito zahtijeva veći dio njihovih financijskih i ljudskih resursa nego drugim poduzećima te je veća vjerojatnost da će predstavljati nerazmjeran udio u troškovima. Znatan udio troškova mikropoduzeća proizlazi iz ispunjavanja ili vođenja dokumentacije i evidencija kako bi se dokazala usklađenost s različitim zahtjevima određenima u pravu Unije. Iako bi svi gospodarski subjekti obuhvaćeni ovom Direktivom trebali moći procijeniti razmjernost usklađivanja sa zahtjevima za pristupačnost iz ove Direktive i uskladiti se s njima samo u mjeri u kojoj oni nisu nerazmjerni, zahtijevati takvu procjenu od mikropoduzeća koja pružaju usluge samo po sebi predstavljalo bi nerazmjerno opterećenje. Zahtjevi i obveze iz ove Direktive ne bi se stoga trebali primjenjivati na mikropoduzeća koja pružaju usluge obuhvaćene područjem primjene ove Direktive.

(71)

U ovoj bi Direktivi za mikropoduzeća koja se bave proizvodima u području primjene ove Direktive zahtjevi i obveze trebali biti jednostavniji kako bi se smanjilo nametanje administrativno opterećenje.

(72)

Iako su neka mikropoduzeća izuzeta od obveza ove Direktive, sva mikropoduzeća trebalo bi poticati da proizvode, uvoze ili distribuiraju proizvode i pružaju usluge koji su u skladu sa zahtjevima za pristupačnost iz ove Direktive s ciljem povećanja njihove konkurentnosti, kao i njihova potencijala rasta na unutarnjem tržištu. Stoga bi države članice mikropoduzećima trebale osigurati smjernice i alate radi lakše provedbe nacionalnih mjera kojima se prenosi ova Direktiva.

(73)

Svi gospodarski subjekti trebali bi djelovati odgovorno te u potpunom skladu s primjenjivim pravnim zahtjevima prilikom stavljanja proizvoda na tržište ili stavljanja na raspolaganje na tržištu ili pružanja usluga na tržištu.

(74)

Kako bi se olakšalo ocjenjivanje sukladnosti s primjenjivim zahtjevima za pristupačnost, treba predvidjeti pretpostavku sukladnosti za proizvode i usluge koji su u skladu s dobrovoljnim usklađenim normama donesenima u skladu s Uredbom (EU) br. 1025/2012 Europskog parlamenta i Vijeća (19) u svrhu sastavljanja detaljnih tehničkih specifikacija tih zahtjeva. Komisija je europskim organizacijama za normizaciju već uputila brojne zahtjeve za normizaciju pristupačnosti, poput zahtjeva za normizaciju M/376, M/473 i M/420, koji bi bili relevantni za pripremu usklađenih normi.

(75)

Uredbom (EU) br. 1025/2012 predviđen je postupak za službene prigovore na usklađene norme za koje se smatra da ne zadovoljavaju zahtjeve iz ove Direktive.

(76)

Europske bi norme trebale biti tržišno orijentirane, njima bi se u obzir trebao uzimati javni interes, ali i ciljevi politika koje je Komisija jasno navela u zahtjevu jednoj ili više europskih organizacija za normizaciju da izrade usklađene norme, i trebale bi se temeljiti na konsenzusu. U nedostatku usklađenih normi i kada je to potrebno radi usklađivanja unutarnjeg tržišta, Komisiji bi u određenim slučajevima trebalo biti omogućeno donošenje provedbenih akata o uspostavi tehničkih specifikacija za zahtjeve za pristupačnost iz ove Direktive. Mogućnost uspostave tehničkih specifikacija trebala bi se ograničiti na takve slučajeve. Komisija bi trebala imati mogućnost donošenja tehničkih specifikacija na primjer kada je normizacijski postupak blokiran jer ne postoji konsenzus među dionicima ili ako dolazi do nepotrebnog kašnjenja u uspostavi usklađene norme, primjerice zbog toga što nije postignuta očekivana kvaliteta. Komisija bi trebala ostaviti dovoljno vremena od podnošenja zahtjeva jednoj ili više europskih organizacija za normizaciju za izradu usklađenih normi do donošenja tehničke specifikacije koja se odnosi na taj isti zahtjev za pristupačnost. Komisiji se ne bi smjelo omogućiti donošenje tehničkih specifikacija ako zahtjeve za pristupačnost prethodno nije pokušala obuhvatiti europskim normizacijskim sustavom, osim ako Komisija može dokazati da se tehničkom specifikacijom poštuju zahtjevi utvrđeni u Prilogu II. Uredbi (EU) br. 1025/2012.

(77)

U cilju uspostavljanja, na najučinkovitiji način, usklađenih normi i tehničkih specifikacija koje zadovoljavaju zahtjeve za pristupačnost proizvoda i usluga iz ove Direktive, Komisija bi trebala uključiti, kada je to izvedivo, krovne europske organizacije osoba s invaliditetom i sve druge relevantne dionike u tom procesu.

(78)

Kako bi se osigurao učinkovit pristup informacijama za potrebe nadzora tržišta, informacije koje su potrebne da bi se dala izjava o pridržavanju svih primjenjivih akata Unije trebale bi biti stavljene na raspolaganje u jedinstvenoj EU izjavi o sukladnosti. Kako bi se smanjilo administrativno opterećenje za gospodarske subjekte, trebalo bi im omogućiti da u jedinstvenu EU izjavu o sukladnosti mogu uključiti sve relevantne pojedinačne izjave o sukladnosti.

(79)

U pogledu ocjene sukladnosti proizvoda u ovoj bi se Direktivi trebala upotrijebiti unutarnja kontrola proizvodnje „modula A” utvrđenog u Prilogu II. Odluci br. 768/2008/EZ, što omogućuje gospodarskim subjektima da dokažu te nadležnim tijelima da provjere da su proizvodi stavljeni na raspolaganje na tržištu u skladu sa zahtjevima za pristupačnost, a s druge strane to ne uzrokuje nepotrebno opterećenje.

(80)

Prilikom provedbe nadzora tržišta proizvoda i provjere sukladnosti usluga nadležna tijela trebala bi provjeriti ocjenjivanja sukladnosti, uključujući je li relevantno ocjenjivanje temeljne promjene ili nerazmjernog opterećenja provedeno ispravno. Ta bi tijela svoje dužnosti trebala izvršavati i u suradnji s osobama s invaliditetom te organizacijama koje predstavljaju osobe s invaliditetom i njihove interese.

(81)

U pogledu usluga, informacije potrebne za ocjenu sukladnosti sa zahtjevima za pristupačnost iz ove Direktive trebale bi se nalaziti u općim uvjetima ili u jednakovrijednom dokumentu, ne dovodeći u pitanje Direktivu 2011/83/EU Europskog parlamenta i Vijeća (20).

(82)

Oznaka CE, kojom se označava sukladnost proizvoda sa zahtjevima za pristupačnost iz ove Direktive, vidljiva je posljedica cijelog postupka koji obuhvaća ocjenjivanje sukladnosti u širem smislu. U ovoj bi se Direktivi trebala slijediti opća načela kojima se uređuje oznaka CE iz Uredbe (EZ) br. 765/2008 Europskog parlamenta i Vijeća (21) o utvrđivanju zahtjeva za akreditaciju i za nadzor tržišta u odnosu na stavljanje proizvoda na tržište. Osim izrade izjave EU-a o sukladnosti, proizvođač bi potrošače na troškovno učinkovit način trebao informirati o pristupačnosti svojih proizvoda.

(83)

U skladu s Uredbom (EZ) br. 765/2008, stavljanjem oznake CE na proizvod proizvođač označuje da je proizvod sukladan sa svim primjenjivim zahtjevima za pristupačnost i da stoga preuzima potpunu odgovornost za taj proizvod.

(84)

U skladu s Odlukom br. 768/2008/EZ, države članice odgovorne su za jamčenje strogog i učinkovitog tržišnog nadzora proizvoda na svojem državnom području te bi svojim tijelima za nadzor tržišta trebale dodijeliti dostatna ovlaštenja i sredstva.

(85)

Države članice trebale bi provjeriti sukladnost usluga s obvezama iz ove Direktive i trebale bi istražiti pritužbe ili izvješća o nesukladnosti kako bi se osiguralo provođenje korektivnih mjera.

(86)

Prema potrebi Komisija bi, savjetujući se s dionicima, mogla donijeti neobvezujuće smjernice radi potpore koordinaciji između tijela za nadzor tržišta i tijela nadležnih za provjeru usklađenosti usluga. Komisija i države članice trebale bi moći uspostaviti inicijative u svrhu razmjene resursa i stručnog znanja nadležnih tijela.

(87)

Države članice trebale bi osigurati da tijela za nadzor tržišta i tijela nadležna za provjeru usklađenosti usluga provjeravaju usklađenost gospodarskih subjekata s kriterijima određenima u Prilogu VI. u skladu s poglavljima VIII. i IX. Države članice trebale bi moći odrediti specijalizirano tijelo za izvršavanje obveza tijelâ za nadzor tržišta ili tijela nadležnih za provjeru usklađenosti usluga u okviru ove Direktive. Države članice trebale bi moći odlučiti da bi ovlasti takvog specijaliziranog tijela trebale biti ograničene na područje primjene ove Direktive ili njezinih određenih dijelova, ne dovodeći u pitanje obveze država članica iz Uredbe (EZ) br. 765/2008.

(88)

Trebalo bi uspostaviti zaštitni postupak koji se treba primjenjivati u slučaju neslaganja među državama članicama o mjerama koje poduzima jedna država članica u okviru kojeg se zainteresirane strane izvješćuju o mjerama koje se namjeravaju poduzeti u pogledu proizvoda koji nisu u skladu sa zahtjevima za pristupačnost iz ove Direktive. Tim bi se zaštitnim postupkom tijelima za nadzor tržišta omogućilo da u suradnji s relevantnim gospodarskim subjektima djeluju u ranijoj fazi u pogledu navedenih proizvoda.

(89)

Ako su države članice i Komisija suglasni da je mjera koju poduzima država članica opravdana, daljnje sudjelovanje Komisije ne bi trebalo biti potrebno, osim ako je nesukladnost posljedica nedostataka usklađenih normi ili tehničkih specifikacija.

(90)

Direktivama 2014/24/EU (22) i 2014/25/EU (23) Europskog parlamenta i Vijeća o javnoj nabavi, utvrđivanju postupaka javne nabave kod ugovora o javnoj nabavi i projektnih natječaja za određenu robu (proizvode), usluge i radove, utvrđuje se da za sve nabave koje namjeravaju koristiti fizičke osobe, bez obzira je li namijenjena široj javnosti ili osoblju ugovornog tijela ili subjekta, pri izradi tehničkih specifikacija, osim u valjano opravdanim slučajevima, treba uzeti u obzir kriterije dostupnosti osobama s invaliditetom ili univerzalni dizajn. Osim toga, tim se direktivama zahtijeva da se, ako su obvezni zahtjevi dostupnosti usvojeni pravnim aktima Unije, tehničke specifikacije vezane uz kriterije dostupnosti osobama s invaliditetom ili univerzalni dizajn trebaju se pozivati na njih. Ovom bi Direktivom trebalo ustanoviti obvezne zahtjeve za pristupačnost za proizvode i usluge koji su njome obuhvaćeni. Za proizvode i usluge koji ne spadaju u područje primjene ove Direktive zahtjevi za pristupačnost iz ove Direktive nisu obvezujući. Međutim, upotrebom tih zahtjeva za pristupačnost u ispunjavanju odgovarajućih obveza utvrđenih aktima Unije koji nisu ova Direktiva olakšalo bi se provođenje pristupačnosti te doprinijelo pravnoj sigurnosti i usklađivanju zahtjeva za pristupačnost diljem Unije. Tijelima ne bi trebalo priječiti da utvrđuju zahtjeve za pristupačnost kojima se nadilaze zahtjevi za pristupačnost utvrđeni u Prilogu I. ovoj Direktivi.

(91)

Ovom se Direktivom ne bi smjela promijeniti obvezna ili dobrovoljna priroda odredaba koje se odnose na pristupačnost u drugim aktima Unije.

(92)

Ova Direktiva trebala bi se primjenjivati samo kod postupaka javne nabave za koju je upućen poziv na nadmetanje ili, u slučaju da taj poziv nije predviđen, ako su ugovorno tijelo ili ugovorni subjekt započeli postupak javne nabave nakon datuma početka primjene ove Direktive.

(93)

Kako bi se zajamčila ispravna primjena ove Direktive, ovlast donošenja akata u skladu s člankom 290. UFEU-a trebala bi se delegirati na Komisiju u pogledu: pobližeg određivanja zahtjeva za pristupačnost koji zbog svoje prirode ne mogu imati zamišljeni učinak osim ako su pobliže određeni u pravno obvezujućim pravnim aktima Unije; promjene roka u kojem gospodarski subjekti trebaju moći identificirati bilo koji drugi gospodarski subjekt koji im je isporučio proizvod ili kojem su oni isporučili proizvod i dodatnog pojašnjenja relevantnih kriterija koje gospodarski subjekt treba uzeti u obzir za ocjenu o tome bi li usklađenost sa zahtjevima za pristupačnost uzrokovala nerazmjerno opterećenje. Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući ona na razini stručnjaka, te da se ta savjetovanja provedu u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. (24) Osobito, s ciljem osiguravanja ravnopravnog sudjelovanja u pripremi delegiranih akata, Europski parlament i Vijeće primaju sve dokumente istodobno kada i stručnjaci iz država članica te njihovi stručnjaci sustavno imaju pristup sastancima stručnih skupina Komisije koji se odnose na pripremu delegiranih akata.

(94)

Radi osiguravanja jedinstvenih uvjeta za provedbu ove Direktive, Komisiji bi trebalo dodijeliti provedbene ovlasti u pogledu tehničkih specifikacija. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća (25).

(95)

Države članice trebale bi osigurati prikladna i učinkovita sredstva za jamčenje usklađenosti s ovom Direktivom te bi stoga trebale uspostaviti odgovarajuće kontrolne mehanizme, poput naknadne kontrole koju provode tijela za nadzor tržišta, i to kako bi se provjerilo je li iznimka od zahtjeva za pristupačnost opravdana. Kod obrade žalbi povezanih s pristupačnosti, države članice trebale bi djelovati u skladu s općim načelom dobre uprave, a posebno s obvezom dužnosnika da osiguraju da se odluka o svakoj žalbi donese u razumnom roku.

(96)

Radi olakšavanja jedinstvene provedbe ove Direktive, Komisija bi trebala osnovati radnu skupinu relevantnih tijela i dionika kako bi se olakšala razmjena informacija i najboljih praksi te pružali savjeti. Trebalo bi poticati suradnju između tijela i relevantnih dionika, uključujući osobe s invaliditetom i organizacije koje ih predstavljaju, među ostalim kako bi se poboljšala usklađenost u primjeni odredaba ove Direktive o zahtjevima za pristupačnost i pratila provedba temeljne promjene i nerazmjernog opterećenja.

(97)

S obzirom na postojeći pravni okvir za pravne lijekove u područjima obuhvaćenima direktivama 2014/24/EU i 2014/25/EU, odredbe ove Direktive koje se odnose na provedbu i na kazne ne bi trebale biti primjenjive na postupke javne nabave na koje se primjenjuju obveze iz ove Direktive. Takvim isključenjem ne dovode se u pitanje obveze koje države članice imaju u skladu s Ugovorima i koje se odnose na poduzimanje svih potrebnih mjera kako bi zajamčile primjenu i učinkovitost prava Unije.

(98)

Sankcije bi trebale biti primjerene s obzirom na narav povreda propisa i okolnosti tako da ne služe kao alternativa ispunjavanju obveze gospodarskih subjekata da svoje proizvode ili usluge učine pristupačnima.

(99)

Države članice trebale bi osigurati da su, u skladu s postojećim pravom Unije, uspostavljeni alternativni mehanizmi rješavanja sporova zahvaljujući kojima se može riješiti svaka navodna nesukladnost s ovom Direktivom prije no što se pokrene postupak pred sudovima ili nadležnim upravnim tijelima.

(100)

U skladu sa Zajedničkom političkom izjavom država članica i Komisije od 28. rujna 2011. o dokumentima s obrazloženjima (26), države članice obvezale su se uz obavijest o mjerama prenošenja priložiti, u opravdanim slučajevima, jedan ili više dokumenata u kojima se objašnjava odnos između dijelova direktive i odgovarajućih dijelova nacionalnih instrumenata prenošenja. U pogledu ove Direktive, zakonodavac smatra opravdanim dostavljanje takvih dokumenata.

(101)

Kako bi se pružateljima usluga dalo dovoljno vremena za prilagodbu zahtjevima iz ove Direktive, potrebno je predvidjeti prijelazno razdoblje od pet godina nakon datuma početka primjene ove Direktive, tijekom kojeg proizvodi upotrebljeni za pružanje usluge, a koji su stavljeni na tržište prije tog datuma ne moraju biti u skladu sa zahtjevima za pristupačnost iz ove Direktive, osim ako ih pružatelji usluga zamijene tijekom prijelaznog razdoblja. S obzirom na trošak i dugi životni vijek samoposlužnih terminala, primjereno je predvidjeti da se takvi terminali, ako upotrebljavaju za pružanje usluga, mogu i dalje upotrebljavati do kraja njihova gospodarskog vijeka, pod uvjetom da u tom razdoblju nisu zamijenjeni, ali ne dulje od 20 godina.

(102)

Zahtjevi za pristupačnost iz ove Direktive trebali bi se primjenjivati na proizvode koji se stavljaju na tržište i usluge koje se pružaju nakon datuma početka primjene nacionalnih mjera kojima se prenosi ova Direktiva, uključujući i rabljene proizvode uvezene iz treće zemlje i stavljene na tržište nakon tog datuma.

(103)

Ovom se Direktivom poštuju temeljna prava i načela osobito priznata Poveljom Europske unije o temeljnim pravima („Povelja”). Ovom se Direktivom posebno nastoji osigurati potpuno poštovanje prava osoba s invaliditetom na mjere čiji je cilj osiguravanje njihove neovisnosti, društvene i profesionalne uključenosti te njihova sudjelovanja u životu zajednice i promicati primjenu članaka 21., 25. i 26. Povelje.

(104)

S obzirom na to da cilj ove Direktive, to jest uklanjanje prepreka slobodnom kretanju određenih pristupačnih proizvoda i usluga kako bi se doprinijelo pravilnom funkcioniranju unutarnjeg tržišta, ne mogu dostatno ostvariti države članice, jer on zahtijeva usklađivanje različitih trenutačno postojećih pravila u njihovim pravnim sustavima, nego se utvrđivanjem zajedničkih zahtjeva za pristupačnost i pravila za funkcioniranje unutarnjeg tržišta on na bolji način može ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji. U skladu s načelom proporcionalnosti utvrđenim u tom članku, ova Direktiva ne prelazi ono što je potrebno za ostvarivanje toga cilja,