(1)

A terrorizmus finanszírozása elleni küzdelemről szóló, 2016. február 12-i tanácsi következtetések, az Európai Parlamenthez és a Tanácshoz intézett, a terrorizmusfinanszírozás elleni küzdelem fokozására vonatkozó cselekvési tervről szóló, 2016. február 2-i bizottsági közlemény és az (EU) 2017/541 európai parlamenti és tanácsi irányelv (2) figyelembevételével a harmadik országokkal folytatott kereskedelemre vonatkozóan közös szabályokat kell elfogadni, hogy biztosítva legyen a kulturális javak tiltott kereskedelme, elvesztése és elpusztítása elleni hatékony védelem, az emberiség kulturális örökségének megőrzése és a fosztogatással szerzett, kulturális javak Unión belüli vevőknek történő eladásával megvalósuló terrorizmusfinanszírozás és pénzmosás megelőzése.

(2)

A népek és területek kizsákmányolása a kulturális javak illegális kereskedelméhez vezethet, különösen, ha a kulturális javak tiltott kereskedelmére fegyveres konfliktussal összefüggésben kerül sor. E rendeletnek a kulturális termék piaci értéke helyett inkább a lakosság és a terület regionális és helyi jellemzőit kell figyelembe vennie.

(3)

A kulturális örökség részét képező kulturális javak gyakran komoly kulturális, művészi, történelmi és tudományos jelentőséggel bírnak. A kulturális örökség a civilizáció egyik alapvető részét képezi, többek között szimbolikus értékkel bír, és az emberiség kulturális emlékének formálója. A kulturális javak minden nép kulturális életét gazdagítják, és a civilizáció közös emlékét képezik, ismeretük és fejlődésük révén egyesítik az embereket. A kulturális javakat ezért védeni kell az eltulajdonítással és a fosztogatással szemben. A régészeti lelőhelyeken mindig előfordultak fosztogatások, de mára ez a jelenség ipari méreteket öltött és az illegálisan feltárt kulturális javakkal folytatott kereskedelemmel együtt súlyos bűncselekménynek minősül, az említett bűncselekmények pedig komoly szenvedést okoznak a közvetve vagy közvetlenül érintettek számára. A kulturális javak tiltott kereskedelme sok esetben hozzájárul az erőszakos kulturális homogenizáláshoz vagy a kulturális identitás erőszakkal kényszerített elveszítéséhez, míg a kulturális javak fosztogatása többek között kultúrák pusztulásához vezet. Mindaddig, amíg az illegálisan feltárt kulturális javakkal jövedelmező kereskedelmet lehet folytatni és abból tényleges kockázat nélkül nyereségre lehet szert tenni, ezek a feltárások és fosztogatások folytatódni fognak. A kulturális javak iránt, gazdasági és művészi értékük miatt, nagyfokú keresletet tapasztalható a nemzetközi piacon. Az erős nemzetközi jogi intézkedések és a meglévő eszközök hatékony végrehajtása nélkül az ilyen kulturális javak az árnyékgazdaságba kerülnek át. Az Uniónak ennek megfelelően tiltania kell a harmadik országokból jogellenesen kivitt kulturális javaknak az Unió vámterületére való beléptetését, különös hangsúlyt helyezve azokra a kulturális javakra, amelyek nemzeti vagy regionális fegyveres konfliktusok által érintett harmadik országokban terrorista vagy más bűnszervezetek által folytatott tiltott kereskedelemből származnak. Ez az általános tilalom nem von maga után rendszeres ellenőrzéseket, a tagállamok számára mégis lehetővé kell tenni, hogy gyanús szállítmányokra vonatkozó értesülések esetén beavatkozhassanak és meghozhassanak minden szükséges intézkedés a jogellenesen kivitt kulturális javak lefoglalása érdekében.

(4)

Tekintettel arra, hogy a kulturális javaknak az Unió vámterületére történő behozatalára alkalmazandó szabályok tagállamonként eltérőek, intézkedéseket kell hozni különösen annak biztosítása érdekében, hogy egyes kulturális javaknak az Unió vámterületére való bejuttatására egységes ellenőrzések legyenek érvényesek, a 952/2013/EU európai parlamenti és tanácsi rendelet (3) egységes végrehajtását célzó meglévő folyamatok, eljárások és adminisztratív eszközök alapján.

(5)

A tagállamok nemzeti kincseinek minősülő kulturális javak védelmét már szabályozza a 116/2009/EK tanácsi rendelet (4) és a 2014/60/EU európai parlamenti és tanácsi irányelv (5). Ennélfogva ez a rendelet nem alkalmazandó az Unió vámterületén létrehozott vagy fellelt kulturális javakra. Az e rendelet által meghatározott közös szabályoknak vonatkozniuk kell az Unió vámterületére belépő nem uniós kulturális javak vámkezelésére. E rendelet alkalmazásában az Unió vámterületének a behozatal pillanatában érvényes kiterjedését kell relevánsnak tekinteni.

(6)

A vámszabad területekre és az úgynevezett „vámszabad kikötőkre” vonatkozóan bevezetendő ellenőrzési intézkedéseknek a lehető legszélesebb hatállyal kell rendelkezniük az érintett vámeljárások tekintetében annak érdekében, hogy megakadályozzák e rendelet azon vámszabad területek kihasználásával való kijátszását, amelyek lehetséges helyszínei lehetnek a tiltott kereskedelem további elterjedésének. Az említett ellenőrzési intézkedéseknek ezért nem csupán a szabad forgalomba bocsátott kulturális javakra, hanem a különleges vámeljárás alá helyezett kulturális javakra is vonatkozniuk kell. A hatály azonban nem léphet túl a jogellenesen kivitt kulturális javaknak az Unió vámterületére történő belépése megakadályozásának célkitűzésén. Ennek megfelelően, bár a rendszeres ellenőrzésre irányuló intézkedések magukban foglalják az Unió vámterületére belépő áruk szabad forgalomba bocsátására, valamint egyes, kezelésére szolgáló különleges vámeljárásokat, az említett intézkedések nem terjedhetnek ki az árutovábbításra.

(7)

Számos harmadik ország és a legtöbb tagállam számára ismertek a kulturális javak jogtalan behozatalának, kivitelének és tulajdona jogtalan átruházásának megakadályozását és megelőzését szolgáló eszközökről szóló, 1970. november 14-én Párizsban a tagállamok által aláírt UNESCO-egyezményben (a továbbiakban: az 1970. évi UNESCO-egyezmény) és a lopott vagy jogellenesen külföldre vitt kulturális javakról szóló, 1995. június 24-én Rómában aláírt UNIDROIT-egyezményben használt fogalommeghatározások, továbbá jelentős számú tagállam szerződő fele az említett egyezményeknek. Az e rendeletben használt fogalommeghatározások ezért az említett fogalommeghatározásokon alapulnak.

(8)

A kulturális javak kivitelének jogszerűségét elsődlegesen annak az országnak a törvényei és rendeletei alapján kell vizsgálni, ahol a kulturális javakat létrehozták vagy fellelték. A jogszerű kereskedelem indokolatlan akadályozásának elkerülése érdekében azonban azon személyek számára, akik kulturális javakat kívánnak behozni az Unió vámterületére, egyes esetekben kivételesen engedélyezni kell, hogy ehelyett igazolják a valamely eltérő olyan harmadik országból származó jogszerű kivitelt, amelyben a kulturális javak az Unióba küldésük előtt fellelhetők voltak. Ezt a mentességet azon esetekben kell alkalmazni, amikor nem lehet megbízhatóan megállapítani, hogy mely országban állították elő vagy találták meg a kulturális javakat, vagy ha a szóban forgó kulturális javak kivitele az 1970. évi UNESCO-egyezmény hatálybalépése, azaz 1972. április 24-e előtt történt. Annak megelőzése érdekében, hogy e rendeletet oly módon lehessen kijátszani, hogy az illegálisan kivitt kulturális javakat az Unióba irányuló behozatal előtt egyszerűen átküldjék egy másik harmadik országba, a mentességeket akkor lehet alkalmazni, amennyiben a kulturális javak öt évnél hosszabb időszakon keresztül voltak elhelyezve egy harmadik országban az ideiglenes felhasználástól, az árutovábbítástól, az újrakiviteltől vagy az átrakodástól eltérő célból. Amennyiben e feltételeknek több ország is megfelel, ezen országok közül a kulturális javaknak az Unió vámterületére való bejuttatása előtti utolsó országot kell tekinteni.

(9)

Az 1970. évi UNESCO-egyezmény 5. cikke felhívja a részes államokat, hogy hozzanak létre egy vagy több nemzeti szolgálatot a kulturális javak jogellenes behozatallal, kivitellel és tulajdonjog-átruházással szembeni védelmére. Az egyezménnyel összhangban a nemzeti szolgálatokat a védelem biztosításához szükséges megfelelő létszámú és képzettségű személyzettel kell ellátni, valamint lehetővé kell tenni, hogy az egyezmény részes felei közé tartozó tagállamok illetékes hatóságai között megvalósulhasson a szükséges tevékeny együttműködés a biztonságnak és a kulturális javak – különösen a fegyveres konfliktussal érintett területekről történő – tiltott behozatala elleni küzdelemnek a terén.

(10)

A kulturális javaknak az Unió külső határán keresztül történő kereskedelme aránytalan akadályozásának elkerülése érdekében ezt a rendeletet csak az e rendelet által meghatározott korhatárt meghaladó kulturális javak esetében kell alkalmazni. Helyénvalónak látszik pénzügyi küszöbérték meghatározása is, kizárandó a kulturális javaknak az Unió vámterületére történő behozatalára vonatkozó feltételek és eljárások alkalmazása alól az alacsonyabb értékű kulturális javakat. E küszöbértékek biztosítják, hogy az e rendeletben előírt intézkedések a konfliktusok jellemezte területeken a fosztogatók által legvalószínűbben megcélzott kulturális javakra összpontosítsanak, anélkül hogy kizárnák a kulturális örökség védelmének biztosítása érdekében ellenőrizni szükséges egyéb javakat.

(11)

A pénzmosás és terrorizmusfinanszírozás belső piacot érintő kockázataira vonatkozó nemzetek feletti kockázatértékeléssel összefüggésben a fosztogatással szerzett kulturális javak tiltott kereskedelmét a terrorizmusfinanszírozás és a pénzmosási tevékenységek egyik lehetséges forrásaként azonosították.

(12)

A kulturális javak bizonyos kategóriái, nevezetesen a régészeti tárgyak és a műemlékek részei, különösen ki vannak téve a fosztogatás és megsemmisítés veszélyének, ezért szükségesnek látszik az Unió vámterületére történő belépésük előtti fokozott ellenőrzést biztosító rendszert kialakítani. Egy ilyen rendszernek a kulturális javak Unióban történő szabad forgalomba bocsátásához vagy az árutovábbítástól eltérő különleges vámeljárás alá helyezéséhez elő kell írnia egy valamely tagállam illetékes hatósága által kibocsátott behozatali engedély bemutatását. Az ilyen engedélyt megszerezni kívánó személyeknek képesnek kell lenniük arra, hogy a kulturális javak előállítása vagy megtalálása szerinti országból történő legális kivitelt olyan megfelelő alátámasztó okmányokkal és bizonyítékokkal igazolják, mint például a kiviteli igazolás, a tulajdonosi jogcím, a számlák, az adásvételi szerződések, a biztosítási dokumentumok, a fuvarokmányok és a szakértői vélemények. A teljeskörű és pontos kérelmek alapján a tagállamok illetékes hatóságainak kell dönteniük az engedély indokolatlan késedelem nélküli kibocsátásáról. Valamennyi behozatali engedélyt elektronikus rendszerben kell tárolni.

(13)

Az ikonok vallási szereplők, illetve vallási események ábrázolásai. Az ikonok különböző anyagok alapulvételével és méretben készülhetnek és jelentős kiterjedésű vagy hordozható méretűek lehetnek. Abban az esetben, amikor valamely ikon valamikor például templom, kolostor, kápolna részét alkotta, akár különállóan, akár az építészeti berendezés részeként, például mint ikonosztáz vagy ikonállvány, az ikont a vallásos tisztelet és a liturgia létfontosságú és elválaszthatatlan részeiként a darabokra bontott vallási műemlék szerves részének kell tekinteni. Még abban az esetben is, ha ismeretlen az a konkrét műemlék, amelyhez a ikon tartozott, azonban bizonyítható, hogy valamikor műemlék szerves részét képezte, különösen ha azt jelző jeleket vagy elemeket őriz magán, hogy valamikor ikonosztáz vagy ikonállvány részét képezte, az ikonokra a mellékletben található „művészeti alkotások vagy történelmi műemlékek feldarabolt részei vagy régészeti lelőhelyek részei” kategóriának kell vonatkoznia.

(14)

Figyelembe véve a kulturális javak különleges jellegét, a vámhatóságok szerepe rendkívüli fontos, és azoknak adott esetben képesnek kell lenniük arra, hogy további információkat kérjenek a bejelentőtől, és fizikai vizsgálat révén elemezzék a kulturális javakat.

(15)

A kulturális javak azon kategóriái esetében, amelyek tekintetében nem szükséges a behozatali engedély beszerzése, az ilyen javakat az Unió vámterületére behozni kívánó személyeknek nyilatkozat formájában kell tanúsítaniuk a kulturális javak harmadik országból történő jogszerű kivitelét, és azért felelősséget kell vállalniuk, valamint kellő információt kell rendelkezésre bocsátaniuk az adott kulturális javakra vonatkozóan, hogy azokat a vámhatóságok azonosítani tudják. Az eljárás egyszerűsítése érdekében és jogbiztonsági okokból a kulturális javakra vonatkozó információkat egy szabványosított dokumentum segítségével kell rendelkezésre bocsátani. A kulturális javak leírására az UNESCO által javasolt objektumazonosító szabványt lehetne használni. A javak tulajdonosának elektronikus rendszerben kell nyilvántartania ezeket az adatokat, megkönnyítendő a vámhatóságok számára az azonosítást és lehetővé téve a kockázatkezelést és a célzott ellenőrzéseket, valamint biztosítva a kulturális javaknak a belső piacra való belépést követő nyomonkövethetőségét.

(16)

A Bizottság feladata, hogy az uniós egyablakos vámügyi környezet keretében centralizált elektronikus rendszert hozzon létre a behozatali engedélyek és az importőri nyilatkozatok iránti kérelmek benyújtásához, valamint a tároláshoz, továbbá a tagállami hatóságok között információcseréhez, különösen az importőri nyilatkozatok és behozatali engedélyek tekintetében.

(17)

Lehetővé kell tenni, hogy az e rendelet szerinti adatkezelés – amelynek az uniós joggal összhangban kell történnie – magában foglalja a személyes adatok kezelését is. A tagállamok és a Bizottság csak az e rendelet alkalmazásában kezelheti a személyes adatokat vagy kellően indokolt körülmények között bűncselekmények megelőzése, kivizsgálása, felderítése, büntetőeljárás alá vonása vagy büntetőjogi szankciók végrehajtása céljából, többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése érdekében. Az e rendelet hatálya alá tartozó személyes adatok gyűjtésére, felfedésére, továbbítására, közlésére és egyéb kezelésére az (EU) 2016/679 (6) és az (EU) 2018/1725 (7) európai parlamenti és tanácsi rendelet követelményeit kell alkalmazni. Az adatok e rendelet alkalmazásában történő kezelése során tiszteletben kell tartani továbbá az emberi jogok és alapvető szabadságok védelméről szóló európai tanácsi egyezmény 8. cikkében elismert, a magán- és a családi élet tiszteletben tartásához való jogot, továbbá az Európai Unió Alapjogi Chartájának 7. és 8. cikkében elismert, a magán- és a családi élet tiszteletben tartásához, valamint a személyes adatok védelméhez való jogot.

(18)

A nem az Unió vámterületén létrehozott vagy fellelt, hanem uniós áruként kivitt kulturális javak tekintetében nem kell bemutatni a behozatali engedélyt, illetve az importőri nyilatkozatot amikor a javak a 952/2013/EU rendelet értelmében vett tértiáruként visszakerülnek a szóban forgó területre.

(19)

A kulturális javak oktatási, tudományos, megőrzési, helyreállítási, kiállítási, digitalizálási, előadó-művészeti, tudományos intézetek által folytatott kutatási, valamint múzeumok és hasonló intézmények közötti együttműködési célból történő ideiglenes behozatalához nem írható elő behozatali engedély vagy importőri nyilatkozat bemutatásának kötelezettsége.

(20)

A fegyveres konfliktus vagy természeti katasztrófa által érintett országokból eredeztethető kulturális javak valamely közigazgatási szerv általi vagy annak felügyelete alatt történő biztonságos megőrzésének és biztonsága garantálásának kizárólagos célját szolgáló tárolásához szintén nem írható elő behozatali engedély vagy importőri nyilatkozat bemutatása nélkül.

(21)

A kulturális javak kereskedelmi művészeti vásárokon való bemutatásának megkönnyítése érdekében nem lehet előírni behozatali engedély felmutatását, amennyiben a kulturális javak a 952/2013/EU rendelet 250. cikke értelmében ideiglenesen kerültek behozatalra és amennyiben sor került importőri nyilatkozat benyújtására a behozatali engedély helyett. Behozatali engedély felmutatása ugyanakkor kötelező, amennyiben az említett kulturális javak a művészeti vásárt követően az Unióban maradnak.

(22)

E rendelet végrehajtása egységes feltételeinek biztosítása érdekében a Bizottságra végrehajtási hatáskört kell ruházni a kulturális javak Unió vámterületére történő visszavitelére és ideiglenes behozatalára, valamint az ott történő biztonságos megőrzésére vonatkozó részletes szabályoknak, a behozatali engedély iránti kérelmek és a behozatali engedélyek űrlapjai sablonjainak, az importőri nyilatkozatok sablonjainak és azok kísérő dokumentumainak, valamint az azok benyújtására és feldolgozására vonatkozó további eljárási szabályoknak az elfogadására. A Bizottságra végrehajtási hatásköröket kell ruházni a behozatali engedélyek és az importőri nyilatkozatok iránti kérelmek benyújtására, valamint az információk tárolására és tagállami hatóságok közötti cseréjére szolgáló elektronikus rendszer létrehozásának megszervezése céljából is. Ezeket a végrehajtási hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek (8) megfelelően kell gyakorolni.

(23)

A képzések, kapacitásépítő tevékenységek és tájékoztató kampányok szervezésekor a hatékony együttműködés biztosítása és az erőfeszítések megkettőzésének elkerülése érdekében, valamint a vonatkozó kutatásokra irányuló megbízások és a szabványok kidolgozása céljából a Bizottságnak és a tagállamoknak adott esetben együtt kell működniük olyan nemzetközi szervezetekkel és szervekkel, mint az UNESCO, az INTERPOL, az EUROPOL, a Vámigazgatások Világszervezete, a Kulturális Javak Megőrzésének és Helyreállításának Nemzetközi Tudományos Központja és a Múzeumok Nemzetközi Tanácsa (a továbbiakban: ICOM).

(24)

Annak érdekében, hogy e rendeletet hatékonyan végre lehessen hajtani, és biztosítani lehessen jövőbeli értékelésének alapját, a tagállamoknak és a Bizottságnak elektronikus úton be kell gyűjtenie és meg kell osztania a kulturális javak kereskedelmi forgalmára vonatkozó releváns információkat. Az átláthatóság és a nyilvános ellenőrzés érdekében a lehető legtöbb információt nyilvánosságra kell hozni. A kulturális javak kereskedelmi forgalma nem követhető hatékonyan nyomon csupán az értékük vagy tömegük alapján. Alapvető fontosságú a bejelentett tételek számára vonatkozó információk elektronikus gyűjtése. Mivel a Kombinált Nómenklatúra nem ad meg a kulturális javakra vonatkozóan kiegészítő mértékegységet, elő kell írni a tételek számának bejelentését.

(25)

A vámügyi kockázatkezelési stratégia és cselekvési terv célja többek között a vámhatóságok képességeinek megerősítése, hogy javítható legyen a kulturális javak területét érintő kockázatokkal kapcsolatos reagálási készség. A 952/2013/EU rendeletben meghatározott közös kockázatkezelési keretrendszert kell alkalmazni, és a vonatkozó kockázati információkat ki kell cserélni a vámhatóságok között.

(26)

A kulturális téren működő nemzetközi szervezetek és szervek keretében felhalmozódott szakértelem és – a kulturális javak tiltott kereskedelmével kapcsolatos – tapasztalatok kiaknázása érdekében e szervezetek és szervek ajánlásait és iránymutatásait figyelembe kell venni a közös kockázatkezelési keretben, a kulturális javakkal kapcsolatos kockázatok azonosítása során. Különösen az ICOM által kiadott „vörös listákat” kell iránymutatásul alkalmazni azon harmadik országok azonosítása során, amelyeknek kulturális öröksége a legnagyobb kockázatnak van kitéve, és az amelyekből származó tárgyak a leggyakrabban képezhetik tiltott kereskedelem tárgyát.

(27)

A kulturális javak vevőit célzó, a tiltott kereskedelem kockázatáról szóló tájékoztató kampányokat kell szervezni, továbbá segíteni kell a piaci szereplőket e rendelet értelmezésében és alkalmazásában. A tagállamoknak be kell vonniuk az érintett nemzeti kapcsolattartó pontokat és más infomációszolgáltatókat ezen információ terjesztésébe.

(28)

A Bizottságnak biztosítania kell, hogy a mikro-, kis-, és középvállalkozások (a továbbiakban: kkv-k) megfelelő műszaki segítségnyújtásban részesüljenek, továbbá e rendelet hatékony végrehajtása érdekében meg kell könnyítenie a feléjük irányuló információszolgáltatást. A kulturális javakat behozó, az Unióban letelepedett kkv-knak ezért a kis- és középvállalkozások versenyképességének támogatására irányuló jelenlegi és jövőbeli uniós programok kedvezményezettjeivé kell válniuk.

(29)

A megfelelés ösztönzése és a szabálykerülő magatartás megelőzése érdekében a tagállamoknak hatékony, arányos és visszatartó erejű szankciókat kell bevezetniük a rendelet rendelkezéseinek megsértése esetére, és ezekről a szankciókról tájékoztatniuk kell a Bizottságot. A tagállamok által bevezetett, az e rendelet megsértésére vonatkozó szankcióknak Unió-szerte egyenértékű elrettentő hatással kell bírniuk.

(30)

A tagállamoknak biztosítaniuk kell, hogy a vámhatóságok és az illetékes hatóságok megállapodjanak az 952/2013/EU rendelet 198. cikke szerinti intézkedésekről. Az említett intézkedésekre vonatkozó részleteket a nemzeti joggal összhangban kell megadni.

(31)

A Bizottságnak késedelem nélkül el kell fogadnia az e rendelet végrehajtását szolgáló szabályokat – különös tekintettel a behozatali engedély kérelmezéséhez vagy az importőri nyilatkozat elkészítéséhez használandó megfelelő elektronikus szabványűrlapokkal kapcsolatos szabályokra –, majd a lehető legrövidebb időn belül létre kell hoznia az elektronikus rendszert. A behozatali engedélyekre és importőri nyilatkozatokra vonatkozó rendelkezések alkalmazását ennek megfelelően el kell halasztani.

(32)

Az arányosság elvével összhangban e rendelet alapvető céljainak elérése érdekében szükséges és helyénvaló megállapítani a kulturális javaknak az Unió területére történő bejuttatására vonatkozószabályokat, valamint kulturális javaknak az Unió területére történő behozatalára vonatkozó feltételeket és eljárásokat. E rendelet az Európai Unióról szóló szerződés 5. cikke (4) bekezdésének megfelelően nem lépi túl a kitűzött cél eléréséhez szükséges mértéket.

(1)

A hálózati és információs rendszerek és a távközlési hálózatok és szolgáltatások létfontosságú szerepet töltenek be a társadalom működésében, és a gazdasági növekedés gerincét képezik. Az információs és kommunikációs technológiák (a továbbiakban: az IKT) a mindennapi társadalmi tevékenységeket támogató összetett rendszerek alapját képezik, biztosítják a gazdaság olajozott működését olyan meghatározó ágazatokban, mint az egészségügy, az energiaügy, a pénzügy és a közlekedés, valamint mindenekelőtt elősegítik a belső piac működését.

(2)

A hálózati és információs rendszerek használata szerte Unió-szerte elterjedt, mind a polgárok, mind a szervezetek, mind pedig a vállalkozások körében. Folyamatosan nő azoknak a termékeknek és szolgáltatásoknak a száma, amelyek alapvető jellemzői a digitalizálás és az összekapcsoltság, és a dolgok internetének terjedésével a következő évtizedben várhatóan rendkívül magas számú összekapcsolt digitális eszközt fognak az Unióban használatba venni. Míg egyre növekvő számú berendezés kapcsolódik az internethez, ezen eszközök esetében nincs kellőképpen beépítve a biztonság- és ellenállóképesség, mely elégtelen kiberbiztonsághoz vezet. A tanúsítás korlátozott alkalmazása következtében így sem a magán, sem az intézményi, sem az üzleti felhasználók nem rendelkeznek elegendő információval az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok kiberbiztonsági jellemzőiről, ami aláássa a digitális megoldásokba vetett bizalmat. A hálózati és információs rendszerek képesek életünk minden területét segíteni, az Unió gazdasági növekedését pedig ösztönözni. E rendszerek a digitális egységes piac megvalósításának sarokkövét jelentik.

(3)

Minél nagyobb méreteket ölt a digitalizáció és az összekapcsoltság, annál nagyobbak a kiberbiztonsági kockázatok is, melyek a társadalmat egészében véve sebezhetőbbé teszik a kiberfenyegetésekkel szemben, az egyes felhasználókra leselkedő veszélyeket pedig súlyosbítják, ideértve a sérülékeny felhasználókat, például a gyerekeket is. Az említett kockázatok csökkentése érdekében az uniós kiberbiztonság fokozására irányuló minden szükséges intézkedést meg kell hozni azért, hogy a hálózati és információs rendszerek, a távközlési hálózatok, valamint a polgárok, a szervezetek és a vállalkozások ‒ a 2003/361/EK bizottsági ajánlásban (4) meghatározott kis- és középvállalkozásoktól (kkv) a kritikus infrastruktúrák üzemeltetőiig terjedően ‒ jobban védve legyenek a kiberfenyegetésekkel szemben.

(4)

Azáltal, hogy a releváns információkat elérhetővé teszi a nyilvánosság számára, az 526/2013/EU európai parlamenti és tanácsi rendelettel (5) létrehozott Európai Uniós Hálózat- és Információbiztonsági Ügynökség (a továbbiakban: az ENISA) hozzájárul az uniós kiberbiztonsági ágazat, és elsősorban a kkv-k és az induló innovatív vállalkozások fejlődéséhez. Célszerű, hogy az ENISA szorosabb együttműködésre törekedjen az egyetemekkel és a kutatóintézetekkel annak érdekében, hogy hozzájáruljon az Unión kívülről származó kiberbiztonsági termékektől és szolgáltatásoktól való függőség csökkentéséhez, valamint az Unión belüli ellátási láncok megerősítéséhez.

(5)

Egyre gyakoribbak a kibertámadások, és az összekapcsoltság következtében a kiberfenyegetéseknek és -támadásoknak egyre kiszolgáltatottabbá váló gazdaság és társadalom fokozottabb védelmet igényel. Míg a kibertámadások általában nem ismernek országhatárokat, a kiberbiztonsági és bűnüldöző hatóságok hatásköre és szakpolitikai válaszintézkedései túlnyomórészt nemzeti szintűek. A nagyszabású biztonsági események az egész Unióban megzavarhatják az alapvető szolgáltatások nyújtását. Ezért hatékony és összehangolt uniós szintű reagálásra és válságkezelésre van szükség, melynek alapját célirányos szakpolitikai intézkedéseknek és az európai szolidaritást és kölcsönös segítségnyújtást szolgáló gazdagabb eszköztárnak kell képeznie. Emellett a szakpolitikai döntéshozók, a gazdasági élet szereplői és a felhasználók számára egyaránt fontos, hogy megbízható uniós adatok alapján rendszeres értékelés készüljön az EU kiberbiztonságának és kiberellenálló képességének mindenkori helyzetéről, továbbá szisztematikus legyen a jövőben várható fejlemények, kihívások és fenyegetések előrejelzése uniós és globális szinten egyaránt.

(6)

Az Unió előtt álló egyre nagyobb kiberbiztonsági kihívások leküzdéséhez olyan átfogó intézkedéscsomagra van szükség, amely a korábbi uniós fellépésekre épül, és amely előmozdítja az egymást kölcsönösen erősítő célkitűzéseket. Ezen célkitűzések közéé tartozik, hogy fokozni kell a tagállamok és a vállalkozások képességeit és felkészültségét, valamint javítani kell az együttműködést, az információmegosztást és a koordinációt a tagállamok, valamint az uniós intézmények, szervek és hivatalok között. Továbbá, tekintettel a kiberfenyegetések határok nélküli természetére, szükség van az uniós szintű képességek növelésére, melyek kiegészíthetik a tagállami fellépéseket, különösen a határokon átnyúló, nagyszabású biztonsági események és válságok esetén, figyelembe véve ugyanakkor a nemzeti képességek fenntartásának és továbbfejlesztésének fontosságát, hogy minden szintű kiberfenyegetésre reagálni lehessen.

(7)

További erőfeszítésekre van szükség annak érdekében is, hogy növeljük a polgárok, a szervezetek és a vállalkozások a kiberbiztonsági kérdésekre vonatkozó tudatosságát. Emellett, mivel a biztonsági események – különösen a fogyasztók körében – aláássák a digitális szolgáltatókba és magába a digitális egységes piacba vetett bizalmat, a bizalmat tovább kell növelni azáltal, hogy az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok biztonsági szintjéről átlátható módon bocsátanak információkat rendelkezésre, kiemelve, hogy még a magas szintű kiberbiztonsági tanúsítás sem garantálhatja, hogy az adott IKT-termék, IKT-szolgáltatás és IKT-folyamat teljesen biztonságos. A bizalom növelését könnyebben el lehet érni az egész Unióra kiterjedő tanúsítással, amely valamennyi nemzeti piacon és minden ágazatban közös kiberbiztonsági követelményeket és értékelési kritériumokat biztosít.

(8)

A kiberbiztonság nemcsak technológiai kérdés, hanem olyan, ahol az emberi magatartás is legalább olyan fontos. Éppen ezért határozottan ösztönözni kell a „kiberhigiéniát”, azaz olyan egyszerű rutinintézkedéseket, amelyek rendszeres végrehajtásával és elvégzésével a polgárok, a szervezetek és a vállalkozások minimálisra csökkenthetik a kiberfenyegetések kockázatainak való kitettségüket.

(9)

Az uniós kiberbiztonsági struktúrák megerősítése érdekében fontos fenntartani és fejleszteni a tagállamok arra irányuló képességeit, hogy átfogóan tudjanak reagálni a kiberfenyegetésekre, a határokon átnyúló biztonsági eseményeket is beleértve.

(10)

Fontos, hogy a vállalkozások és az egyéni fogyasztók pontos információkkal rendelkezzenek arról, hogy az általuk igénybe vett IKT-termékek, IKT-szolgáltatások és IKT-folyamatok biztonságát milyen megbízhatósági szinttel tanúsították. kiberbiztonsági szempontból egyetlen IKT-termék vagy IKT-szolgáltatás sem teljesen biztonságos, ezért az alapvető kiberhigiéniai szabályokat elő kell mozdítani és kiemelten kell kezelni. Tekintettel a dolgok internetével kapcsolatos eszközök növekvő elérhetőségére, számos olyan önkéntes intézkedés létezik, amelyeket a magánszektor tehet az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok biztonságába vetett bizalom erősítése érdekében.

(11)

A korszerű IKT-termékek és -rendszerek gyakran foglalnak magukban és alkalmaznak egy vagy több olyan technológiát és alkotóelemet, amelyek harmadik felektől származnak, így például szoftvermodulokat, könyvtárakat vagy felhasználói program interfészeket Ez a harmadik felekre hagyatkozás, amelyre „függőségként” is hivatkoznak, további kiberbiztonsági kockázatokat jelenthet, mivel a harmadik felektől származó alkotóelemekben fellelhető sérülékenységek is befolyásolhatják az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok biztonságosságát. Sok esetben hasznos lehet az ilyen függőségek azonosítása és dokumentálása, mivel az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok végfelhasználói javíthatják kiberbiztonsági kockázatkezelési tevékenységeiket, például azáltal, hogy javítják a felhasználók által alkalmazott, a sérülékenységek kezelésére és orvoslására irányuló eljárásokat.

(12)

Az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok tervezésébe és kifejlesztésébe bevont szervezeteket, gyártókat és szolgáltatókat már a tervezés és a kifejlesztés legkorábbi szakaszában ösztönözni kell az említett termékek, folyamatok és szolgáltatások biztonságának védelmére szolgáló intézkedések végrehajtására olyan módon, hogy számoljanak a támadások előfordulásának lehetőségével, azok előre látható hatását pedig a minimálisra csökkentsék (a továbbiakban: a beépített biztonság). A biztonsággal az IKT-termék, az IKT-szolgáltatás és az IKT-folyamat teljes élettartama alatt biztosítani kell, a rosszindulatú felhasználásból eredő károk kockázatának csökkentése érdekében folyamatosan alakítva a tervezési és a fejlesztési eljárásokat.

(13)

Célszerű, hogy a vállalkozások, a szervezetek és a magánszektor magasabb fokú biztonságot biztosító módon konfigurálják az általuk tervezett IKT-termékeket, IKT-szolgáltatásokat és IKT-folyamatokat, hogy az első felhasználó a lehető legbiztonságosabb beállításokkal (a továbbiakban: az alapértelmezett biztonság) kaphassa meg az alapértelmezett konfigurációt, ezáltal csökkentve a felhasználókra nehezedő terhet, hogy maguknak kell gondoskodniuk az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat megfelelő konfigurálásáról. Fontos, hogy az alapértelmezett biztonság működéséhez ne legyen szükség jelentős mértékű konfigurálásra, vagy speciális műszaki ismeretekre, illetve a felhasználó nem nyilvánvaló magatartására, alkalmazáskor pedig egyszerűen és megbízhatóan kell működnie. Amennyiben – eseti alapon – a kockázat és a felhasználhatóság elemzésének eredményeként azt állapítják meg, hogy az ilyen alapértelmezett beállítás nem valósítható meg, a felhasználókat a legbiztonságosabb beállítás kiválasztására kell ösztönözni.

(14)

A 460/2004/EK európai parlamenti és tanácsi rendelet (6) azzal a céllal hozta létre az ENISA-t, hogy hozzájáruljon az Unión belüli magas és hatékony szintű hálózat- és információbiztonság biztosításához, valamint – a polgárok, a fogyasztók, a vállalkozások és a közigazgatási szervek érdekeit szem előtt tartva – a hálózat- és információbiztonsági kultúra kialakításához. Az 1007/2008/EK európai parlamenti és tanácsi rendelet (7) 2012 márciusáig meghosszabbította az ENISA megbízatását. Az 580/2011/EU európai parlamenti és tanácsi rendelet (8)2013. szeptember 13-ig újfent meghosszabbította az ENISA megbízatását. Az 526/2013/EU európai parlamenti és tanácsi rendeletaz ENISA megbízatását 2020. június 19-ig hosszabbította meg.

(15)

Az Európai Unió már eddig is fontos lépéseket tett a kiberbiztonság és a digitális technológiákba vetett bizalom növelése érdekében. 2013-ban elfogadásra került az Európai Unió kiberbiztonsági stratégiája, amely irányt szabott az Unió kiberbiztonsági fenyegetésekre és kockázatokra adott politikai válaszlépései kidolgozásának. A polgárok online védelmének javítása érdekében tett erőfeszítései keretében a kiberbiztonság területén az Unió 2016-ban fogadta el az első jogi aktust, az (EU) 2016/1148 európai parlamenti és tanácsi irányelv (9) formájában. Az (EU) 2016/1148 irányelv a nemzeti képességekre vonatkozó követelményeket határozott meg a kiberbiztonság területén, kialakította az első mechanizmusokat a tagállamok közötti stratégiai és operatív együttműködés elmélyítése érdekében, és a biztonsági intézkedésekre és a biztonsági események bejelentésére vonatkozó kötelezettségeket vezetett be a gazdaság és a társadalom számára létfontosságú ágazatokban, mint például az energetika, a közlekedés, az ivóvízellátás és -elosztás, a banki szolgáltatások, a pénzügyi piaci infrastruktúrák, az egészségügy, a digitális infrastruktúra, valamint a kulcsfontosságú digitális szolgáltatók (keresőprogramok, felhőalapú számítástechnikai szolgáltatások, online piacterek).

Az ENISA kulcsfontosságú szerepet kapott az említett irányelv végrehajtásának támogatásában. Emellett a kiberbűnözés elleni hatékony küzdelem az európai biztonsági stratégiában is kiemelt fontosságot élvez, hiszen hozzájárul a magas szintű kiberbiztonság elérésének általános céljához. A digitális egységes piacon egyéb jogi eszközök – például az (EU) 2016/679 európai parlamenti és tanácsi rendelet (10), a 2002/58/EK (11) és az (EU) 2018/1972 európai parlamenti és tanácsi irányelv (12) – is hozzájárulnak a kiberbiztonság magas szintjéhez.

(16)

Az Európai Unió kiberbiztonsági stratégiájának 2013-as elfogadása és az ENISA megbízatásának legutóbbi felülvizsgálata óta az általános politikai kontextus jelentősen megváltozott, a bizonytalanabbá és kevésbé biztonságossá vált globális környezet következtében is. Ennek fényében, illetve azzal összefüggésben, hogy az ENISA-nak a tanácsadás és a szakértelem terén hivatkozási alapként, illetve az együttműködés és a kapacitásépítés terén közvetítőként, továbbá az új uniós kiberbiztonsági politika keretében betöltött szerepe pozitívan alakult, felül kell vizsgálni az ENISA megbízatását a megváltozott kiberbiztonsági ökoszisztémában betöltött szerepének meghatározása és annak biztosítása érdekében, hogy hatékonyan hozzájáruljon a radikálisan átalakult kiberfenyegetettségi helyzetből fakadó kiberbiztonsági kihívásokra adott uniós reagáláshoz, hiszen ehhez, amint az az ENISA értékeléséből is kiderült, jelenlegi megbízatása nem elegendő.

(17)

Az e rendelet által létrehozott ENISA az 526/2013/EU rendelettel korábban létrehozott ENISA jogutódja. Az ENISA-nak az e rendelettel és az egyéb kiberbiztonsági uniós jogi aktusokkal ráruházott feladatokat kell ellátnia, többek között szakértelem rendelkezésre bocsátása és tanácsadás révén, valamint uniós információs és tudásközpontként működve. Elő kell mozdítania a bevált gyakorlatok cseréjét a tagállamok és a magánszektor érdekelt felei között, szakpolitikai javaslatokat kell tennie az Európai Bizottságnak és a tagállamoknak, hivatkozási alapként működve az uniós ágazati szakpolitikai kezdeményezések számára a kiberbiztonsági kérdésekben, és elő kell segítenie egyfelől a tagállamok közötti, másfelől a tagállamok, valamint az uniós intézmények, szervek és hivatalok közötti operatív együttműködést.

(18)

A tagállamok állam-, illetve kormányfői szinten ülésező képviselőinek közös megállapodásával hozott 2004/97/EK, Euratom határozat (13) keretében a tagállamok képviselői úgy határoztak, hogy az ENISA székhelye Görögországban lesz, egy, a görög kormány által meghatározandó városban. Az ENISA-t fogadó tagállamnak a lehető legkedvezőbb feltételeket kell biztosítania az ENISA zavartalan és hatékony működéséhez. Az ENISA feladatainak megfelelő és hatékony ellátása, a személyzet felvétele és megtartása, továbbá a hálózatépítési tevékenységek hatékonyságának fokozása érdekében elengedhetetlen, hogy az ENISA székhelye megfelelő helyen legyen, ahol többek között megfelelő közlekedési csatlakozások, valamint az ENISA személyzetének tagjait kísérő házastársaknak és gyermekeknek szükséges létesítmények állnak rendelkezésre. A szükséges szabályokat az ENISA igazgatótanácsának jóváhagyását követően az ENISA és az azt fogadó tagállam közötti megállapodásban kell rögzíteni.

(19)

Tekintettel az Unió előtt álló, egyre fokozódó kiberbiztonsági kockázatokra és kihívásokra, növelni kell az ENISA számára elkülönített pénzügyi és emberi erőforrásokat annak érdekében, hogy tükrözze az ENISA megerősített szerepét, feladatait és az uniós digitális ökoszisztémát védő szervezetek ökoszisztémájában betöltött kulcsfontosságú szerepét, lehetővé téve az ENISA számára az e rendelettel ráruházott feladatok hatékony elvégzését.

(20)

Az ENISA-nak magas szintű szakértelmet kell kialakítania és fenntartania, és olyan hivatkozási alapként kell működnie, amely függetlensége, az általa nyújtott tanácsok és az általa terjesztett információk minősége, eljárásainak és működési módszereinek átláthatósága, valamint a feladatai ellátásában tanúsított gondossága révén bizalmat kelt az egységes piac iránt. Az ENISA-nak aktívan támogatnia kell a nemzeti erőfeszítéseket és proaktívan hozzá kell járulnia az uniós erőfeszítésekhez, miközben feladatait az uniós intézményekkel, szervekkel és hivatalokkal, valamint a tagállamokkal teljeskörűen együttműködve kell végeznie, elkerülve a párhuzamos munkavégzést és előmozdítva a szinergiát. Ezenkívül a magánszektorral, valamint a többi releváns érdekelt féllel is együtt kell működnie, és a tőlük kapott észrevételeket is figyelembe kell vennie. Feladatainak megállapításával meg kell határozni, hogy az ENISA-nak hogyan kell elérnie célkitűzéseit, de egyben rugalmasságot is biztosítani kell a működéséhez.

(21)

Annak érdekében, hogy megfelelő támogatást lehessen nyújtani a tagállamok operatív együttműködéséhez, az ENISA-nak tovább kell erősítenie műszaki és humán képességeit és készségeit. Az ENISA-nak növelnie kell a know-how-ját és kapacitásait. Az ENISA és a tagállamok a nemzeti szakértők ENISA-hoz történő kirendelése, szakértői csoportok létrehozása és személyzeti csere céljából önkéntes alapon programokat alakíthatnának ki.

(22)

Az ENISA-nak – a kiberbiztonsági vonatkozású uniós politikák és uniós jog relevanciájának növelése és ezek nemzeti szintű végrehajtása egységességének lehetővé tétele érdekében – tanácsadással, véleményezéssel és elemzések készítésével kell segítenie a Bizottságot valamennyi olyan uniós kérdésben, amely a kiberbiztonságot és annak ágazatspecifikus vonatkozásait érintő szakpolitikák és jog kidolgozásához, illetve azok aktualizálásához és felülvizsgálatához kapcsolódik. Az ENISA-nak hivatkozási alapként kell szolgálnia az olyan uniós ágazatspecifikus szakpolitikai és jogalkotási kezdeményezésekkel kapcsolatos tanácsadás és szakértelem terén, amelyek kiberbiztonsági kérdéseket is magukban foglalnak. Az ENISA-nak a tevékenységeiről rendszeresen tájékoztatnia kell az Európai Parlamentet.

(23)

A nyílt internet nyilvános alkotóelemei – nevezetesen a főbb protokolljai és infrastruktúrája, amelyek globális közjavak – biztosítják az internet egészének alapvető funkcióit és támogatják annak normál működését. Az ENISA-nak támogatnia kell az internet nyilvános alapelemei, többek között, de nem kizárólag a kulcsfontosságú protokollok (különösen a DNS, a BGP és az IPv6) biztonságos és stabil működését, a domain-név rendszer működését (például az összes legfelső szintű domain működését), valamint a gyökérzóna működését.

(24)

Az ENISA alapvető feladata, hogy elősegítse a releváns jogi keretrendszer következetes végrehajtását, különösen az (EU) 2016/1148 irányelv és a kiberbiztonsági vonatkozásokat tartalmazó egyéb releváns jogi eszközök eredményes végrehajtását, ami alapvető fontosságú a kiberellenálló képesség javításához. Tekintettel a kiberbiztonsági fenyegetettségi helyzet gyorsan változó jellegére, egyértelmű, hogy a tagállamokat több szakpolitikai területet is felölelő, átfogóbb megközelítéssel kell támogatni a kiberellenálló képesség kialakítása érdekében.

(25)

Az ENISA-nak segítenie kell a tagállamok és az uniós intézmények, szervek és hivatalok arra irányuló erőfeszítéseit, hogy kiépítsék és fokozzák a kiberfenyegetések és a biztonsági események megelőzésével, észlelésével és az azokra való reagálással kapcsolatos képességeket és felkészültséget, valamint támogatnia kell a hálózati és információs rendszerek biztonságát érintő erőfeszítéseiket. Az ENISA-nak különösen a nemzeti és uniós számítógép-biztonsági eseményekre reagáló csoportok (a továbbiakban: a CSIRT-ek) kialakítását és fejlesztését kell támogatnia annak érdekében, hogy azok Unió-szerte általánosan jó fejlettségi szintet érjenek el. Az ENISA által a tagállamok operatív kapacitásaival kapcsolatban végzett tevékenységnek aktívan támogatnia kell a tagállamok a célból hozott intézkedéseit, hogy megfeleljenek az (EU) 2016/1148 irányelvből eredő kötelezettségeiknek, és nem élvezhet elsőbbséget azokkal szemben.

(26)

Az ENISA-nak a hálózati és információs rendszerek biztonságára, kiváltképpen a kiberbiztonságra vonatkozó uniós és – kérésre – tagállami szintű stratégiák kidolgozásához és aktualizálásához is támogatást kell nyújtania, valamint elő kell segítenie ezen stratégiák terjesztését, és nyomon kell követnie végrehajtásuk előrehaladását. Az ENISA-nak hozzá kell járulnia a képzésekkel és képzési anyagokkal kapcsolatos igények ‒ többek között a közjogi szervek igényeinek ‒ kielégítéséhez, és a Lakossági Digitális Kompetenciakeretre építve adott esetben kiemelt mértékben gondoskodnia kell az oktatók képzéséről is annak érdekében, hogy segítse a tagállamokat, illetve az uniós intézményeket, szerveket és hivatalokat saját szakképzési kapacitásuk kifejlesztésében.

(27)

Az ENISA-nak a kiberbiztonsággal kapcsolatos tudatosságnövelés és oktatás terén támogatnia kell a tagállamokat azáltal, hogy elősegíti a tagállamok közötti szorosabb koordinációt és a bevált gyakorlatok cseréjét. Ez a támogatás többek között magában foglalhatná egy nemzeti oktatási kapcsolattartó pontokból álló hálózat és egy kiberbiztonsági képzési platform kialakítását. A nemzeti oktatási kapcsolattartó pontok hálózata működhetne a nemzeti kapcsolattartó tisztviselők hálózata keretében és kiindulópontot jelenthetne a tagállamokon belüli majdani koordinációhoz.

(28)

Az ENISA-nak segítenie kell az (EU) 2016/1148 irányelvvel létrehozott együttműködési csoportot feladatai végrehajtásában, különösen szakértelmével, tanácsadással és a bevált gyakorlatok cseréjének megkönnyítésével, többek között ami az alapvető szolgáltatásokat nyújtó szereplők tagállamok általi azonosítását illeti, valamint a biztonsági kockázatok és biztonsági események terén fennálló, határokon átnyúló függőségek tekintetében.

(29)

A köz- és a magánszektor közötti, valamint a magánszektoron belüli együttműködés ösztönzése céljából, különösen a kritikus infrastruktúrák védelmének támogatása érdekében az ENISA-nak támogatnia kell az ágazatok közötti és azokon belüli információmegosztást, különös tekintettel az (EU) 2016/1148 irányelv II. mellékletében felsorolt ágazatokra, azáltal, hogy bevált gyakorlatokat és iránymutatást nyújt a rendelkezésre álló eszközökkel és eljárásokkal kapcsolatban, továbbá iránymutatást nyújt az információk megosztásával kapcsolatos szabályozási kérdésekben, például előmozdítva az ágazati információmegosztó és -elemző központok létrehozását.

(30)

mivel az IKT-termékekben, az IKT-szolgáltatásokban és az IKT-folyamatokban rejlő sebezhetőségek potenciális negatív hatása egyre nagyobb, a sebezhetőségek észlelésének és orvoslásának fontos szerepe van az átfogó kiberbiztonsági kockázat csökkentésében. Bebizonyosodott, hogy a szervezetek, a sebezhető IKT-termékek gyártói és a sebezhető IKT-szolgáltatások nyújtói, valamint az IKT-folyamatok, továbbá a kiberbiztonsági kutatói közösség és a kormányzatok sebezhetőségeket észlelő tagjai közötti együttműködésnek köszönhetően az IKT-termékekben, az IKT-szolgáltatásokban és az IKT-folyamatokban rejlő sebezhetőségek felfedezésének és orvoslásának aránya egyaránt jelentősen megnőtt. Az összehangolt sebezhetőség-feltárás olyan strukturált együttműködési eljárást takar, amelynek keretében a sebezhetőségeket az információs rendszer tulajdonosának jelentik be, lehetővé téve, hogy a szervezet azelőtt megvizsgálhassa és orvosolhassa a sebezhetőséget, hogy a sebezhetőséggel kapcsolatos részletes információkat harmadik felek vagy a nyilvánosság tudomására hoznák. Az eljárás az említett sebezhetőségek közzétételét illetően az észlelő és a szervezet közötti koordinációt is előírja. Az összehangolt sebezhetőség-feltárásra irányuló eljárások fontos szerepet játszhatnak a kiberbiztonság növelésére tett tagállami erőfeszítések terén.

(31)

Az ENISA-nak összesítenie és elemeznie kell a CSIRT-ek és az Európai Parlament, az Európai Tanács, az Európai Unió Tanácsa, az Európai Bizottság, az Európai Unió Bírósága, az Európai Központi Bank, az Európai Számvevőszék, az Európai Külügyi Szolgálat, az Európai Gazdasági és Szociális Bizottság, a Régiók Európai Bizottsága és az Európai Beruházási Bank közötti, az uniós intézmények, szervek és hivatalok hálózatbiztonsági vészhelyzeteket elhárító csoportjának szervezetéről és működéséről szóló megállapodás (14) által létrehozott, az uniós intézmények, szervek és hivatalok intézményközi hálózatbiztonsági vészhelyzeteket elhárító csoportja (a továbbiakban: a CERT-EU) által készített és önkéntesen megosztott nemzeti jelentéseket annak érdekében, hogy hozzájáruljon az információcsere közös eljárásainak, nyelvhasználatának és terminológiájának kialakításához. E tekintetben az ENISA-nak a munkájába a magánszektort is be kell vonnia az (EU) 2016/1148 irányelv keretében, amely meghatározza a CSIRT-ek hálózatán belüli, önkéntes alapon történő, operatív szintű technikai információcsere alapjait.

(32)

Az ENISA-nak nagyszabású, határokon átnyúló biztonsági esemény vagy válsághelyzet esetén hozzá kell járulnia az uniós szintű reagáláshoz. Ezt a feladatot az e rendelet szerinti megbízatásával, valamint az (EU) 2017/1584 bizottsági ajánlás (15) és a nagyszabású kiberbiztonsági eseményekre és válsághelyzetekre való összehangolt uniós reagálásról szóló, 2018. június 26-i tanácsi következtetések nyomán közösen elfogadandó megközelítéssel összhangban kell ellátnia. Az említett feladatba beletartozhat a megfelelő információk összegyűjtése, valamint a CSIRT-ek hálózata és a műszaki közösség, továbbá a válságkezelésért felelős döntéshozók közötti közvetítés is. Az ENISA-nak ezenkívül ‒ egy vagy több tagállam kérésére ‒ támogatnia kell a tagállamok közötti operatív együttműködést a biztonsági események műszaki szempontból való kezelésében, a megfelelő műszaki megoldások tagállamok közötti cseréjének elősegítésével, és információkkal szolgálva a nyilvánosság tájékoztatása céljából. Az ilyen jellegű együttműködés tesztelésére irányuló rendszeres kiberbiztonsági gyakorlatok keretében az ENISA-nak támogatnia kell az operatív együttműködést.

(33)

Az operatív együttműködés támogatása során az ENISA-nak igénybe kell vennie a CERT-EU keretében rendelkezésre álló műszaki és operatív szakértelmet. Ezen strukturált együttműködés az ENISA szakértelmére épülhet. Adott esetben a két szervezet között külön megállapodásokat kell kialakítani az együttműködés gyakorlati megvalósításának meghatározása és a párhuzamos tevékenységek elkerülése érdekében.

(34)

A CSIRT-ek hálózatán belüli operatív együttműködés támogatására irányuló feladatainak ellátása során az ENISA-nak képesnek kell lennie arra, hogy a tagállamokat azok kérésére támogassa, például tanácsot adjon a biztonsági események megelőzésére, észlelésére és az azokra való reagálásra irányuló képességeik javításának lehetséges módjaival kapcsolatban, hogy megkönnyítse a jelentős vagy lényeges hatással járó biztonsági események technikai kezelését, illetve hogy gondoskodjon a fenyegetések és biztonsági események elemzéséről. Az ENISA-nak meg kell könnyítenie a jelentős vagy lényeges hatással járó biztonsági események műszaki kezelését mindenekelőtt azáltal, hogy támogatja a műszaki megoldások tagállamok közötti önkéntes megosztását, vagy összefoglaló jellegű technikai információkat állít elő például a tagállamok által önkéntesen megosztott technikai megoldásokról. Az (EU) 2017/1584 ajánlás azt ajánlja a tagállamoknak, hogy jóhiszeműen működjenek együtt, és indokolatlan késedelem nélkül osszák meg egymással és az ENISA-val a nagyszabású biztonsági eseményekkel és válsághelyzetekkel kapcsolatos információkat. Ezek az információk az ENISA segítségére lehetnek az operatív együttműködés támogatásával kapcsolatos feladata ellátása során.

(35)

Az uniós helyzetismeret támogatását célzó, rendes, műszaki szintű együttműködés részeként az ENISA-nak – a tagállamokkal szoros együttműködésben – rendszeresen el kell készítenie a biztonsági eseményekről és a kiberfenyegetésekről szóló részletes uniós kiberbiztonsági technikai helyzetjelentéseket a nyilvánosan hozzáférhető információk, a saját elemzése és azon jelentések alapján, amelyeket a tagállami CSIRT-ek vagy az (EU) 2016/1148 irányelvvel létrehozott, a hálózati és információs rendszerek biztonságáért felelős egyedüli kapcsolattartó pontok ‒ mindkettő önkéntes alapon ‒, az Europol Számítástechnikai Bűnözés Elleni Európai Központja (EC3), a CERT-EU és adott esetben az Európai Külügyi Szolgálaton belül az Európai Unió Helyzetelemző Központja (EU INTCEN) megosztottak vele. Az említett jelentést a Tanács és a Bizottság, az Unió külügyi és biztonságpolitikai főképviselője és a CSIRT-ek hálózata rendelkezésére kell bocsátani.

(36)

A jelentős vagy lényeges hatással járó biztonsági eseményekre vonatkozóan az érintett tagállamok kérésére elvégzett utólagos műszaki vizsgálatokhoz az ENISA által nyújtott támogatásnak a jövőbeli események megelőzésére kell összpontosítania. Az érintett tagállamoknak meg kell adniuk az ahhoz szükséges információkat és támogatást, hogy az ENISA hatékony támogatást tudjon nyújtani az utólagos műszaki vizsgálathoz.

(37)

A tagállamok felkérhetik a biztonsági esemény által érintett vállalkozásokat arra, hogy – a kereskedelmi szempontból érzékeny és a közbiztonsággal kapcsolatos információk védelméhez való joguk sérelme nélkül – a szükséges információk és segítségnyújtás biztosításával működjenek együtt az ENISA-val.

(38)

A kiberbiztonság területén jelentkező kihívások jobb megismerése érdekében, valamint a tagállamoknak és az uniós intézményeknek, szerveknek és hivataloknak nyújtandó hosszú távú stratégiai tanácsadás céljából az ENISA-nak elemeznie kell az ismert és az újonnan fellépő kockázatokat. E célból az ENISA-nak a tagállamokkal és adott esetben a statisztikai hivatalokkal és más szervekkel együttműködve össze kell gyűjtenie a nyilvánosan elérhető vagy önkéntesen megosztott releváns információkat, elemzéseket kell készítenie a kialakulóban lévő új technológiákról, valamint tematikus értékeléseket kell végeznie a technológiai innovációknak a hálózat- és információbiztonságra, különösen a kiberbiztonságra gyakorolt várható társadalmi, jogi, gazdasági és szabályozási hatásairól. Az ENISA-nak továbbá a kiberfenyegetések, a sebezhetőségek és a biztonsági események elemzésével támogatnia kell a tagállamokat és az uniós intézményeket, szerveket és hivatalokat az új kiberkockázatok azonosításában és a biztonsági események megelőzésében.

(39)

Az ENISA-nak – az Unió ellenálló képességének növelése érdekében – tanácsadással, iránymutatással és a bevált gyakorlatok terjesztésével szakértelem kialakítására kell törekednie azon infrastruktúrák kiberbiztonságának területén, amelyek különösen az (EU) 2016/1148 irányelv II. mellékletében felsorolt ágazatokat támogatják, valamint amelyeket az említett irányelv III. mellékletében felsorolt digitális szolgáltatások nyújtói használnak. Annak érdekében, hogy a kiberbiztonsági kockázatokra és a lehetséges ellenintézkedésekre vonatkozó információk strukturált formában könnyebben hozzáférhetők legyenek, az ENISA-nak uniós információs platformot, vagyis egy olyan egyablakos portált kell létrehoznia és fenntartania, ahol a nyilvánosság hozzájuthat az uniós és nemzeti intézményektől, szervektől, hivataloktól és ügynökségektől származó kiberbiztonsági információkhoz. A kiberbiztonsági kockázatokra és a lehetséges ellenintézkedésekre vonatkozó, jobban strukturált formában rendelkezésre álló információkhoz való hozzáférés is segítheti a tagállamokat kapacitásaik megerősítésében, gyakorlataik összehangolásában, valamint ezáltal a kibertámadások elleni általános ellenálló képességük javításában.

(40)

Az ENISA-nak hozzá kell járulnia a kiberbiztonsági kockázatokkal kapcsolatos tudatosság növeléséhez – többek között az egész Unióra kiterjedő tudatosságnövelő kampánnyal és az oktatás előmozdításával –, és polgároknak, szervezeteknek és vállalkozásoknak címzett, egyedi felhasználói iránymutatást kell nyújtania a már bevált gyakorlatokkal kapcsolatban. Az ENISA-nak a polgárok, a szervezetek és a vállalkozások szintjén azáltal is hozzá kell járulnia a bevált gyakorlatok és megoldások – többek között a kiberhigiénia és a kiberbiztonsági jártasság – előmozdításához, úgy, hogy összegyűjti és elemzi a jelentős biztonsági eseményekre vonatkozó, nyilvánosan elérhető információkat, valamint jelentéseket és útmutatókat készít és tesz közzé abból a célból, hogy iránymutatást nyújtson a polgárok, a szervezetek és a vállalkozások számára, valamint javítsa felkészültségük és az ellenálló képességük általános szintjét. Az ENISA-nak továbbá kell törekednie arra, hogy a fogyasztók számára fontos információkat nyújtson az alkalmazandó tanúsítási rendszerekről, például iránymutatások és ajánlások kibocsátásával. Emellett a 2018. január 17-i bizottsági közleménnyel létrehozott digitális oktatási cselekvési tervvel összhangban, valamint a tagállamokkal és az uniós intézményekkel, szervekkel és hivatalokkal együttműködve az ENISA-nak rendszeresen kampányokat kell szerveznie a végfelhasználók tájékoztatása és oktatása érdekében, melyek célja a biztonságosabb egyéni online magatartásformák elősegítése, a digitális jártasság előmozdítása, valamint a kibertérben potenciálisan jelenlévő veszélyek tudatosítása – ideértve az adathalászatot, a botneteket, a pénzügyi és banki csalásokat és az adatcsalással kapcsolatos biztonsági eseményeket is magában foglaló online bűnügyi tevékenységeket is –, továbbá az alapvető többfaktoros hitelesítési, hibajavítási, titkosítási, anonimizálási és adatvédelmi tanácsadás előmozdítása.

(41)

Az ENISA-nak elő kell mozdítania az uniós szintű beépített biztonságot és a beépített adatvédelmet, és központi szerepet kell játszania az eszközök biztonságosságával és a szolgáltatások biztonságos használatával kapcsolatos végfelhasználói tudatosság minél gyorsabb növelésében. E cél elérése érdekében az ENISA-nak a lehető legjobban ki kell használnia a rendelkezésre álló bevált gyakorlatokat és tapasztalatokat, különösen a felsőoktatási intézményektől és az informatikai biztonsági kutatóktól származó bevált gyakorlatokat és tapasztalatokat.

(42)

A kiberbiztonsági ágazatban működő vállalkozások, valamint a kiberbiztonsági megoldások felhasználóinak támogatása érdekében az ENISA-nak létre kell hoznia és fenn kell tartania egy „piaci megfigyelőközpontot”, vagyis mind a keresleti, mind a kínálati oldalon rendszeres elemzéseket kell végeznie, és széles körben ismertetnie kell a kiberbiztonsági piac főbb tendenciáira vonatkozó információkat.

(43)

Az ENISA-nak hozzá kell járulnia az Unió által a nemzetközi szervezetekkel, valamint a releváns nemzetközi együttműködési kereteken belül folytatott együttműködéshez a kiberbiztonság területén. Az ENISA-nak különösen ‒ adott esetben ‒ az olyan szervezekkel folytatott együttműködéshez kell hozzájárulnia, mint az OECD, az EBESZ és a NATO. Ezen együttműködés kiterjedhet egyebek mellett a közös kiberbiztonsági gyakorlatokra és a biztonsági eseményekre való reagálás közös koordinációjára. Ezeket a tevékenységeket az inkluzivitásra, a kölcsönösségre és az uniós döntéshozatal autonómiájára vonatkozó elvek maradéktalan tiszteletben tartása mellett kell végezni, az egyes tagállamok biztonság- és védelempolitikája sajátosságainak sérelme nélkül.

(44)

Célkitűzéseinek maradéktalan elérése érdekében az ENISA-nak kapcsolatot kell kialakítania a megfelelő uniós felügyeleti hatóságokkal és más, az Unióban található illetékes hatóságokkal, az uniós intézményekkel, szervekkel és hivatalokkal, többek között a CERT-EU-val, az EC3-mal, az Európai Védelmi Ügynökséggel (EDA), az Európai GNSS Ügynökséggel (GSA), az Európai Elektronikus Hírközlési Szabályozó Hatóságok Testületének Hivatalával (BEREC), a Szabadságon, a Biztonságon és a Jog Érvényesülésén Alapuló Térség Nagyméretű IT-rendszereinek Üzemeltetési Igazgatását Végző Európai Ügynökséggel (eu-LISA), az Európai Központi Bankkal (EKB), az Európai Bankhatósággal (EBH), az Európai Adatvédelmi Testülettel, az Energiaszabályozók Együttműködési Ügynökségével (ACER), az Európai Repülésbiztonsági Ügynökséggel (EASA) és a kiberbiztonságban érintett minden más uniós ügynökséggel. Az ENISA-nak kapcsolatot kell fenntartania az adatvédelemmel foglalkozó hatóságokkal is a know-how és a bevált gyakorlatok cseréje érdekében, valamint tanácsot kell adnia a kiberbiztonság azon vonatkozásaival kapcsolatban, amelyek hatással lehetnek ezek munkájára. A nemzeti és uniós bűnüldöző és adatvédelmi hatóságok képviselőinek lehetőséget kell biztosítani arra, hogy képviseltessék magukat az ENISA tanácsadó csoportjában. Az ENISA-nak a bűnüldöző hatóságokkal folytatott, a munkájukra esetlegesen hatást gyakorló hálózat- és információbiztonsági kérdésekkel kapcsolatos együttműködés során tiszteletben kell tartania a meglévő információs csatornákat és a létező hálózatokat.

(45)

Partnerségeket lehet kialakítani azokkal a felsőoktatási intézményekkel, amelyek kutatási kezdeményezésekkel rendelkeznek az érintett területeken, a fogyasztói és egyéb szervezetektől származó hozzájárulások számára pedig megfelelő csatornákat kell biztosítani és azokat figyelembe kell venni.

(46)

Az ENISA-nak a CSIRT-ek hálózatának titkársága szerepében támogatnia kell a tagállami CSIRT-ek és a CERT-EU operatív együttműködését, a CSIRT-ek hálózatának az (EU) 2016/1148 irányelvben említett releváns feladatai tekintetében. Az ENISA-nak elő kell mozdítania és támogatnia kell továbbá a megfelelő CSIRT-ek közötti együttműködést a legalább két CSIRT-et is érintő vagy érinthető, az általuk kezelt vagy védett hálózatokat vagy infrastruktúrát érő biztonsági események, támadások és zavarok esetén, figyelembe véve ugyanakkor a CSIRT-ek hálózatának eljárásrendjét.

(47)

A kiberbiztonsági eseményekre való reagálással kapcsolatos uniós felkészültség javítása érdekében az ENISA-nak rendszeresen kiberbiztonsági gyakorlatokat kell szerveznie uniós szinten, és kérésükre támogatnia kell a tagállamokat és az uniós intézményeket, szerveket és hivatalokat az ilyen gyakorlatok megszervezésében. Kétévente nagy kiterjedésű átfogó gyakorlatot kell rendezni, amely műszaki, operatív és stratégiai elemeket foglal magában. Emellett az ENISA rendszeresen szervezhet kevésbé átfogó gyakorlatokat ugyanazzal a céllal, azaz a biztonsági eseményekre való reagálással kapcsolatos uniós felkészültség javítása érdekében.

(48)

Az ENISA-nak a kiberbiztonsági tanúsítás terén kialakított szakértelmét tovább kell fejlesztenie és fenn kell tartania az erre a területre vonatkozó uniós szakpolitika támogatása érdekében. Az ENISA-nak a meglévő bevált gyakorlatokra kell támaszkodnia, és elő kell mozdítania a kiberbiztonsági tanúsítás Unión belüli elterjesztését, többek között azáltal, hogy hozzájárul az uniós szintű kiberbiztonsági tanúsítási keretrendszer (a továbbiakban: az európai kiberbiztonsági tanúsítási rendszer) létrehozásához és fenntartásához annak érdekében, hogy átláthatóbb legyen az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok kiberbiztonsági megbízhatósága, megerősítve ezzel a digitális belső piacba és annak versenyképességébe vetett bizalmat.

(49)

A hatékony kiberbiztonsági szakpolitikáknak – a köz- és a magánszektorban egyaránt – kellően kidolgozott kockázatértékelési módszereken kell alapulniuk. A kockázatértékelési módszereket különböző szinteken használják, és eredményes alkalmazásukat illetően nincs közös gyakorlat. A kockázatértékeléssel és az interoperábilis kockázatkezelési megoldásokkal kapcsolatban bevált gyakorlatoknak a köz- és a magánszektorbeli szervezetekben való ösztönzése, illetve kialakítása fokozni fogja az Unió kiberbiztonságát. E célból az ENISA-nak uniós szinten támogatnia kell az uniós érdekelt felek együttműködését, azáltal, hogy előmozdítja az európai és nemzetközi szabványok kidolgozására és alkalmazására irányuló erőfeszítéseket egyfelől a kockázatkezeléssel, másfelől azon elektronikus termékek, rendszerek, hálózatok és szolgáltatások mérhető biztonságával kapcsolatban, amelyek a szoftverekkel együtt a hálózati és információs rendszereket alkotják.

(50)

Az ENISA-nak ösztönöznie kell a tagállamokat, az IKT-termékek, IKT-szolgáltatások és IKT-folyamatok gyártóit vagy nyújtóit általános biztonsági előírásaik szigorítására, hogy minden internetfelhasználó megtehesse a személyes kiberbiztonságához szükséges lépéseket, és hogy erre ösztönözve legyen. Különösen fontos, hogy az IKT-termékek, IKT-szolgáltatások és IKT-folyamatok gyártói vagy nyújtói gondoskodjanak azon IKT-termékek, IKT-szolgáltatások vagy IKT-folyamatok szükséges frissítéseiről, amelyek nem felelnek meg a kiberbiztonsági szabványoknak, illetve hogy ezeket visszahívják, visszavonják vagy újrahasznosítsák, az importőröknek és a forgalmazóknak pedig arról kell gondoskodniuk, hogy az általuk az Unióban forgalomba hozott IKT-termékek, IKT-szolgáltatások és IKT-folyamatok megfeleljenek az alkalmazandó követelményeknek, és ne jelentsenek kockázatot az uniós fogyasztók számára.

(51)

Az ENISA-nak az illetékes hatóságokkal együttműködve tájékoztatást kell tudni adnia a belső piacon kínált IKT-termékek, IKT-szolgáltatások és IKT-folyamatok kiberbiztonsági szintjéről, és figyelmeztetéseket is ki kell tudni adnia, amelyekben a szolgáltatókat és a gyártókat IKT-termékeik, IKT-szolgáltatásaik és IKT-folyamataik biztonságának – ezen belül kiberbiztonságának – a fokozására szólítja fel.

(52)

Az ENISA-nak teljes mértékben figyelembe kell vennie a folyamatban lévő – különösen a különböző uniós kutatási kezdeményezések keretében végzett – kutatási, fejlesztési és technológiaértékelési tevékenységeket azért, hogy igény esetén tanácsot tudjon adni az uniós intézmények, szervekés hivatalok, valamint adott esetben a tagállamok számára a kiberbiztonság területét érintő kutatási igényekkel és prioritásokkal kapcsolatban. A kutatási igények és prioritások meghatározása érdekében az ENISA-nak konzultálnia kell az érintett felhasználói csoportokkal is. Konkrétabban érdemes együttműködést kiépíteni az Európai Kutatási Tanáccsal, az Európai Innovációs és Technológiai Intézettel, valamint az Európai Unió Biztonságpolitikai Kutatóintézetével.

(53)

Az európai kiberbiztonsági tanúsítási rendszerek kidolgozása során az ENISA-nak rendszeresen konzultálnia kell a szabványügyi szervezetekkel, különösen az európai szabványügyi szervezetekkel.

(54)

A kiberbiztonsági fenyegetések globális kérdést jelentenek. Szorosabb nemzetközi együttműködésre van szükség a kiberbiztonsági szabványok javítása – és ezen belül a közös viselkedési normák és magatartási kódexek elfogadása, a nemzetközi szabványok használata – és az információmegosztás érdekében, valamint a hálózat- és információbiztonsági kérdésekre adott reagálás tekintetében a gyorsabb nemzetközi együttműködést elősegítő információcsere javítása és egy azokra vonatkozó közös globális megközelítésmód előmozdítása érdekében. Az ENISA-nak e célból támogatnia kell az uniós szerepvállalás fokozását és a harmadik országokkal és a nemzetközi szervezetekkel folytatott együttműködést, adott esetben biztosítva a szükséges szakértelmet és elemzéseket az érintett uniós intézmények, szervek és hivatalok számára.

(55)

Az ENISA-nak képesnek kell lennie arra, hogy eleget tegyen a tagállamok és az uniós intézmények, szervek és hivatalok tanácsadásra és segítségnyújtásra vonatkozó eseti megkereséseinek, amennyiben azok az ENISA megbízatásának hatálya alá tartoznak.

(56)

Az ENISA irányítását illetően észszerű és ajánlott bizonyos elveket alkalmazni az EU decentralizált ügynökségeivel foglalkozó intézményközi munkacsoport által 2012 júliusában elfogadott együttes nyilatkozatból és közös megközelítésből, melyek célja a decentralizált ügynökségek tevékenységeinek gördülékennyé tétele és teljesítményük javítása. Adott esetben az ENISA munkaprogramjaiban, az ENISA értékeléseiben, valamint az ENISA jelentéstételi és adminisztratív gyakorlatában érvényesíteni kell az együttes nyilatkozatban és a közös megközelítésben adott ajánlásokat is.

(57)

Az ENISA tevékenységének általános irányát a tagállamok képviselőiből és a Bizottság képviselőiből álló igazgatótanácsnak kell megállapítania, és biztosítania kell, hogy az ENISA e rendelettel összhangban lássa el feladatait. Az igazgatótanácsot fel kell ruházni mindazokkal a hatáskörökkel, amelyek a költségvetés meghatározásához, a költségvetés végrehajtásának ellenőrzéséhez, a pénzügyi szabályzat elfogadásához, az ENISA átlátható határozathozatali eljárásainak kialakításához, az ENISA egységes programozási dokumentumának elfogadásához, saját eljárási szabályzatának elfogadásához, az ügyvezető igazgató kinevezéséhez, és az ügyvezető igazgató hivatali idejének meghosszabbításához és az ügyvezető igazgató felmentéséhez szükségesek.

(58)

Az ENISA megfelelő és hatékony működése érdekében a Bizottságnak és a tagállamoknak biztosítaniuk kell, hogy az igazgatótanács tagjainak kinevezendő személyek megfelelő szakértelemmel és megfelelő tapasztalattal rendelkezzenek. Az igazgatótanács munkájának folytonosságát biztosítandó, a Bizottságnak és a tagállamoknak is törekedniük kell arra, hogy képviselőik ne cserélődjenek túl gyakran az igazgatótanácsban.

(59)

Az ENISA zavartalan működése azt kívánja, hogy az ügyvezető igazgató kinevezése érdemei, igazolt igazgatási és vezetői készségei, valamint a kiberbiztonság területén szerzett szakmai hozzáértése és tapasztalatai alapján történjék. Az ügyvezető igazgató feladatait teljes mértékben független módon kell, hogy végezze. Az ügyvezető igazgatónak – a Bizottsággal folytatott előzetes konzultációt követően – javaslatot kell tennie az ENISA munkaprogramjára, és meg kell tennie mindazokat a lépéseket, amelyek az ENISA munkaprogramja megfelelő végrehajtásának biztosításához szükségesek. Az ügyvezető igazgatónak el kell készítenie az igazgatótanácshoz benyújtandó éves jelentést, amely kiterjed az ENISA éves munkaprogramjának végrehajtására is, össze kell állítania az ENISA tervezett bevételeire és kiadásaira vonatkozó kimutatástervezetét, és végre kell hajtania a költségvetést. Az ügyvezető igazgató részére továbbá lehetőséget kell biztosítani arra, hogy egyes konkrét – így különösen tudományos, műszaki, jogi vagy társadalmi-gazdasági – kérdésekben eseti munkacsoportokat hozzon létre. Az eseti munkacsoport létrehozása szükségesnek tekintendő különösen valamely konkrét javaslati európai kiberbiztonsági tanúsítási rendszer (a továbbiakban: javasolt tanúsítási rendszer) kidolgozásával kapcsolatban. Az ügyvezető igazgatónak biztosítania kell, hogy az eseti munkacsoportok tagjainak kiválasztása a lehető legmagasabb szintű szakértelem alapján a nemek közötti egyensúly és a csoport feladatkörének sajátosságaihoz igazodva a tagállami közigazgatási szervek, az uniós intézmények, szervek és hivatalok és a magánszektor – beleértve az ipart, a felhasználókat és a hálózat- és információbiztonság területén működő tudományos szakembereket – közötti megfelelő egyensúly kellő figyelembevételével történjék.

(60)

A felügyelőtestületnek hozzá kell járulnia az igazgatótanács hatékony működéséhez. Az igazgatótanács határozataival kapcsolatos előkészítő munkája részeként a felügyelőtestületnek részletesen meg kell vizsgálnia a kapcsolódó információkat, fel kell derítenie a rendelkezésre álló lehetőségeket, valamint tanácsot és megoldásokat kell kínálnia az igazgatótanács vonatkozó határozatainak előkészítéséhez.

(61)

A magánszektorral, a fogyasztói szervezetekkel és más érdekeltekkel való rendszeres párbeszéd biztosítása céljából az ENISA-n belül tanácsadó szervként indokolt létrehozni az ENISA tanácsadó csoportot. Az ENISA tanácsadó csoportnak, amelyet az ügyvezető igazgató javaslata alapján az igazgatótanács hoz létre, az érdekeltek számára fontos kérdésekre kell összpontosítania, és fel kell hívnia ezekre az ENISA figyelmét. Az ENISA tanácsadó csoporttal különösen az ENISA éves munkaprogramjának tervezete kapcsán konzultálni kell. Az ENISA tanácsadó csoport összetételének és a csoportra bízott feladatoknak biztosítania kell, hogy az érdekelt felek az ENISA munkájában hatékonyan képviselve legyenek.

(62)

Indokolt létrehozni az érdekelt felek kiberbiztonsági tanúsítási csoportját annak érdekében, hogy az a releváns érdekelt felekkel folytatott konzultáció megkönnyítésével segítse az ENISA-t és a Bizottságot. Az érdekelt felek kiberbiztonsági tanúsítási csoportja tagjainak az ágazat képviselőiből kell állnia, akik kiegyensúlyozott arányban képviselik az ágazatot, az IKT-termékeknek és IKT-szolgáltatásoknak mind a kínálati, mind a keresleti oldalát, beleértve különösen a kkv-kat, a digitális szolgáltatókat, az európai és nemzetközi szabványügyi szerveket, a nemzeti akkreditáló testületeket, az adatvédelmi felügyeleti hatóságokat és a 765/2008/EK európai parlamenti és tanácsi rendelet (16) szerinti megfelelőségértékelő szervezeteket, a tudományos életet, valamint a fogyasztói szervezeteket.

(63)

Az ENISA-nak szabályokat kell kidolgoznia az összeférhetetlenségek megelőzésére és kezelésére. Az ENISA-nak alkalmaznia kell továbbá a dokumentumokhoz való nyilvános hozzáférésre vonatkozó, a 1049/2001/EK európai parlamenti és tanácsi rendeletben (17) meghatározott uniós rendelkezéseket is. Az ENISA-nak a személyes adatokat az (EU) 2018/1725 európai parlamenti és tanácsi rendeletnek (18) megfelelően kell kezelnie. Be kell tartania továbbá az uniós intézményekre, szervekre és hivatalokra alkalmazandó rendelkezéseket, valamint az információk – különösen a nem minősített érzékeny adatok és az EU-minősített adatok – kezelésére vonatkozó nemzeti jogszabályokat is.

(64)

Az ENISA teljes mértékű autonómiájának és függetlenségének biztosítása érdekében, valamint hogy feladatait, többek között a váratlan, sürgős feladatokat is, el tudja látni, az ENISA számára elégséges és önálló költségvetést kell biztosítani, mely bevételeinek elsősorban az Unió hozzájárulásából és az ENISA munkájában részt vevő harmadik országok hozzájárulásából kell származniuk. A megfelelő költségvetés kiemelkedő fontosságú annak biztosításához, hogy az ENISA elegendő kapacitással rendelkezzen bővülő feladatainak ellátásához és célkitűzéseinek teljesítéséhez. Az ENISA személyzete többségének közvetlenül az ENISA megbízatásának operatív végrehajtásával kell foglalkoznia. Lehetőséget kell biztosítani arra, hogy az ENISA-t fogadó tagállam vagy bármely más tagállam az ENISA költségvetéséhez önkéntes alapon hozzájáruljon. Az Unió általános költségvetését terhelő támogatások vonatkozásában továbbra is az uniós költségvetési eljárást kell alkalmazni. Ezenkívül az átláthatóság és az elszámoltathatóság biztosítása érdekében a Számvevőszéknek ellenőriznie kell az ENISA elszámolásait.

(65)

A kiberbiztonsági tanúsítás fontos szerepet játszik az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok iránti bizalomnak és azok biztonságosságának növelésében. A digitális egységes piac és különösen az adatgazdaság és a dolgok internete csak akkor lehet sikeres, ha a polgárok általában véve bízhatnak abban, hogy az ilyen termékek, szolgáltatások és folyamatok kiberbiztonsági megbízhatósága elér egy meghatározott szintet. A hálózatba kapcsolt és automatizált járművek, az elektronikus orvostechnikai eszközök, az ipari automatikus vezérlőrendszerek és az intelligens hálózatok olyan ágazatokra példák, amelyekben a tanúsítást már széles körben alkalmazzák vagy a közeljövőben valószínűleg alkalmazni fogják. Az (EU) 2016/1148 irányelv által szabályozott ágazatok szintén olyan ágazatok, amelyekben a kiberbiztonsági tanúsítás kritikus fontosságú.

(66)

Az „Európa kibertámadásokkal szembeni ellenálló képességének erősítése, valamint a versenyképes és innovatív kiberbiztonsági ágazat támogatása” című, 2016-os közleményében a Bizottság megállapította, hogy magas színvonalú, megfizethető és interoperábilis kiberbiztonsági termékekre és megoldásokra van szükség. Az IKT-termékek, IKT-szolgáltatások és IKT-folyamatok egységes piacon való elérhetősége földrajzilag igen széttagolt. Ennek az az oka, hogy a kiberbiztonsági ipar Európában nagyrészt aszerint alakult, hogy az egyes országokban mekkora volt a kereslet a kormányok részéről. Emellett az interoperábilis megoldások (műszaki szabványok), gyakorlatok és az egész Unióra kiterjedő tanúsítási mechanizmusok hiánya is problémát jelent a kiberbiztonság egységes piacán. Ez egyrészt megnehezíti az európai vállalkozások számára, hogy megállják a helyüket a nemzeti, az uniós és a globális szintű versenyben. Másrészt csökkenti az egyének és a vállalkozások számára hozzáférhető, működőképes és használható kiberbiztonsági technológiák kínálatát. „A digitális egységes piaci stratégia végrehajtásának félidős értékelése ‒ Összekapcsolt digitális egységes piac mindenki számára” című, 2017-es közleményébenben a Bizottság is kiemelte, hogy olyan hálózatba kapcsolt termékekre és rendszerekre van szükség, amelyek biztonságosak, és jelezte, hogy az európai IKT-biztonsági keretrendszer bevezetése, amellyel meghatározásra kerülnek az Unióban az IKT-biztonsági tanúsítás megszervezésének szabályai, két szempontból is jó szolgálatot tehet: segíthet megőrizni az internetbe vetett bizalmat és megoldást jelenthet a belső piac jelenlegi széttagoltságára.

(67)

Jelenleg az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok esetében csak korlátozott mértékben alkalmazzák a kiberbiztonsági tanúsítást. Amennyiben létezik ilyen, akkor főként tagállami szinten vagy az ipar kezdeményezésére kialakított rendszerek keretében kerül sor erre. Ennek fényében, ha egy nemzeti kiberbiztonsági tanúsító hatóság tanúsítványt bocsát ki, azt a többi tagállam főszabály szerint nem ismeri el. A vállalatoknak így ‒ ha például nemzeti közbeszerzési eljárásokban kívánnak részt venni ‒ előfordulhat, hogy működésük helye szerint több tagállamban is tanúsíttatniuk kell IKT-termékeiket, IKT-szolgáltatásaikat és IKT-folyamataikat, ami növeli a költségeiket. Mindemellett, míg egyre újabb és újabb rendszerek jönnek létre, a horizontális kiberbiztonsági kérdések tekintetében – például a dolgok internetét illetően – nem látszik egységes és holisztikus megközelítés kirajzolódni. A meglévő rendszerek jelentős hiányosságokat és különbségeket mutatnak a lefedett termékek köre, a megbízhatósági szintek, az alapvető kritériumok és a gyakorlati felhasználás tekintetében, ami akadályozza az Unión belüli kölcsönös elismerési mechanizmusokat.

(68)

Történtek már lépések annak érdekében, hogy Európában biztosítva legyen a tanúsítványok kölcsönösen elismerése. Ezek azonban csak részben voltak sikeresek. E tekintetben a legfontosabb példa a vezető tisztviselők információs rendszerek biztonságával foglalkozó csoportján (a továbbiakban: SOG-IS) belül elfogadott kölcsönös elismerési megállapodás. Bár a megállapodás a biztonsági tanúsítás terén a legjelentősebb modell az együttműködésre és a kölcsönös elismerésre, az SOG-IS csoportban csak az uniós tagállamok egy része vesz részt. Emiatt az SOG-IS kölcsönös elismerési megállapodás is csak korlátozott hatékonyságú lehet a belső piac szempontjából.

(69)

Ezért szükségesnek egy közös megközelítés elfogadása és egy olyan európai kiberbiztonsági tanúsítási keretrendszer létrehozása, amely megállapítja, hogy milyen fő horizontális követelményeknek kell megfelelniük a kidolgozandó európai kiberbiztonsági tanúsítási rendszereknek, és lehetővé teszi az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok európai kiberbiztonsági tanúsítványainak, valamint uniós megfelelőségi nyilatkozatainak valamennyi tagállamban történő elismerését és használatát. Ennek során kiemelten fontos a meglévő nemzeti és nemzetközi rendszerekre, valamint a kölcsönös elismerési rendszerekre, különösen az SOG-IS-re támaszkodni, valamint lehetővé tenni az ilyen rendszerek keretében már működő rendszerekről az új európai kiberbiztonsági tanúsítási keretrendszer szerinti rendszerekre történő zökkenőmentes átállást. Az európai kiberbiztonsági tanúsítási keretrendszernek kettős célt kell szolgálnia. Egyrészt segítenie kell az európai kiberbiztonsági tanúsítási rendszerek alapján tanúsított IKT-termékek, IKT-szolgáltatások és IKT-folyamatok iránti bizalom növelését. Másrészt segítenie kell elkerülni, hogy egymásnak ellentmondó vagy egymást átfedő nemzeti kiberbiztonsági tanúsítási rendszerek létezzenek, csökkentve ezzel a digitális egységes piacon működő vállalkozások költségeit. Az európai kiberbiztonsági tanúsítási rendszereknek megkülönböztetésmenteseknek kell lenniük, és európai vagy nemzetközi szabványokon kell alapulniuk, kivéve, ha ezek a szabványok nem hatékonyak vagy nem alkalmasak az Unió e tekintetben kitűzött jogos célkitűzéseinek teljesítésére.

(70)

Az európai kiberbiztonsági tanúsítási keretrendszert minden tagállamban egységesen kell létrehozni, elkerülendő az egyes tagállamok közötti követelménykülönbségek miatti, visszaélésszerű tanúsításválasztást.

(71)

Az európai kiberbiztonsági tanúsítási rendszereknek a nemzetközi és nemzeti szinten már létező elemekre, és szükség esetén fórumok és konzorciumok műszaki előírásaira kell épülniük, levonva a jelenlegi erősségek tanulságait, valamint értékelve és kijavítva a gyengeségeket.

(72)

Rugalmas kiberbiztonsági megoldásokra van szükség ahhoz, hogy az ipar megbirkózhasson a kiberfenyegetésekkel, és ezért minden tanúsítási rendszert úgy kell tervezni, hogy elkerülje a gyors elavulás kockázatát.

(73)

A Bizottságot fel kell hatalmazni arra, hogy európai kiberbiztonsági tanúsítási rendszereket fogadjon el az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok meghatározott csoportjaira vonatkozóan. Ezeket a rendszereket a nemzeti kiberbiztonsági tanúsító hatóságoknak kell megvalósítaniuk és felügyelniük, és az e rendszerek keretében kiadott tanúsítványokat az egész Unióban érvényesnek kell tekinteni és el kell ismerni. Az ipar vagy más magánszervezetek által működtetett tanúsítási rendszereknek nem kell e rendelet hatálya alá tartozniuk. Az ilyen rendszereket működtető szervezetek azonban javasolhatják a Bizottságnak annak mérlegelését, hogy az említett rendszerek alapul vehetők-e európai kiberbiztonsági tanúsítási rendszerként való jóváhagyás céljából.

(74)

E rendelet rendelkezései nem sértik az IKT-termékek, IKT-szolgáltatások és IKT-folyamatok tanúsítására vonatkozó egyedi szabályokat megállapító uniós jogot. Különösen az (EU) 2016/679 rendelet állapít meg tanúsítási mechanizmusok és adatvédelmi bélyegzők, illetve jelölések létrehozására vonatkozó rendelkezéseket az adatkezelő vagy adatfeldolgozó által végrehajtott adatkezelési műveleteknek az említett rendeletnek való megfelelése bizonyításának céljából előírásait. Az ilyen tanúsítási mechanizmusoknak és adatvédelmi bélyegzőknek, illetve jelöléseknek lehetővé kell tennie az érintettek számára, hogy gyorsan értékelni tudják a releváns IKT-termékek, IKT-szolgáltatások és IKT-folyamatok adatvédelmi szintjét. Ez a rendelet nem sérti az adatkezelési műveleteknek az (EU) 2016/679 rendelet szerinti tanúsítását, még akkor sem, ha az ilyen műveletek IKT-termékekbe, IKT-szolgáltatásokba és IKT-folyamatokba vannak beágyazva.

(75)

Az európai kiberbiztonsági tanúsítási rendszerek célja annak biztosítása, hogy az ilyen rendszerek keretében tanúsított IKT-termékek, IKT-szolgáltatások és IKT-folyamatok megfeleljenek az a célból meghatározott követelményeknek, hogy védjék a termékek, szolgáltatások és folyamatok által tárolt, továbbított vagy kezelt adatok, illetve az említett termékek, szolgáltatások és folyamatok által biztosított vagy elérhetővé tett kapcsolódó funkciók vagy szolgáltatások rendelkezésre állását, hitelességét, sértetlenségét és titkosságát azok teljes életciklusa alatt. Lehetetlen e rendeletben az összes IKT-termék, IKT-szolgáltatás és IKT-folyamat vonatkozásában részletesen meghatározni a kiberbiztonsági követelményeket. Az említett termékekhez, szolgáltatásokhoz és folyamatokhoz kapcsolódó IKT-termékek, IKT-szolgáltatások és IKT-folyamatok, valamint kiberbiztonsági igények olyan különbözők, hogy nagyon nehéz minden körülmények között érvényes általános kiberbiztonsági követelményeket kialakítani. Ezért a tanúsítás céljára tág és általános kiberbiztonság-fogalmat kell elfogadni, amelyet az európai kiberbiztonsági tanúsítási rendszerek kidolgozása során figyelembe veendő, egyedi kiberbiztonsági célkitűzéseknek kell kiegészíteni. Azt, hogy ezeket a célkitűzéseket egyes IKT-termékek, IKT-szolgáltatások és IKT-folyamatok esetében hogyan kell elérni, részleteiben a Bizottság által elfogadott egyedi tanúsítási rendszer szintjén kell meghatározni, például szabványokra vagy műszaki előírásokra való hivatkozás révén, ha nem áll rendelkezésre megfelelő szabvány.

(76)

Az európai kiberbiztonsági tanúsítási rendszerek keretében alkalmazandó műszaki előírásoknak tiszteletben kell tartaniuk az 1025/2012/EU európai parlamenti és tanácsi rendelet (19) II. mellékletében megállapított elveket. Kellően indokolt esetekben azonban, amikor az említett műszaki előírások olyan európai kiberbiztonsági tanúsítási rendszer keretében alkalmazandók, amely „magas” megbízhatósági szintre vonatkozik, szükségessé válhat az említett elvektől való kis mértékű eltérés. Az ilyen eltérés indokait nyilvánossá kell tenni.

(77)

A megfelelőségértékelés olyan eljárás, amelynek során értékelik, hogy egy adott IKT-termék, IKT-szolgáltatás vagy IKT-folyamat megfelel-e az előírt követelményeknek. Ezt az eljárást egy független harmadik fél folytatja le, aki nem lehet az értékelendő IKT-termék, IKT-szolgáltatás vagy IKT-folyamat gyártója vagy nyújtója. Az európai kiberbiztonsági tanúsítvány kiállítására az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat sikeres értékelését követően kerülhet sor. Az európai kiberbiztonsági tanúsítvány igazolásnak tekintendő arra nézve, hogy az értékelést megfelelően elvégezték. A megbízhatósági szinttől függően az európai kiberbiztonsági tanúsítási rendszerben elő kell írni, hogy az európai kiberbiztonsági tanúsítványt magánjogi vagy közjogi szerv állítja-e ki. A megfelelőségértékelés és a tanúsítás önmagában nem garantálja, hogy a tanúsított IKT-termékek, IKT-szolgáltatások és IKT-folyamatok kiberbiztonsági szempontból biztonságosak. Inkább olyan eljárásokról és műszaki módszertanokról van szó, amelynek célja annak tanúsítása, hogy az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok bevizsgáltak, és azok megfelelnek bizonyos máshol, – például műszaki szabványokban– meghatározott kiberbiztonsági követelményeknek.

(78)

Az európai kiberbiztonsági tanúsítvány felhasználójának az IKT-termékek, az IKT-szolgáltatások vagy az IKT-folyamatok használatához kapcsolódó kockázatok elemzése alapján kell megválasztania a megfelelő tanúsítást és az ahhoz kapcsolódó biztonsági követelményeket. A megbízhatósági szintnek tehát arányban kell állnia az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat rendeltetés szerinti használatához kapcsolódó kockázat szintjével.

(79)

Az európai kiberbiztonsági tanúsítási rendszerek keretében lehetővé lehetne tenni, hogy a megfelelőségértékelésre az IKT-termékek, az IKT-szolgáltatások vagy az IKT-folyamatok gyártójának vagy nyújtójának kizárólagos felelőssége mellett kerüljön sor (a továbbiakban: megfelelőségi önértékelés). Ilyen esetekben elegendőnek kell lennie, hogy az IKT-termékek, az IKT-szolgáltatások vagy az IKT-folyamatok a gyártója vagy nyújtója maga végzi el az összes annak biztosítására szolgáló vizsgálatot, hogy az IKT-termékek, IKT-szolgáltatások vagy IKT-folyamatok megfelelnek az európai kiberbiztonsági tanúsítási rendszer követelményeinek. A megfelelőségi önértékelés az olyan, kevésbé összetett IKT-termékek, IKT-szolgáltatások és IKT-folyamatok esetében tekinthető megfelelőnek, amelyek alacsony kockázatot jelentenek a közérdekre nézve, például az egyszerű tervezési vagy gyártási mechanizmusok. Ezenkívül megfelelőségi önértékelés kizárólag az „alap” megbízhatósági szintnek megfelelő IKT-termékek, IKT-szolgáltatások vagy IKT-folyamatok esetében engedhető meg.

(80)

Az európai kiberbiztonsági tanúsítási rendszerek keretében lehetővé lehetne tenni az IKT-termékek, IKT-szolgáltatások vagy IKT-folyamatok megfelelőségi önértékelését és tanúsítását. Ebben az esetben a rendszernek világos, közérthető módszerekkel kell szolgálnia a célból, hogy a fogyasztók vagy más felhasználók különbséget tudjanak tenni az olyan IKT-termékek, IKT-szolgáltatások és IKT-folyamatok között, amelyek tekintetében az IKT-termékek, az IKT-szolgáltatások vagy az IKT-folyamatok gyártója vagy nyújtója felelős az értékeléséért, és azon IKT-termékek, IKT-szolgáltatások vagy IKT-folyamatok között, amelyeket harmadik fél tanúsított.

(81)

Az IKT-termékek, IKT-szolgáltatások vagy IKT-folyamatok azon gyártójának vagy nyújtójának, aki vagy amely megfelelőségi önértékelést végez, lehetővé kell tenni, hogy a megfelelőségértékelési eljárás részeként uniós megfelelőségi nyilatkozatot állítson ki, és azt aláírja. Az uniós megfelelőségi nyilatkozat egy olyan dokumentum, amely megállapítja, hogy egy adott IKT-termék, IKT-szolgáltatás vagy IKT-folyamat megfelel az európai kiberbiztonsági tanúsítási rendszer követelményeinek. Az uniós megfelelőségi nyilatkozat kiállításával és aláírásával az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat gyártója vagy nyújtója felelősséget vállal azért, hogy az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat megfelel az európai kiberbiztonsági tanúsítási rendszer jogi követelményeinek. Az uniós megfelelőségi nyilatkozat másolati példányát meg kell küldeni a nemzeti kiberbiztonsági tanúsító hatóságnak és az ENISA-nak.

(82)

Az IKT-termékek, IKT-szolgáltatások vagy IKT-folyamatok gyártójának vagy nyújtójának a releváns európai kiberbiztonsági tanúsítási rendszerben meghatározott ideig az illetékes nemzeti kiberbiztonsági tanúsító hatóság rendelkezésére kell bocsátania az uniós megfelelőségi nyilatkozatot, valamint az IKT-termékek, IKT-szolgáltatások vagy IKT-folyamatok európai kiberbiztonsági tanúsítási rendszernek való megfelelésével kapcsolatos műszaki dokumentációt és minden egyéb releváns információt. A műszaki dokumentációnak tartalmaznia kell a rendszer keretében alkalmazandó követelményeket, és – a megfelelőségi önértékelés szempontjából releváns mértékben – le kell fednie az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat tervezését, gyártását és működését. A műszaki dokumentációt úgy kell összeállítani, hogy lehetővé tegye annak értékelését, hogy az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat megfelel-e a rendszer keretében alkalmazandó követelményeknek.

(83)

Az európai kiberbiztonsági tanúsítási keretrendszer irányítása figyelembe veszi a tagállamok, valamint az érdekelt felek megfelelő bevonását, továbbá meghatározza, hogy milyen szerepet tölt be a Bizottság az európai kiberbiztonsági tanúsítási rendszerek tervezésében, az azokra vonatkozó javaslattételben, a kérelmezésükben, az előkészítésükben, az elfogadásukban és a felülvizsgálatukban.

(84)

A Bizottságnak az európai kiberbiztonsági tanúsítási csoport és az érdekelt felek kiberbiztonsági tanúsítási csoportja segítségével, nyílt és széleskörű konzultációt követően az európai kiberbiztonsági tanúsítási rendszerekre vonatkozó uniós gördülő munkaprogramot kell kidolgoznia, és azt jogilag nem kötelező erejű eszköz formájában közzé kell tennie. Az uniós gördülő munkaprogramnak olyan stratégiai dokumentumnak kell lennie, amely lehetővé teszi különösen az ipar, a nemzeti hatóságok és a szabványügyi szervezetek számára, hogy előre felkészüljenek a jövőbeli európai kiberbiztonsági tanúsítási rendszerekre. Az uniós gördülő munkaprogramnak magában kell foglalnia egy többéves áttekintést azokról a javasolt tanúsítási rendszerekről, amelyek kidolgozására a Bizottság adott indokok alapján felkérést szándékozik intézni az ENISA-hoz. A Bizottságnak IKT-szabványosítási gördülőterve és az európai szabványügyi szervekhez beérkező szabványosítási kérelmek előkészítése során figyelembe kell vennie az uniós gördülő munkaprogramot. Tekintettel az új technológiák gyors bevezetésére és igénybevételére, valamint a korábban ismeretlen kiberbiztonsági kockázatokra és jogalkotási vagy piaci fejleményekre, helyénvaló, hogy a Bizottság vagy az európai kiberbiztonsági tanúsítási csoport felkérhesse az ENISA-t olyan javasolt tanúsítási rendszerek kidolgozására, amelyek nem képezték az uniós gördülő munkaprogram részét. Ilyen esetben a Bizottságnak és az európai kiberbiztonsági tanúsítási csoportnak értékelnie kell az ilyen felkérés szükségességét, figyelembe véve e rendelet átfogó céljait és célkitűzéseit, valamint az ENISA erőforrás-tervezése és -használata folytonosságának biztosítását.

Az ENISA-nak az említett felkérést követően indokolatlan késlekedés nélkül ki kell dolgoznia a javasolt tanúsítási rendszert a konkrét IKT-termékekre, IKT-szolgáltatásokra és IKT-folyamatokra vonatkozóan. A Bizottságnak értékelnie kell e felkérésének a konkrét piacra gyakorolt pozitív és negatív hatásait, különösen a kkv-k, az innováció, az említett piacra való belépés előtt álló akadályok és a végfelhasználók költségei tekintetében. A Bizottságot fel kell hatalmazni arra, hogy végrehajtási jogi aktusok útján – az ENISA által kidolgozott javasolt tanúsítási rendszer alapján – elfogadja az európai kiberbiztonsági tanúsítási rendszert. Figyelemmel e rendeletben megállapított általános célra és biztonsági célkitűzésekre, a Bizottság által elfogadott európai kiberbiztonsági tanúsítási rendszereknek bizonyos elemeket minimálisan meg kell határozniuk az adott rendszer tárgya, hatálya és működése vonatkozásában. Ezen elemeknek többek között ki kell terjedniük a kiberbiztonsági tanúsítás hatályára és tárgyára, ideértve a hatálya alá tartozó IKT-termékek, IKT-szolgáltatások vagy IKT-folyamatok kategóriáit, a kiberbiztonsági követelmények részletes leírására, például szabványokra vagy műszaki előírásokra való hivatkozások révén, az egyedi értékelési kritériumokra és értékelési módszerekre, továbbá a szándékolt megbízhatósági szintre („alap”, „jelentős” vagy „magas”), valamint adott esetben az értékelési szintekre. Az ENISA visszautasíthatja az európai kiberbiztonsági tanúsítási csoporttól érkező felkérést. Ezt a döntést az igazgatótanácsnak kell meghoznia, és azt kellően indokolni kell.

(85)

Az ENISA-nak honlapot kell fenntartania, amelyen tájékoztatást kell nyújtania az európai kiberbiztonsági tanúsítási rendszerekről és azoknak publicitást kell biztosítania, a honlapon szerepelniük kell többek között a javasolt európai tanúsítási rendszerek kidolgozására irányuló felkéréseknek, valamint a kidolgozási szakaszban az ENISA által folytatott konzultációk során kapott visszajelzéseknek is. A honlapon az e rendelet alapján kiadott európai kiberbiztonsági tanúsítványokra és uniós megfelelőségi nyilatkozatokra – ideértve az európai kiberbiztonsági tanúsítványok és uniós megfelelőségi nyilatkozatok visszavonását és azok lejáratát is – vonatkozó információkat kell elérhetővé tenni. A honlapon fel kell tüntetni azokat a nemzeti kiberbiztonsági tanúsítási rendszereket is, amelyeket egy európai kiberbiztonsági tanúsítási rendszer váltott fel.

(86)

Az európai tanúsítási rendszerek megbízhatósági szintje jelenti az az iránti bizalom alapját, hogy egy adott IKT-termék, IKT-szolgáltatás vagy IKT-folyamat teljesíti egy adott európai kiberbiztonsági tanúsítási rendszer biztonsági követelményeit. Az európai tanúsítási keretrendszer következetességének biztosítása érdekében az európai kiberbiztonsági tanúsítási rendszernek meg kell határoznia az adott rendszer keretében kiadott európai kiberbiztonsági tanúsítványok és uniós megfelelőségi nyilatkozatok megbízhatósági szintjeit. Az egyes európai kiberbiztonsági tanúsítványok az „alap”, „jelentős” vagy „magas” megbízhatósági szintek egyikére hivatkozhatnak, míg az uniós megfelelőségi nyilatkozat csak az „alap” megbízhatósági szintre. A megbízhatósági szintek megfelelnének az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat értékelése szigorúságának és mélységének, és azokat a rájuk vonatkozó műszaki előírások, szabványok és eljárások ‒ melyek célja a biztonsági események hatásainak mérséklése, illetve azok megelőzése ‒, többek között a műszaki ellenőrzések, határoznák meg. Az egyes megbízhatósági szinteket a tanúsítást alkalmazó különböző ágazati területek között következetesen kell alkalmazni.

(87)

Az európai kiberbiztonsági tanúsítási rendszerekben az alkalmazott értékelési módszertan szigorúságától és mélységétől függően több értékelési szint is meghatározható. Az értékelési szinteknek meg kell felelniük a megbízhatósági szintek egyikének, és azokhoz a megbízhatósági komponensek egy megfelelő kombinációját kell társítani. Minden megbízhatósági szint esetében az IKT-terméknek, az IKT-szolgáltatásnak vagy az IKT-folyamatnak a tanúsítási rendszer szerint meghatározott számos biztonságos funkcióval kell rendelkeznie, ilyen lehet például az alapértelmezésben biztonságos konfiguráció, az aláírt kód, a biztonságos frissítés, a sebezhetőségek kihasználhatóságának mérséklése, vagy a veremmemória/halommemória teljeskörű védelme. Ezeket a funkciókat biztonságorientált fejlesztési megközelítésmódot és az ahhoz társított eszközöket alkalmazva kell kifejleszteni, illetve fenntartani annak biztosítása érdekében, hogy a szoftver és a hardver szintjén hatékony mechanizmusok kerüljenek beépítésre, megbízható módon.

(88)

Az „alap” megbízhatósági szint esetében az értékelésnek legalább a következő megbízhatósági elemekre kell kiterjednie: az értékelés legalább az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat műszaki dokumentációjának a megfelelőségértékelő szervezet általi áttekintését foglalja magában. Amennyiben a tanúsítás IKT-folyamatokra is kiterjed, az IKT-termék vagy IKT-szolgáltatás tervezésére, fejlesztésére és karbantartására szolgáló folyamatot is műszaki felülvizsgálatnak kell alávetni. Amikor egy európai kiberbiztonsági tanúsítási rendszer megfelelőségi önértékelést ír elő, elegendőnek kell tekinteni, ha az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat gyártója vagy nyújtója elvégezte az IKT-terméknek, az IKT-szolgáltatásnak vagy az IKT-folyamatnak a tanúsítási rendszer követelményeinek való megfelelésére vonatkozó önértékelést.

(89)

A „jelentős” megbízhatósági szint esetében az értékelésnek – az „alap” megbízhatósági szint követelményein felül – legalább annak ellenőrzésére kell kiterjednie, hogy az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat biztonsági funkciói megfelelnek-e a műszaki dokumentációnak.

(90)

A „magas” megbízhatósági szint esetében az értékelésnek – a „jelentős” megbízhatósági szint követelményein felül – legalább olyan hatékonysági tesztet kell tartalmaznia, amely felméri, hogy az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat biztonsági funkciói ellenállóak-e a jelentős szakértelemmel és erőforrásokkal rendelkező személyek által végrehajtott kifinomult kibertámadásokkal szemben.

(91)

Az európai kiberbiztonsági tanúsítás és az uniós megfelelőségi nyilatkozat igénybevételének továbbra is önkéntes alapon kell történnie, kivéve, ha az uniós jog vagy az uniós joggal összhangban elfogadott tagállami jog ettől eltérően rendelkezik. Összehangolt uniós jog hiányában a tagállamok az (EU) 2015/1535 európai parlamenti és tanácsi irányelvvel (20) összhangban elfogadhatnak valamely európai kiberbiztonsági tanúsítási rendszer keretében kötelező tanúsítást előíró nemzeti műszaki szabályokat. A tagállamok a közbeszerzésekkel és a 2014/24/EU európai parlamenti és tanácsi irányelvvel (21) összefüggésben is igénybe vehetik az európai kiberbiztonsági tanúsítást.

(92)

Az Unió kiberbiztonsági szintjének növelése érdekében a jövőben szükségessé válhat, hogy egyes területeken konkrét kiberbiztonsági követelményeket állapítsanak meg, és azok tanúsítását kötelezővé tegyék bizonyos IKT-termékek, IKT-szolgáltatások vagy IKT- folyamatok esetében. A Bizottságnak rendszeresen nyomon kell követnie, hogy az elfogadott európai kiberbiztonsági tanúsítási rendszerek milyen hatást gyakorolnak a biztonságos IKT-termékek, IKT-szolgáltatások vagy IKT-folyamatok belső piacon való elérhetőségére, valamint rendszeresen értékelnie kell, hogy az IKT-termékek, az IKT-szolgáltatások vagy az IKT-folyamatok Unión belüli gyártói vagy nyújtói milyen mértékben alkalmazzák a tanúsítási rendszereket. Az európai kiberbiztonsági tanúsítási rendszerek hatékonyságát, és azt, hogy valamely konkrét rendszert kötelezővé kell-e tenni, a kiberbiztonsági vonatkozású uniós jogszabályok ‒ különösen az (EU) 2016/1148 irányelv ‒ fényében kell értékelni, az alapvető szolgáltatásokat nyújtó szereplők által használt hálózati és információs rendszerek biztonságosságát figyelembe véve.

(93)

Az európai kiberbiztonsági tanúsítványoknak és az uniós megfelelési nyilatkozatoknak segítenie kell a végfelhasználókat, hogy tájékozott döntéseket tudjanak hozni. A tanúsított IKT-termékekhez, IKT-szolgáltatásokhoz vagy IKT-folyamatokhoz, valamint az olyan IKT-termékekhez, IKT-szolgáltatásokhoz vagy IKT-folyamatokhoz amelyek vonatkozásában uniós megfelelési nyilatkozatot állítottak ki olyan strukturált információkat kell mellékelni, amely a várható végfelhasználóktól műszaki szintjéhez igazodik. Minden ilyen információnak rendelkezésre kell állnia online, valamint adott esetben fizikai formában. A végfelhasználó számára hozzáférést kell biztosítani a tanúsítási rendszer hivatkozási számára, a megbízhatósági szintre, az IKT-termékekhez, IKT-szolgáltatásokhoz vagy IKT-folyamatokhoz kapcsolódó kiberbiztonsági kockázatok leírására és a kibocsátó hatóságra vagy szervezetre vonatkozó információhoz, vagy lehetővé kell tenni számára az európai kiberbiztonsági tanúsítvány egy másolati példányának megszerzését. Ezenkívül a végfelhasználót tájékoztatni kell az IKT-termékek, IKT-szolgáltatások vagy IKT- folyamatok gyártója vagy a szolgáltatója kiberbiztonságra vonatkozó támogatási politikájáról, vagyis arról, hogy a végfelhasználó mennyi ideig számíthat arra, hogy kiberbiztonsági frissítéseket vagy javítóprogramokat kap. Adott esetben iránymutatással kell szolgálni arra vonatkozóan, hogy a végfelhasználó milyen lépéseket vagy beállításokat végezhet el az IKT-termék vagy az IKT-szolgáltatás kiberbiztonságának fenntartása vagy javítása érdekében, valamint tájékoztatni kell az egyedüli kapcsolattartó pont elérhetőségéről, amelynél kibertámadás esetén bejelentést tehet és támogatást kaphat (az automatikus bejelentésen túlmenően). Ezeknek az információknak elérhetőnek kell lenniük egy, az európai kiberbiztonsági tanúsítási rendszerekről információkat nyújtó honlapon, és azokat rendszeresen frissíteni kell.

(94)

E rendelet céljainak elérése és a belső piac széttagoltságának elkerülése érdekében az európai kiberbiztonsági tanúsítási rendszer hatálya alá tartozó IKT-termékekre, IKT-szolgáltatásokra vagy IKT-folyamatokra vonatkozó nemzeti kiberbiztonsági tanúsítási rendszerek és eljárások a Bizottság által végrehajtási jogi aktusokban meghatározott időponttól kezdve joghatásukat vesztik. Emellett a tagállamok nem vezethetnek be olyan IKT-termékekre, IKT-szolgáltatásokra vagy IKT-folyamatokra vonatkozó új nemzeti kiberbiztonsági tanúsítási rendszereket, amelyek már valamely létező európai kiberbiztonsági tanúsítási rendszer hatálya alá tartoznak. A tagállamokat ugyanakkor semmi nem akadályozhatja abban, hogy nemzetbiztonsági célokra nemzeti kiberbiztonsági tanúsítási rendszereket vezessenek be vagy tartsanak fenn. A tagállamoknak minden esetben tájékoztatniuk kell a Bizottságot és az európai kiberbiztonsági tanúsítási csoportot, ha szándékukban áll egy új nemzeti kiberbiztonsági tanúsítási rendszer bevezetése. A Bizottságnak és az európai kiberbiztonsági tanúsítási csoportnak értékelnie kell, az új nemzeti kiberbiztonsági tanúsítási rendszernek a belső piac megfelelő működésére gyakorolt hatását, valamint hogy fennáll-e stratégiai érdek annak indítványozására, hogy ahelyett egy európai kiberbiztonsági tanúsítási rendszert alkalmazzanak.

(95)

Az európai kiberbiztonsági tanúsítási rendszerek hozzá kívánnak járulni az Unióban alkalmazott kiberbiztonsági gyakorlatok összehangolásához. Hozzá kell járulniuk az Unión belüli kiberbiztonsági szint növeléséhez. Az európai kiberbiztonsági tanúsítási rendszerek tervezése során figyelembe kell venni és lehetővé kell tenni új innovációk kidolgozását a kiberbiztonság terén.

(96)

Az európai kiberbiztonsági tanúsítási rendszereknek figyelembe kell venniük az aktuális szoftver- és hardverfejlesztési módszereket és különösen a gyakori szoftver- és firmware-frissítéseknek az egyes európai kiberbiztonsági tanúsítványokra gyakorolt hatását. Az európai kiberbiztonsági tanúsítási rendszerekben meg kell határozni, hogy milyen körülmények esetén kell egy frissítés miatt újratanúsítani egy IKT-terméket, IKT-szolgáltatást vagy IKT-folyamatot, illetve leszűkíteni egy adott európai kiberbiztonsági tanúsítvány hatályát, figyelembe véve a frissítés bármely lehetséges negatív hatását az adott tanúsítvány biztonsági követelményeinek teljesítésére.

(97)

Amint egy európai kiberbiztonsági tanúsítási rendszer elfogadásra kerül, az IKT-termékek, IKT-szolgáltatások vagy IKT-folyamatok gyártói vagy nyújtói számára lehetővé kell tenni, hogy egy általuk választott megfelelőségértékelő szervezethez az Unió területén belül bárhol benyújthassák IKT-termékeik vagy IKT-szolgáltatásaik tanúsítására irányuló kérelmüket. A megfelelőségértékelő szervezeteket egy akkreditáló testületnek kell akkreditálnia, amennyiben azok megfelelnek az e rendeletben meghatározott bizonyos különös követelményeknek. Az akkreditáció legfeljebb öt évre szólhat, és azonos feltételek mellett megújítható, feltéve, hogy a megfelelőségértékelő szervezet még mindig teljesíti a követelményeket. A nemzeti akkreditáló testületeknek korlátozniuk kell, fel kell függeszteniük vagy vissza kell vonniuk a megfelelőségértékelő szervezet akkreditációját, amennyiben az akkreditáció feltételei nem, vagy már nem teljesülnek, vagy ha a megfelelőségértékelő szervezet megsérti ezt a rendeletet.

(98)

Ha a nemzeti jogszabályokban olyan nemzeti szabványokra történik hivatkozás, amelyek egy európai kiberbiztonsági tanúsítási rendszer hatálybalépése okán joghatásukat vesztették, az zavaró lehet. A tagállamoknak ezért tükrözniük kell nemzeti jogszabályaikban az európai kiberbiztonsági tanúsítási rendszerek elfogadását.

(99)

Az Unióban alkalmazott szabványok egyenértékűségének elérése, a kölcsönös elismerés előmozdítása, valamint az európai kiberbiztonsági tanúsítványok és az uniós megfelelőségi nyilatkozatok általános elfogadottságának elősegítése érdekében kölcsönös felülvizsgálati rendszert kell kialakítani a nemzeti kiberbiztonsági tanúsító hatóságok között. A kölcsönös felülvizsgálatnak olyan eljárásokra kell kiterjednie, amelyek az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok európai kiberbiztonsági tanúsítványoknak való megfelelésének felügyeletére, az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok megfelelőségi önértékelést végző gyártói vagy nyújtói kötelezettségeinek nyomon követésére, a megfelelőségértékelő szervezetek nyomon követésére és arra irányulnak, hogy a „magas” megbízhatósági szintre szóló tanúsítványokat kiállító szervezetek személyzetének szakértelme megfelelő-e. A Bizottságnak – végrehajtási jogi aktusok útján – legalább öt évre szóló kölcsönös felülvizsgálati tervet kell létrehoznia, valamint meg kell határoznia a kölcsönös felülvizsgálati rendszer működésére vonatkozó kritériumokat és módszereket.

(100)

Egyes európai kiberbiztonsági tanúsítási rendszerek – az európai kiberbiztonsági tanúsítási keretrendszeren belül az összes nemzeti kiberbiztonsági tanúsító hatóságra kiterjedően létrehozandó általános kölcsönös felülvizsgálati rendszer sérelme nélkül – magukban foglalhatnak olyan kölcsönös értékelési mechanizmust, amely az adott rendszerek keretében IKT-termékekre, IKT-szolgáltatásokra és IKT-folyamatokra „magas” megbízhatósági szintű európai kiberbiztonsági tanúsítványokat kiállító szervezetek között alkalmazandó. Az európai kiberbiztonsági tanúsítási csoportnak támogatnia kell az ilyen kölcsönös értékelési mechanizmusok végrehajtását. Az ilyen kölcsönös értékelés során különösen azt kell értékelni, hogy az érintett szervezetek harmonizált módon végzik-e feladataikat, és az kiterjedhet a jogorvoslati mechanizmusokra is. A kölcsönös értékelés eredményét nyilvánosan hozzáférhetővé kell tenni. Az érintett szervezetek megfelelő intézkedéseket hozhatnak annak érdekében, hogy kiigazítsák gyakorlataikat és szakismereteiket.

(101)

A tagállamoknak ki kell jelölniük egy vagy több nemzeti kiberbiztonsági tanúsító hatóságot, az e rendeletből eredő követelményeknek való megfelelés felügyelete érdekében. Nemzeti kiberbiztonsági tanúsító hatóság lehet már létező vagy újonnan létrehozott hatóság is. A tagállamok számára lehetővé kell tenni továbbá, hogy egy másik tagállammal való megállapodás alapján az adott másik tagállam területén egy vagy több nemzeti kiberbiztonsági tanúsító hatóságot jelöljenek ki.

(102)

A nemzeti kiberbiztonsági hatóságnak különösen, hogy nyomon kell követnie és be kell tartatnia az IKT-termékek, IKT-szolgáltatások vagy IKT-folyamatok illetékességi területükön letelepedett gyártóinak vagy nyújtóinak az uniós megfelelőségi nyilatkozathoz kapcsolódó kötelezettségeit, segítenie kell – szakértelmével és megfelelő információkkal – a nemzeti akkreditáló szervezeteket a megfelelőségértékelő szervezetek tevékenységeinek nyomon követésében és felügyeletében, engedélyeznie kell a megfelelőségértékelő szervezeteknek, hogy ellássák feladataikat, amennyiben ezek a szervezetek teljesítik a valamely európai kiberbiztonsági tanúsítási rendszerben meghatározott kiegészítő követelményeket, továbbá figyelemmel kell kísérnie a kiberbiztonsági tanúsítás területén bekövetkező releváns fejleményeket. A nemzeti kiberbiztonsági tanúsító hatóságoknak kezelniük kell az általuk kiadott európai kiberbiztonsági tanúsítványok, illetve a megfelelőségértékelő szervezetek által kiadott európai kiberbiztonsági tanúsítványok kapcsán természetes vagy jogi személyek által benyújtott panaszokat, amennyiben az említett tanúsítványok „magas” megbízhatósági szintre vonatkoznak, megfelelő mértékben ki kell vizsgálniuk a panasz tárgyát, és észszerű időn belül tájékoztatniuk kell a panaszost a vizsgálat előrehaladásáról és eredményéről. Ezen túlmenően a nemzeti kiberbiztonsági tanúsító hatóságoknak együtt kell működniük a többi nemzeti kiberbiztonsági tanúsító hatósággal és más hatóságokkal, többek között azáltal, hogy megosztják az azzal kapcsolatos információkat, hogy bizonyos IKT-termékek, IKT-szolgáltatások és IKT-folyamatok lehetséges, hogy nem felelnek meg e rendelet vagy egyes európai kiberbiztonsági tanúsítási rendszerek követelményeinek. A Bizottságnak elő kell segítenie ezt az információcserét egy általános elektronikus információs támogató rendszer rendelkezésre bocsátásával, mint amilyen például a piacfelügyeleti információs és kommunikációs rendszer (ICSMS) és az Európai Uniós Gyors Tájékoztatási Rendszer (RAPEX), amelyeket a piacfelügyeleti hatóságok a 765/2008/EK rendeletnek megfelelően már használnak.

(103)

Az európai kiberbiztonsági tanúsítási keretrendszer következetes alkalmazása érdekében létre kell hozni a nemzeti kiberbiztonsági tanúsító hatóságok vagy egyéb megfelelő nemzeti hatóságok képviselőiből álló európai kiberbiztonsági tanúsítási csoportot. Az európai kiberbiztonsági tanúsítási csoport fő feladata, hogy tanácsot adjon és segítséget nyújtson a Bizottságnak az európai kiberbiztonsági tanúsítási keretrendszer következetes végrehajtásának és alkalmazásának biztosítására irányuló munkája során, segítse az ENISA-t és szorosan együttműködjön vele a javasolt kiberbiztonsági tanúsítási rendszerek kidolgozásában, kellően indokolt esetekben felkérje az ENISA-t javasolt kiberbiztonsági tanúsítási rendszer kidolgozására, az ENISA-nak címzett véleményeket fogadjon el a javasolt tanúsítási rendszerekről és a Bizottságnak címzett véleményeket fogadjon el a létező európai kiberbiztonsági tanúsítási rendszerek fenntartásával és felülvizsgálatával kapcsolatban. Az európai kiberbiztonsági tanúsítási csoportnak elő kell segítenie a bevált gyakorlatok és a szakismeretek cseréjét a megfelelőségértékelő szervezetek engedélyezéséért és az európai kiberbiztonsági tanúsítványok kiadásáért felelős különféle nemzeti kiberbiztonsági tanúsító hatóságok között.

(104)

A jövőbeli európai kiberbiztonsági tanúsítási rendszerek ismertebbé és elfogadottabbá tétele érdekében az Bizottság általános vagy ágazatspecifikus kiberbiztonsági iránymutatásokat adhat ki, például a helyes kiberbiztonsági gyakorlatokról vagy a felelős kiberbiztonsági magatartásról, kiemelve a tanúsított IKT-termékek, IKT-szolgáltatások és IKT-folyamatok használatának kedvező hatását.

(105)

A kereskedelem további megkönnyítése érdekében, továbbá az IKT-ellátási láncok globális dimenziójának tudatában az Unió az Európai Unió működéséről szóló szerződés (EUMSZ) 218. cikkével összhangban kölcsönös elismerési megállapodásokat köthet az európai kiberbiztonsági tanúsítványokra vonatkozóan. A Bizottság az ENISA és az európai kiberbiztonsági tanúsítási csoport tanácsának figyelembevételével ajánlást tehet ilyen irányú tárgyalások megkezdésére. Minden egyes európai kiberbiztonsági tanúsítási rendszeren belül egyedi feltételeket kell meghatározni a harmadik országokkal kötendő említett kölcsönös elismerési megállapodásokra vonatkozóan.

(106)

E rendelet végrehajtása egységes feltételeinek biztosítása érdekében a Bizottságra végrehajtási hatásköröket kell ruházni. Ezeket a végrehajtási hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek (22) megfelelően kell gyakorolni.

(107)

Vizsgálóbizottsági eljárást kell alkalmazni az IKT-termékek, IKT-szolgáltatások vagy IKT-folyamatok európai kiberbiztonsági tanúsítási rendszereire, az ENISA általi vizsgálat lefolytatásának szabályaira, a nemzeti kiberbiztonsági tanúsító hatóságok kölcsönös felülvizsgálatára vonatkozó tervre, valamint az akkreditált megfelelőségértékelő szervezeteknek a nemzeti kiberbiztonsági tanúsító hatóságok általi Bizottságnak történő bejelentése körülményeire, formátumára és eljárására vonatkozó végrehajtási jogi aktusok elfogadására.

(108)

Az ENISA működését rendszeres és független értékelésnek kell alávetni. Az értékelés során figyelembe kell az ENISA célkitűzéseit, munkamódszereit, és feladatai – különösen az uniós szintű operatív együttműködéssel kapcsolatos feladatai – relevanciáját. Ezen értékelésnek ki kell terjednie az európai kiberbiztonsági tanúsítási keretrendszer hatásának, eredményességének és hatékonyságának értékelésére is. Felülvizsgálat esetén a Bizottságnak értékelnie kell, hogy miként lehetne megerősíteni az ENISA azon szerepét, hogy hivatkozási alapként szolgál a tanácsadás és a szakértelem terén, és értékelnie kell azt a lehetőséget is, hogy az ENISA szerepet kapjon a harmadik országbeli olyan IKT-termékek, IKT-szolgáltatások és IKT-folyamatok értékelésének támogatásában, amelyek nem felelnek meg az uniós szabályoknak, amennyiben ezen termékek, szolgáltatások és folyamatok belépnek az Unióba.

(109)

mivel e rendelet céljait a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban annak terjedelme és hatása miatt e célok jobban megvalósíthatók, az Unió intézkedéseket hozhat az Európai Unióról szóló szerződés (EUSZ) 5. cikkében foglalt szubszidiaritás elvének megfelelően. Az említett cikkben foglalt arányosság elvének megfelelően ez a rendelet nem lépi túl az e célok eléréséhez szükséges mértéket.

(110)

Az 526/2013/EU rendeletet hatályon kívül kell helyezni,

(1)

Ezen irányelv célja, hogy hozzájáruljon a belső piac megfelelő működéséhez azáltal, hogy bizonyos termékek és szolgáltatások esetében közelíti az akadálymentességi követelményekre vonatkozó tagállami törvényi, rendeleti és közigazgatási rendelkezéseket, különösen azon tényezők felszámolása és megelőzése révén, amelyek az akadálymentességre vonatkozó eltérő tagállami követelményekből eredően akadályozzák bizonyos akadálymentes termékek és szolgáltatások szabad mozgását. Ez fokozná az akadálymentes termékek és szolgáltatások elérhetőségét a belső piacon, valamint javítaná a releváns információk hozzáférhetőségét.

(2)

Az akadálymentes termékek és szolgáltatások iránti kereslet magas, és a fogyatékossággal élő személyek száma az előrejelzések szerint jelentősen emelkedni fog. Egy olyan környezet, ahol a termékek és a szolgáltatások jobban hozzáférhetők, befogadóbbá teszi a társadalmat, és elősegíti a fogyatékossággal élő személyek önálló életvitelét. Ebben az összefüggésben szem előtt kell tartani, hogy a fogyatékosság előfordulása az Unióban gyakoribb a nők körében, mint a férfiak körében.

(3)

Ez az irányelv a fogyatékossággal élő személyek fogalmát az Egyesült Nemzetek Szervezetének a fogyatékossággal élő személyek jogairól szóló 2006. december 13-i egyezményével (a továbbiakban: az ENSZ-egyezmény) összhangban határozza meg, amelyben az Unió 2011. január 21. óta részes fél, és amelyet minden tagállam megerősített. Az ENSZ-egyezmény megállapítja, hogy fogyatékossággal élő személy „minden olyan személy, aki hosszan tartó fizikai, értelmi, szellemi vagy érzékszervi károsodással él, amely számos egyéb akadállyal együtt korlátozhatja az adott személy teljes, hatékony és másokkal egyenlő társadalmi szerepvállalását”. Ez az irányelv előmozdítja, hogy a fogyatékossággal élő személyek teljeskörűen és ténylegesen egyenlő módon részt vehessenek a társadalom életében az olyan széles körben használt termékekhez és szolgáltatásokhoz való hozzáférés javítása révén, amelyek az eredeti kialakításuknak vagy a későbbi módosításuknak köszönhetően megfelelnek a fogyatékossággal élő személyek sajátos igényeinek.

(4)

Ezen irányelv segítséget nyújtana továbbá egyéb olyan személyek számára is, akik funkcióképességükben korlátozottak, mint például az időskorúak, a terhes nők vagy a csomaggal utazó személyek. A „funkcióképességükben korlátozott személyek” ezen irányelv szerinti fogalma olyan személyeket foglal magában, akik – állandó vagy ideiglenes jelleggel – fizikai, értelmi, szellemi vagy érzékszervi károsodással, életkorral összefüggő, vagy egyéb, az emberi test teljesítőképességével kapcsolatos fogyatékossággal élnek, amely különféle akadályokkal kölcsönhatásban a termékekhez és a szolgáltatásokhoz való korlátozott hozzáférésüket eredményezi, ami olyan helyzethez vezet, amelyben az említett termékeket és szolgáltatásokat hozzá kell igazítani a sajátos szükségleteikhez.

(5)

A fogyatékossággal élő személyeket célzó termékek és szolgáltatások akadálymentességére vonatkozó tagállami törvényi, rendeleti és közigazgatási rendelkezések közötti eltérések akadályozzák a termékek és szolgáltatások szabad mozgását és torzítják a tényleges versenyt a belső piacon. Az ENSZ-egyezmény hatálybalépését követően egyes termékek és szolgáltatások esetében feletehetőleg növekedni fognak az említett eltérések az Unióban. Az ilyen akadályok érzékenyen érintik a gazdasági szereplőket, különösen a kis- és középvállalkozásokat (kkv-k).

(6)

A nemzeti akadálymentességi követelmények közötti különbségek különösen az önfoglalkoztatókat, a kkv-ket és a mikrovállalkozásokat tarthatják vissza attól, hogy saját belföldi piacukon kívül üzleti vállalkozásba fogjanak. Jelenleg az akadálymentességre vonatkozóan a tagállamok által életbe léptetett nemzeti, de még a regionális vagy helyi követelmények is különböznek mind hatályukat, mind részletességüket illetően. E különbségek kedvezőtlen hatást gyakorolnak a versenyképességre és a növekedésre, mivel az akadálymentes termékeknek és szolgáltatásoknak az egyes nemzeti piacokra történő fejlesztése és piaci értékesítése többletköltségekkel jár.

(7)

Az akadálymentes termékek és szolgáltatások, valamint a támogató-segítő technológiák fogyasztói, illetve igénybevevői a szállítók, illetve a szolgáltatók közötti korlátozott verseny miatt magas árakkal szembesülnek. A széttagolt nemzeti szabályozások csökkentik a társadalmi és technológiai fejlődéssel kapcsolatos válaszokra vonatkozó, a nemzeti és nemzetközi szakmai partnerek közötti tapasztalatcsere potenciális előnyeit.

(8)

Az akadálymentes termékek és szolgáltatások piaca széttagoltságának megszüntetése, a méretgazdaságosság megteremtése, a határokon átnyúló kereskedelem és mobilitás elősegítése, valamint annak érdekében, hogy a gazdasági szereplők erőforrásaikat az innovációra összpontosíthassák ahelyett, hogy azokat az Unió-szerte széttagolt jogszabályokból eredő költségek fedezésére használnák fel, a belső piac megfelelő működéséhez a nemzeti intézkedések uniós szintű közelítésére van szükség.

(9)

A felvonókról szóló 2014/33/EU európai parlamenti és tanácsi irányelv (3) és a közlekedés területére vonatkozó 661/2009/EK európai parlamenti és tanácsi rendelet (4) alkalmazásával kapcsolatos tapasztalatok rámutattak az akadálymentességi követelmények harmonizálásának előnyeire a belső piacon.

(10)

Az Amszterdami Szerződéshez csatolt, a fogyatékos személyekről szóló 22. nyilatkozatban a tagállamok képviselőinek Konferenciája megállapodott abban, hogy az Európai Unió működéséről szóló szerződés (EUMSZ) 114. cikke alapján meghozandó intézkedések kidolgozásakor az Unió intézményei figyelembe veszik a fogyatékos személyek szükségleteit.

(11)

„Az európai digitális egységes piaci stratégia” című, 2015. május 6-i bizottsági közlemény átfogó célja, hogy az összekapcsolt digitális egységes piac létrehozásával fenntartható gazdasági és társadalmi előnyöket nyújtson, ezáltal megkönnyítve a kereskedelmet és előmozdítva a foglalkoztatást az Unión belül. Az uniós fogyasztók még mindig nem élhetnek maradéktalanul az egységes piac által kínált árak és választék előnyeivel, mivel a határokon átnyúló online ügyletek továbbra is nagyon korlátozottak. A széttagoltság miatt a határokon átnyúló elektronikus kereskedelmi ügyletek iránti igény is mérsékeltebb. Összehangolt cselekvésre lesz szükség továbbá annak biztosítására, hogy az elektronikus tartalmak, az elektronikus hírközlési szolgáltatások és az audiovizuális médiaszolgáltatásokhoz való hozzáférés teljes egészében biztosítottak legyenek a fogyatékossággal élők számára. Ezért a digitális egységes piacon harmonizálni kell az akadálymentességi követelményeket annak biztosítása érdekében, hogy – képességeitől függetlenül – valamennyi uniós polgár élvezhesse annak előnyeit.

(12)

Amióta az Unió az ENSZ-egyezmény részes felévé vált, annak rendelkezései az uniós jogrend szerves részévé váltak és azok kötelező erővel bírnak az Unió intézményeire és tagállamaira nézve.

(13)

Az ENSZ-egyezmény előírja, hogy a részes felek megfelelő intézkedéseket tegyenek annak érdekében, hogy másokkal azonos alapon biztosítsák a fogyatékossággal élő személyek számára a fizikai környezethez, a közlekedéshez, az információhoz és kommunikációhoz, beleértve az információs és kommunikációs technológiákat és rendszereket, valamint más, nyilvánosan hozzáférhető vagy rendelkezésre álló lehetőségekhez és szolgáltatásokhoz való akadálymentes hozzáférést, mind városi, mind vidéki területeken. A fogyatékossággal élő személyek jogaival foglalkozó ENSZ-bizottság megállapította, hogy konkrét, megvalósítható és időhöz kötött, az akadálymentesség fokozatos végrehajtásának nyomon követését lehetővé tevő referenciaértékeken alapuló jogszabályi keretek létrehozására van szükség.

(14)

Az ENSZ-egyezmény felszólítja a részes feleket, hogy valósítsanak meg vagy segítsenek elő a fogyatékossággal élő személyek számára alkalmas új technológiák – beleértve az információs és kommunikációs technológiákat –, a közlekedést/mozgást segítő eszközök, készülékek és támogató-segítő technológiák elérhetőségének és használatának előmozdítására irányuló kutatásokat és fejlesztéseket. Az ENSZ-egyezmény arra is felszólít, hogy a részes felek biztosítsanak elsőbbséget az elérhető költséggel járó technológiáknak.

(15)

Az ENSZ-egyezmény hatálybalépése a tagállamok jogrendjében a termékek és a szolgáltatások akadálymentességével kapcsolatban további nemzeti rendelkezések elfogadását teszi szükségessé. Uniós fellépés hiányában ezek a rendelkezések tovább növelnék a tagállamok törvényi, rendeleti és közigazgatási rendelkezései közötti eltéréseket.

(16)

Ezért az ENSZ-egyezmény Unió-beli végrehajtását közös uniós szabályok meghatározásával szükséges elősegíteni. Ez az irányelv támogatja a tagállamokat arra irányuló erőfeszítéseik tekintetében is, hogy harmonizált módon tudják teljesíteni nemzeti vállalásaikat, valamint az ENSZ-egyezményből fakadó kötelezettségeiket az akadálymentességgel kapcsolatban.

(17)

Az „Európai fogyatékosságügyi stratégia 2010–2020: megújított elkötelezettség az akadálymentes Európa megvalósítása iránt” című, 2010. november 15-i bizottsági közlemény az akadálymentességet az ENSZ-egyezménnyel összhangban a nyolc cselekvési terület egyikeként határozza meg, kimondja, hogy az a társadalmi részvétel előfeltétele, és célja a termékek és a szolgáltatások akadálymentességének biztosítása.

(18)

Az ezen irányelv hatálya alá tartozó termékeket és szolgáltatásokat egy olyan szűrési folyamat alapján választották ki, amelyet a fogyatékossággal élő személyek számára jelentőséggel bíró azon termékek és szolgáltatások meghatározására irányuló hatásvizsgálat előkészítése során végeztek el, amelyeket illetően a tagállamok az akadálymentesség tekintetében eltérő nemzeti követelményeket fogadtak el vagy fognak várhatóan elfogadni, amely torzítja a belső piac működését.

(19)

Az ezen irányelv hatálya alá tartozó szolgáltatások akadálymentességének biztosítása érdekében az ilyen szolgáltatások nyújtásához használt olyan termékek tekintetében, amelyekkel a fogyasztó kapcsolatba kerül, szintén meg kell követelni, hogy megfeleljenek ezen irányelv alkalmazandó akadálymentességi követelményeinek.

(20)

A szolgáltatások akadálymentessége abban az esetben sem sérülhet, ha a szolgáltatást vagy annak egy részét harmadik fél alvállalkozóként nyújtja, és a szolgáltatóknak ez esetben is eleget kell tenniük az ezen irányelv szerinti kötelezettségeknek. A szolgáltatóknak biztosítaniuk kell személyzetük megfelelő és folyamatos képzését is annak érdekében, hogy a személyzet tagjai megfelelő tudással rendelkezzenek ahhoz, hogy miként kell használni az akadálymentes termékeket és szolgáltatásokat. Az említett képzésnek ki kell terjednie olyan területekre, mint például a tájékoztatás, a tanácsadás és a reklámozás.

(21)

Az akadálymentességi követelményeket oly módon kell bevezetni, hogy az a gazdasági szereplők és a tagállamok számára a lehető legkevesebb teherrel járjon.

(22)

Az irányelv hatálya alá tartozó termékek és szolgáltatások forgalomba hozatala tekintetében akadálymentességi követelményeket kell meghatározni a belső piacon belüli szabad mozgásuk biztosítása érdekében.

(23)

Ennek az irányelvnek kötelezővé kell tennie a funkcionális akadálymentességi követelményeket, és azokat általános célkitűzések formájában kell meghatározni. Ezeket a követelményeket kellő pontossággal kell megfogalmazni ahhoz, hogy jogilag kötelező erejű kötelezettségeket keletkeztessenek, és kellően részletesnek kell lenniük ahhoz, hogy lehetővé tegyék a megfelelőség értékelését az ezen irányelv hatálya alá tartozó termékek és szolgáltatások belső piaca megfelelő működésének biztosítása céljából, valamint hogy bizonyos mértékű rugalmasságot biztosítsanak az innováció lehetővé tétele érdekében.

(24)

Ez az irányelv magában foglal több, a termékek és a szolgáltatások működési módjához kapcsolódó funkcionálisteljesítmény-kritériumot. Ezeknek a kritériumoknak nem célja, hogy általános alternatívát kínáljanak ezen irányelv akadálymentességi követelményeivel szemben, mivel e kritériumok alkalmazása csak nagyon pontosan meghatározott körülmények fennállása esetén lehetséges. Ezek a kritériumok ezen termékek vagy szolgáltatások meghatározott funkciói vagy jellemzői tekintetében azok akadálymentessé tétele érdekében alkalmazandók, abban az esetben, ha ezen irányelv akadálymentességi követelményei nem vonatkoznak egy vagy több ilyen meghatározott funkcióra vagy jellemzőre. Továbbá abban az esetben, ha valamely akadálymentességi követelmény konkrét műszaki követelményeket tartalmaz, és a termékben vagy a szolgáltatásban alternatív műszaki megoldást biztosít az adott műszaki követelményeket illetően, ennek az alternatív műszaki megoldásnak ugyancsak meg kell felelnie a kapcsolódó akadálymentességi követelményeknek, és egyenértékű vagy még nagyobb mértékű akadálymentességet kell eredményeznie a vonatkozó funkcionálisteljesítmény-kritériumok alkalmazása révén.

(25)

Ezen irányelv hatályának ki kell terjednie az általános lakossági felhasználású számítógépes hardverrendszerekre. Ahhoz, hogy ezek a rendszerek akadálymentes módon működhessenek, operációs rendszereiknek is akadálymentesnek kell lenniük. E számítógépes hardverrendszereket a fogyasztók általi használatra szánták, jellemzőik pedig a sokoldalú alkalmazhatóság és az, hogy a megfelelő szoftverrel képesek végrehajtani a fogyasztók által végzett leggyakoribb számítástechnikai feladatokat. Ilyen számítógépes hardverrendszerek például a személyi számítógépek – ideértve az asztali számítógépeket – a notebookok, az okostelefonok és a táblagépek is. A fogyasztói elektronikai termékekbe ágyazott speciális számítógépek nem minősülnek általános lakossági felhasználású számítógépes hardverrendszereknek. Önmagukban nem tartozhatnak ezen irányelv hatálya alá az ilyen rendszerben használt vagy használható, meghatározott funkciót betöltő olyan önálló alkotóelemek, mint például az alaplap vagy a memóriachip.

(26)

Ezen irányelv hatályának továbbá ki kell terjednie a fizetési terminálokra – ideértve ezek hardverét és szoftverét is –, valamint az ezen irányelv hatálya alá tartozó szolgáltatások nyújtására használt bizonyos interaktív önkiszolgáló terminálokra – ideértve ezek hardverét és szoftverét is –, például a következőkre: a bankjegykiadó automaták; a szolgáltatások igénybevételéhez szükséges fizikai jegyeket kiadó jegykiadó automaták, például a menetjegy-árusító automaták; a banki sorszámkiadó automaták; az utasfelvételi automaták, valamint az interaktív önkiszolgáló információs terminálok, ideértve az interaktív információs képernyőket is.

(27)

Ki kell azonban zárni ezen irányelv hatálya alól bizonyos, a járművek, a repülőgépek, a hajók vagy a vasúti járművek szerves részeként beépített, interaktív önkiszolgáló információs terminálokat, mivel ezek olyan járművek, repülőgépek, hajók vagy vasúti járművek részét képezik, amelyek nem tartoznak ezen irányelv hatálya alá.

(28)

Ennek az irányelvnek továbbá ki kell terjednie az (EU) 2018/1972 európai parlamenti és tanácsi irányelvben (5) meghatározott elektronikus hírközlési szolgáltatásokra, beleértve a segélyhívásokat is. Jelenleg azok az intézkedések, amelyeket a tagállamok hoztak annak érdekében, hogy akadálymentes hozzáférést biztosítsanak a fogyatékossággal élő személyek számára, eltérőek és nem harmonizáltak a teljes belső piacon. Biztosítva, hogy az egész Unióban egységes akadálymentességi követelmények legyenek alkalmazandók, az egynél több tagállamban működő gazdasági szereplők méretgazdaságossági megtakarításokra fognak szert tenni, és könnyebbé válik a fogyatékossággal élő személyek tényleges hozzáférése a termékekhez és a szolgáltatásokhoz a saját tagállamukban, és a tagállamok közötti utazásaik során egyaránt. Az elektronikus hírközlési szolgáltatások, köztük a segélyhívások akadálymentessége érdekében a szolgáltatóknak a hanghívások mellett valós idejű szövegküldést, valamint videókapcsolat biztosítása esetén teljeskörű beszélgetési szolgáltatást is biztosítaniuk kell, és gondoskodniuk kell mindezen említett kommunikációs eszközök szinkronizálásáról. A tagállamok számára lehetővé kell tenni, hogy – az ezen irányelv szerinti követelményeken túl, valamint az (EU) 2018/1972 irányelvvel összhangban – meghatározzanak egy, a fogyatékossággal élő személyek által igénybe vehető közvetítő szolgáltatót.

(29)

Ez az irányelv harmonizálja az elektronikus hírközlési szolgáltatásokra és a kapcsolódó termékekre vonatkozó akadálymentességi követelményeket, és kiegészíti az (EU) 2018/1972 irányelvet, amely követelményeket határoz meg a fogyatékossággal élő végfelhasználók részére biztosítandó egyenértékű hozzáférésre és választékra vonatkozóan. Az (EU) 2018/1972 irányelv továbbá követelményeket határoz meg az egyetemes szolgáltatási kötelezettségek keretében a hangkommunikáció és az internet-hozzáférés megfizethetőségére, valamint arra vonatkozóan, hogy a kapcsolódó végberendezések, különleges berendezések és szolgáltatások a fogyatékossággal élő fogyasztók számára megfizethetők legyenek és rendelkezésre álljanak.

(30)

Ezen irányelvnek ki kell terjednie az interaktív számítástechnikai kapacitással rendelkező, előreláthatólag elsődlegesen az elektronikus hírközlési szolgáltatások igénybevételéhez használt fogyasztói végberendezésekre is. Ezen irányelv alkalmazásában úgy kell tekinteni, hogy ezen berendezés magában foglalja az elektronikus hírközlési szolgáltatások igénybevételére szolgáló konfiguráció részeként használt berendezéseket is, például az útvonalválasztók és a modemek.

(31)

Ezen irányelv alkalmazásában az audiovizuális médiaszolgáltatásokhoz való hozzáférés azt jelenti, hogy az audiovizuális tartalmaknak akadálymentesen hozzáférhetőknek kell lenniük, és rendelkezniük kell olyan mechanizmusokkal, amelyek lehetővé teszik a fogyatékossággal élő felhasználók számára támogató-segítő technológiák használatát. Az audiovizuális médiaszolgáltatásokhoz való hozzáférést biztosító szolgáltatások magukban foglalhatnak honlapokat, online alkalmazásokat, beltéri egységen alapuló alkalmazásokat, letölthető alkalmazásokat, mobileszköz-alapú szolgáltatásokat, köztük mobilalkalmazásokat és kapcsolódó médialejátszókat, valamint csatlakoztatott televíziószolgáltatásokat. Az audiovizuális médiaszolgáltatások akadálymentességét a 2010/13/EU európai parlamenti és tanácsi irányelv (6) szabályozza az elektronikus műsorkalauzokhoz (EPG-k) való hozzáférés kivételével, amelyre kiterjed az audiovizuális médiaszolgáltatásokhoz való hozzáférést biztosító szolgáltatások fogalommeghatározása, amelyre ezen irányelv alkalmazandó.

(32)

A légi, az autóbuszos, a vasúti és a vízi személyszállítási szolgáltatások tekintetében ezen irányelvnek ki kell terjednie többek között a személyszállítási szolgáltatásokkal kapcsolatos tájékoztatásnyújtásra – – ideértve a valós idejű utazási információkról honlapokon keresztül történő tájékoztatást is – a mobileszköz-alapú szolgáltatásokon, az interaktív információs képernyőkön, valamint az interaktív önkiszolgáló terminálokon keresztül, amelyre a fogyatékossággal élő utasoknak szükségük van az utazáshoz. Ez magában foglalhatja a szolgáltató személyszállítási termékeiről és szolgáltatásairól való tájékoztatást, az utazást megelőző tájékoztatást, az utazás közben történő tájékoztatást, valamint a szolgáltatások törléséről vagy a késéssel történő indulásról való tájékoztatást. A tájékoztatás részét képezhetik emellett az árakra és a promóciókra vonatkozó információk is.

(33)

Ezen irányelvnek ki kell terjednie az ezen irányelv hatálya alá tartozó személyszállítási szolgáltatások üzemeltetői által vagy az ő nevükben fejlesztett vagy rendelkezésre bocsátott a honlapokra és mobileszköz-alapú szolgáltatásokra – ideértve a mobilalkalmazásokat is –, az elektronikus menetjegy-értékesítési szolgáltatásokra, az elektronikus menetjegyekre, valamint az interaktív önkiszolgáló terminálokra.

(34)

A légi, a buszos, a vasúti és a vízi személyszállítási szolgáltatások tekintetében ezen irányelv hatályát az utasok jogaira vonatkozó meglévő ágazati jogszabályok alapján kell meghatározni. Amennyiben ez az irányelv nem vonatkozik bizonyos fajta közlekedési szolgáltatásokra, a tagállamoknak ösztönözniük kell az érintett szolgáltatókat, hogy alkalmazzák az ezen irányelv szerinti akadálymentességi követelményeket.

(35)

Az (EU) 2016/2102 európai parlamenti és tanácsi irányelv (7) már jelenleg is kötelezettségként írja elő a közlekedési – köztük városi és elővárosi közlekedési – szolgáltatásokat és a regionális közlekedési szolgáltatásokat nyújtó közszférabeli szervezetek számára a honlapjaik akadálymentesítését. Ez az irányelv mentességeket biztosít a szolgáltatásokat – többek között városi és elővárosi közlekedési szolgáltatásokat, valamint a regionális közlekedési szolgáltatásokat – nyújtó mikrovállalkozások részére. Emellett ez az irányelv kötelezettségeket tartalmaz annak biztosítása érdekében, hogy az e-kereskedelmi honlapok akadálymentesek legyenek. Mivel ez az irányelv a magán közlekedési szolgáltatók nagy többsége számára kötelezettséget tartalmaz arra vonatkozóan, hogy online jegyértékesítés esetén akadálymentesítsék honlapjaikat, nem szükséges további követelményeket bevezetni a városi és az elővárosi közlekedési szolgáltatók, valamint a regionális közlekedési szolgáltatók honlapjait illetően.

(36)

Az akadálymentességi követelmények egyes – különösen az ezen irányelv szerinti, a tájékoztatás nyújtását érintő – elemeit a személyszállítás területén hatályos uniós jogszabályok már szabályozzák. Ezek közé tartoznak az alábbi rendeletek egyes elemei: a 261/2004/EK európai parlamenti és tanácsi rendelet (8), az 1107/2006/EK európai parlamenti és tanácsi rendelet (9), az 1371/2007/EK európai parlamenti és tanácsi rendelet (10), az 1177/2010/EU európai parlamenti és tanácsi rendelet (11), valamint a 181/2011/EU európai parlamenti és tanácsi rendelet (12). Ide tartoznak még azok a releváns jogi aktusok, amelyeket a 2008/57/EK európai parlamenti és tanácsi irányelv (13) alapján fogadtak el. A szabályozás egységességének biztosítása érdekében a fenti rendeletekben meghatározott akadálymentességi követelményeket és az említett jogi aktusokat továbbra is alkalmazni kell. A hatályos követelményeket azonban ezen irányelv további követelményei fogják kiegészíteni, amelyek javítják a belső piac működését a közlekedés területén és megkönnyítik a fogyatékossággal élő személyek helyzetét.

(37)

Helyénvaló, hogy ezen irányelv hatálya ne terjedjen ki a közlekedési szolgáltatások bizonyos olyan elemeire, amelyek nyújtására a tagállamok területén kívül kerül sor, még abban az esetben sem, ha azok az uniós piacot célozzák. Ezen elemek tekintetében a személyszállítási szolgáltatókat csak annak biztosítására kell kötelezni, hogy ezen irányelv követelményei teljesüljenek a szolgáltatás azon része tekintetében, amelyet az Unió területén belül nyújtanak. A légi közlekedés esetében azonban az uniós légi fuvarozók kötelesek biztosítani, hogy ezen irányelv alkalmazandó követelményei az olyan légi járatok esetében is teljesülnek, amelyek valamely harmadik országban található repülőtérről indulnak valamely tagállam területén lévő repülőtérre. Ezen túlmenően minden légi fuvarozó – beleértve az Unióban engedéllyel nem rendelkezőket is – köteles biztosítani, hogy az ezen irányelv szerinti követelmények teljesüljenek azon légi járatok esetében, amelyek az Unió területéről indulnak egy harmadik ország területére.

(38)

Ösztönözni kell a városi hatóságokat, hogy a városi közlekedési szolgáltatásokhoz való akadálymentes hozzáférést tegyék a fenntartható városi mobilitási terveik részévé, és hogy rendszeresen tegyék közzé a városi tömegközlekedéshez való akadálymentes hozzáféréssel és a városi mobilitással kapcsolatos bevált gyakorlatok listáját.

(39)

A banki és pénzügyi szolgáltatásokra vonatkozó uniós jog célja az említett szolgáltatásokat igénybe vevő fogyasztók védelme és tájékoztatása az egész Unióban, azonban e jogszabályok nem tartalmaznak akadálymentességi követelményeket. Annak lehetővé tétele érdekében, hogy a fogyatékossággal élő személyek Unió-szerte igénybe tudják venni ezeket a szolgáltatásokat – beleértve azt is, ha azokat honlapokon és mobileszköz-alapú szolgáltatásokon, köztük mobilalkalmazásokon keresztül nyújtják –, megalapozott döntéseket hozzanak, és bízzanak abban, hogy egyéb fogyasztókkal egyenlő, megfelelő védelmet élveznek, továbbá a szolgáltatók számára egyenlő versenyfeltételek megteremtése érdekében ezen irányelvben közös akadálymentességi követelményeket kell megállapítani a fogyasztóknak nyújtott egyes banki és pénzügyi szolgáltatások tekintetében.

(40)

A megfelelő akadálymentességi követelményeknek a személyazonosítási módszerekre, az elektronikus aláírásra és a fizetési szolgáltatásokra is vonatkozniuk kell, mivel ezekre szükség van a lakossági banki ügyletek lebonyolításához.

(41)

Az elektronikus könyvfájlok egy olyan elektronikus számítógépes kódoláson alapulnak, amelyek lehetővé teszik a többnyire szöveges és grafikus szellemi alkotások terjesztését és megtekintését. E kódolás precizitásának mértéke meghatározza az elektronikus könyvfájlok akadálymentességét; különösen ami az alkotás különböző alkotóelemeinek osztályozását, valamint a szerkezetének szabványos leírását illeti. Az interoperabilitásnak az akadálymentesség vonatkozásában várhatóan optimálissá kell tennie e fájlok kompatibilitását a közvetítő eszközökkel, valamint a jelenlegi és jövőbeli támogató-segítő technológiákkal. Minden alkalmazandó akadálymentességi követelmény tekintetében figyelembe kell venni az olyan sajátos kiadványok különös jellemzőit, mint a képregények, a gyermekkönyvek és a művészeti könyvek. Amennyiben a tagállamonként eltérő akadálymentességi követelmények megnehezítené a kiadók és egyéb gazdasági szereplők számára, hogy kihasználják a belső piac előnyeit, az e-könyv-olvasók esetében interoperabilitási problémákat okozhatna, valamint korlátozná az elektronikus könyvek hozzáférhetőségét a fogyatékossággal élő fogyasztók számára. Az elektronikus könyvekkel összefüggésben a szolgáltató fogalma magában foglalhat kiadókat és a forgalmazásban részt vevő egyéb gazdasági szereplőket.

Elismert tény, hogy a fogyatékossággal élő személyek továbbra is akadályokkal szembesülnek az olyan tartalmakhoz való hozzáférést illetően, amelyek szerzői és szomszédos jogi védelem alatt állnak, mint ahogy az is, hogy az (EU) 2017/1564 európai parlamenti és tanácsi irányelv (14) és az (EU) 2017/1563 európai parlamenti és tanácsi rendelet (15) elfogadása révén bizonyos intézkedések születtek e helyzet kezelése érdekében, és a jövőben e tekintetben további uniós intézkedések hozhatók.

(42)

Ez az irányelv az elektronikus kereskedelmi szolgáltatásokat távolról, honlapokon és mobileszköz-alapú szolgáltatásokon keresztül, elektronikus úton és a fogyasztó egyéni kérelme alapján, fogyasztói szerződés megkötése céljából nyújtott szolgáltatásként határozza meg. E fogalommeghatározás alkalmazásában a „távolról” azt jelenti, hogy a szolgáltatást a felek egyidejű jelenléte nélkül nyújtják; az „elektronikus úton” azt jelenti, hogy a szolgáltatás elsődleges elküldése és a célállomásán való fogadása adatok feldolgozására (beleértve a digitális tömörítést is) és tárolására szolgáló elektronikus berendezés útján történik, valamint annak közvetítése, továbbítása és vétele teljes egészében vezetéken, rádión, optikai vagy egyéb elektromágneses eszköz útján történik; „a fogyasztó egyéni kérelme alapján” azt jelenti, hogy a szolgáltatás nyújtása egyéni kérelemre történik. Az elektronikus kereskedelmi szolgáltatások megnövekedett jelentőségére és magas technológiai színvonalukra tekintettel fontos, hogy az akadálymentességükre harmonizált követelmények vonatkozzanak.

(43)

Az elektronikus kereskedelmi szolgáltatásokra vonatkozó, ezen irányelv szerinti akadálymentességi kötelezettségeket minden termék és szolgáltatás online értékesítésére alkalmazni kell, következésképpen azokat alkalmazni kell valamennyi olyan termék és szolgáltatás értékesítésére is, amelyek önmagukban ezen irányelv hatálya alá tartoznak.

(44)

A segélyhívások megválaszolásának akadálymentességére vonatkozó intézkedéseket úgy kell elfogadni, hogy azok ne sértsék és ne befolyásolják a készenléti segélyszolgálatoknak a szervezését, amely továbbra is kizárólagos tagállami hatáskörben marad.

(45)

Az (EU) 2018/1972 irányelvvel összhangban a tagállamoknak biztosítaniuk kell, a fogyatékossággal élő végfelhasználók segélyhívási célú kommunikáción keresztül hozzáférjenek a segélyhívó szolgáltatásokhoz, és e hozzáférés a többi végfelhasználóéval egyenértékű legyen, a termékekre és a szolgáltatásokra vonatkozó akadálymentességi követelmények harmonizálását szolgáló uniós jogszabályokkal összhangban. A Bizottságnak és a nemzeti szabályozó vagy egyéb illetékes hatóságoknak meg kell tenniük a megfelelő intézkedéseket annak biztosítása érdekében, hogy a fogyatékossággal élő végfelhasználók más tagállamban történő utazásuk során lehetőség szerint más végfelhasználókkal azonos módon férhessenek hozzá a készenléti segélyszolgálatokhoz, bármilyen előzetes regisztráció nélkül. Ezen intézkedések célja a tagállamok közötti interoperabilitás biztosítása, és azoknak a lehető legnagyobb mértékben az (EU) 2018/1972 irányelv 39. cikkével összhangban megállapított európai szabványokon vagy előírásokon kell alapulniuk. Az ilyen intézkedések nem gátolják a tagállamokat abban, hogy az említett irányelvben meghatározott célok megvalósítása érdekében további követelményeket fogadjanak el. A tagállamok számára lehetővé kell tenni, hogy a fogyatékossággal élő felhasználók segélyhívásainak megválaszolására vonatkozó, az ezen irányelv szerinti akadálymentességi követelményeknek való megfelelés alternatívájaként meghatározzanak egy olyan harmadik fél közvetítő szolgáltatót, amelyet a fogyatékossággal élő személyek igénybe vehetnek a segélyszolgálati állomással való kommunikációhoz addig, amíg a segélyszolgálati állomások nem tudják a segélyhívások megválaszolására vonatkozó akadálymentességet biztosítani az elektronikus hírközlési szolgáltatások internetprotokollokon keresztüli használata útján. Az ezen irányelv szerinti kötelezettségek semmilyen esetben sem értelmezhetők úgy, hogy azok korlátozzák vagy enyhítik a fogyatékossággal élő végfelhasználók érdekeit szolgáló bármilyen – beleértve az elektronikus hírközlési szolgáltatásokhoz és a segélyhívó szolgáltatásokhoz való egyenértékű hozzáférésre és az akadálymentességre vonatkozóan az (EU) 2018/1972 irányelvben meghatározott – kötelezettséget.

(46)

Az (EU) 2016/2102 irányelv akadálymentességi követelményeket határoz meg a közszférabeli szervezetek honlapjaira, mobilalkalmazásaira és egyéb kapcsolódó aspektusaira vonatkozóan, különösen az érintett honlapok és mobilalkalmazások megfelelőségére vonatkozó követelményeket. Ugyanakkor az említett irányelv tartalmaz egy, a konkrét kivételeket tartalmazó listát is. Hasonló kivételek ezen irányelv szempontjából is relevánsak. Néhány olyan, ezen irányelv hatálya alá tartozó tevékenységnek – a személyszállítási szolgáltatások vagy az elektronikus kereskedelmi szolgáltatások –, amelyet közszférabeli szervezetek honlapjain és mobilalkalmazásain keresztül folytatnak, az ezen irányelv szerinti alkalmazandó akadálymentességi követelményeknek is meg kell felelniük annak biztosítása érdekében, hogy a termékek és a szolgáltatások online értékesítése akadálymentesen hozzáférhető legyen a fogyatékossággal élő személyek számára, függetlenül attól, hogy az eladó a köz- vagy a magánszférához tartozó gazdasági szereplő-e. Az ezen irányelv szerinti akadálymentességi követelményeket hozzá kell igazítani az (EU) 2016/2102 irányelv követelményeihez, a például a nyomon követés, a jelentéstétel és a végrehajtás tekintetében fennálló különbségek ellenére.

(47)

A honlapok és mobilalkalmazások akadálymentességének az (EU) 2016/2102 irányelv szerinti négy alapelve a következő: érzékelhetőség – az információkat és a felhasználói felület elemeit a felhasználók számára érzékelhető módon kell megjeleníteni; kezelhetőség – felhasználói felület elemeinek és a navigálási funkcióknak jól kezelhetőknek kell lenniük; érthetőség – a megjelenített információknak és a felhasználói felület kezelésének érthetőknek kell lenniük; és a stabilitás – tartalmaknak kellően stabilnak kell lenniük ahhoz, hogy a közvetítő eszközök széles körével – többek között támogató-segítő technológiákkal – megbízhatóan értelmezhetők legyenek. Ezek az alapelvek irányelv szempontjából is relevánsak.

(48)

A tagállamoknak minden megfelelő intézkedést meg kell hozniuk annak biztosítása érdekében, hogy az ezen irányelv hatálya alá tartozó és az alkalmazandó akadálymentességi követelményeknek megfelelő termékek és szolgáltatások Unión belüli szabad mozgását ne akadályozzák az akadálymentességi követelményekkel kapcsolatos okokból.

(49)

Bizonyos helyzetekben az épített környezetre vonatkozó közös akadálymentességi követelmények megkönnyítenék a kapcsolódó szolgáltatások és a fogyatékossággal élő személyek szabad mozgását. A tagállamok számára ezért ez az irányelv lehetővé teszi, hogy előírják a hatálya alá tartozó szolgáltatások nyújtásakor használt épített környezet megfelelését a III. mellékletben foglalt akadálymentességi követelményeknek.

(50)

Az akadálymentességet az akadályok szisztematikus felszámolásával és megelőzésével kell elérni, lehetőleg az egyetemes tervezés vagy a „mindenki számára történő tervezés” megközelítéssel, amely hozzájárul annak biztosításához, hogy a fogyatékossággal élő személyek másokkal egyenlő mértékben férjenek hozzá a termékekhez és a szolgáltatásokhoz. Az ENSZ-egyezmény szerint e megközelítés „a termékek, a környezet, a programok és szolgáltatások oly módon történő tervezését” jelenti, „hogy azok minden ember számára a lehető legnagyobb mértékben hozzáférhetőek legyenek: adaptálás, vagy speciális tervezés szükségessége nélkül. Az ENSZ-egyezménnyel összhangban „az »egyetemes tervezés« nem zárhatja ki a fogyatékossággal élő személyek csoportjai számára szükséges támogató-segítő eszközök és technológiák indokolt esetben történő használatát”. Továbbá az akadálymentesség nem zárhatja ki a fogyatékossággal élő személyek szükségletei szerinti észszerű alkalmazkodást, amennyiben azt az uniós vagy a nemzeti jog előírja. Az akadálymentességet és az egyetemes tervezést a fogyatékossággal élő személyek jogaival foglalkozó bizottság által kiadott, a „2(2014) sz., a 9. cikk: Az akadálymentesség” című általános észrevételnek megfelelően kell értelmezni.

(51)

Az ezen irányelv hatálya alá tartozó termékek és szolgáltatások nem tartoznak automatikusan a 93/42/EGK tanácsi irányelv (16) hatálya alá. Néhány olyan támogató-segítő technológia azonban, amely orvostechnikai eszköznek minősül, az említett irányelv hatálya alá tartozhat.

(52)

Az Unióban a legtöbb munkahelyet a mikro-, kis- és középvállalkozások adják. Alapvető fontossággal bírnak a jövőbeli növekedés szempontjából, azonban gyakran gátakba és akadályokba ütköznek a termékeik és szolgáltatásaik fejlesztésekor, különösen határokon átnyúló helyzetekben. Ezért a mikro-, kis- és középvállalkozások működését az akadálymentességre vonatkozó nemzeti rendelkezéseknek a szükséges biztosítékok fenntartása mellett történő harmonizálásával kell segíteni.

(53)

Ahhoz, hogy a mikro-, kis- és középvállalkozások élvezzék ezen irányelv előnyeit, ténylegesen teljesíteniük kell a 2003/361/EK bizottsági ajánlás (17) és a vonatkozó ítélkezési gyakorlat szerinti azon követelményeket, amelyek célja az ajánlásban foglalt szabályok kijátszásának megakadályozása.

(54)

Az uniós jogszabályok egységességének biztosítása érdekében, az ezen irányelv szerinti akadálymentességi követelmények sajátos jellemzőinek elismerése mellett ezen irányelvnek a 768/2008/EK európai parlamenti és tanácsi határozatra (18) kell épülnie, mivel olyan termékekre vonatkozik, amelyek már más uniós jogi aktusok hatálya alá tartoznak.

(55)

Az ezen irányelv hatálya alá tartozó és az ellátási és az értékesítési láncba bekapcsolódó minden gazdasági szereplőnek biztosítania kell, hogy csak olyan termékeket forgalmazzon, amelyek megfelelnek ennek az irányelvnek.. Ugyanennek kell vonatkoznia a szolgáltatásokat nyújtó gazdasági szereplőkre is. A kötelezettségeket egyértelműen és arányosan, az egyes gazdasági szereplők által az ellátási és az értékesítési folyamatban betöltött szerepkörnek megfelelően kell meghatározni.

(56)

A gazdasági szereplőknek az ellátási láncban betöltött szerepüktől függően felelősséget kell vállalniuk a termékek és a szolgáltatások megfelelőségéért az akadálymentes hozzáférés magas szintű védelmének elősegítése és az uniós piacon a tisztességes verseny garantálása érdekében.

(57)

Az ezen irányelv szerinti kötelezettségeket egyenlő mértékben kell alkalmazni a köz-, illetve a magánszektor gazdasági szereplőire.

(58)

mivel a gyártó részletes ismerettel rendelkezik a tervezési és gyártási eljárásról, ő van a legjobb helyzetben ahhoz, hogy elvégezze a teljes megfelelőségértékelést. Bár a termékek megfelelőségéért a gyártó felel, a piacfelügyeleti hatóságoknak kulcsfontosságú szerepet kell betölteniük annak ellenőrzésében, hogy az Unióban forgalmazott termékek gyártása az uniós jogszabályokkal összhangban történik-e.

(59)

Az importőröket és a forgalmazókat be kell vonni a nemzeti hatóságok által ellátott piacfelügyeleti feladatokba, azokban aktívan részt kell venniük, és az érintett termékre vonatkozó valamennyi szükséges információt az illetékes hatóságok rendelkezésére kell bocsátaniuk.

(60)

Az importőröknek gondoskodniuk kell arról, hogy a harmadik országokból az uniós piacra lépő termékek megfeleljenek ennek az irányelvnek, és meg kell bizonyosodniuk különösen arról, hogy a gyártók lefolytatták e termékek tekintetében a megfelelő megfelelőségértékelési eljárásokat.

(61)

Amikor egy terméket forgalomba hoznak, az importőröknek fel kell tüntetniük a terméken a nevüket, a bejegyzett kereskedelmi nevüket vagy a bejegyzett védjegyüket és azt a címüket, amelyen kapcsolatba lehet lépni velük.

(62)

A forgalmazóknak biztosítaniuk kell, hogy a termék általuk történő kezelése ne befolyásolja hátrányosan a terméknek az ezen irányelv szerinti akadálymentességi követelményeknek való megfelelését.

(63)

Amennyiben bármely gazdasági szereplő a saját neve vagy védjegye alatt hoz forgalomba egy terméket, illetve olyan módon módosít egy már forgalomba hozott terméket, amely befolyásolhatja a terméknek az alkalmazandó követelményeknek való megfelelését, gyártónak kell tekinteni, és így vállalnia kell a gyártót terhelő kötelezettségeket.

(64)

Az arányosság érdekében az akadálymentességi követelményeket csak olyan mértékben kell alkalmazni, hogy ne rójanak aránytalan terheket az érintett gazdasági szereplőre, vagy csak olyan mértékben, hogy ne legyen szükséges a termékek és a szolgáltatások olyan mértékű jelentős módosítása, amely ezen irányelv fényében alapvető módosulásnak minősül. Ugyanakkor rendelkezésre kell állniuk olyan ellenőrzési mechanizmusoknak, amelyek alapján meg lehet vizsgálni az akadálymentességi követelmények alkalmazása alóli kivételek jogosultságát.

(65)

Ennek az irányelvnek a „gondolkozz először kicsiben” elvét kell követnie és figyelembe kell vennie az adminisztratív terheket, amelyekkel a kkv-k szembesülnek. Könnyen teljesíthető szabályokat kell megállapítania a megfelelőségértékelés tekintetében, és általános kivételek és eltérések helyett védzáradékokról kell rendelkeznie ezen vállalkozások esetében. Következésképpen a legmegfelelőbb megfelelőségértékelési eljárások kiválasztási és végrehajtási szabályainak megállapításakor figyelembe kell venni a kkv-k helyzetét, és az akadálymentességi követelményeknek való megfelelés értékelésének kötelezettségét olyan mértékűre kell korlátozni, hogy az ne rójon aránytalan terheket a kkv-kra. Ezen túlmenően a piacfelügyeleti hatóságoknak a vállalkozások méretével és a kis sorozatban vagy nem sorozatban történő termeléssel arányos módon kell eljárniuk, anélkül, hogy szükségtelen akadályokat teremtenének a kkv-j számára, illetve veszélyeztetnék a közérdek védelmét.

(66)

Rendkívüli esetekben, ha az ezen irányelv szerinti akadálymentességi követelményeknek való megfelelés a gazdasági szereplőkre aránytalan terhet róna, a gazdasági szereplőket csak olyan mértékben kell ezen követelmények teljesítésére kötelezni, hogy azok ne jelentsenek aránytalan terhet számukra. Az ilyen kellően indokolt esetekben a gazdasági szereplők számára észszerű módon nem lenne lehetséges az ezen irányelvben meghatározott egy vagy több akadálymentességi követelmény teljeskörű alkalmazása. A gazdasági szereplőnek azonban gondoskodnia kell arról, hogy az ezen irányelv hatálya alá tartozó szolgáltatás vagy termék a lehető legnagyobb mértékben akadálymentesen hozzáférhető legyen az említett akadálymentességi követelmények olyan mértékű alkalmazásával, amely nem jelent aránytalan terhet. Azon akadálymentességi követelmények, amelyekről a gazdasági szereplő nem vélte úgy, hogy azok aránytalan terhet jelentenek, teljes mértékben alkalmazandóak. Az egy vagy több akadálymentességi követelmény teljesítése alól az általuk támasztott aránytalan teher miatti mentesítés nem haladhatja meg az ahhoz szigorúan szükséges mértéket, hogy az egyes esetekben az adott termék vagy szolgáltatás tekintetében korlátozzák e terhet. Az aránytalan terhet jelentő intézkedések alatt olyan intézkedések értendők, amelyek további túlzott szervezési vagy pénzügyi terhet rónának a gazdasági szereplőre, figyelembe véve azt is, hogy az ezen irányelv szerinti kritériumok alapján az intézkedések várhatóan milyen haszonnal járnának a fogyatékossággal élő személyek számára. E megfontolások alapján kritériumokat kell meghatározni annak lehetővé tétele érdekében, hogy mind a gazdasági szereplők, mind az illetékes hatóságok képesek legyenek különböző helyzeteket összehasonlítani, és szisztematikusan felmérjék az aránytalan teher fennállását. Kizárólag jogos indokok vehetők figyelembe annak értékelése során, hogy az akadálymentességi követelményeket milyen mértékben nem lehet teljesíteni amiatt, hogy azok aránytalan terhet jelentenének. A prioritás, az idő és az ismeretek hiányát nem lehet jogos indoknak tekinteni.

(67)

Az aránytalan teher átfogó értékelését a VI. mellékletben meghatározott kritériumok alkalmazásával kell elvégezni. Az aránytalan teher értékelését a gazdasági szereplőnek a releváns kritériumok figyelembevételével dokumentálnia kell. A szolgáltatóknak legalább ötévente meg kell újítaniuk az aránytalan teherre vonatkozó értékelésüket.

(68)

A gazdasági szereplőnek tájékoztatnia kell az érintett hatóságokat arról, hogy ezen irányelv alapvető módosulásra és/vagy az aránytalan teherre vonatkozó rendelkezéseire támaszkodott. A gazdasági szereplőknek csak az érintett hatóságok kérelmére kell benyújtaniuk az értékelés egy példányát, amelyben ismertetik, hogy a termékük vagy szolgáltatásuk miért nem maradéktalanul akadálymentes, és amelyben bizonyítékkal szolgálnak az aránytalan teherre vagy az alapvető módosulásra vagy mindkettőre.

(69)

Amennyiben az előírt értékelés alapján a szolgáltató azt állapítja meg, hogy aránytalan terhet jelentene, ha az adott szolgáltatások nyújtására használt minden önkiszolgáló terminálnak meg kellene felelnie az ezen irányelv szerinti akadálymentességi követelményeknek, a szolgáltatónak az említett követelményeket mégis alkalmaznia kell olyan mértékben, amely követelmények nem rónak ilyen aránytalan terhet számára. Következésképpen a szolgáltatóknak fel kell mérniük, hogy vajon az, ha minden önkiszolgáló terminál esetében korlátozott szintű akadálymentes hozzáférést biztosítanak, vagy ha rendelkezésre bocsátanak néhány teljes mértékben akadálymentesen hozzáférhető önkiszolgáló terminált, milyen mértékben tenné lehetővé számukra, hogy elkerüljék az amúgy egyébként őket terhelő aránytalan terhet, és a szolgáltatóknak csak ebben a mértékben kell megfelelniük az ezen irányelv szerinti akadálymentességi követelményeknek.

(70)

A mikrovállalkozásokat korlátozott emberi erőforrásaik, csekély éves árbevételük vagy behatárolt éves mérlegük megkülönböztetik minden egyéb vállalkozástól. Az akadálymentességi követelmények teljesítése miatt a mikrovállalkozásokra háruló teher ezért általánosságban pénzügyi és emberi erőforrásaik nagyobb részét emészti fel, mint más vállalkozások esetében, és nagyobb a valószínűsége annak, hogy a költségek aránytalan hányadát teszi ki. A mikrovállalkozások esetében a költségek jelentős hányadát teszi ki az ahhoz szükséges dokumentáció és nyilvántartás elkészítése és megőrzése, hogy bizonyítani tudják az uniós jogszabályokban meghatározott különböző követelmények teljesítését. Noha az ezen irányelv hatálya alá tartozó minden gazdasági szereplőnek képesnek kell lennie értékelni az ezen irányelv szerinti akadálymentességi követelményeknek való megfelelés arányosságát, és csak annyiban megfelelnie e követelményeknek, amennyiben azok nem aránytalanok, ilyen értékelés előírása a szolgáltatásokat nyújtó mikrovállalkozásokra önmagában aránytalan terhet róna rájuk. Ezért helyénvaló, hogy az ezen irányelv szerinti követelmények és kötelezettségek ne legyenek alkalmazandók az ezen irányelv hatálya alá tartozó szolgáltatásokat nyújtó mikrovállalkozásokra.

(71)

Az ezen irányelv hatálya alá tartozó termékekkel foglalkozó mikrovállalkozásokra vonatkozóan az aránytalan adminisztratív terhek csökkentése érdekében az ezen irányelv szerinti követelményeknek és kötelezettségeknek enyhébbnek kell lenniük.

(72)

Noha egyes mikrovállalkozások mentesülnek az ezen irányelv szerinti követelmények alól, valamennyi mikrovállalkozást ösztönözni kell olyan termékek gyártására, behozatalára vagy forgalmazására, valamint olyan szolgáltatások nyújtására, amelyek megfelelnek az ezen irányelv szerinti akadálymentességi követelményeknek, annak érdekében, hogy javuljon versenyképességük és növekedési potenciáljuk a belső piacon. A tagállamoknak ezért iránymutatással kell szolgálniuk és eszközöket kell biztosítaniuk a mikrovállalkozások számára, hogy elősegítsék az ezen irányelvet átültető nemzeti intézkedések alkalmazását.

(73)

Minden gazdasági szereplőnek a termékek forgalomba hozatalakor vagy forgalmazásakor, illetve a szolgáltatások nyújtásakor a piacon felelősen, és az alkalmazandó jogi követelményekkel teljes összhangban kell eljárnia.

(74)

Az alkalmazandó akadálymentességi követelményeknek való megfelelés értékelésének megkönnyítése érdekében indokolt előírni a megfelelés vélelmét azon termékek és szolgáltatások esetében, amelyek megfelelnek az 1025/2012/EU európai parlamenti és tanácsi rendelettel (19) összhangban az e követelmények részletes műszaki előírásai kidolgozásának céljából elfogadott önkéntes harmonizált szabványoknak. A Bizottság már több olyan megbízást is (így például az M/376, az M/473 és az M/420 sz. szabványosítási megbízást) adott az európai szabványügyi szerveknek akadálymentességi szabványok kidolgozására, amelyek relevánsak lehetnek harmonizált szabványok kidolgozása szempontjából.

(75)

Az 1025/2012/EU rendelet meghatározza az abban az esetben alkalmazandó eljárást, amikor harmonizált szabványok ellen hivatalos kifogást emelnek amiatt, hogy azok nem tesznek eleget az ezen irányelv szerinti követelményeknek.

(76)

Az európai szabványoknak piacorientáltnak kell lenniük, figyelembe kell venniük a közérdeket és a Bizottság egy vagy több európai szabványügyi szervezethez intézett, a harmonizált szabványok készítésére irányuló kérésében világosan megfogalmazott szakpolitikai célokat, továbbá konszenzuson kell alapulniuk. Harmonizált szabványok hiányában és amennyiben a belső piaci harmonizáció céljából szükséges, a Bizottság számára lehetővé kell tenni, hogy bizonyos esetekben végrehajtási jogi aktusokat fogadjon el az ezen irányelv szerinti akadálymentességi követelmények műszaki előírásainak megállapítására vonatkozóan. A műszaki előírások alkalmazását az ilyen esetekre kell korlátozni. A Bizottság számára különösen abban az esetben kell lehetővé tenni műszaki előírások elfogadását, ha a szabványosítási folyamat az érdekelt felek közötti konszenzus hiányában megakad, vagy ha indokolatlan késedelem alakul ki a harmonizált szabvány kidolgozásában például azért, mert a megkívánt minőségi szintet nem érték el. A Bizottságnak elegendő időt kell hagynia az egy vagy több európai szabványügyi szervezethez intézett, harmonizált szabványok készítésére irányuló kérés elfogadása és az ugyanarra az akadálymentességi követelményre vonatkozó műszaki előírás elfogadása között. A Bizottság nem fogadhat el műszaki előírásokat, ha korábban nem próbálta meg az európai szabványügyi rendszeren keresztül lefedni az akadálymentességi követelményeket, kivéve, ha bizonyítani tudja, hogy a műszaki előírás tiszteletben tartja az 1025/2012/EU rendelet II. mellékletében meghatározott követelményeket.

(77)

Az ezen irányelv szerinti, termékekre és szolgáltatásokra vonatkozó akadálymentességi követelményeknek eleget tevő harmonizált szabványok és műszaki előírások leghatékonyabb módon történő megállapítása céljából a Bizottságnak – amennyiben megvalósítható – be kell vonnia a folyamatba a fogyatékossággal élő személyek európai ernyőszervezeteit és minden egyéb érintett érdekelt felet.

(78)

Az információkhoz való, piacfelügyeleti célú tényleges hozzáférés biztosítása érdekében az összes alkalmazandó uniós jogi aktusnak való megfelelés igazolásához szükséges információkat egyetlen EU-megfelelőségi nyilatkozatban kell rendelkezésre bocsátani. A gazdasági szereplők adminisztratív terheinek csökkentése érdekében lehetővé kell tenni, hogy ezen egyetlen EU-megfelelőségi nyilatkozat tartalmazza valamennyi vonatkozó egyedi megfelelőségi nyilatkozatot.

(79)

A termékek megfelelőségértékelése tekintetében ennek az irányelvnek belső gyártásellenőrzés „A. modulját” kell használnia, amelyet a 768/2008/EK határozat II. melléklete határoz meg. mivel az lehetővé teszi, hogy a gazdasági szereplők igazolni, az illetékes hatóságok pedig biztosítani tudják, hogy a forgalmazott termékek megfelelnek az akadálymentességi követelményeknek, miközben nem jár indokolatlan terhekkel.

(80)

A termékekkel kapcsolatos piacfelügyeleti tevékenység végzése és a szolgáltatások megfelelésének ellenőrzése során a hatóságoknak ellenőrizniük kell a megfelelőségértékeléseket, ideértve azt is, hogy az alapvető módosulás vagy aránytalan teher vonatkozó értékelését megfelelően végezték-e el. A hatóságoknak feladataik elvégzése során a fogyatékossággal élő személyekkel és az őket, illetve érdekeiket képviselő szervezetekkel is együtt kell működniük.

(81)

A szolgáltatások esetében az ezen irányelv szerinti akadálymentességi követelményeknek való megfelelés értékeléséhez szükséges információkat az általános feltételeknek vagy egy azzal egyenértékű dokumentumnak kell tartalmaznia, a 2011/83/EU európai parlamenti és tanácsi irányelv (20) sérelme nélkül.

(82)

A tágabb értelemben vett megfelelőségértékelésre irányuló eljárás egészének látható végeredménye a CE-jelölés, amely jelzi, hogy a termék megfelel az ezen irányelv szerinti akadálymentességi követelményeknek. Ennek az irányelvnek a termékek forgalmazása tekintetében az akkreditálás és piacfelügyelet előírásainak megállapításáról szóló 765/2008/EK európai parlamenti és tanácsi rendeletben (21) a CE-jelölésre vonatkozóan megállapított általános elveket kell követnie. Az EU-megfelelőségi nyilatkozat kiadásán kívül a gyártónak költséghatékony módon tájékoztatnia kell a fogyasztókat a termék akadálymentességéről.

(83)

A 765/2008/EK rendeletnek megfelelően a CE-jelölésnek a terméken való elhelyezésével a gyártó kijelenti, hogy a termék megfelel az összes alkalmazandó akadálymentességi követelménynek, és ezért a gyártó teljes felelősséget vállal.

(84)

A 768/2008/EK határozatnak megfelelően saját területükön a tagállamok felelősek a termékek szigorú és hatékony piacfelügyeletének a biztosításáért, és piacfelügyeleti hatóságaik számára megfelelő hatásköröket és erőforrásokat kell biztosítaniuk.

(85)

A tagállamoknak ellenőrizniük kell a szolgáltatásoknak az ezen irányelv szerinti kötelezettségeknek való megfelelését, és nyomon kell követniük a meg nem feleléssel kapcsolatos panaszokat vagy bejelentéseket a korrekciós intézkedések meghozatalának biztosítása érdekében.

(86)

A Bizottság adott esetben az érintett felekkel konzultálva nem kötelező erejű iránymutatásokat fogadhat el, amelyek támogatják a piacfelügyeleti hatóságok és a szolgáltatások megfelelőségének ellenőrzéséért felelős hatóságok közötti koordinációt. A Bizottság és a tagállamok számára lehetővé kell tenni, hogy kezdeményezéseket dolgozzanak ki az erőforrásoknak és a szakértelemnek a hatóságok közötti megosztása céljából.

(87)

A tagállamoknak biztosítaniuk kell, hogy a piacfelügyeleti hatóságok és a szolgáltatások megfelelőségének ellenőrzéséért felelős hatóságok a VIII. és IX. fejezet szerint ellenőrizzék a gazdasági szereplőknek a VI. mellékletben foglalt kritériumoknak való megfelelését. A tagállamok számára lehetővé kell tenni, hogy kijelöljenek egy szakosodott szervet a piacfelügyeleti hatóságok és a szolgáltatások megfelelőségének ellenőrzéséért felelős hatóságok ezen irányelv szerinti kötelezettségeinek végrehajtására. A tagállamok számára lehetővé kell tenni, hogy eldöntsék, hogy az ilyen szakosodott szerv hatásköre csupán ezen irányelv vagy annak egyes részei hatályára korlátozódjon, a tagállamok 765/2008/EK rendelet szerinti kötelezettségeinek sérelme nélkül.

(88)

Védintézkedési eljárást kell kidolgozni, amely az egyik tagállam által hozott intézkedések miatt a tagállamok között kialakult vita esetén lenne alkalmazandó, amely lehetővé teszi az érdekelt felek tájékoztatását az olyan termékek tekintetében tervezett intézkedésekről, amelyek nem felelnek meg az az ezen irányelv szerinti akadálymentességi követelményeknek. A védintézkedési eljárásnak lehetővé kell tennie, hogy a piacfelügyeleti hatóságok a megfelelő gazdasági szereplőkkel együttműködve e termékeket illetően már korábbi szakaszban fel tudjanak lépni.

(89)

Amennyiben a tagállamok és a Bizottság egyetértenek abban, hogy a valamely tagállam által hozott intézkedés indokolt, nincs szükség a Bizottság további közreműködésére, kivéve az olyan eseteket, ahol a megfelelés hiánya a harmonizált szabvány vagy a műszaki előírás hiányosságainak tulajdonítható.

(90)

A közbeszerzésről szóló 2014/24/EU (22) és 2014/25/EU (23) európai parlamenti és tanácsi irányelvek, amelyek meghatározzák a közbeszerzési szerződésekre és tervpályázatokra vonatkozó eljárásokat bizonyos áruk (termékek), szolgáltatások és építési beruházások tekintetében, arról rendelkeznek, hogy minden olyan beszerzés esetében, amelyet természetes személyek – akár a nagyközönség, akár az ajánlatkérő szerv vagy a közszolgáltató ajánlatkérő alkalmazottai – általi felhasználásra szánnak, a megfelelően indokolt esetektől eltekintve a műszaki leírást úgy kell megállapítani, hogy az figyelembe vegye a fogyatékossággal élő személyek számára való akadálymentesség és a valamennyi felhasználó számára alkalmas kialakítás szempontjait. Ezek az irányelvek előírják továbbá, hogy amennyiben uniós jogi aktusban kötelező akadálymentességi követelményeket fogadnak el, a műszaki leírást – amennyiben a fogyatékossággal élő személyek számára való akadálymentesség vagy a valamennyi felhasználó számára alkalmas kialakítás szempontjait érinti – e jogi aktusra való hivatkozással kell megállapítani. Ennek az irányelvnek a hatálya alá tartozó termékek és szolgáltatások tekintetében kötelező akadálymentességi követelményeket kell meghatároznia. Az ezen irányelv szerinti akadálymentességi követelmények nem kötelezőek azokra a termékekre és szolgáltatásokra, amelyek nem tartoznak az irányelv hatálya alá. Az akadálymentességi követelményeknek az ezen irányelvtől eltérő uniós jogi aktusokban foglalt vonatkozó kötelezettségek teljesítése céljából való alkalmazása azonban megkönnyítené az akadálymentesség megvalósítását és hozzájárulna a jogbiztonsághoz, valamint az akadálymentességi követelmények közelítéséhez az Unióban. Ezen irányelv nem akadályozhatja a hatóságokat abban, hogy olyan akadálymentességi követelményeket határozzanak meg, amelyek túlmutatnak az ezen irányelv I. mellékletében foglalt akadálymentességi követelményeken.

(91)

Ez az irányelv nem változtathatja meg az egyéb uniós jogi aktusokban foglalt, az akadálymentességre vonatkozó rendelkezések kötelező vagy önkéntes jellegét.

(92)

Ez az irányelv csak olyan közbeszerzési eljárásokra alkalmazandó, amelyekre vonatkozóan ezen irányelv alkalmazásának kezdőnapja után küldték el az eljárást megindító felhívást, vagy – azokban az esetekben, amikor ilyen felhívásra nem kerül sor – amelyekre vonatkozóan ezen irányelv alkalmazásának kezdőnapja után indította meg az ajánlatkérő szerv vagy a közszolgáltató ajánlatkérő a közbeszerzési eljárást.

(93)

Ezen irányelv megfelelő alkalmazásának biztosítása céljából a Bizottságot fel kell hatalmazni arra, hogy az EUMSZ 290. cikkének megfelelően jogi aktusokat fogadjon el a következőkre vonatkozóan: azon akadálymentességi követelmények pontosabb meghatározása, amelyek jellegüknél fogva csak akkor érhetik el a kívánt céljukat, ha valamely kötelező erejű uniós jogi aktus részletesebben meghatározza őket; azon időszak módosítása, amely során a gazdasági szereplőknek képesnek kell lenniük azonosítani azokat az egyéb gazdasági szereplőket, amelyek részükre terméket szállítottak, vagy amelyek részére ők szállítottak terméket; valamint azon vonatkozó kritériumok részletes meghatározása, amelyeket a gazdasági szereplőknek figyelembe kell venniük annak értékelésekor, hogy az akadálymentességi követelményeknek való megfelelés aránytalan terhet jelent-e. Különösen fontos, hogy a Bizottság az előkészítő munkája során megfelelő konzultációkat folytasson, többek között szakértői szinten is, és hogy e konzultációkra a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásnak (24) megfelelően kerüljön sor. A felhatalmazáson alapuló jogi aktusok előkészítésében való egyenlő részvétel biztosítása érdekében az Európai Parlament és a Tanács a tagállamok szakértőivel egyidejűleg kap kézhez minden dokumentumot, és szakértőik rendszeresen részt vehetnek a Bizottság felhatalmazáson alapuló jogi aktusok előkészítésével foglalkozó szakértői csoportjainak ülésein.

(94)

Ezen irányelv végrehajtása egységes feltételeinek biztosítása érdekében a Bizottságra végrehajtási hatásköröket kell ruházni a műszaki előírásokra vonatkozóan. Ezeket a végrehajtási hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek (25) megfelelően kell gyakorolni.

(95)

A tagállamoknak gondoskodniuk kell az irányelv betartását biztosító megfelelő és hatékony eszközökről, és ezért megfelelő ellenőrzési mechanizmusokat – mint például a piacfelügyeleti hatóságok általi utólagos ellenőrzés – kell létrehozniuk annak érdekében, hogy meg lehessen vizsgálni az akadálymentességi követelmények alkalmazása alóli mentesülés jogosultságát. Az akadálymentességgel kapcsolatos panaszok kezelése során a tagállamoknak meg kell felelniük a megfelelő ügyintézés általános elvének és különösen a tisztviselők azon kötelezettségének, hogy minden egyes panasz esetében biztosítsák az észszerű határidőn belüli határozathozatalt.

(96)

Ezen irányelv egységes végrehajtásának megkönnyítése érdekében a Bizottságnak az információk és a bevált gyakorlatok cseréjének elősegítése, valamint tanácsadás céljából az érintett hatóságokból és érdekelt felekből álló munkacsoportot kell létrehoznia. Ösztönözni kell a hatóságok és az érintett felek, köztük a fogyatékossággal élő személyek és az őket képviselő szervezetek közötti együttműködést, többek között ezen irányelv akadálymentességi követelményekre vonatkozó rendelkezéseinek egységes alkalmazásának javítása, valamint az alapvető módosulásra és az aránytalan teherre vonatkozó rendelkezései végrehajtásának nyomon követése érdekében.

(97)

Tekintettel a 2014/24/EU és a 2014/25/EU irányelv hatálya alá tartozó területeken meglévő jogorvoslati lehetőségekre vonatkozó jogi keretre, ennek az irányelvnek a végrehajtásra és a szankciókra vonatkozó rendelkezései nem alkalmazandók azokra a közbeszerzési eljárásokra, amelyekre az ezen irányelv szerinti kötelezettségek vonatkoznak. E kizárás nem sérti a tagállamok Szerződések szerinti, arra vonatkozó kötelezettségeit, hogy minden szükséges intézkedést megtegyenek az uniós jogszabályok alkalmazásának és eredményességének biztosítása érdekében.

(98)

A szankcióknak megfelelőnek kell lenniük a jogsértések jellege és a körülmények szempontjából, hogy ne jelentsenek alternatívát a gazdasági szereplők számára a tekintetben, hogy teljesíteniük kell a termékek vagy a szolgáltatások akadálymentesítésével kapcsolatos kötelezettségeiket.

(99)

A tagállamoknak biztosítaniuk kell, hogy a hatályos uniós jogszabályokkal összhangban olyan alternatív vitarendezési mechanizmusok álljanak rendelkezésre, amelyek lehetővé teszik az ezen irányelvnek való megfelelés feltételezett nem teljesülésének rendezését, a bíróságok vagy az illetékes közigazgatási szervek előtti eljárásindítás előtt.

(100)

A tagállamok és a Bizottság magyarázó dokumentumokról szóló, 2011. szeptember 28-i együttes politikai nyilatkozatának (26) megfelelően a tagállamok vállalták, hogy az átültető intézkedéseikről szóló értesítéshez indokolt esetben egy vagy több olyan dokumentumot mellékelnek, amely megmagyarázza az irányelv elemei és az azt átültető nemzeti jogi eszközök megfelelő részei közötti kapcsolatot. Ezen irányelv tekintetében a jogalkotó úgy ítéli meg, hogy ilyen dokumentumok megküldése indokolt.

(101)

Annak érdekében, hogy elegendő idő álljon a szolgáltatók rendelkezésére az ezen irányelv szerinti követelményekhez való alkalmazkodáshoz, az ezen irányelv alkalmazásának kezdőnapjától számított ötéves átmeneti időszakot kell előírni, amely alatt egy szolgáltatás nyújtásához használt, ezen időpont előtt forgalomba hozott termékeknek nem kell megfelelniük az ezen irányelv szerinti akadálymentességi követelményeknek, kivéve akkor, ha azokat a szolgáltatók az átmeneti időszak alatt lecserélik. Tekintettel az önkiszolgáló terminálok költségeire és hosszú élettartamára, helyénvaló előírni, hogy a szolgáltatások nyújtására használt ilyen terminálokat tovább lehessen használni a gazdasági élettartamuk végéig, hacsak le nem cserélik őket ezen időszak alatt, de legfeljebb 20 évig.

(102)

Az ezen irányelv szerinti akadálymentességi követelményeket az ezen irányelvet átültető nemzeti intézkedések alkalmazásának kezdőnapját követően forgalomba hozott termékekre és nyújtott szolgáltatásokra kell alkalmazni, ideértve az ezen időpontot követően forgalomba hozott, harmadik országokból behozott használt termékeket is.

(103)

Ez az irányelv tiszteletben tartja az alapvető jogokat és különösen az Európai Unió Alapjogi Chartájában (a továbbiakban: a Charta) elismert alapelveket. Ez az irányelv különösen a fogyatékossággal élő személyek ahhoz való jogosultságának maradéktalan tiszteletben tartását célozza, hogy élhessenek az önállóságuk, társadalmi és foglalkoztatási integrációjuk, valamint a közösség életében való részvételük biztosítását célzó intézkedések előnyeivel, és ösztönzi a Charta 21., 25. és 26. cikkének alkalmazását.

(104)

mivel ezen irányelv célját, nevezetesen a belső piac megfelelő működéséhez való hozzájárulás érdekében egyes akadálymentesen hozzáférhető termékek és szolgáltatások szabad mozgását gátló akadályok elhárítását, a tagállamok nem tudják kielégítően megvalósítani, mivel ez a jogrendszereikben jelenleg létező különböző szabályok harmonizációját igényli, az Unió szintjén azonban közös akadálymentességi követelmények és a belső piac működésére vonatkozó szabályok meghatározása révén e cél jobban megvalósítható, az Unió intézkedéseket hozhat az Európai Unióról szóló szerződés 5. cikkében foglalt szubszidiaritás elvének megfelelően. Az említett cikkben foglalt arányosság elvének megfelelően ez az irányelv nem lépi túl az e cél eléréséhez szükséges mértéket,