(1)

In het licht van de conclusies van de Raad van 12 februari 2016 over de bestrijding van terrorismefinanciering, de mededeling van de Commissie aan het Europees Parlement en de Raad van 2 februari 2016 inzake een actieplan ter versterking van de strijd tegen terrorismefinanciering, en Richtlijn (EU) 2017/541 van het Europees Parlement en de Raad (2), moeten gemeenschappelijke voorschriften voor de handel met derde landen worden vastgesteld om cultuurgoederen doeltreffend te beschermen tegen illegale handel, verlies of vernietiging, het culturele erfgoed van de mensheid in stand te houden, en de financiering van terrorisme en het witwassen van geld via de verkoop van geplunderd cultuurgoederen aan kopers in de Unie te voorkomen.

(2)

De uitbuiting van volkeren en gebieden, kan leiden tot illegale handel in cultuurgoederen, met name wanneer deze illegale handel zijn oorsprong heeft in een context van gewapende conflicten. Desbetreffend moet deze verordening de regionale en lokale kenmerken van volkeren en gebieden in aanmerking nemen, en niet de marktwaarde van cultuurgoederen.

(3)

Cultuurgoederen maken deel uit van het culturele erfgoed en hebben dikwijls een grote culturele, artistieke, historische en wetenschappelijke betekenis. Cultureel erfgoed is een van de hoekstenen van de beschaving: het heeft onder meer symbolische waarde en vormt een onderdeel van het cultureel geheugen van de mensheid. Het verrijkt het culturele leven van alle volkeren en verenigt mensen door gedeelde herinnering, kennis en ontwikkeling van beschaving. Cultureel erfgoed moet daarom worden beschermd tegen onrechtmatige toe-eigening en plundering. De plundering van archeologische vindplaatsen is van alle tijden, maar gebeurt nu op industriële schaal en is samen met de handel in illegaal opgegraven cultuurgoederen een ernstig misdrijf dat aanzienlijke schade veroorzaakt voor hen die er direct of indirect door worden getroffen. De illegale handel in cultuurgoederen draagt in veel gevallen bij tot een sterke culturele homogenisering of tot het gedwongen verlies van culturele identiteit, en de plundering van cultuurgoederen leidt onder meer tot het uiteenvallen van culturen. Zolang het mogelijk is om een lucratieve handel in illegaal opgegraven cultuurgoederen te drijven en daar voordeel uit te halen zonder noemenswaardig risico, zullen dit soort opgravingen en plunderingen gewoon doorgaan. Door de economische en artistieke waarde van cultuurgoederen bestaat er een grote vraag naar hen op de internationale markt. Het ontbreken van krachtige internationale wettelijke maatregelen en de ondoeltreffende handhaving van de maatregelen die wel bestaan leiden ertoe dat deze goederen in de schaduweconomie terecht komen. De Unie moet dan ook het binnenbrengen in het douanegebied van de Unie van cultuurgoederen die illegaal uit derde landen zijn uitgevoerd, verbieden, waarbij de nadruk met name moet liggen op cultuurgoederen uit derde landen waar gewapende conflicten heersen, in het bijzonder cultuurgoederen die illegaal zijn verhandeld door terroristische of andere criminele organisaties. Hoewel zo’n algemeen verbod niet mag leiden tot systematische controles, moeten de lidstaten kunnen ingrijpen wanneer zij informatie krijgen inzake verdachte zendingen, en de nodige maatregelen kunnen nemen om illegaal uitgevoerde cultuurgoederen te onderscheppen.

(4)

Gelet op het feit dat de lidstaten uiteenlopende regels kennen voor de invoer van cultuurgoederen in het douanegebied van de Unie, moeten met name maatregelen worden genomen om te garanderen dat een bepaald type invoer van cultuurgoederen wordt onderworpen aan uniforme controles bij binnenkomst in het douanegebied van de Unie, op basis van bestaande processen, procedures en administratieve instrumenten om tot een eenvormige uitvoering te komen van Verordening (EU) nr. 952/2013 van het Europees Parlement en de Raad (3).

(5)

De bescherming van cultuurgoederen die als nationaal bezit van de lidstaten zijn aangemerkt, is reeds geregeld in Verordening (EG) nr. 116/2009 van de Raad (4) en Richtlijn 2014/60/EU van het Europees Parlement en de Raad (5). De onderhavige verordening moet dan ook niet van toepassing zijn op cultuurgoederen die in het douanegebied van de EU zijn vervaardigd of daar zijn ontdekt. De bij deze verordening ingevoerde gemeenschappelijke voorschriften moeten de douanebehandeling regelen van cultuurgoederen van buiten de Unie die het douanegebied van de Unie binnenkomen. Voor de toepassing van deze verordening dient het relevante douanegebied het douanegebied van de Unie op het tijdstip van invoer te zijn.

(6)

De controlemaatregelen die moeten worden ingesteld met betrekking tot vrije zones en zogenaamde „vrijhavens” moeten een zo breed mogelijk toepassingsgebied hebben voor de betreffende douaneregelingen, teneinde te voorkomen dat deze verordening wordt omzeild doordat gebruik wordt gemaakt van die vrije zones, die mogelijk gebruikt kunnen worden voor de verdere proliferatie van illegale handel. Daarom moeten de controlemaatregelen niet alleen betrekking hebben op cultuurgoederen die in het vrije handelsverkeer worden gebracht, maar ook op cultuurgoederen die onder een bijzondere douaneregeling worden geplaatst. Dit toepassingsgebied mag evenwel niet verder reiken dan hetgeen wordt beoogd, namelijk te voorkomen dat illegaal uitgevoerde cultuurgoederen het douanegebied van de Unie binnenkomen. Zodoende mogen systematische controlemaatregelen niet gelden ten aanzien van douanevervoer, terwijl zij wel moeten gelden voor het in het vrije verkeer brengen en voor sommige van de bijzondere douaneregelingen waaronder goederen die het douanegebied van de Unie binnenkomen kunnen worden geplaatst.

(7)

Veel derde landen en de meeste lidstaten zijn vertrouwd met de definities die worden gebruikt in de op 14 november 1970 te Parijs ondertekende Unesco-Overeenkomst inzake de middelen om de onrechtmatige invoer, uitvoer of eigendomsoverdracht van cultuurgoederen te verbieden en te verhinderen („de Unesco-Overeenkomst van 1970”), waar een groot aantal lidstaten partij bij is, en in het op 24 juni 1995 te Rome ondertekende Verdrag van Unidroit inzake gestolen of onrechtmatig uitgevoerde cultuurgoederen. Daarom zijn de in deze verordening gebruikte definities gebaseerd op die definities.

(8)

De vraag of de uitvoer legaal of illegaal is, moet eerst en vooral worden bepaald aan de hand van de wettelijke en bestuursrechtelijke bepalingen van het land waar de cultuurgoederen zijn vervaardigd of ontdekt. Om de legale handel in cultuurgoederen niet onnodig te belemmeren, moet een persoon die deze goederen in het douanegebied van de Unie wil invoeren in bepaalde gevallen bij uitzondering worden toegestaan aan te tonen dat deze goederen op legale wijze zijn uitgevoerd uit een ander derde land waar de goederen zich bevonden voordat zij naar het grondgebied van de Unie werden gebracht. Deze uitzondering geldt in gevallen waarin niet op betrouwbare wijze kan worden bepaald in welk land de cultuurgoederen zijn vervaardigd of ontdekt, of indien de uitvoer van de cultuurgoederen heeft plaatsgevonden voordat de Unesco-Overeenkomst van 1970 in werking trad, namelijk op 24 april 1972. Om te voorkomen dat deze verordening wordt omzeild door illegaal uitgevoerde cultuurgoederen eenvoudigweg naar een ander derde land te zenden voordat zij in de Unie worden ingevoerd, moeten bovengenoemde uitzonderingen gelden wanneer de cultuurgoederen zich gedurende een periode van meer dan vijf jaar in een derde land hebben bevonden voor andere doeleinden dan tijdelijk gebruik, doorvoer, wederuitvoer of overscheping of overlading. Indien deze voorwaarden voor meer dan één land zijn vervuld, dient het laatste land waar de goederen zich hebben bevonden voordat zij in het douanegebied van de Unie werden binnengebracht, in aanmerking te worden genomen.

(9)

Artikel 5 van de Unesco-Overeenkomst van 1970 roept de verdragsluitende staten op tot het instellen van een of meer nationale diensten voor de bescherming van de cultuurgoederen tegen illegale invoer, uitvoer en eigendomsoverdracht. Voldoende deskundig personeel moet aan deze nationale diensten worden verbonden om deze bescherming in overeenstemming met dat Verdrag te waarborgen en die diensten moeten tevens de nodige actieve samenwerking tussen de bevoegde diensten van de lidstaten die partij zijn bij de overeenkomst op het gebied van veiligheid en bestrijding van de onrechtmatige invoer van cultuurgoederen, met name in gebieden waar een gewapend conflict heerst, mogelijk maken.

(10)

Om geen buitensporige belemmeringen op te werpen voor de handel in cultuurgoederen over de buitengrenzen van de Unie moet deze verordening uitsluitend gelden voor cultuurgoederen vanaf een bepaalde ouderdom, die bij deze verordening wordt vastgesteld. Voorts is het passend een financiële drempel vast te leggen teneinde cultuurgoederen van lagere waarde uit te sluiten van de toepassing van de voorwaarden en procedures voor de invoer ervan in het douanegebied van de Unie. Die drempels zullen ervoor zorgen dat de maatregelen van deze verordening van toepassing zullen zijn op deze cultuurgoederen die het meest waarschijnlijke doelwit zijn aan plunderaars in conflictgebieden, zonder dat hierdoor andere goederen worden uitgesloten waarop ook controle noodzakelijk is ter bescherming van het cultureel erfgoed.

(11)

In het kader van de supranationale beoordeling van de risico’s van witwasserij en terrorismefinanciering voor de interne markt is de illegale handel in geplunderde cultuurgoederen aangemerkt als een mogelijke bron van terrorismefinanciering en witwasactiviteiten.

(12)

Aangezien bepaalde categorieën van cultuurgoederen, namelijk archeologische voorwerpen en delen van monumenten, bij uitstek kwetsbaar zijn voor aan plundering en vernietiging, lijkt het noodzakelijk te voorzien in een systeem van verscherpt toezicht voordat zij worden toegelaten het douanegebied van de Unie binnen te komen. In het kader van een dergelijk systeem moet worden verlangd dat een door de bevoegde dienst van een lidstaat afgegeven invoervergunning voor de cultuurgoederen wordt overgelegd voordat zij in het vrije verkeer worden gebracht in de Unie, of onder een bijzondere douaneregeling, met uitzondering van douanevervoer, worden geplaatst. Personen die een dergelijke invoervergunning aanvragen, moeten kunnen aantonen dat de cultuurgoederen legaal zijn uitgevoerd uit het land waar ze zijn vervaardigd of ontdekt, aan de hand van bewijsstukken zoals uitvoercertificaten of eigendomsbewijzen, facturen, verkoopovereenkomsten, verzekeringsdocumenten, vervoersdocumenten en expertiserapporten. De bevoegde autoriteiten van de lidstaten moeten op basis van volledige en zorgvuldig ingevulde aanvragen zonder onnodige vertraging over de afgifte van een vergunning beslissen. Alle invoervergunningen moeten worden opgeslagen in een elektronisch systeem.

(13)

Een icoon is een afbeelding van een religieuze figuur of een religieuze gebeurtenis. Zij kan op verschillende dragers en in verschillende formaten zijn geproduceerd, en kan zowel monumentaal als draagbaar zijn. In gevallen waarin zij ooit deel heeft uitgemaakt van bijvoorbeeld het interieur van een kerk, een klooster, een kapel, hetzij als zelfstandig object, hetzij als deel van het architectonisch meubilair, bijvoorbeeld een iconostase of een icoonhouder, is zij een essentieel en onlosmakelijk element van goddelijke erediensten en van liturgisch leven, en moet zij worden beschouwd als integrerend deel van een religieus monument dat niet in zijn geheel bewaard is gebleven. Ook in gevallen waarin niet bekend is van welk specifiek monument de icoon een onderdeel is geweest, maar waar wel bewijs is dat de icoon ooit integraal deel heeft uitgemaakt van een monument, in het bijzonder als er tekenen of elementen aanwezig zijn die erop wijzen dat zij ooit deel heeft uitgemaakt van een iconostase of een icoonhouder, moet de icoon geclassificeerd worden onder de in de bijlage genoemde categorie „delen van artistieke of historische monumenten of archeologische vindplaatsen die niet in hun geheel bewaard zijn gebleven”.

(14)

Gelet op de bijzondere aard van cultuurgoederen, spelen de douaneautoriteiten een zeer belangrijke rol, omdat zij in staat moeten zijn om, indien nodig, aanvullende informatie van de aangever te verlangen en de cultuurgoederen te analyseren door fysieke inspectie.

(15)

Voor categorieën van cultuurgoederen waarvoor geen invoervergunning is vereist bij de invoer, moeten de personen die dergelijke goederen in het douanegebied van de Unie willen invoeren, aan de hand van een verklaring bevestigen en de verantwoordelijkheid op zich nemen dat deze goederen legaal zijn uitgevoerd uit het derde land, en zij moeten voldoende informatie over deze cultuurgoederen verstrekken opdat de douaneautoriteiten deze kunnen identificeren. Om de procedure te vergemakkelijken en rechtszekerheid te bieden, moet de informatie over het cultuurgoed worden verstrekt door het gebruik van een gestandaardiseerd document. Het Object ID (de door de Unesco aanbevolen standaard) zou gebruikt kunnen worden om de goederen te omschrijven. De houder van de goederen dient die gegevens in een elektronisch systeem te registreren om identificatie door de douaneautoriteiten te vergemakkelijken en risicoanalyse en gerichte controles mogelijk te maken, alsmede om zo de cultuurgoederen traceerbaar te maken nadat zij op de interne markt zijn gebracht.

(16)

In het kader van de EU-éénloketomgeving voor de douane heeft de Commissie tot taak een centraal elektronisch systeem op te zetten voor het indienen van aanvragen voor invoervergunningen en voor importeursverklaringen, alsmede voor de opslag en de uitwisseling van gegevens tussen de autoriteiten van de lidstaten, vooral betreffende invoervergunningen en importeursverklaringen.

(17)

De gegevensverwerking in het kader van deze verordening moet ook persoonsgegevens kunnen behelzen en die verwerking moet overeenkomstig het Unierecht worden uitgevoerd. De lidstaten en de Commissie mogen persoonsgegevens uitsluitend verwerken met het oog op de doelstellingen van deze verordening of in naar behoren gerechtvaardigde omstandigheden met het oog op het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties, met inbegrip van het beschermen tegen en het voorkomen van gevaren voor de openbare veiligheid. Elke verzameling, openbaarmaking, doorzending, verstrekking en andersoortige verwerking van persoonsgegevens binnen het toepassingsgebied van deze verordening moet onderworpen zijn aan de voorschriften van de Verordeningen (EU) 2016/679 (6) en (EU) 2018/1725 (7) van het Europees Parlement en de Raad. De verwerking van persoonsgegevens voor de toepassing van deze verordening moet tevens in overeenstemming zijn met het recht op eerbiediging van het privéleven en van het familie- en gezinsleven zoals erkend in artikel 8 van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden van de Raad van Europa, alsook met het recht op eerbiediging van het privéleven en het familie- en gezinsleven en het recht op de bescherming van persoonsgegevens die worden gewaarborgd in respectievelijk de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie.

(18)

Voor cultuurgoederen die niet zijn vervaardigd of ontdekt in het douanegebied van de Unie, maar die als Uniegoederen zijn uitgevoerd, hoeft geen invoervergunning of importeursverklaring te worden overgelegd indien ze worden teruggezonden naar dat douanegebied als terugkerende goederen in de zin van Verordening (EU) nr. 952/2013.

(19)

Tijdelijke invoer van cultuurgoederen voor educatieve of wetenschappelijke doeleinden of met het oog op beheer en behoud, restauratie, tentoonstelling, digitalisering, podiumkunsten, onderzoek door academische instellingen of samenwerking tussen musea of soortgelijke instellingen, is evenmin onderworpen aan de overlegging van een invoervergunning of een importeursverklaring.

(20)

De opslag van cultuurgoederen uit landen waar een gewapend conflict heerst of een natuurramp heeft plaatsgevonden, met het uitsluitende doel om deze op een veilige plaats te laten bewaren en ze te behouden door of onder het toezicht van een overheidsinstantie hoeft geen invoervergunning of importeursverklaring te worden overgelegd.

(21)

Om de presentatie van cultuurgoederen op commerciële kunstbeurzen te vergemakkelijken, is geen invoervergunning vereist indien deze goederen onder de regeling van tijdelijke invoer in de zin van artikel 250 van Verordening (EU) nr. 952/2013 vallen en indien een importeursverklaring is verstrekt in plaats van de invoervergunning. Het overleggen van een invoervergunning moet echter wel worden vereist indien deze cultuurgoederen na afloop van een kunstbeurs in de Unie blijven.

(22)

Om eenvormige voorwaarden voor de uitvoering van deze verordening te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend voor de vaststelling van nadere regelingen voor: cultuurgoederen die terugkerende goederen zijn, de tijdelijke toelating van cultuurgoederen in het douanegebied van de Unie en de bewaring ervan, de modellen voor aanvragen en formulieren van invoervergunningen, alsook voor importeursverklaringen en bijgaande documenten, en nadere procedureregels voor de indiening en de verwerking daarvan. Aan de Commissie moeten ook uitvoeringsbevoegdheden worden toegekend om voorzieningen te treffen voor het opzetten van een elektronisch systeem voor het indienen van aanvragen voor invoervergunningen en importeursverklaringen en voor de opslag en de uitwisseling van informatie tussen de lidstaten. Deze bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (8).

(23)

Ter wille van een doeltreffende coördinatie en ter voorkoming van dubbel werk bij het organiseren van opleidingen, activiteiten inzake capaciteitsopbouw en bewustwordingscampagnes, alsmede met het oog op het verstrekken van opdrachten voor onderzoek en de ontwikkeling van normen moeten de Commissie en de lidstaten in voorkomend geval samenwerken met internationale organisaties en organen, zoals Unesco, Interpol, Europol, de Werelddouaneorganisatie, het Internationaal Centrum voor de Studie tot het behoud en de restauratie van culturele goederen (International Centre for the Preservation and Restoration of Cultural Property — ICCROM), en de Internationale Museumraad (International Council of Museums — ICOM).

(24)

Ter ondersteuning van de doeltreffende tenuitvoerlegging van deze verordening en als basis voor de toekomstige beoordeling ervan, moeten relevante gegevens over handelsstromen van cultuurgoederen elektronisch worden verzameld en door de lidstaten en de Commissie worden uitgewisseld. In het belang van transparantie en publieke controle dient zo veel mogelijk informatie openbaar te worden gemaakt. Het toezicht op de handelsstromen van cultuurgoederen kan niet efficiënt worden verricht louter op basis van de waarde of het gewicht van de goederen. Het is van wezenlijk belang dat elektronisch informatie wordt verzameld over het aantal aangegeven voorwerpen. Aangezien de gecombineerde nomenclatuur geen bijzondere maatstaf voor cultuurgoederen bevat, dient te worden vereist dat het aantal voorwerpen wordt aangegeven.

(25)

Met de EU-strategie en het actieplan voor douanerisicobeheer wordt onder meer gestreefd naar een versterking van de capaciteiten van de douaneautoriteiten, zodat deze beter kunnen reageren indien zich risico’s voor cultuurgoederen voordoen. Er moet gebruik worden gemaakt van het bij Verordening (EU) nr. 952/2013 ingestelde gemeenschappelijk kader voor risicobeheer, en tussen de douaneautoriteiten moet relevante informatie over risico’s worden uitgewisseld.

(26)

Om te kunnen profiteren van de deskundigheid van internationale organisaties en organen die actief zijn op het gebied van cultuurzaken, alsook van hun ervaringen met de illegale handel in cultuurgoederen, moeten hun aanbevelingen en richtsnoeren in aanmerking worden genomen in het gemeenschappelijk kader voor risicobeheer bij het bepalen van risico’s voor cultuurgoederen. Met name de rode lijsten van de ICOM moeten als richtsnoer dienen voor het in kaart brengen van de derde landen wier erfgoed het meest gevaar loopt en van de uit die landen uitgevoerde voorwerpen die vaker in de illegale handel terecht zouden kunnen komen.

(27)

Er moeten op kopers van cultuurgoederen gerichte bewustwordingscampagnes met betrekking tot het risico op illegale handel worden opgezet, en de marktdeelnemers moeten worden geholpen om deze verordening goed te begrijpen en toe te passen. De lidstaten dienen voor de verspreiding van deze informatie hun nationale contactpunten en andere voorlichtingsdiensten in te zetten.

(28)

De Commissie moet ervoor zorgen dat micro-ondernemingen en kleine en middelgrote ondernemingen adequate technische assistentie krijgen en dat zij gemakkelijk aan de informatie kunnen komen die zij nodig hebben om deze verordening efficiënt uit te voeren. In de Unie gevestigde kleine en middelgrote ondernemingen die cultuurgoederen invoeren, moeten daarom gebruik kunnen maken van bestaande en toekomstige Unieprogramma’s ter ondersteuning van het concurrentievermogen van kleine en middelgrote ondernemingen.

(29)

Om de naleving van deze verordening aan te moedigen en ontwijking ervan te ontmoedigen, moeten de lidstaten doeltreffende, evenredige en afschrikkende sancties voor niet-naleving vaststellen en deze aan de Commissie meedelen. Door de lidstaten vastgestelde sancties op overtredingen van deze verordening moeten in de gehele Unie een vergelijkbaar afschrikkend effect hebben.

(30)

De lidstaten moeten ervoor zorgen dat de douaneautoriteiten en de bevoegde autoriteiten het eens zijn over maatregelen krachtens artikel 198 van Verordening (EU) nr. 952/2013. De nadere regelingen van die maatregelen moeten zijn onderworpen aan nationaal recht.

(31)

De Commissie dient onverwijld de uitvoeringsbepalingen van deze verordening vast te stellen, vooral die met betrekking tot de passende elektronische, gestandaardiseerde formulieren die moeten worden gebruikt om een invoervergunning aan te vragen of een importeursverklaring op te stellen, en zo spoedig mogelijk daarna het elektronische systeem op te zetten. De toepassing van de bepalingen inzake invoervergunningen en importeursverklaringen moet dienovereenkomstig worden uitgesteld.

(32)

Overeenkomstig het evenredigheidsbeginsel, is het voor de verwezenlijking van de basisdoelstellingen van deze verordening nodig en passend regels vast te stellen betreffende de voorwaarden en procedures voor de invoer van cultuurgoederen in het douanegebied van de Unie. Deze verordening gaat overeenkomstig artikel 5, lid 4, van het Verdrag betreffende de Europese Unie niet verder dan wat nodig is om de beoogde doelstellingen te verwezenlijken,

(1)

Netwerk- en informatiesystemen alsmede elektronischecommunicatienetwerken en -diensten spelen een cruciale rol in de maatschappij en zijn de ruggengraat van de economische groei geworden. Informatie- en communicatietechnologie (ICT) vormt de basis van de complexe systemen die dagelijkse maatschappelijke activiteiten ondersteunen en onze economieën draaiende houden in essentiële sectoren zoals gezondheid, energie, financiën en vervoer, en met name de werking van de interne markt ondersteunen.

(2)

Burgers, organisaties en ondernemingen in de hele Unie maken alom gebruik van netwerk- en informatiesystemen. Digitalisering en connectiviteit zijn cruciale kenmerken aan het worden van steeds meer producten en diensten, en door de opkomst van het internet der dingen (IoT) zal naar verwachting de volgende tien jaar in de hele Unie een uitermate groot aantal verbonden digitale toestellen worden gebruikt. Er worden weliswaar steeds meer toestellen met het internet verbonden, maar bij het ontwerp wordt onvoldoende rekening gehouden met de beveiliging en de weerbaarheid, waardoor de cyberbeveiliging te wensen overlaat. Het beperkte gebruik van certificering leidt er in die context toe dat individuele gebruikers en gebruikers binnen organisaties en ondernemingen te weinig informatie hebben over de cyberbeveiligingskenmerken van ICT-producten, -diensten en -processen, hetgeen schadelijk is voor het vertrouwen in digitale oplossingen. Netwerk- en informatiesystemen zijn in staat om alle aspecten van ons leven te ondersteunen en zij vormen de motor van de economische groei in de Unie. Zij vormen de hoeksteen om de digitale eengemaakte markt tot stand te kunnen brengen.

(3)

De toenemende digitalisering en connectiviteit verhogen cyberbeveiligingsrisico’s, waardoor de maatschappij als geheel kwetsbaarder wordt voor cyberdreigingen en waardoor de gevaren waaraan individuen, waaronder kwetsbare personen zoals kinderen, zijn blootgesteld worden verergerd. Om die risico’s te beperken, moeten alle noodzakelijke maatregelen worden genomen om de cyberbeveiliging in de Unie te versterken, zodat netwerk- en informatiesystemen, communicatienetwerken, digitale producten, diensten en toestellen die worden gebruikt door burgers, organisaties en bedrijven — van kleine en middelgrote ondernemingen in de zin van Aanbeveling 2003/361/EG van de Commissie (4) tot exploitanten van cruciale infrastructuurvoorzieningen — beter beschermd worden tegen cyberdreigingen.

(4)

Door de relevante informatie openbaar te maken, draagt het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa), zoals opgericht bij Verordening (EU) nr. 526/2013 van het Europees Parlement en de Raad (5), bij aan de ontwikkeling van de cyberbeveiligingssector in de Unie, met name kleine en middelgrote ondernemingen en startende bedrijven. Enisa moet streven naar een nauwere samenwerking met universiteiten en onderzoekscentra, om de afhankelijkheid van cyberbeveiligingsproducten en -diensten van buiten de Unie te helpen verminderen en toeleveringsketens binnen de Unie te versterken.

(5)

Cyberaanvallen komen steeds vaker voor, en een verbonden economie en samenleving die kwetsbaarder is voor cyberdreigingen en -aanvallen moet beter worden beschermd. Hoewel cyberaanvallen vaak grensoverschrijdend plaatsvinden, zijn de bevoegdheden en beleidsmaatregelen van cyberbeveiligingsautoriteiten en rechtshandhavingsinstanties voornamelijk nationaal. Grootschalige incidenten kunnen de voorziening van essentiële diensten in de gehele Unie verstoren. Dit vereist een doeltreffend en gecoördineerd antwoord en crisisbeheer op Unieniveau, voortbouwend op specifiek beleid en bredere instrumenten voor Europese solidariteit en wederzijdse bijstand. Voorts zijn een regelmatige beoordeling van de staat van de cyberbeveiliging en -weerbaarheid in de Unie, op basis van betrouwbare Uniegegevens, alsmede systematische prognoses van toekomstige ontwikkelingen, uitdagingen en dreigingen, op Unie- en mondiaal niveau, belangrijk voor de beleidmakers, het bedrijfsleven en de gebruikers.

(6)

Gezien de toegenomen cyberbeveiligingsuitdagingen waarmee de Unie wordt geconfronteerd, moet een uitvoerige reeks maatregelen worden genomen die voortbouwen op eerdere Uniemaatregelen en die moeten bijdragen tot doelstellingen die elkaar wederzijds versterken. Zo moeten de capaciteiten en paraatheid van de lidstaten en het bedrijfsleven verder worden versterkt en moet de samenwerking, het delen van informatie en de coördinatie tussen de lidstaten en de instellingen, organen, en instanties van de Unie worden verbeterd. Gezien de grenzeloze aard van cyberdreigingen moet, in aanvulling op het optreden van de lidstaten, de capaciteiten op Unieniveau worden versterkt, met name in geval van grootschalige grensoverschrijdende incidenten en crises, waarbij het belang van handhaving en verdere versterking van de nationale capaciteiten om te kunnen reageren op cyberdreigingen van elke omvang in aanmerking moet worden genomen.

(7)

Er moeten ook meer inspanningen worden geleverd om de burgers, organisaties en ondernemingen bewuster te maken van cyberbeveiligingsvraagstukken. Aangezien incidenten het vertrouwen in digitaledienstverleners en in de digitale eengemaakte markt zelf ondermijnen, in het bijzonder bij consumenten, moet het vertrouwen in de digitale eengemaakte markt verder worden versterkt door over het beveiligingsniveau van ICT-producten, -diensten en -processen op transparante wijze informatie te verstrekken waarin wordt benadrukt dat zelfs een hoog niveau van cyberbeveiligingscertificering niet kan garanderen dat een ICT-product, -dienst of -proces volkomen beveiligd is. Een toename van het vertrouwen kan worden bevorderd door middel van een Uniebrede certificering die voorziet in gemeenschappelijke cyberbeveiligingsvoorschriften en evaluatiecriteria, ongeacht de nationale markten en sectoren.

(8)

Cyberbeveiliging is niet alleen maar een technologievraagstuk; het menselijk gedrag is even belangrijk. Daarom moet „cyberhygiëne” sterk worden aangemoedigd, namelijk eenvoudige routinemaatregelen die, indien zij regelmatig door burgers, organisaties en bedrijven worden toegepast en uitgevoerd, hun blootstelling aan risico’s van cyberdreigingen tot een minimum beperken.

(9)

Ter versterking van cyberbeveiligingsstructuren in de Unie is het van belang dat de capaciteiten van de lidstaten om uitgebreid te reageren op cyberdreigingen, met inbegrip van grensoverschrijdende incidenten, worden gehandhaafd en ontwikkeld.

(10)

Bedrijven en individuele consumenten moeten beschikken over nauwkeurige informatie met betrekking tot het zekerheidsniveau waarop hun ICT-producten, -diensten en -processen zijn gecertificeerd. Tegelijkertijd is geen enkel ICT-product en geen enkele ICT-dienst volledig cyberbeveiligd en moeten de basisregels van cyberhygiëne worden bevorderd en moeten zij prioriteit krijgen. Gezien de toenemende beschikbaarheid van IoT-apparaten kan de particuliere sector een reeks vrijwillige maatregelen treffen om het vertrouwen in de beveiliging van ICT-producten, -diensten en -processen te vergroten.

(11)

Moderne ICT-producten en -systemen maken vaak gebruik van technologieën en onderdelen die door een of meer derde partijen worden geleverd, zoals softwaremodules, bibliotheekprogramma’s of applicatieprogramma-interfaces, en steunen daarop. Deze omstandigheid, die „afhankelijkheid” wordt genoemd, kan een aanvullend cyberbeveiligingsrisico inhouden, aangezien kwetsbaarheden in onderdelen van derde partijen ook de veiligheid van de ICT-producten, -diensten en -processen kunnen aantasten. In veel gevallen stelt de identificatie en documentatie van dergelijke afhankelijkheden de eindgebruikers van ICT-producten, -diensten en -processen in staat om de cyberbeveiligingsrisico’s beter te beheersen door bijvoorbeeld het beleid en de herstelprocedures van de gebruikers inzake kwetsbaarheden van de cyberbeveiliging te verbeteren.

(12)

Bij het ontwerp en de ontwikkeling van ICT-producten, -diensten en -processen betrokken organisaties, fabrikanten en aanbieders moeten ertoe worden aangespoord om al in de eerste fase van ontwerp en ontwikkeling maatregelen te treffen om ervoor te zorgen dat het beveiligingsniveau van ICT-producten, -diensten en -processen zo hoog mogelijk is, zodat cyberaanvallen zijn ingecalculeerd en de gevolgen daarvan zijn ingeschat en tot een minimum beperkt („beveiliging door ontwerp”). Beveiliging moet tijdens de gehele levensduur van het ICT-product, de ICT-dienst of het ICT-proces worden gewaarborgd door middel van ontwerp- en ontwikkelingsprocessen die constant evolueren om het risico op schade door kwaadwillig gebruik te verminderen.

(13)

Ondernemingen, organisaties en overheidsinstanties dienen de door hen ontworpen ICT-producten, -diensten of -processen zodanig te configureren dat een hoger beveiligingsniveau is gewaarborgd, waarbij de eerste gebruiker de meest beveiligde instelling wordt aangeboden („beveiliging door standaardinstellingen”), waardoor het voor gebruikers minder lastig wordt om een ICT-product, -dienst of -proces geschikt te configureren. De beveiliging door standaardinstellingen moet eenvoudig en betrouwbaar werken zonder dat daarvoor een uitvoerige configuratie, specifiek technisch inzicht of niet voor de hand liggende handelingen van de gebruiker vereist zijn. Als uit een risico- en bruikbaarheidsanalyse per geval blijkt dat een dergelijke standaardinstelling niet haalbaar is, moeten gebruikers ertoe worden aangespoord voor de meest beveiligde instelling te kiezen.

(14)

Bij Verordening (EG) nr. 460/2004 van het Europees Parlement en de Raad (6) is Enisa opgericht teneinde bij te dragen tot een hoog en doeltreffend netwerk- en informatiebeveiligingsniveau in de Unie, en tot de ontwikkeling van een netwerk- en informatiebeveiligingscultuur ten bate van burgers, consumenten, ondernemingen en overheidsdiensten. Bij Verordening (EG) nr. 1007/2008 van het Europees Parlement en de Raad (7) is het mandaat van Enisa tot en met maart 2012 verlengd. Bij Verordening (EU) nr. 580/2011 van het Europees Parlement en de Raad (8) is het mandaat van Enisa nog eens verlengd tot en met 13 september 2013. Bij Verordening (EU) nr. 526/2013 is het mandaat van Enisa tot en met 19 juni 2020 verlengd.

(15)

De Unie heeft reeds belangrijke maatregelen genomen om voor cyberbeveiliging te zorgen en om het vertrouwen in digitale technologieën te vergroten. In 2013 werd de strategie inzake cyberbeveiliging van de Europese Unie goedgekeurd als leidraad voor de beleidsreactie van de Unie op cyberdreigingen en -risico’s. Om de burgers online beter te beschermen, werd in 2016 de eerste rechtshandeling van de Unie inzake cyberbeveiliging in de vorm van Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad (9) vastgesteld. Bij Richtlijn (EU) 2016/1148 werden eisen vastgesteld betreffende nationale capaciteiten inzake cyberbeveiliging, werden de eerste mechanismen opgezet om de strategische en operationele samenwerking tussen de lidstaten te versterken, en werden verplichtingen ingevoerd met betrekking tot beveiligingsmaatregelen en melding van incidenten in alle sectoren die van vitaal belang zijn voor de economie en de samenleving, zoals energie, vervoer, levering en distributie van drinkwater, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, digitale infrastructuur en belangrijke digitaledienstverleners (zoekmachines, cloudcomputingdiensten en onlinemarktplaatsen).

Aan Enisa werd een sleutelrol toebedeeld bij het ondersteunen van de uitvoering van die richtlijn. Daarnaast is de doeltreffende bestrijding van cybercriminaliteit een belangrijke prioriteit in de Europese veiligheidsagenda, die bijdraagt tot de algemene doelstelling om een hoog cyberbeveiligingsniveau tot stand te brengen. Andere rechtshandelingen zoals Verordening (EU) 2016/679 van het Europees Parlement en de Raad (10) en de Richtlijnen 2002/58/EG (11) en (EU) 2018/1972 (12) van het Europees Parlement en de Raad, dragen eveneens bij tot een hoog cyberbeveiligingsniveau in de digitale eengemaakte markt.

(16)

Sinds de strategie inzake cyberbeveiliging van de Europese Unie in 2013 werd vastgesteld en het mandaat van Enisa de laatste keer werd herzien, is de algehele beleidscontext aanzienlijk veranderd doordat de mondiale omgeving onzekerder en onveiliger is geworden. Tegen die achtergrond en in het licht van de positieve ontwikkeling van de rol die Enisa speelt als referentiepunt voor advies en expertise, als bemiddelaar van samenwerking en capaciteitsopbouw, evenals binnen het kader van het nieuwe cyberbeveiligingsbeleid van de Unie, moet het mandaat van Enisa worden herzien teneinde de rol van Enisa in de veranderde cyberbeveiligingsomgeving te bepalen en te waarborgen dat het op doeltreffende wijze bijdraagt tot de respons van de Unie op cyberbeveiligingsuitdagingen die voortvloeien uit het radicaal gewijzigde cyberdreigingslandschap, waarvoor, zoals gedurende de evaluatie van Enisa is gebleken, het huidige mandaat niet toereikend is.

(17)

Enisa, zoals bij deze verordening opgericht, moet Enisa, zoals opgericht bij Verordening (EG) nr. 526/2013, opvolgen. Enisa moet de taken uitvoeren die hem bij deze verordening en rechtshandelingen van de Unie op het gebied van cyberbeveiliging aan worden toegewezen, onder meer door advies en expertise te verstrekken en te fungeren als informatie- en kenniscentrum van de Unie. Enisa moet de uitwisseling van beste praktijken tussen de lidstaten en particuliere belanghebbenden bevorderen, beleidsaanbevelingen doen aan de Commissie en de lidstaten, fungeren als referentiepunt voor sectorale beleidsinitiatieven van de Unie inzake cyberbeveiligingsvraagstukken, en de operationele samenwerking tussen de lidstaten onderling en tussen de lidstaten en instellingen, organen en instanties van de Unie bevorderen.

(18)

Binnen het kader van Besluit 2004/97/EG, Euratom, in onderlinge overeenstemming genomen door de vertegenwoordigers van de lidstaten, op het niveau van de staatshoofden en regeringsleiders bijeen (13), hebben de vertegenwoordigers van de lidstaten besloten dat Enisa zou worden gevestigd in een door de Griekse regering aan te wijzen stad in Griekenland. De lidstaat van vestiging moet zorgen voor zo gunstig mogelijke voorwaarden voor de soepele en efficiënte werking van Enisa. Met het oog op de goede en efficiënte uitvoering van zijn taken, het werven en behouden van zijn personeel en efficiëntere netwerkactiviteiten is het noodzakelijk dat Enisa op een geschikte locatie wordt gehuisvest, waar onder meer goede vervoersverbindingen en geschikte faciliteiten voorhanden zijn voor echtgenoten en kinderen die meereizen met de leden van het personeel van Enisa. De noodzakelijke bepalingen moeten worden vastgelegd in een overeenkomst tussen Enisa en de lidstaat van vestiging, die wordt gesloten nadat de raad van bestuur van Enisa daarmee heeft ingestemd.

(19)

Gezien de toenemende cyberbeveiligingsrisico’s en -uitdagingen waarmee de Unie wordt geconfronteerd, moeten de financiële en personele middelen die aan Enisa worden toegewezen, worden uitgebreid om recht te doen aan zijn versterkte rol en taken en zijn cruciale positie in het ecosysteem van organisaties die het digitale ecosysteem van de Unie verdedigen, zodat Enisa de bij deze verordening toegekende taken op doeltreffende wijze kan uitvoeren.

(20)

Enisa moet een hoog expertiseniveau ontwikkelen en handhaven, en fungeren als een referentiepunt dat op grond van zijn onafhankelijkheid, de kwaliteit van zijn advies en informatie, de transparantie van zijn procedures en werkmethoden, en de toewijding bij de uitvoering van zijn taken vertrouwen in de eengemaakte markt schept. Enisa moet nationale inspanningen actief ondersteunen en proactief bijdragen aan inspanningen van de Unie en daarbij zijn taken uitvoeren in volledige samenwerking met de instellingen, organen en instanties van de Unie en de lidstaten, en daarbij dubbel werk vermijden en synergie bevorderen. Daarnaast moet Enisa voortbouwen op de input van en de samenwerking met de particuliere sector en andere relevante belanghebbenden. In een reeks taken moet worden vastgesteld hoe Enisa zijn doelstellingen moet verwezenlijken en toch flexibel kan functioneren.

(21)

Om gepaste ondersteuning aan de operationele samenwerking van de lidstaten te kunnen bieden, moet Enisa zijn technische en menselijke capaciteiten en vaardigheden verder versterken. Enisa moet zijn kennis en capaciteit uitbreiden. Enisa en de lidstaten zouden op vrijwillige basis programma’s kunnen ontwikkelen om nationale deskundigen bij het Enisa te detacheren en aldus een groep deskundigen kunnen samenbrengen en personeel kunnen uitwisselen.

(22)

Enisa moet de Commissie bijstaan met advies, standpunten en analyses over alle aangelegenheden van de Unie in verband met de ontwikkeling, actualisering en herziening van beleid en wetgeving op het gebied van cyberbeveiliging en de sectorspecifieke aspecten daarvan teneinde de relevantie van Uniebeleid en -wetgeving met een cyberbeveiligingsdimensie te vergroten en te zorgen voor een consistente uitvoering van dat beleid en die wetgeving op nationaal niveau. Enisa moet als referentiepunt voor advies en expertise fungeren ten behoeve van sectorspecifieke beleids- en wetgevingsinitiatieven van de Unie waarbij cyberbeveiligingsvraagstukken zijn betrokken. Enisa moet het Europees Parlement regelmatig van zijn werkzaamheden op de hoogte brengen.

(23)

De openbare kern van het open internet, namelijk de belangrijkste protocollen en infrastructuur, die een mondiaal publiek goed zijn, vormen de essentiële functionaliteit van het internet als geheel en ondersteunen de normale werking ervan. Enisa dient de beveiliging van de openbare kern van het open internet en de stabiliteit van zijn werking te ondersteunen, met inbegrip van, maar niet beperkt tot, cruciale protocollen (met name DNS, BGP en IPv6), de werking van het domeinnaamsysteem (waaronder de werking van alle topniveaudomeinen) en de werking van de „root zone”.

(24)

De onderliggende taak van Enisa bestaat uit de bevordering van de consistente uitvoering van het desbetreffende juridische kader, en met name de doeltreffende uitvoering van Richtlijn (EU) 2016/1148 en andere relevante rechtsinstrumenten met cyberbeveiligingsaspecten, hetgeen van essentieel belang is om de cyberweerbaarheid te versterken. Gezien het snel veranderende cyberdreigingslandschap is het duidelijk dat de lidstaten moeten worden ondersteund met een meer omvattende, beleidsoverschrijdende aanpak voor de opbouw van cyberweerbaarheid.

(25)

Enisa moet de lidstaten en de instellingen, organen en instanties van de Unie bijstaan bij hun inspanningen om capaciteiten en paraatheid te ontwikkelen en te vergroten om cyberdreigingen en -incidenten in verband met de beveiliging van netwerk- en informatiesystemen te voorkomen, op te sporen en aan te pakken. Enisa moet met name steun verlenen bij de ontwikkeling en versterking van bij Richtlijn (EU) 2016/1148 voorziene nationale computer security incident response teams („CSIRT’s”) en CSIRT’s van de Unie, met het oog op een hoog gemeenschappelijk niveau aan volwassenheid in de Unie. De activiteiten van Enisa in verband met de operationele capaciteiten van de lidstaten moeten actief ondersteuning bieden aan de maatregelen die de lidstaten zelf nemen om hun verplichtingen op grond van Richtlijn (EU) 2016/1148 na te komen en mogen derhalve daarvoor niet in de plaats komen.

(26)

Enisa moet ook helpen bij de ontwikkeling en actualisering van strategieën op Unieniveau en, op verzoek, op het niveau van de lidstaten, voor de beveiliging van netwerk- en informatiesystemen, en met name inzake cyberbeveiliging, en het dient de verspreiding van dergelijke strategieën te bevorderen en de voortgang van hun uitvoering te volgen. Enisa moet ook meehelpen te voorzien in de behoefte aan opleidingen en opleidingsmateriaal, ook ten aanzien van overheidsinstanties, en dient waar passend voor een groot deel de „opleiding voor opleiders” voor zijn rekening te nemen, voortbouwend op het digitalecompetentiekader voor burgers, teneinde de lidstaten en instellingen, organen en instanties van de Unie bij de ontwikkeling van hun eigen opleidingscapaciteit bij te staan.

(27)

Enisa moet de lidstaten ondersteunen bij de bewustmaking en voorlichting inzake cyberbeveiliging, door de lidstaten onderling nauwer te helpen samenwerken en beste praktijken te helpen uitwisselen. Zulke steun zou kunnen bestaan uit de ontwikkeling van een netwerk van nationale voorlichtingscontactpunten en de ontwikkeling van een opleidingsplatform voor cyberbeveiliging. Het netwerk van nationale voorlichtingscontactpunten zou binnen het netwerk van nationale verbindingsfunctionarissen kunnen fungeren en zou binnen de lidstaten een startpunt kunnen vormen voor toekomstige coördinatie.

(28)

Enisa moet de op grond van de bij Richtlijn (EU) 2016/1148 opgerichte samenwerkingsgroep helpen bij de uitvoering van zijn taken, in het bijzonder door expertise en advies te verstrekken en de uitwisseling van beste praktijken te bevorderen, met name wat betreft de identificatie van aanbieders van essentiële diensten door de lidstaten, alsmede met betrekking tot grensoverschrijdende afhankelijkheid, inzake risico’s en incidenten.

(29)

Ter bevordering van de samenwerking tussen de overheidssector en de particuliere sector enerzijds, en binnen de particuliere sector anderzijds, in het bijzonder ter ondersteuning van de bescherming van cruciale infrastructuur, moet Enisa het delen van informatie binnen en tussen sectoren, en met name de in bijlage II bij Richtlijn (EU) 2016/1148 vermelde sectoren, ondersteunen door te voorzien in beste praktijken en richtsnoeren over beschikbare instrumenten en over procedures, en richtsnoeren over de manier waarop problemen op regelgevingsgebied in verband met het delen van informatie kunnen worden opgelost, bijvoorbeeld door de oprichting van sectorale centra voor informatie-uitwisseling en -analyse te faciliteren.

(30)

Doordat de mogelijke negatieve gevolgen van kwetsbaarheden in ICT-producten, -diensten en -processen constant toenemen, is het achterhalen en verhelpen van die kwetsbaarheden van groot belang om het algehele cyberbeveiligingsrisico te verkleinen. Gebleken is dat de samenwerking tussen enerzijds organisaties, fabrikanten of aanbieders van kwetsbare ICT-producten, -diensten en -processen, en anderzijds de leden van de onderzoeksgemeenschap op cyberbeveiligingsgebied en overheden die kwetsbaarheden aantreffen, een aanzienlijke stijging oplevert van het aantal kwetsbaarheden dat in ICT-producten, -diensten en -processen wordt ontdekt en verholpen. De gecoördineerde openbaarmaking van kwetsbaarheden behelst een gestructureerde samenwerkingsprocedure waarin kwetsbaarheden aan de eigenaar van het informatiesysteem worden gemeld, zodat de organisatie de kans krijgt een diagnose te stellen en de kwetsbaarheden te verhelpen voordat gedetailleerde informatie over de kwetsbaarheden aan derden of het publiek wordt vrijgegeven. In het kader van die procedure worden tussen de vinder en de organisatie ook afspraken gemaakt over het bekendmaken van die kwetsbaarheden. Gecoördineerd openbaarmakingsbeleid inzake kwetsbaarheden kan een belangrijk onderdeel vormen van de inspanningen die de lidstaten ter versterking van cyberbeveiliging leveren.

(31)

Enisa moet vrijwillig gedeelde nationale verslagen van de CSIRT’s en het interinstitutionele computercrisisteam voor de instellingen, organen en instanties van de Unie dat is opgericht bij de overeenkomst tussen het Europees Parlement, de Europese Raad, de Raad van de Europese Unie, de Europese Commissie, het Hof van Justitie van de Europese Unie, de Europese Centrale Bank, de Europese Rekenkamer, de Europese Dienst voor extern optreden, het Europees Economisch en Sociaal Comité, het Europees Comité van de Regio’s en de Europese Investeringsbank betreffende de organisatie en het functioneren van een computercrisisteam voor de instellingen, organen en instanties van de Unie (CERT-EU) (14) verzamelen en analyseren om bij te dragen tot de instelling van gemeenschappelijke procedures, taal en terminologie voor de uitwisseling van informatie. Enisa moet daarbij de particuliere sector betrekken, binnen het kader van Richtlijn 2016/1148 die de grondslag legt voor de vrijwillige uitwisseling van technische informatie op operationeel niveau binnen het CSIRT-netwerk.

(32)

Enisa moet een bijdrage leveren aan een reactie op Unieniveau in het geval van grootschalige grensoverschrijdende incidenten en -crises in verband met cyberbeveiliging. Enisa moet die taak overeenkomstig zijn mandaat krachtens deze verordening uitvoeren, met een aanpak die de lidstaten overeen dienen te komen in het kader van Aanbeveling (EU) 2017/1584 van de Commissie (15) en de conclusies van de Raad van 26 juni 2018 over een gecoördineerde EU-respons op grootschalige cyberincidenten en -crises. Tot die taak behoren mogelijk het vergaren van relevante informatie en het optreden als bemiddelaar tussen het CSIRT-netwerk enerzijds en de technische gemeenschap en de beleidsmakers die belast zijn met crisisbeheer anderzijds. Daarnaast dient Enisa, op verzoek van een of meer lidstaten, de operationele samenwerking tussen de lidstaten bij de behandeling van incidenten vanuit een technisch oogpunt te ondersteunen door de uitwisseling van relevante technische oplossingen tussen de lidstaten te vergemakkelijken en input te leveren voor mededelingen aan het publiek. Enisa moet operationele samenwerking ondersteunen door de regelingen voor dergelijke samenwerking door middel van regelmatige cyberbeveiligingsoefeningen te testen.

(33)

Bij de ondersteuning van de operationele samenwerking moet Enisa door middel van gestructureerde samenwerking de beschikbare technische en operationele expertise van CERT-EU gebruiken. Dergelijke gestructureerde samenwerking kan voortbouwen op de expertise van Enisa. Indien passend moeten specifieke regelingen tussen de twee entiteiten worden vastgesteld teneinde de praktische uitvoering van dergelijke samenwerking te bepalen en dubbel werk te vermijden.

(34)

Bij de uitvoering van zijn taak ter ondersteuning van operationele samenwerking binnen het CSIRT-netwerk moet Enisa in staat zijn ondersteuning te bieden aan de lidstaten indien zij daarom verzoeken, bijvoorbeeld door advies te geven omtrent het vergroten van hun capaciteiten om incidenten te voorkomen, op te sporen en aan te pakken, door de technische afhandeling van incidenten met aanzienlijke of substantiële gevolgen te vergemakkelijken of door te zorgen voor analyses van cyberdreigingen en -incidenten. Enisa dient de technische afhandeling te vergemakkelijken van incidenten met aanzienlijke of substantiële gevolgen, in het bijzonder door het vrijwillig delen van technische oplossingen tussen lidstaten te ondersteunen of gecombineerde technische informatie op te stellen, waaronder door de lidstaten vrijwillig gedeelde technische oplossingen. In Aanbeveling (EU) 2017/1584 wordt aanbevolen dat de lidstaten te goeder trouw samenwerken en zowel onderling als met Enisa onverwijld informatie delen over grootschalige cyberincidenten en -crises. Die informatie moet Enisa verder helpen bij de uitoefening van zijn taak om operationele samenwerking te ondersteunen.

(35)

Als onderdeel van de regelmatige samenwerking op technisch niveau ter ondersteuning van het situatiebewustzijn van de Unie, moet Enisa regelmatig en in nauwe samenwerking met de lidstaten grondige een technisch situatieverslag inzake Uniecyberbeveiliging (EU Cybersecurity Technical Situation Report) over incidenten en cyberdreigingen opstellen, op basis van openbaar beschikbare informatie en eigen analyses en verslagen die het ontvangt van de CSIRT’s van de lidstaten of de bij Richtlijn (EU) 2016/1148 opgerichte nationale centrale contactpunten inzake de beveiliging van netwerk- en informatiesystemen („centrale contactpunten”), beide op vrijwillige basis, het Europees Centrum voor de bestrijding van cybercriminaliteit (EC3) van Europol, CERT-EU, en, voor zover passend, het Inlichtingen- en situatiecentrum van de Europese Unie (EU-INTCEN) van de Europese Dienst voor extern optreden. Dat verslag moet ter beschikking worden gesteld van de Raad, de Commissie, de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid, en het CSIRT-netwerk.

(36)

De steun die Enisa op verzoek van de betrokken lidstaten verleent aan technische onderzoeken achteraf van incidenten met aanzienlijke of substantiële gevolgen dient te zijn gericht op de preventie van toekomstige incidenten. De betrokken lidstaten moeten de nodige informatie en bijstand verstrekken opdat Enisa het technisch onderzoek achteraf doeltreffend kan steunen.

(37)

De lidstaten kunnen de bij het incident betrokken ondernemingen verzoeken medewerking te verlenen door Enisa de nodige informatie en bijstand te geven, zonder afbreuk te doen aan hun recht om commercieel gevoelige informatie en informatie die relevant is voor de openbare veiligheid te beschermen.

(38)

Om de cyberbeveiligingsuitdagingen beter te begrijpen en de lidstaten en de instellingen, organen en instanties van de Unie strategisch van langetermijnadvies te voorzien, moet Enisa bestaande en opkomende cyberbeveiligingsrisico’s analyseren. Daartoe moet Enisa, in samenwerking met de lidstaten en, wanneer passend, met bureaus voor de statistiek en andere entiteiten, relevante voor iedereen beschikbare of vrijwillig gedeelde informatie verzamelen, opkomende technologieën analyseren en themaspecifieke beoordelingen verstrekken over de verwachte maatschappelijke, juridische, economische en regelgevende gevolgen van technologische innovaties op het vlak van netwerk- en informatiebeveiliging, en met name op het vlak van cyberbeveiliging. Ook moet Enisa de lidstaten en de instellingen, organen en instanties van de Unie door de analyse van cyberdreigingen, -kwetsbaarheden en -incidenten ondersteunen bij het in kaart brengen van nieuwe cyberbeveiligingsrisico’s en het voorkomen van incidenten.

(39)

Om de weerbaarheid van de Unie te versterken, moet Enisa expertise ontwikkelen op het gebied van de cyberbeveiliging van infrastructuren, in het bijzonder ter ondersteuning van de in bijlage II bij Richtlijn (EU) 2016/1148 vermelde sectoren en de infrastructuren die worden gebruikt door de in bijlage III bij die richtlijn vermelde digitaledienstverleners, door advies, richtsnoeren en beste praktijken te verstrekken. Met het oog op het waarborgen van gemakkelijkere toegang tot beter gestructureerde informatie over cyberbeveiligingsrisico’s en mogelijke oplossingen, moet Enisa zorgen voor de ontwikkeling en instandhouding van het „informatiecentrum” van de Unie, één centraal portaal dat het publiek voorziet van informatie over cyberbeveiliging die afkomstig is van de instellingen, organen en instanties van de Unie en de lidstaten. Het vergemakkelijken van de toegang tot beter gestructureerde informatie over cyberbeveiligingsrisico’s en mogelijke oplossingen kan de lidstaten ook helpen hun capaciteiten te versterken en hun praktijken op elkaar af te stemmen, en zo de een algehele weerbaarheid ten aanzien van cyberaanvallen verhogen.

(40)

Enisa moet ertoe bijdragen het publiek bewuster te maken van cyberbeveiligingsrisico’s, onder meer door een Uniebrede bewustmakingscampagne, door voorlichting te bevorderen, en richtsnoeren te verstrekken inzake goede praktijken voor individuele gebruikers, gericht op burgers, organisaties en bedrijven. Verder moet Enisa bijdragen tot de bevordering van beste praktijken en oplossingen, onder meer inzake cyberhygiëne en cybergeletterdheid, op het niveau van burgers, organisaties en bedrijven, door publiek beschikbare informatie over significante incidenten te verzamelen en analyseren, en door verslagen en richtsnoeren op te stellen en te publiceren voor burgers, organisaties en bedrijven om het algemene paraatheids- en weerbaarheidsniveau te verhogen. Enisa moet er tevens naar streven consumenten van relevante informatie over toepasselijke certificeringsregelingen te voorzien, bijvoorbeeld door richtsnoeren en aanbevelingen te verstrekken. Enisa moet daarnaast regelmatig, overeenkomstig het bij de mededeling van de Commissie van 17 januari 2018 vastgestelde actieplan voor digitaal onderwijs is vastgesteld en in samenwerking met de lidstaten en de instellingen, organen en instanties van de Unie, aan de eindgebruikers gerichte voorlichtingscampagnes opzetten om een veiliger individueel online-gedrag en digitale geletterdheid te bevorderen, het publiek bewuster te maken van potentiële cyberdreigingen, waaronder criminele onlineactiviteiten zoals phishing-aanvallen, botnets, financiële en bankfraude, gegevensfraude-incidenten, en door advies te geven over meervoudige authentificatie, patching, encryptie, anonimisering en gegevensbescherming.

(41)

Enisa moet een centrale rol spelen bij de snellere bewustwording van de eindgebruikers over de beveiliging van toestellen en het veilig gebruik van diensten, en moet beveiliging door ontwerp en gegevensbescherming door ontwerp op Unieniveau bevorderen. Om dat doel na te streven moet Enisa zo veel mogelijk gebruikmaken van de beschikbare beste praktijken en ervaring, in het bijzonder van wetenschappelijke instellingen en onderzoekers op het gebied van IT-beveiliging.

(42)

Om bedrijven die actief zijn in de cyberbeveiligingssector en de gebruikers van cyberbeveiligingsoplossingen te ondersteunen, moet Enisa een „marktwaarnemingspost” opzetten en onderhouden door regelmatig analyses uit te voeren en informatie te verspreiden over de voornaamste tendensen op de cyberbeveiligingsmarkt, zowel aan de vraag- als aan de aanbodzijde.

(43)

Enisa moet de Unie steunen bij haar inspanningen om samen te werken met internationale organisaties, evenals binnen relevante internationale samenwerkingsverbanden op het gebied van cyberbeveiliging. Enisa moet, waar passend, bijdragen aan de samenwerking met organisaties zoals de OESO, de OVSE en de NAVO. Die samenwerking kan bestaan uit gezamenlijke cyberbeveiligingsoefeningen en een gezamenlijke gecoördineerde antwoord op incidenten. Die werkzaamheden moeten worden verricht met volledige inachtneming van de beginselen inclusiviteit, wederkerigheid en besluitvormingsautonomie van de Unie, zonder afbreuk te doen aan het specifieke karakter van het veiligheids- en defensiebeleid van enige lidstaat.

(44)

Teneinde te waarborgen dat Enisa zijn doelstellingen volledig verwezenlijkt, moet het overleggen met de betrokken toezichthoudende autoriteiten van de Unie en met andere bevoegde autoriteiten in de Unie, de instellingen, organen en instanties van de Unie, met inbegrip van CERT-EU, EC3, het Europees Defensieagentschap (EDA), het Agentschap van het Europese wereldwijde satellietnavigatiesysteem (Europees GNSS-agentschap), het Orgaan van Europese regelgevende instanties voor elektronische communicatie (Berec), het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA), de Europese Centrale Bank (ECB), de Europese Bankautoriteit (EBA), het Europees Comité voor gegevensbescherming, het Agentschap voor de samenwerking tussen energieregulators (ACER), het Agentschap van de Europese Unie voor de veiligheid van de luchtvaart (EASA) en alle andere agentschappen van de Unie die bij cyberbeveiliging betrokken zijn. Enisa moet overleggen met autoriteiten die zich bezighouden met gegevensbescherming teneinde kennis en beste praktijken uit te wisselen en advies te geven over cyberbeveiligingsaspecten die gevolgen kunnen hebben voor hun werkzaamheden. De vertegenwoordigers van de rechtshandhavings- en gegevensbeschermingsautoriteiten van de lidstaten en de Unie moeten recht hebben op vertegenwoordiging in de Enisa-adviesgroep. Wanneer Enisa contact opneemt met rechtshandhavingsautoriteiten betreffende netwerk- en informatiebeveiligingsaspecten die van invloed kunnen zijn op hun werkzaamheden, moet Enisa de bestaande informatiekanalen en gevestigde netwerken respecteren.

(45)

Er kunnen partnerschappen worden gesloten met wetenschappelijke instellingen die onderzoek verrichten op de betreffende gebieden, en er moeten geëigende kanalen zijn voor de input van consumentenorganisaties en andere organisaties, dat in ogenschouw moet worden genomen.

(46)

Enisa moet in zijn rol van het secretariaat van het CSIRT-netwerk de CSIRT’s van de lidstaten en CERT-EU ondersteunen wat betreft de operationele samenwerking in verband met alle in Richtlijn (EU) 2016/1148 bedoelde relevante taken van het CSIRT-netwerk. In het geval van incidenten, aanvallen of storingen van netwerken of infrastructuurvoorzieningen die door de CSIRT’s worden beheerd of beveiligd en waarbij ten minste twee CSIRT’s betrokken zijn of kunnen zijn, moet Enisa tevens de samenwerking tussen de betrokken CSIRT’s bevorderen, daarbij terdege rekening houdend met de standaardwerkwijzen van het CSIRT-netwerk.

(47)

Om de paraatheid van de Unie wat betreft de reactie op incidenten te verhogen, moet Enisa regelmatig cyberbeveiligingsoefeningen op Unieniveau organiseren, en de lidstaten alsmede de instellingen, organen en instanties van de Unie op hun verzoek ondersteunen bij het organiseren van dergelijke oefeningen. Om de twee jaar moet grootschalige oefeningen worden georganiseerd, waarbij technische, operationele of strategische aspecten zijn betrokken. Daarnaast kan Enisa regelmatig minder grootschalige oefeningen met hetzelfde doel houden, om de paraatheid van de Unie wat betreft de reactie op incidenten verhogen.

(48)

Verder moet Enisa expertise op het gebied van cyberbeveiligingscertificering ontwikkelen en in stand houden met het oog op de ondersteuning van het Uniebeleid op dat gebied. Enisa moet voortbouwen op bestaande beste praktijken en het gebruik van cyberbeveiligingscertificering binnen de Unie bevorderen, onder meer door bij te dragen aan de totstandbrenging en instandhouding van een kader voor cyberbeveiligingscertificering op Unieniveau (Europees kader voor cyberbeveiligingscertificering), om de transparantie van de cyberbeveiligingszekerheid van ICT-producten, diensten en -processen, en daarmee het vertrouwen in en het concurrentievermogen van de digitale interne markt, te vergroten.

(49)

Efficiënte beleidsmaatregelen inzake cyberbeveiliging moeten zijn gebaseerd op goed ontwikkelde methoden voor risicoanalyse, zowel in de overheidssector als in de particuliere sector. Methoden voor risicoanalyse worden op verschillende niveaus ingezet zonder dat er een gemeenschappelijke praktijk bestaat over de manier waarop deze efficiënt kunnen worden toegepast. Door beste praktijken voor risicoanalyse en voor interoperabele oplossingen voor risicobeheersing binnen overheids- en particuliere organisaties te promoten en te ontwikkelen, zal het cyberbeveiligingsniveau in de Unie worden verbeterd. Daartoe moet Enisa de samenwerking tussen belanghebbenden op Unieniveau bevorderen en hun inspanningen met betrekking tot de vaststelling en het gebruik van Europese en internationale normen voor risicobeheer en meetbare beveiliging van elektronische producten, systemen, netwerken en diensten die, samen met software, de netwerk- en informatiesystemen vormen.

(50)

Enisa moet de lidstaten, fabrikanten en aanbieders van ICT-producten, -diensten, of -processen ertoe aansporen hun algemene veiligheidsnormen op te voeren, zodat alle internetgebruikers de nodige stappen kunnen ondernemen om voor hun eigen cyberbeveiliging te zorgen en daartoe worden aangezet. Wanneer ICT-producten, -diensten of -processen niet aan cyberbeveiligingsnormen voldoen, moeten fabrikanten en aanbieders van ICT-producten, -diensten, of -processen alle nodige updates leveren en deze terugnemen, intrekken of recyclen, waarbij importeurs en distributeurs ervoor moeten zorgen dat de ICT-producten, -diensten en -processen die zij in de Unie in de handel brengen, aan de toepasselijke voorschriften voldoen en geen risico vormen voor consumenten in de Unie.

(51)

In samenwerking met de bevoegde autoriteiten dient Enisa informatie te kunnen verspreiden over het cyberbeveiligingsniveau van de ICT-producten, diensten en -processen die op de interne markt worden aangeboden, en dient het fabrikanten of aanbieders van ICT-producten, -diensten, of -processen waarschuwen en hen verplichten de beveiliging van hun ICT-producten, diensten en -processen, waaronder de cyberbeveiliging, te verbeteren.

(52)

Enisa moet volledig rekening houden met de lopende activiteiten op het gebied van onderzoek, ontwikkeling en technologiebeoordeling, en in het bijzonder de activiteiten van de verschillende onderzoeksinitiatieven van de Unie om de instellingen, organen en instanties van de Unie en in voorkomend geval de lidstaten, op hun verzoek, te adviseren over onderzoeksbehoeften op het gebied van cyberbeveiliging. Om te de onderzoeksbehoeften en -prioriteiten te bepalen, moet Enisa ook de relevante gebruikersgroepen raadplegen. Meer specifiek, zou samenwerking met de Europese Onderzoeksraad, het Europees Instituut voor innovatie en technologie, het Instituut voor veiligheidsstudies van de Europese Unie tot stand kunnen worden gebracht.

(53)

Enisa moet regelmatig normalisatieorganisaties raadplegen, met name Europese normalisatieorganisaties, wanneer het de Europese regelingen voor cyberbeveiligingscertificering opstelt.

(54)

Cyberdreigingen zijn een wereldwijd probleem. Er is dan ook behoefte aan nauwere internationale samenwerking om de cyberbeveiligingsnormen, met inbegrip van de omschrijving van gemeenschappelijke gedragsnormen, de vaststelling van gedragscodes, het gebruik van internationale normen en het delen van informatie, te verbeteren om snellere internationale samenwerking bij en een gemeenschappelijke wereldwijde aanpak van problemen op het gebied van netwerk- en informatiebeveiliging te bevorderen. Daartoe moet Enisa een verdergaande betrokkenheid van de Unie bij en samenwerking met derde landen en internationale organisaties ondersteunen door, voor zover van toepassing, de betrokken instellingen, organen en instanties van de Unie van de noodzakelijke expertise en analyses te voorzien.

(55)

Enisa moet kunnen reageren op ad-hocverzoeken om advies en bijstand van de lidstaten en de instellingen, organen en instanties van de Unie over aangelegenheden die binnen het mandaat van Enisa vallen.

(56)

Het is zinvol en aan te bevelen met betrekking tot het bestuur van Enisa bepaalde beginselen toe te passen uit de gezamenlijke verklaring en gemeenschappelijke aanpak die in juli 2012 door de interinstitutionele werkgroep voor gedecentraliseerde EU-agentschappen zijn overeengekomen en die tot doel hebben de activiteiten van gedecentraliseerde agentschappen te stroomlijnen en hun prestaties te verbeteren. Ook de aanbevelingen in de gezamenlijke verklaring en de gemeenschappelijke aanpak moeten, waar passend, in de werkprogramma’s, evaluaties, verslaglegging en administratieve werkwijzen van Enisa tot uiting komen.

(57)

De raad van bestuur, die is samengesteld uit vertegenwoordigers van de lidstaten en de Commissie, moet de algemene richting van de werkzaamheden van Enisa vaststellen en ervoor zorgen dat het Agentschap zijn taken overeenkomstig deze verordening uitvoert. De raad van bestuur dient de noodzakelijke bevoegdheden toegewezen te krijgen voor de vaststelling van de begroting, de controle op de uitvoering ervan, de vaststelling van passende financiële regels, de opstelling van transparante werkprocedures voor besluitvorming door Enisa, de goedkeuring van het enig programmeringsdocument van Enisa, de vaststelling van zijn eigen reglement van orde, de benoeming van de uitvoerend directeur en de besluitvorming over de verlenging en beëindiging van de ambtstermijn van de uitvoerend directeur.

(58)

Met het oog op van de goede en doeltreffende werking van Enisa moeten de Commissie en de lidstaten erop toezien dat personen die worden benoemd tot de raad van bestuur over passende professionele expertise en ervaring beschikken. De Commissie en de lidstaten dienen zich tevens in te spannen om het verloop onder hun respectieve vertegenwoordigers in de raad van bestuur te beperken met het oog op de continuïteit in de werkzaamheden.

(59)

Voor het goed functioneren van Enisa is het noodzakelijk dat de uitvoerend directeur wordt benoemd op grond van zowel verdiensten en aantoonbare administratieve en leidinggevende vaardigheden, als bekwaamheid en ervaring die relevant is voor cyberbeveiliging. De uitvoerend directeur dient zijn taken op volledig onafhankelijke wijze uit te voeren. De uitvoerend directeur moet een voorstel voor het jaarlijks werkprogramma van Enisa voorbereiden, na voorafgaand overleg met de Commissie, en alle nodige stappen ondernemen om te zorgen voor de goede uitvoering van dat werkprogramma. Hij moet een jaarverslag opstellen over onder andere de uitvoering van het jaarlijkse werkprogramma van Enisa, dat moet worden voorgelegd aan de raad van bestuur, een ontwerpverklaring van de geraamde inkomsten en uitgaven van Enisa opstellen en de begroting uitvoeren. De uitvoerend directeur moet voorts over de mogelijkheid beschikken om ad-hocwerkgroepen op te richten voor specifieke aangelegenheden, met name van wetenschappelijke, technische, juridische of sociaaleconomische aard. Met name voor het opstellen van een specifieke potentiële Europese regeling voor cyberbeveiligingscertificering (potentiële regeling) wordt het nodig geacht een ad-hocwerkgroep in te stellen. De uitvoerend directeur moet erop toezien dat de leden van de ad-hocwerkgroepen overeenkomstig de hoogste normen inzake expertise worden geselecteerd, waarbij gestreefd wordt naar een evenwicht tussen mannen en vrouwen en, afhankelijk van de specifieke aangelegenheid, een passend evenwicht tussen de overheidsinstanties van de lidstaten, de instellingen, organen en instanties van de Unie, de particuliere sector, waaronder het bedrijfsleven, de gebruikers en wetenschappelijke deskundigen op het gebied van netwerk- en informatiebeveiliging.

(60)

Het dagelijks bestuur moet bijdragen tot het doeltreffend functioneren van de raad van bestuur. In het kader van de voorbereidende werkzaamheden met betrekking tot besluiten van de raad van bestuur, moet het dagelijks bestuur relevante informatie nauwkeurig onderzoeken, de beschikbare opties verkennen alsmede advies en oplossingen bieden ter voorbereiding van de besluiten van de raad van bestuur.

(61)

Enisa moet beschikken over een Enisa-adviesgroep als adviserend orgaan teneinde regelmatig overleg met de particuliere sector, consumentenorganisaties en andere relevante belanghebbenden te waarborgen. De op voorstel van de uitvoerend directeur door de raad van bestuur opgerichte Enisa-adviesgroep moet zich richten op voor de belanghebbenden relevante vraagstukken en deze onder de aandacht van Enisa brengen. De Enisa-adviesgroep wordt in het bijzonder geraadpleegd met betrekking tot het ontwerp van het jaarlijks werkprogramma van Enisa. De samenstelling van de Enisa-adviesgroep en de aan deze groep toegewezen taken, moeten waarborgen dat de belanghebbenden voldoende worden vertegenwoordigd in de werkzaamheden van Enisa.

(62)

De Groep van belanghebbenden bij cyberbeveiligingscertificering moet worden opgericht om Enisa en de Commissie te helpen het raadplegen van de betrokken belanghebbenden te vergemakkelijken. De Groep van belanghebbenden bij cyberbeveiligingscertificering moet worden samengesteld uit leden die op evenwichtige wijze de sector vertegenwoordigen, zowel wat vraag als aanbod van ICT-producten en -diensten betreft, waaronder met name kleine en middelgrote ondernemingen, digitaledienstverleners, Europese en internationale normalisatieorganisaties, nationale accreditatie-instanties, gegevensbeschermingsautoriteiten en conformiteitsbeoordelingsinstanties overeenkomstig Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad (16), de wetenschap alsmede consumentenorganisaties.

(63)

Enisa moet beschikken over regels ter voorkoming en beheersing van belangenconflicten. Enisa moet voorts de toepasselijke in Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad (17) vastgelegde Unievoorschriften inzake toegang van het publiek tot documenten toepassen, zoals vervat. Persoonsgegevens moeten door Enisa worden verwerkt overeenkomstig Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (18). Enisa dient de bepalingen na te leven die van toepassing zijn op de instellingen, organen en instanties van de Unie alsmede de nationale wetgeving inzake de behandeling van informatie, in het bijzonder gevoelige niet-gerubriceerde informatie en gerubriceerde informatie van de Europese Unie (EUCI).

(64)

Om de volledige autonomie en onafhankelijkheid van Enisa te garanderen en Enisa in staat te stellen bijkomende taken te verrichten, waaronder onvoorziene noodmaatregelen, dient aan Enisa een toereikende eigen begroting te worden toegekend die hoofdzakelijk moet worden gefinancierd uit een bijdrage van de Unie en bijdragen van derde landen die deelnemen aan de werkzaamheden van Enisa. Een passende begroting is cruciaal om te waarborgen dat Enisa over voldoende capaciteit beschikt om al zijn steeds omvangrijkere taken te kunnen vervullen en zijn doelstellingen te verwezenlijken. Het merendeel van het personeel van Enisa moet rechtstreeks worden ingezet voor de operationele uitvoering van het mandaat van Enisa. De lidstaat van vestiging of enige andere lidstaat mag een vrijwillige bijdrage leveren aan de inkomsten van Enisa. De Uniebegrotingsprocedure blijft van toepassing op eventuele subsidies die ten laste van de algemene begroting van de Unie komen. Voorts controleert de Rekenkamer de rekeningen van Enisa teneinde transparantie en verantwoording zeker te stellen.

(65)

Cyberbeveiligingscertificering is belangrijk om het vertrouwen in en de beveiliging van ICT-producten, -diensten en -processen te vergroten. De digitale eengemaakte markt, en met name de data-economie en het internet der dingen, kan enkel gedijen als het grote publiek er vertrouwen in heeft dat dergelijke producten, diensten en processen een bepaald cyberbeveiligingsniveau bieden. Verbonden en geautomatiseerde auto’s, elektronische medische hulpmiddelen, besturingssystemen voor industriële automatisering en slimme netwerken zijn slechts enkele voorbeelden van sectoren waarin certificering reeds op grote schaal wordt gebruikt of naar verwachting in de toekomst zal worden gebruikt. De door Richtlijn (EU) 2016/1148 gereguleerde sectoren, zijn tevens sectoren waarin cyberbeveiligingscertificering van cruciaal belang is.

(66)

In de mededeling „Versterken van het Europese cyberbeveiligingssysteem en bevorderen van een concurrerende en innovatieve cyberbeveiligingsbranche” van 2016 heeft de Commissie gesteld dat er behoefte is aan hoogwaardige, betaalbare en interoperabele producten en oplossingen op het gebied van cyberbeveiliging. De levering van ICT-producten, -diensten en -processen binnen de eengemaakte markt blijft in geografisch opzicht zeer versnipperd, omdat de cyberbeveiligingsbranche in Europa zich grotendeels op basis van de vraag van nationale overheden heeft ontwikkeld. Daarnaast is het gebrek aan interoperabele oplossingen (technische normen), praktijken en Uniebrede certificeringsmechanismen een tekortkoming van de eengemaakte markt op het gebied van cyberbeveiliging. Dit maakt het voor Europese ondernemingen moeilijk om op nationaal, Unie- en mondiaal niveau te concurreren. Burgers en bedrijven hebben hierdoor slechts toegang tot een beperkte keuze aan levensvatbare en bruikbare cyberbeveiligingstechnologieën. Verder heeft de Commissie in de mededeling van 2017 inzake de tussentijdse evaluatie van de uitvoering van de strategie voor de digitale interne markt — Een connectieve digitale interne markt voor iedereen, gewezen op de noodzaak van veilige verbonden producten en systemen en aangegeven dat door het opzetten van een Europees ICT-beveiligingskader met regels voor het organiseren van ICT-beveiligingscertificering in de Unie zowel het vertrouwen in het internet in stand kan worden gehouden als de huidige versnippering van de interne markt kan worden aangepakt.

(67)

Momenteel wordt de cyberbeveiligingscertificering van ICT-producten, -diensten en -processen slechts in beperkte mate gebruikt. Indien deze certificering bestaat, is dat meestal op het niveau van de lidstaten of in het kader van regelingen die op initiatief van het bedrijfsleven zijn opgezet. In dat kader wordt een certificaat dat is afgegeven door een nationale cyberbeveiligingscertificeringsautoriteit in principe niet erkend in andere lidstaten. Bijgevolg moeten bedrijven hun ICT-producten, -diensten en -processen wellicht laten certificeren in de verschillende lidstaten waarin zij actief zijn, bijvoorbeeld met het oog op deelname aan nationale aanbestedingsprocedures, waardoor hun kosten oplopen. Er worden weliswaar nieuwe regelingen opgezet, maar er schijnt geen samenhangende en alomvattende benadering te zijn ten aanzien van horizontale cyberbeveiligingsvraagstukken, bijvoorbeeld op het gebied van het internet der dingen. Bestaande regelingen vertonen aanzienlijke tekortkomingen en verschillen wat betreft productdekking, zekerheidsniveaus, materiële criteria en daadwerkelijk gebruik, hetgeen een belemmering vormt voor wederzijdse-erkenningsmechanismen binnen de Unie.

(68)

Er zijn enige inspanningen geleverd om te zorgen voor wederzijdse erkenning van certificaten in de Unie. Maar die zijn echter slechts gedeeltelijk geslaagd. Het voornaamste voorbeeld daarvan is de overeenkomst inzake wederzijdse erkenning van de Groep van Hoge Ambtenaren voor de beveiliging van informatiesystemen (SOG-IS). Dat is weliswaar het belangrijkste model voor samenwerking en wederzijdse erkenning op het gebied van beveiligingscertificering, maar SOG-IS omvat slechts enkele lidstaten. De doeltreffendheid van de overeenkomst inzake wederzijdse erkenning van SOG-IS is daardoor vanuit het oogpunt van de interne markt beperkt.

(69)

Het is daarom noodzakelijk een gemeenschappelijke aanpak vast te stellen en een Europees kader voor cyberbeveiligingscertificering op te zetten waarin de voornaamste horizontale voorschriften voor te ontwikkelen Europese cyberbeveiligingscertificeringsregelingen worden vastgesteld, en dat het mogelijk maakt dat Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen voor ICT-producten, -diensten of -processen in alle lidstaten worden erkend en gebruikt. Daarbij is het essentieel om voort te bouwen op zowel bestaande nationale en internationale regelingen als stelsels voor wederzijdse erkenning, in het bijzonder SOG-IS, en een vlotte overgang mogelijk te maken van bestaande regelingen binnen die stelsels naar regelingen binnen het nieuwe Europese kader voor cyberbeveiligingscertificering. Het Europees kader voor cyberbeveiligingscertificering moet een tweeledig doel hebben. Enerzijds moet het bijdragen aan een groter vertrouwen in ICT-producten, -diensten en -processen die op grond van Europese regelingen voor cyberbeveiligingscertificering zijn gecertificeerd. Anderzijds moet het helpen voorkomen dat er meerdere tegenstrijdige of elkaar overlappende nationale cyberbeveiligingscertificeringsregelingen bestaan, en zodoende zorgen voor lagere kosten voor ondernemingen die actief zijn op de digitale eengemaakte markt. De Europese cyberbeveiligingscertificeringsregelingen moeten niet-discriminerend en gebaseerd zijn op Europese of internationale normen, tenzij dergelijke normen met het oog op de verwezenlijking van de desbetreffende legitieme doelstellingen van de Unie niet doeltreffend of niet geschikt zijn.

(70)

Het Europees kader voor cyberbeveiligingscertificering moet op uniforme wijze in alle lidstaten worden opgesteld om het „certificeringsshoppen” vanwege verschillende stringentieniveaus in de verschillende lidstaten tegen te gaan.

(71)

Europese cybercertificeringsregelingen moeten voortbouwen op wat er al op internationaal en nationaal niveau bestaat en zo nodig op technische specificaties van overlegfora en consortia; er moeten lessen worden getrokken uit de huidige sterke punten en de zwakke punten moeten worden beoordeeld en gecorrigeerd.

(72)

Aangezien het bedrijfsleven behoefte heeft aan flexibele cyberbeveiligingsoplossingen om cyberdreigingen voor te blijven, moet alle certificeringsregelingen zo worden ontwerpen dat het risico dat ze snel achterhaald zijn, wordt vermeden.

(73)

De Commissie dient de bevoegdheid te krijgen om Europese regelingen voor cyberbeveiligingscertificering met betrekking tot bepaalde groepen van ICT-producten, -diensten en -processen vast te stellen. De uitvoering van en het toezicht op die regelingen moeten worden verricht door de nationale cyberbeveiligingscertificeringsautoriteiten en de in het kader van die regelingen afgegeven certificaten moeten in de hele Unie geldig zijn en worden erkend. Certificeringsregelingen die door het bedrijfsleven of door andere particuliere organisaties worden toegepast, moeten buiten het toepassingsgebied van deze verordening vallen. De organisaties die dergelijke regelingen toepassen, moeten echter kunnen voorstellen dat de Commissie dergelijke regelingen in overweging nemen als basis voor de verbetering daarvan in de vorm van een Europese cyberbeveiligingscertificeringsregeling.

(74)

De bepalingen van deze verordening moeten Uniewetgeving waarbij specifieke regels voor de certificering van ICT-producten, -diensten en -processen zijn vastgesteld, onverlet laten. Met name omvat Verordening (EU) 2016/679 bepalingen betreffende de vaststelling van certificeringsmechanismen en van gegevensbeschermingszegels en -merktekens, om de naleving van die verordening bij verwerkingen door verwerkingsverantwoordelijken en verwerkers aan te tonen. Met behulp van dergelijke certificeringsmechanismen en gegevensbeschermingszegels en -merktekens dienen betrokkenen snel te kunnen beoordelen wat het beschermingsniveau van de relevante ICT-producten en -diensten is. Deze verordening doet geen afbreuk aan de certificering van gegevensverwerkingen overeenkomstig Verordening (EU) 2016/649, ook niet als dergelijke verwerkingen zijn geïntegreerd in ICT-producten, -diensten en -processen.

(75)

Europese regelingen voor cyberbeveiligingscertificering moeten tot doel hebben te waarborgen dat ICT-producten, -diensten en -processen die door middel van een dergelijke regeling zijn gecertificeerd, aan gespecificeerde voorschriften voldoen met als doel de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of verzonden gegevens of de daaraan gerelateerde diensten die via die producten, diensten en processen, worden aangeboden of toegankelijk zijn, gedurende hun levenscyclus te beschermen. Het is niet mogelijk om in deze verordening de cyberbeveiligingsvoorschriften voor alle ICT-producten, -diensten en -processen in detail op te nemen. ICT-producten, -diensten en -processen en de daarmee verband houdende behoeften inzake cyberbeveiliging zijn zodanig uiteenlopend dat het zeer moeilijk is te voorzien in algemene, in alle omstandigheden geldende cyberbeveiligingsvoorschriften. Met het oog op certificering is daarom een breed en algemeen begrip van cyberbeveiliging noodzakelijk, dat moet worden aangevuld met een reeks specifieke doelstellingen inzake cyberbeveiliging waarmee rekening moet worden gehouden bij het opzetten van Europese regelingen voor cyberbeveiligingscertificering. De regelingen waarmee dergelijke doelstellingen dienen te worden verwezenlijkt in specifieke ICT-producten, -diensten en -processen moet vervolgens verder worden gepreciseerd op het niveau van de specifieke, door de Commissie vastgestelde certificeringsregeling, bijvoorbeeld door middel van verwijzing naar normen of technische specificaties wanneer er geen passende normen beschikbaar zijn.

(76)

De in Europese cyberbeveiligingscertificeringsregelingen te gebruiken technische specificaties moeten de in bijlage II bij Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad (19) vastgestelde voorschriften in acht nemen. Enige afwijkingen van die voorschriften kunnen evenwel in naar behoren gemotiveerde gevallen noodzakelijk worden geacht wanneer die technische specificaties moeten worden gebruikt in een Europese cyberbeveiligingscertificeringsregeling waarin zekerheidsniveau „hoog” staat aangegeven. De redenen voor dergelijke afwijkingen moeten openbaar worden gemaakt.

(77)

Een conformiteitsbeoordeling is een procedure waarbij wordt geëvalueerd of aan gespecificeerde voorschriften met betrekking tot een ICT-product, -dienst of -proces is voldaan. Die procedure wordt verricht door een onafhankelijke derde partij die niet de fabrikant of de aanbieder van de geëvalueerde ICT-producten, -diensten of -processen is. Een Europese cyberbeveiligingscertificaat dient te worden afgegeven na een succesvolle evaluatie van een ICT-product, -dienst of -proces. Een Europees cyberbeveiligingscertificaat moet worden gezien als een bevestiging dat de evaluatie correct is uitgevoerd. Afhankelijk van het zekerheidsniveau moet in de Europese cyberbeveiligingscertificeringsregeling worden aangegeven of het Europees cyberbeveiligingscertificaat dient te worden afgegeven door een particuliere of een openbare instantie. Conformiteitsbeoordeling en certificering bieden geen garantie dat gecertificeerde ICT-producten, -diensten en -processen cyberbeveiligd zijn. Zij behelzen veeleer procedures en een technische methoden om te bevestigen dat ICT-producten, -diensten en -processen zijn getest en dat zij voldoen aan bepaalde cyberbeveiligingsvoorschriften die elders, bijvoorbeeld in technische normen, zijn vastgesteld.

(78)

De keuze van de gebruikers van Europese cyberbeveiligingscertificaten voor de passende certificering en de bijbehorende beveiligingsvoorschriften moet worden gebaseerd op een analyse van de met het gebruik van de ICT-producten, -diensten of -processen verbonden risico’s. Het zekerheidsniveau moet daarom in verhouding staan tot het niveau van het risico dat verbonden is aan het beoogde gebruik van een ICT-product, -dienst of -proces.

(79)

In Europese regelingen voor cyberbeveiligingscertificering zou kunnen worden bepaald dat een conformiteitsbeoordeling wordt uitgevoerd onder de uitsluitende verantwoordelijkheid van de fabrikant of aanbieder van ICT-producten, -diensten of -processen („conformiteitszelfbeoordeling”). In dergelijke gevallen moet het volstaan dat de fabrikant of de aanbieder van ICT-producten, -diensten of -processen zelf alle inspecties uitvoert om te zorgen dat de ICT-producten, -diensten of -processen in overeenstemming zijn met de Europese cyberbeveiligingscertificeringsregeling. De conformiteitszelfbeoordeling moet geschikt worden geacht voor ICT-producten, -diensten en -processen met een geringe complexiteit (eenvoudig ontwerp- en productiemechanismen) die een laag risico voor het openbaar belang opleveren. Voorts dient conformiteitszelfbeoordeling ten aanzien van ICT-producten, -diensten of -processen alleen te worden toegestaan wanneer deze zekerheidsniveau „basis” hebben.

(80)

Europese regelingen voor cyberbeveiligingscertificering zouden de mogelijkheid kunnen bieden van zowel conformiteitszelfbeoordeling als certificering van ICT-producten, -diensten of -processen. In een dergelijk geval moet de regeling de consumenten of andere gebruikers duidelijke en begrijpelijke middelen aanreiken waarmee zij een onderscheid kunnen maken tussen ICT-producten, -diensten of -processen ten aanzien waarvan de fabrikant of aanbieder verantwoordelijk is voor de beoordeling en ICT-producten, -diensten of -processen die door een derde partij zijn gecertificeerd.

(81)

De fabrikant of aanbieder van ICT-producten, -diensten of -processen die een conformiteitszelfbeoordeling uitvoert moet, als onderdeel van de conformiteitsbeoordelingsprocedure, de EU-conformiteitsverklaring kunnen verstrekken en ondertekenen. Een EU-conformiteitsverklaring is een document waarin staat dat een specifiek ICT-product, -dienst of -proces voldoet aan de voorschriften van de Europese cyberbeveiligingscertificeringsregeling. Door de EU-conformiteitsverklaring te verstrekken en ondertekenen verklaart de fabrikant of de aanbieder van ICT-producten, -diensten of -processen zich verantwoordelijk voor de conformiteit van het ICT-product, -dienst of -proces met de wettelijke voorschriften van de Europese cyberbeveiligingscertificeringsregeling. Van de EU-conformiteitsverklaring moet een exemplaar bij de nationale cyberbeveiligingscertificeringsautoriteit en bij Enisa worden ingediend.

(82)

Fabrikanten of aanbieders van ICT-producten, -diensten of -processen moeten de EU-conformiteitsverklaring en de technische documentatie van alle andere relevante informatie met betrekking tot de conformiteit van de ICT-producten, -diensten of -processen met een Europese cyberbeveiligingscertificeringsregeling ter beschikking van de bevoegde nationale cyberbeveiligingscertificeringsautoriteit stellen, en wel gedurende een in de betrokken Europese cyberbeveiligingscertificeringsregeling bepaalde periode. In de technische documentatie moeten de krachtens de regeling toepasselijke vereisten worden vermeld en moet, voor zover relevant voor de conformiteitszelfbeoordeling, het ontwerp, de fabricage en de werking van het ICT-product, -dienst of -proces worden bestreken. De technische documentatie moet zodanig worden opgesteld dat kan worden beoordeeld of een ICT-product, -dienst of -proces voldoet aan de krachtens die regeling toepasselijke vereisten.

(83)

De governance van het Europees kader voor cyberbeveiligingscertificering houdt rekening met de betrokkenheid van de lidstaten alsmede de passende betrokkenheid van belanghebbenden en legt de rol van de Commissie vast gedurende het plannen, voorstellen, aanvragen, voorbereiden, goedkeuren en evalueren van Europese regelingen voor cyberbeveiligingscertificering.

(84)

De Commissie moet na open en breed overleg met de steun van de Europese Groep voor cyberbeveiligingscertificering (de „EGC”) en de Groep van belanghebbenden bij cyberbeveiligingscertificering een voortschrijdend werkprogramma van de Unie voor Europese regelingen voor cyberbeveiligingscertificering opstellen en bekendmaken in de vorm van een niet-bindend instrument. Het voortschrijdend werkprogramma van de Unie dient een strategisch document te zijn aan de hand waarvan met name de sector, de nationale autoriteiten en de normalisatieorganisaties zich kunnen voorbereiden op toekomstige Europese regelingen voor cyberbeveiligingscertificering. Het voortschrijdend werkprogramma van de Unie moet een meerjarig overzicht van de verzoeken om potentiële regelingen bevatten die de Commissie ter voorbereiding bij Enisa wil indienen, op specifieke gronden. De Commissie moet met het voortschrijdend werkprogramma van de Unie rekening houden wanneer zij haar voortschrijdend plan voor ICT-normalisatie en normalisatieverzoeken aan Europese normalisatieorganisaties opstelt. In het licht van de snelle invoering en absorptie van nieuwe technologieën, het ontstaan van voorheen onbekende cyberbeveiligingsrisico’s en ontwikkelingen in wetgeving en de markt, moet de Commissie of de EGC het recht hebben om Enisa te verzoeken potentiële regelingen op te stellen die niet in het voortschrijdend werkprogramma van de Unie zijn opgenomen. In dergelijke gevallen moeten de Commissie en de EGC ook de noodzaak van een dergelijk verzoek beoordelen, rekening houdend met de algemene doelstellingen van deze verordening en noodzaak tot waarborging van de continuïteit van de planning en het gebruik van de middelen van Enisa.

Enisa moet, naar aanleiding van een dergelijk verzoek, onverwijld potentiële regelingen opstellen voor specifieke ICT-producten, -diensten en -processen. De Commissie moet de positieve en negatieve gevolgen van haar verzoek voor de betrokken specifieke markt evalueren, met name wat betreft kleine en middelgrote ondernemingen, innovatie, belemmeringen om tot die markt toe te treden en kosten voor eindgebruikers. De Commissie moet de bevoegdheid krijgen om vervolgens, op basis van de door Enisa voorgestelde potentiële regeling, de Europese cyberbeveiligingscertificeringsregeling bij uitvoeringshandeling vast te stellen. Rekening houdend met het in deze verordening bepaalde algemene doel en de beveiligingsdoelstellingen, moet in door de Commissie vastgestelde Europese cyberbeveiligingscertificeringsregelingen een minimumreeks elementen worden gespecificeerd wat betreft onderwerp, toepassingsgebied en werking van de afzonderlijke regeling. Tot die elementen moeten onder meer het toepassingsgebied en het voorwerp van de cyberbeveiligingscertificering behoren, met inbegrip van de betrokken categorieën ICT-producten, -diensten en -processen, de gedetailleerde specificatie van de cyberbeveiligingsvoorschriften, bijvoorbeeld door verwijzing naar normen of technische specificaties, de specifieke evaluatiecriteria en -methoden evenals het beoogde zekerheidsniveau („basis”, „substantieel” of „hoog”) en de evaluatieniveaus, indien van toepassing. Enisa moet een verzoek van de EGC kunnen weigeren. Dergelijke beslissingen moeten door de raad van bestuur worden genomen en moeten naar behoren worden gemotiveerd.

(85)

Enisa moet een website in stand houden met informatie over en bekendmaking van Europese cyberbeveiligingscertificeringsregelingen, waaronder de verzoeken voor de opstelling van een potentiële regeling en voor de feedback die wordt ontvangen tijdens het raadplegingsproces dat Enisa in de voorbereidingsfase uitvoert. De website moet ook informatie verstrekken over Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen die krachtens deze verordening worden afgegeven, waaronder informatie over intrekking en verval van dergelijke Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen. Tevens moet de website vermelden welke nationale cyberbeveiligingscertificeringsregelingen zijn vervangen door een Europese cyberbeveiligingscertificeringsregeling.

(86)

Het zekerheidsniveau van een Europese certificeringsregeling is een basis voor vertrouwen dat een ICT-product, -dienst of -proces voldoet aan de beveiligingsvoorschriften van een specifieke Europese cyberbeveiligingscertificeringsregeling. Teneinde de samenhang van het Europees cyberbeveiligingscertificeringskader te waarborgen moeten in een Europese cybercertificeringsregeling zekerheidsniveaus kunnen worden aangegeven voor uit hoofde van die regeling afgegeven Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen. In elk Europees cyberbeveiligingscertificaat zou kunnen worden verwezen naar de zekerheidsniveaus „basis”, „substantieel” of „hoog”, terwijl in de EU-conformiteitsverklaring alleen melding zou kunnen worden gemaakt van zekerheidsniveau „basis”. De zekerheidsniveaus zouden de overeenkomstige grondigheid en diepgang van de evaluatie van het ICT-product, de ICT-dienst of het ICT-proces bepalen, en zouden worden gekenmerkt door verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles, waarvan het doel is om incidenten te beperken of voorkomen. Elk zekerheidsniveau dient in overeenstemming te zijn met de diverse sectorale domeinen waar certificering wordt toegepast.

(87)

In een Europese cyberbeveiligingscertificeringsregeling zouden verscheidene evaluatieniveaus kunnen worden vermeld, afhankelijk van de vraag hoe strikt en diepgaand de gebruikte evaluatiemethodologie is. Evaluatieniveaus moeten overeenkomen met één van de zekerheidsniveaus en moeten gepaard gaan met een passende combinatie van zekerheidscomponenten. Voor alle zekerheidsniveaus moeten ICT-producten, -diensten of -processen een aantal in de regeling gespecificeerde beveiligde functies bevatten zoals onder meer: een standaardconfiguratie, een ondertekende code, beveiligde actualisering en exploitmitigatie, en volledige bescherming van het stack- of heapgeheugen. Die functies moeten worden ontwikkeld en onderhouden met op beveiliging gerichte benaderingen inzake ontwikkeling en de bijbehorende hulpmiddelen waardoor wordt gewaarborgd dat er doeltreffende software- en hardwaremechanismen op betrouwbare wijze in worden verwerkt.

(88)

Voor het zekerheidsniveau „basis” moet de evaluatie worden geleid door ten minste de volgende zekerheidscomponenten: de evaluatie moet ten minste een beoordeling inhouden van de technische documentaties van het ICT-product, de ICT-dienst of het ICT-proces door de conformiteitsbeoordelingsinstantie. Indien de certificering ICT-processen omvat, moet de technische evaluatie ook betrekking hebben op het proces dat wordt gebruikt voor het ontwerpen, ontwikkelen en in stand houden van een ICT-product of -dienst. Indien een Europese cyberbeveiligingscertificeringsregeling voorziet in een conformiteitszelfbeoordeling, moet het voldoende zijn als de fabrikant of aanbieder van ICT-producten, -diensten of -processen zelf heeft beoordeeld of de ICT-producten, -diensten of -processen voldoen aan de certificeringsregeling.

(89)

Voor zekerheidsniveau „substantieel” moet de evaluatie, in aanvulling op de vereisten voor het zekerheidsniveau „basis”, worden geleid door ten minste de verificatie van de conformiteit van de beveiligingsfuncties van het ICT-product, de ICT-dienst of het ICT-proces met de technische documentatie ervan omvatten.

(90)

Voor zekerheidsniveau „hoog” moet de evaluatie, in aanvulling op de vereisten voor zekerheidsniveau „substantieel”, worden geleid door ten minste een efficiëntietest waarbij wordt beoordeeld of de beveiligingsfuncties van een ICT-product, -dienst of -proces bestand zijn tegen mensen die complexe cyberaanvallen uitvoeren en over aanzienlijke vaardigheden en middelen beschikken.

(91)

Het gebruik van Europese cyberbeveiligingscertificering en EU-conformiteitsverklaringen moet vrijwillig blijven, tenzij anders is bepaald in Unierecht, of in het in overeenstemming met het Unierecht vastgestelde recht van de lidstaten. Bij ontstentenis van geharmoniseerd Unierecht kunnen de lidstaten nationale technische voorschriften vaststellen die voorzien in verplichte certificering uit hoofde van een Europese cyberbeveiligingscertificeringsregeling overeenkomstig Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad (20). De lidstaten kunnen tevens gebruikmaken van de Europese cyberbeveiligingscertificering in het kader van overheidsopdrachten en Richtlijn 2014/24/EU van het Europees Parlement en de Raad (21).

(92)

Op sommige gebieden kan het in de toekomst nodig zijn om specifieke cyberbeveiligingsvoorschriften op te leggen en de certificering daarvan verplicht te maken voor bepaalde ICT-producten, -diensten of -processen teneinde het cyberbeveiligingsniveau in de Unie te verbeteren. De Commissie moet toezien op de vastgestelde Europese cyberbeveiligingscertificeringsregelingen en de beschikbaarheid van beveiligde ICT-producten, -diensten en -processen in de interne markt en regelmatig het niveau van de door de fabrikanten of aanbieders van ICT-producten, -diensten en -processen in de Unie gebruikte certificeringsregelingen beoordelen. De efficiëntie van de Europese cyberbeveiligingscertificeringsregelingen en de vraag of specifieke regelingen verplicht moeten worden gesteld, moet worden beoordeeld in het licht van de Uniewetgeving inzake cyberbeveiliging, met name Richtlijn (EU) 2016/1148, rekening houdend met de beveiliging van de netwerk- en informatiesystemen die door aanbieders van essentiële diensten worden gebruikt.

(93)

Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen moeten eindgebruikers helpen geïnformeerde keuzes te maken. Daarom moeten ICT-producten, -diensten en -processen die zijn gecertificeerd of waarvoor een EU-conformiteitsverklaring is afgegeven, vergezeld gaan van gestructureerde informatie die aan het verwachte technische niveau van de beoogde eindgebruiker is aangepast. Alle dergelijke informatie moet online, en waar passend in tastbare vorm, beschikbaar zijn. De eindgebruiker moet toegang hebben tot informatie met betrekking tot het referentienummer van de certificeringsregeling, het zekerheidsniveau, de omschrijving van de cyberbeveiligingsrisico’s die gepaard gaan met het ICT-product, de ICT-dienst of het ICT-proces, en de autoriteit of instantie van afgifte, of moet een kopie van het Europees cyberbeveiligingscertificaat kunnen verkrijgen. Daarnaast moet de eindgebruiker worden geïnformeerd over het cyberbeveiligingsondersteuningsbeleid namelijk hoe lang de eindgebruiker mag verwachten cyberbeveiligingsupdates of -patches te krijgen van de fabrikant of aanbieder van ICT-producten, -diensten of -processen. Waar van toepassing dienen richtsnoeren te worden verstrekt over maatregelen of instellingen die de eindgebruiker kan toepassen om de cyberbeveiliging van het ICT-product, de ICT-dienst of het ICT-proces in stand te houden of te verbeteren, alsmede de contactgegevens van een centraal contactpunt om cyberaanvallen te melden of in geval van cyberaanvallen hulp te ontvangen (naast automatische melding). Die informatie moet regelmatig worden geactualiseerd en op een website met informatie over Europese cyberbeveiligingscertificeringsregelingen beschikbaar worden gesteld.

(94)

Om de doelstellingen van deze verordening te verwezenlijken en de versnippering van de interne markt te voorkomen, dient de geldigheid van nationale cyberbeveiligingscertificeringsregelingen of -procedures voor ICT-producten, diensten of -processen die onder een Europese cyberbeveiligingscertificeringsregelingen vallen, te vervallen vanaf een door de Commissie bij de uitvoeringshandeling vastgestelde datum. Bovendien dienen de lidstaten geen nieuwe nationale cyberbeveiligingscertificeringsregelingen in te voeren voor ICT-producten, -diensten of -processen die reeds onder een bestaande Europese regeling voor cyberbeveiligingscertificering vallen. De lidstaten dient echter niet belet te worden nationale cyberbeveiligingscertificeringsregelingen met het oog op de nationale veiligheid vast te stellen of te handhaven. De lidstaten dienen de Commissie en de EGC in te lichten over elk voornemen om nieuwe nationale cyberbeveiligingscertificeringsregelingen op te stellen. De Commissie en de EGC moeten de gevolgen van de nieuwe nationale cyberbeveiligingscertificeringsregelingen voor de goede werking van de interne markt evalueren, mede in het licht van enig strategische belang om in de plaats daarvan om een Europese cyberbeveiligingscertificeringsregeling te verzoeken.

(95)

Met Europese cyberbeveiligingscertificeringsregelingen wordt beoogd bij te dragen aan de harmonisatie van cyberbeveiligingspraktijken in de Unie. Zij dienen bij te dragen tot een betere cyberbeveiliging binnen de Unie. Bij het ontwerp van de Europese cyberbeveiligingscertificeringsregelingen moet de ontwikkeling van innovaties op het gebied van cyberbeveiliging in aanmerking worden genomen en mogelijk zijn.

(96)

Bij Europese cyberbeveiligingscertificeringsregelingen dient rekening gehouden te worden met bestaande software- en hardwareontwikkelingsmethoden en in het bijzonder met de gevolgen van veelvuldige updates van software of firmware voor afzonderlijke Europese cyberbeveiligingscertificaten. In Europese cyberbeveiligingscertificeringsregelingen moeten de voorwaarden zijn gespecificeerd waaronder een update kan vereisen dat een ICT-product, -dienst of -proces opnieuw wordt gecertificeerd of dat de geldigheid van dat Europees cyberbeveiligingscertificaat wordt beperkt, rekening houdend met mogelijke negatieve gevolgen van de update voor de naleving van de beveiligingsvoorschriften van dat certificaat.

(97)

Zodra een Europese cyberbeveiligingscertificeringsregelingen is vastgesteld, moeten fabrikanten of aanbieders van ICT-producten, -diensten of -processen bij een conformiteitsbeoordelingsinstantie van hun keuze, waar dan ook in de Unie, een aanvraag indienen voor de certificering van hun ICT-producten of -diensten. Conformiteitsbeoordelingsinstanties moeten door een nationale accreditatie-instantie worden geaccrediteerd indien zij aan bepaalde, in deze verordening vastgestelde specifieke vereisten voldoen. De accreditatie moet worden afgegeven voor een maximumperiode van vijf jaar en moet onder dezelfde voorwaarden kunnen worden verlengd, mits de conformiteitsbeoordelingsinstantie nog steeds aan de vereisten voldoet. Nationale accreditatie-instanties moeten de accreditatie van een conformiteitsbeoordelingsinstantie beperken, opschorten of intrekken wanneer niet of niet meer aan de voorwaarden voor de accreditatie wordt voldaan of wanneer de conformiteitsbeoordelingsinstantie inbreuk maakt op deze verordening.

(98)

Verwijzingen in nationale wetgeving naar nationale normen die niet langer gelden door de inwerkingtreding van een Europese cyberbeveiligingscertificeringsregelingen, kunnen een bron van verwarring zijn. Daarom moeten de lidstaten de vaststelling van een Europese cyberbeveiligingscertificeringsregelingen in hun nationale wetgeving weerspiegelen.

(99)

Om binnen de hele Unie gelijkwaardige normen te bereiken teneinde wederzijdse erkenning te vergemakkelijken en de algemene acceptatie van Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen te bevorderen, moeten de nationale cyberbeveiligingscertificeringsautoriteiten een collegialetoetsingssysteem inrichten. Collegiale toetsing moet procedures omvatten voor het toezicht op de conformiteit van ICT-producten, -diensten en -processen van Europese cyberbeveiligingscertificaten, op de verplichtingen van fabrikanten en aanbieders van ICT-producten, -diensten en -processen die aan zelfbeoordeling doen, op conformiteitsbeoordelingsinstanties, evenals op de relevantie van de expertise van het personeel van de organen die certificaten voor zekerheidsniveau „hoog” afgeven. De Commissie moet, door middel van een uitvoeringshandeling, ten minste een vijfjarenplan voor collegiale toetsingen kunnen opstellen, alsmede ook criteria en methoden vastleggen voor de werking van het systeem van collegiale toetsing.

(100)

Sommige Europese cyberbeveiligingscertificeringsregelingen kunnen, onverminderd het algemene systeem van collegiale toetsing dat voor alle nationale cyberbeveiligingscertificeringsautoriteiten binnen het Europees cyberbeveiligingscertificeringskader moet worden ingericht, een collegialetoetsingsmechanisme opzetten voor de instanties die onder dergelijke regelingen Europese cyberbeveiligingscertificaten voor ICT-producten, -diensten en -processen met zekerheidsniveau „hoog” afgeven. De EGC moet de uitvoering van dergelijke collegialetoetsingsmechanismen steunen. Bij de collegiale toetsingen dient in het bijzonder te worden beoordeeld of de betrokken instanties hun taken op geharmoniseerde wijze uitvoeren, en kunnen beroepsmechanismen omvatten. De resultaten van de collegiale toetsing moeten openbaar worden gemaakt. De betrokken instanties kunnen passende maatregelen nemen om hun praktijken en expertise aan te passen.

(101)

De lidstaten moeten één of meer nationale cyberbeveiligingscertificeringsautoriteiten aanwijzen om toe te zien op de naleving van de uit deze verordening voortvloeiende verplichtingen. Een nationale cyberbeveiligingscertificeringsautoriteit kan een bestaande of een nieuwe autoriteit zijn. Een lidstaat moet, na overeenstemming met een andere lidstaat, tevens één of meer nationale cyberbeveiligingscertificeringsautoriteiten op het grondgebied van die andere lidstaat kunnen aanwijzen.

(102)

Nationale cyberbeveiligingscertificeringsautoriteiten moeten in het bijzonder de verplichtingen van op hun respectieve grondgebieden gevestigde fabrikanten of aanbieders van ICT-producten, -diensten of -processen, ten aanzien van de EU-conformiteitsverklaring, volgen en handhaven, de nationale accreditatie-instanties bijstaan bij het volgen van en toezicht op de activiteiten van conformiteitsbeoordelingsinstanties door hen te voorzien van expertise en relevante informatie, conformiteitsbeoordelingsinstanties toestaan hun taken uit te voeren wanneer dergelijke instanties voldoen aan in Europese cyberbeveiligingscertificeringsregelingen gestelde aanvullende vereisten, en relevante ontwikkelingen volgen op het gebied van cyberbeveiligingscertificering. De nationale cyberbeveiligingscertificeringsautoriteiten moeten klachten behandelen die natuurlijke of rechtspersonen hebben ingediend over door die autoriteiten afgegeven Europese cyberbeveiligingscertificaten of in verband met Europese cyberbeveiligingscertificaten die zijn afgegeven door conformiteitsbeoordelingsinstanties indien in dergelijke certificaten zekerheidsniveau „hoog” staat aangegeven, moeten de inhoud van de klacht in passende mate onderzoeken en de klager binnen een redelijke termijn in kennis stellen van de vooruitgang en het resultaat van het onderzoek. Bovendien moeten de nationale cyberbeveiligingscertificeringsautoriteiten samenwerken met andere nationale autoriteiten voor cyberbeveiligingscertificering of andere overheidsinstanties, onder meer door de uitwisseling van informatie over de mogelijke niet-conformiteit van ICT-producten, -diensten en -processen met de voorschriften van deze verordening of van specifieke Europese cyberbeveiligingscertificeringsregelingen. De Commissie moet die informatie-uitwisseling bevorderen door een algemeen elektronisch informatieondersteuningssysteem beschikbaar te stellen, bijvoorbeeld het informatie- en communicatiesysteem voor markttoezicht (ICSMS) en het systeem voor snelle waarschuwingen over gevaarlijke niet-levensmiddelen (Rapex), die overeenkomstig Verordening (EG) nr. 765/2008 al door markttoezichtautoriteiten worden gebruikt.

(103)

Om de consistente toepassing van het Europees cyberbeveiligingscertificeringskader te waarborgen moet een EGC worden opgericht die is samengesteld uit vertegenwoordigers van de nationale cyberbeveiligingscertificeringsautoriteiten of andere relevante nationale autoriteiten. De voornaamste taken van de EGC moeten bestaan in het verlenen van advies en bijstand aan de Commissie bij haar taak een samenhangende uitvoering en toepassing van het Europees cyberbeveiligingscertificeringskader te waarborgen, het verlenen van bijstand aan en het nauw samenwerken met Enisa bij het opstellen van potentiële cyberbeveiligingscertificeringsregelingen, het in naar behoren gemotiveerde gevallen verzoeken van Enisa om een potentiële regeling op te stellen, het vaststellen van aan Enisa gerichte standpunten over potentiële regelingen en het vaststellen van aan de Commissie gerichte standpunten over de instandhouding en herziening van bestaande Europese cyberbeveiligingscertificeringsregelingen. De EGC moet de uitwisseling vergemakkelijken van goede praktijken en expertise tussen de verschillende nationale cyberbeveiligingscertificeringsautoriteiten die verantwoordelijk zijn voor de toelating van conformiteitsbeoordelingsinstanties en voor de afgifte van Europese cyberbeveiligingscertificaten.

(104)

Om toekomstige Europese cyberbeveiligingscertificeringsregelingen onder de aandacht te brengen en de acceptatie ervan te bevorderen, kan de Commissie algemene of sectorspecifieke richtsnoeren inzake cyberbeveiliging uitbrengen, bijvoorbeeld over goede praktijken op het gebied van cyberbeveiliging of verantwoordelijk cyberbeveiligingsgedrag, waarbij wordt gewezen op het gunstige effect van het gebruik van gecertificeerde ICT-producten, -diensten en -processen.

(105)

Teneinde de handel verder te vergemakkelijken, en erkennende dat ICT-toeleveringsketens mondiaal zijn, kan de Unie overeenkomstig artikel 218 van het Verdrag betreffende de werking van de Europese Unie (VWEU) overeenkomsten inzake wederzijdse erkenning sluiten met betrekking tot Europese cyberbeveiligingscertificaten. De Commissie, rekening houdend met het advies van Enisa en de Europese Groep voor cyberbeveiligingscertificering, kan aanbevelen daarover onderhandelingen te openen. Iedere Europese cyberbeveiligingscertificeringsregeling moet specifieke voorwaarden bevatten voor dergelijke overeenkomsten met derde landen inzake wederzijdse erkenning.

(106)

Aan de Commissie dienen de uitvoeringsbevoegdheden te worden verleend opdat zij voor uniforme omstandigheden voor de uitvoering van deze verordening kan zorgen. Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (22).

(107)

De onderzoeksprocedure moet worden toegepast voor de vaststelling van uitvoeringshandelingen inzake Europese cyberbeveiligingscertificeringsregelingen voor ICT-producten, -diensten of -processen, voor de vaststelling van uitvoeringshandelingen inzake regelingen voor door Enisa uit te voeren onderzoeken, voor de vaststelling van uitvoeringshandelingen inzake een plan voor de collegiale toetsing van nationale cyberbeveiligingscertificeringsautoriteiten, alsmede voor de vaststelling van uitvoeringshandelingen inzake de omstandigheden, vormen en procedures voor kennisgeving aan de Commissie van geaccrediteerde conformiteitsbeoordelingsinstanties door de nationale cyberbeveiligingscertificeringsautoriteiten.

(108)

De werking van Enisa moet aan een regelmatige en onafhankelijke evaluatie worden onderworpen. Die evaluatie moet betrekking hebben op de verwezenlijking van de doelstellingen van Enisa, zijn werkmethoden en de relevantie van zijn taken, met name zijn taken met betrekking tot de operationele samenwerking op Unieniveau. Bij die evaluatie moeten tevens de gevolgen, de doeltreffendheid en de efficiëntie van het Europees cyberbeveiligingscertificeringskader worden geëvalueerd. In geval van een herziening moet de Commissie nagaan hoe de rol van Enisa als referentiepunt voor advies en expertise kan worden versterkt en moet de Commissie tevens de mogelijkheid evalueren van een rol voor Enisa bij het helpen beoordelen van ICT-producten, -diensten en -processen uit derde landen die niet aan de Unieregels voldoen.

(109)

Aangezien de doelstellingen van deze verordening niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar vanwege de omvang en de gevolgen ervan beter op het niveau van de Unie kunnen worden gerealiseerd, kan de Unie maatregelen nemen overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie (VEU) neergelegde subsidiariteitsbeginsel. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstellingen te verwezenlijken.

(110)

Verordening (EU) nr. 526/2013 moet worden ingetrokken,

(1)

Deze richtlijn strekt ertoe een bijdrage te leveren tot het goed functioneren van de interne markt middels onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten inzake de toegankelijkheidsvoorschriften voor bepaalde producten en diensten, in het bijzonder door belemmeringen voor het vrije verkeer van bepaalde toegankelijke producten en diensten ten gevolge van uiteenlopende toegankelijkheidsvoorschriften in de lidstaten, weg te nemen en te voorkomen. Dit zou de beschikbaarheid van toegankelijke producten en diensten in de interne markt vergroten en de toegankelijkheid van relevante informatie verbeteren.

(2)

Er is veel vraag naar toegankelijke producten en diensten, en volgens ramingen zal het aantal personen met een handicap aanzienlijk toenemen. Een omgeving waar producten en diensten beter toegankelijk zijn, draagt bij tot een inclusievere samenleving en maakt het voor personen met een handicap gemakkelijker om zelfstandig te leven. In dit verband moet voor ogen worden gehouden dat in de Unie handicaps vaker voorkomen bij vrouwen dan bij mannen.

(3)

In deze richtlijn worden personen met een handicap gedefinieerd volgens het op 13 december 2006 vastgestelde VN-Verdrag inzake de rechten van personen met een handicap (VN-VRPH), waarbij de Unie sinds 21 januari 2011 partij is en dat door alle lidstaten is geratificeerd. Volgens het VN-VRPH omvat personen met een handicap „personen met langdurige fysieke, mentale, intellectuele of zintuiglijke beperkingen die in hun interactie te kampen hebben met diverse drempels die hen kunnen beletten volledig, effectief en op voet van gelijkheid met anderen te participeren in de samenleving”. Deze richtlijn bevordert de volledige en effectieve participatie op voet van gelijkheid door te zorgen voor betere toegang tot veelgebruikte producten en diensten die door hun oorspronkelijke vormgeving of latere aanpassing tegemoetkomen aan de specifieke behoeften van personen met een handicap.

(4)

Andere personen met een functionele beperking, zoals ouderen, zwangere vrouwen of personen die reizen met bagage, zouden eveneens voordeel bij deze richtlijn hebben. Het concept „personen met een functionele beperking” als bedoeld in deze richtlijn omvat personen die, permanent dan wel tijdelijk, beperkingen hebben van lichamelijke, geestelijke, intellectuele of zintuiglijke aard, als gevolg van leeftijd of door andere lichamelijke oorzaken, die in wisselwerking met diverse belemmeringen tot gevolg heeft dat zij slechts beperkt toegang hebben tot producten en diensten, en er een situatie ontstaat dat deze producten en diensten aan hun specifieke behoeften moeten worden aangepast.

(5)

De verschillen tussen de wettelijke en bestuursrechtelijke bepalingen van de lidstaten met betrekking tot de toegankelijkheid van producten en diensten voor personen met een handicap, leiden tot belemmeringen in het vrije verkeer van producten en diensten en verstoren de daadwerkelijke mededinging in de interne markt. Bij bepaalde producten en diensten worden deze verschillen in de Unie waarschijnlijk groter na de inwerkingtreding van het VN- VRPH. Marktdeelnemers, met name kleine en middelgrote ondernemingen, ondervinden in het bijzonder hinder van deze belemmeringen.

(6)

De uiteenlopende nationale toegankelijkheidsvoorschriften ontmoedigen met name zelfstandigen, kleine en middelgrote ondernemingen en micro-ondernemingen om zakelijke activiteiten buiten hun binnenlandse markt te ontplooien. De nationale of zelfs regionale of lokale toegankelijkheidsvoorschriften die de lidstaten hebben vastgesteld, verschillen momenteel zowel wat betreft toepassingsgebied als mate van gedetailleerdheid. Door de extra kosten die nodig zijn om toegankelijke producten en diensten voor elke nationale markt te ontwikkelen en te verhandelen, hebben deze verschillen een negatief effect op het concurrentievermogen en de groei.

(7)

Door de beperkte concurrentie tussen leveranciers worden gebruikers van toegankelijke producten en van hulptechnologieën en diensten geconfronteerd met hoge prijzen. De potentiële voordelen van het uitwisselen van ervaringen tussen nationale en internationale marktdeelnemers bij het inspelen op maatschappelijke en technologische ontwikkelingen worden beperkt door de versnippering van de nationale regelingen.

(8)

Voor het goed functioneren van de interne markt is het daarom noodzakelijk de nationale maatregelen op Unieniveau op elkaar af te stemmen, teneinde een einde te maken aan de fragmentatie van de markt voor toegankelijke producten en diensten, schaalvoordelen tot stand te brengen, de grensoverschrijdende handel en mobiliteit te vergemakkelijken en de marktdeelnemers te helpen hun beschikbare middelen aan innovatie te besteden en niet aan kosten voortvloeiend uit versnipperde wetgeving in de Unie.

(9)

De voordelen van het harmoniseren van toegankelijkheidsvoorschriften voor de interne markt blijken uit de toepassing van Richtlijn 2014/33/EU van het Europees Parlement en de Raad (3) betreffende liften en Verordening (EG) nr. 661/2009 van het Europees Parlement en de Raad (4) op het gebied van vervoer.

(10)

Bij verklaring nr. 22, betreffende personen met een handicap, gehecht aan het Verdrag van Amsterdam, is de Conferentie van de vertegenwoordigers van de regeringen der lidstaten overeengekomen dat de instellingen van de Unie bij het vaststellen van maatregelen krachtens artikel 114 van het Verdrag betreffende de werking van de Europese Unie (VWEU) rekening houden met de behoeften van personen met een handicap.

(11)

Het algemene doel van de mededeling van de Commissie van 6 mei 2015„Een strategie voor een digitale eengemaakte markt voor Europa” is het realiseren van duurzame economische en sociale voordelen dankzij een connectieve digitale eengemaakte markt, waardoor de handel wordt gefaciliteerd en de werkgelegenheid in de Unie wordt bevorderd. Consumenten in de Unie kunnen nog steeds niet optimaal profiteren van de prijsvoordelen en keuzemogelijkheden die de eengemaakte markt kan bieden, omdat grensoverschrijdende onlinetransacties nog zeer beperkt zijn. Ook de versnippering van de markt beperkt de vraag naar grensoverschrijdende e-handelstransacties. Tevens is een gecoördineerde aanpak nodig om ervoor te zorgen dat elektronische inhoud, elektronischecommunicatiediensten en toegang tot audiovisuele mediadiensten volledig toegankelijk zijn voor personen met een handicap. Daarom is het nodig de toegankelijkheidsvoorschriften in de hele digitale eengemaakte markt te harmoniseren en ervoor te zorgen dat alle burgers van de Unie, ongeacht hun vermogens, de voordelen ervan kunnen genieten.

(12)

Sinds de Unie partij is bij het VN-VRPH, maken de bepalingen ervan integraal deel uit van de rechtsorde van de Unie en zijn zij bindend voor de instellingen en de lidstaten van de Unie.

(13)

Bij het VN-VRPH is bepaald dat de partijen bij dat verdrag passende maatregelen nemen om personen met een handicap op voet van gelijkheid met anderen de toegang te garanderen tot de fysieke omgeving, tot vervoer, tot informatie en communicatie, met inbegrip van informatie- en communicatietechnologieën en -systemen, en tot andere voorzieningen en diensten die openstaan voor of verleend worden aan het publiek, zowel in stedelijke als in landelijke gebieden. Het VN-comité voor de rechten van personen met een handicap heeft geconstateerd dat er een wetgevingskader nodig is met concrete, afdwingbare en tijdgebonden ijkpunten voor het toezicht op de geleidelijke invoering van toegankelijkheid.

(14)

Het VN-VRPH roept de partijen bij dit verdrag op tot het uitvoeren of bevorderen van onderzoek naar en ontwikkeling van, en het bevorderen van de beschikbaarheid en het gebruik van nieuwe technologieën, met inbegrip van informatie- en communicatietechnologieën, mobiliteitshulpmiddelen, instrumenten en hulptechnologieën, die geschikt zijn voor personen met een handicap. In het VN-VRPH wordt tevens verzocht om prioriteit te geven aan betaalbare technologieën.

(15)

Doordat het VN-VRPH doorwerkt in de rechtsorde van de lidstaten, zijn er aanvullende nationale bepalingen over de toegankelijkheid van producten en diensten nodig. Zonder optreden van de Unie zouden die bepalingen tot nog grotere verschillen tussen de wettelijke en bestuursrechtelijke bepalingen van de lidstaten leiden.

(16)

Daarom is het noodzakelijk de uitvoering van het VN- VRPH in de Unie te faciliteren met gemeenschappelijke EU-regels. Deze richtlijn helpt voorts de lidstaten hun nationale afspraken en hun verplichtingen uit hoofde van het VN-VRPH in verband met toegankelijkheid op geharmoniseerde wijze na te komen.

(17)

In de mededeling van de Commissie van 15 november 2010 getiteld „Europese strategie inzake handicaps 2010-2020 — Een hernieuwd engagement voor een onbelemmerd Europa” wordt in overeenstemming met het VN- VRPH toegankelijkheid tot een van de acht actieterreinen bestempeld, wordt gesteld dat toegankelijkheid een basisvoorwaarde voor deelname aan de samenleving is, en wordt beoogd ervoor te zorgen dat producten en diensten toegankelijk zijn.

(18)

Welke producten en diensten onder deze richtlijn vallen, is bepaald op basis van een screening in het kader van de effectbeoordeling die de voor personen met een handicap relevante producten en diensten in kaart heeft gebracht, waarvoor de lidstaten uiteenlopende nationale, het functioneren van de interne markt verstorende toegankelijkheidsvoorschriften hebben vastgesteld of vermoedelijk zullen vaststellen.

(19)

Teneinde de toegankelijkheid van de onder deze richtlijn vallende diensten te garanderen, moeten producten die gebruikt worden bij het verlenen van die diensten waarvan de consument gebruikmaakt, eveneens aan de toepasselijke toegankelijkheidsvoorschriften van deze richtlijn voldoen.

(20)

Zelfs als een dienst, of een deel daarvan, aan een derde wordt uitbesteed, mag de toegankelijkheid van die dienst niet in het gedrang worden gebracht en moeten de dienstverleners voldoen aan de verplichtingen van deze richtlijn. Dienstverleners moeten er tevens voor zorgen dat hun personeelsleden naar behoren en continu worden opgeleid, zodat zij de nodige kennis van zaken hebben met betrekking tot het gebruik van toegankelijke producten en diensten. Die opleiding moet onder meer betrekking hebben op informatieverschaffing, advies en reclame.

(21)

Toegankelijkheidsvoorschriften moeten zodanig worden ingevoerd dat de marktdeelnemers en de lidstaten zo min mogelijk worden belast.

(22)

Om het vrije verkeer van producten en diensten die onder deze richtlijn vallen op de interne markt te waarborgen, moeten er toegankelijkheidsvoorschriften voor het in de handel brengen ervan worden vastgesteld.

(23)

Deze richtlijn dient functionele toegankelijkheidsvoorschriften verplicht te stellen en zij moeten worden uitgedrukt in de vorm van algemene doelstellingen. Deze voorschriften moeten nauwkeurig genoeg zijn om juridisch bindende verplichtingen te scheppen, en voldoende gedetailleerd om de conformiteit te kunnen beoordelen en zo het goed functioneren van de interne markt voor de onder deze richtlijn vallende producten en diensten te waarborgen, maar moeten tegelijkertijd een zekere flexibiliteit bieden om innovatie mogelijk te maken.

(24)

Deze richtlijn bevat een aantal functioneleprestatie-eisen met betrekking tot de bedieningswijzen van producten en diensten. Deze eisen zijn niet bedoeld als algemeen alternatief voor de toegankelijkheidsvoorschriften van deze richtlijn, maar mogen uitsluitend in uiterst specifieke situaties worden toegepast. Indien de toegankelijkheidsvoorschriften van deze richtlijn één of meer specifieke functies of eigenschappen van producten of diensten niet dekken, moeten deze eisen daarop worden toegepast, teneinde de producten of diensten in kwestie toegankelijk te maken. Bovendien, ingeval een toegankelijkheidsvoorschrift specifieke technische voorschriften bevat en een product of dienst voorziet in een alternatieve technische oplossing voor deze technische voorschriften, moet deze alternatieve technische oplossing nog altijd aan de betreffende toegankelijkheidsvoorschriften voldoen en in gelijkwaardige of verhoogde toegankelijkheid resulteren door aan de desbetreffende functioneleprestatie-eisen te voldoen.

(25)

Gewone computerapparatuur voor consumenten dient onder deze richtlijn te vallen. Om die apparatuur op een toegankelijke manier te kunnen laten werken, moet het besturingssysteem ervan eveneens toegankelijk zijn. Dergelijke computerapparatuur is multifunctioneel en kan, met de juiste software, de meest voorkomende, door consumenten gevraagde computertaken uitvoeren, en is bedoeld voor gebruik door consumenten. Personal computers, met inbegrip van desktops, laptops, smartphones en tablets, zijn voorbeelden van dergelijke computerapparatuur. Gespecialiseerde computers die zijn ingebouwd in consumentenelektronica behoren niet tot gewone computerapparatuur voor consumenten. Afzonderlijke componenten met specifieke functies, zoals een moederbord of een geheugenkaart, die in dergelijke apparatuur gebruikt worden of kunnen worden, mogen niet op individuele basis onder deze richtlijn te vallen.

(26)

Deze richtlijn moet ook van toepassing zijn op betaalterminals, inclusief apparatuur en software daarvoor, op bepaalde interactieve zelfbedieningsterminals voor gebruik ter verrichting van onder deze richtlijn vallende diensten, inclusief hun apparatuur en software daarvoor: bijvoorbeeld geldautomaten, ticketautomaten voor de uitgifte van fysieke tickets die toegang tot diensten geven, bijvoorbeeld reisticketautomaten en nummertjesautomaten in bankkantoren; incheckautomaten; en interactieve informatieverstrekkende zelfbedieningsterminals, met inbegrip van interactieve informatieschermen.

(27)

Bepaalde interactieve informatieverstrekkende zelfbedieningsterminals die als geïntegreerde delen van voertuigen, luchtvaartuigen, schepen of rollend materieel zijn geïnstalleerd, moeten van het toepassingsgebied van deze richtlijn worden uitgesloten, aangezien zij onderdeel zijn van deze voertuigen, luchtvaartuigen, schepen of rollend materieel, die niet onder deze richtlijn vallen.

(28)

Onder deze richtlijn moeten tevens elektronischecommunicatiediensten vallen, met inbegrip van noodcommunicatie, zoals omschreven in Richtlijn (EU) 2018/1972 van het Europees Parlement en de Raad (5). Momenteel nemen de lidstaten wat betreft de toegankelijkheid voor personen met een handicap uiteenlopende maatregelen die niet in de gehele interne markt geharmoniseerd zijn. Wanneer in de hele Unie dezelfde toegankelijkheidsvoorschriften gelden, biedt dat schaalvoordelen voor marktdeelnemers die in meer dan één lidstaat actief zijn, en bevordert dat de daadwerkelijke toegang van personen met een handicap zowel in hun eigen lidstaat als op reis van de ene lidstaat naar de andere. Om ervoor te zorgen dat elektronischecommunicatiediensten, met inbegrip van noodcommunicatie, toegankelijk zijn, moeten dienstverleners bij het aanbieden van video niet alleen in stem voorzien maar tevens in realtimetekst en totaleconversatiediensten, en al deze communicatiemiddelen synchroon laten lopen. De lidstaten moeten, naast de voorschriften van deze richtlijn, in overeenstemming met Richtlijn (EU) 2018/1972 bemiddelingsdiensten kunnen aanwijzen waarvan personen met een handicap gebruik kunnen maken.

(29)

Bij deze richtlijn worden toegankelijkheidsvoorschriften voor elektronischecommunicatiediensten en verwante producten geharmoniseerd, en wordt Richtlijn (EU) 2018/1972, inzake voorschriften voor gelijkwaardige toegang en keuze voor eindgebruikers met een handicap, aangevuld. Bij Richtlijn (EU) 2018/1972 worden tevens voorschriften in het kader van de universeledienstverplichtingen vastgesteld wat betreft de betaalbaarheid van internettoegang en gesproken communicatie alsmede wat betreft de betaalbaarheid en beschikbaarheid van verwante eindapparatuur, specifieke uitrusting en diensten voor consumenten met een handicap.

(30)

Ook eindapparatuur voor gebruik door consumenten, met interactieve computerfuncties die naar verwachting hoofdzakelijk voor toegang tot elektronischecommunicatiediensten zullen worden gebruikt, dient onder deze richtlijn te vallen. Deze apparatuur dient voor de toepassing van deze richtlijn tevens geacht te worden apparatuur te omvatten die gebruikt wordt als onderdeel van de voorziening voor het verkrijgen van toegang tot de elektronischecommunicatiediensten, zoals een router of een modem.

(31)

Voor de toepassing van deze richtlijn moet onder toegang tot audiovisuele mediadiensten verstaan worden dat de toegang tot audiovisuele inhoud toegankelijk is, en dat er mechanismen zijn waardoor gebruikers met een handicap gebruik kunnen maken van hulptechnologieën. Bij diensten die toegang verschaffen tot audiovisuele mediadiensten kan het onder meer gaan om websites, onlinetoepassingen, elektronische applicaties op basis van set-top-boxen, downloadbare toepassingen, diensten op basis van mobiele apparaten, daaronder begrepen mobiele applicaties en bijbehorende mediaspelers, alsmede geconnecteerde televisiediensten. De toegankelijkheid van audiovisuele mediadiensten is gereguleerd bij Richtlijn 2010/13/EU van het Europees Parlement en de Raad (6) met uitzondering van de toegankelijkheid van elektronische programmagidsen (EPG’s) die vallen onder de definitie van diensten die toegang verschaffen tot audiovisuele mediadiensten, die onder deze richtlijn vallen.

(32)

Wat betreft personenvervoer per vliegtuig, bus, trein en over water dient deze richtlijn onder meer betrekking te hebben op het verstrekken van informatie over vervoersdiensten, met inbegrip van realtime-reisinformatie via websites, diensten op basis van mobiele apparaten, interactieve informatieschermen en interactieve zelfbedieningsterminals die passagiers met een handicap nodig hebben om te reizen. Hierbij kan het gaan om informatie over producten en -diensten voor personenvervoer van de dienstverlener, informatie vóór de reis, informatie tijdens de reis en informatie bij annulering van een vervoersdienst of vertraging bij vertrek. Anderzijds kan het ook gaan om informatie over prijzen en promoties.

(33)

Deze richtlijn dient tevens van toepassing te zijn op websites, diensten op basis van mobiele apparaten, onder meer mobiele applicaties die zijn ontwikkeld of beschikbaar worden gesteld door exploitanten van diensten voor personenvervoer, elektronische ticketing, elektronische tickets en interactieve zelfbedieningsterminals.

(34)

Bij het bepalen van de werkingssfeer van deze richtlijn ten aanzien van diensten voor personenvervoer per vliegtuig, bus, trein en over water dient te worden uitgegaan van de bestaande sectorale wetgeving inzake passagiersrechten. Wanneer deze richtlijn niet van toepassing is op bepaalde soorten vervoersdiensten, dienen de lidstaten de dienstverleners aan te moedigen de betreffende toegankelijkheidsvoorschriften van deze richtlijn toe te passen.

(35)

Richtlijn (EU) 2016/2102 van het Europees Parlement en de Raad (7) verplicht overheidsinstanties die vervoersdiensten, waaronder stedelijke en voorstedelijke vervoersdiensten en regionale vervoersdiensten, aanbieden, reeds hun websites toegankelijk te maken. Onderhavige richtlijn bevat nog vrijstellingen voor micro-ondernemingen die diensten, waaronder stedelijke en voorstedelijke vervoersdiensten en regionale vervoersdiensten, verlenen. Voorts bevat onderhavige richtlijn verplichtingen die ervoor zorgen dat websites voor e-handel toegankelijk zijn. Omdat deze richtlijn een grote meerderheid van particuliere aanbieders van vervoersdiensten verplicht hun websites toegankelijk te maken bij de onlineverkoop van tickets, behoeven in onderhavige richtlijn geen verdere voorschriften voor de websites van aanbieders van stedelijke en voorstedelijke vervoersdiensten en regionale vervoersdiensten te worden opgenomen.

(36)

Bepaalde elementen van de toegankelijkheidsvoorschriften, met name in verband met het verstrekken van informatie als bedoeld in deze richtlijn, worden reeds geregeld bij bestaande Uniewetgeving op het gebied van personenvervoer. Het gaat onder meer om onderdelen van Verordening (EG) nr. 261/2004 van het Europees Parlement en de Raad (8), Verordening (EG) nr. 1107/2006 van het Europees Parlement en de Raad (9), Verordening (EG) nr. 1371/2007 van het Europees Parlement en de Raad (10), Verordening (EU) nr. 1177/2010 van het Europees Parlement en de Raad (11) en Verordening (EU) nr. 181/2011 van het Europees Parlement en de Raad (12). Het gaat ook om relevante handelingen die zijn vastgesteld op basis van Richtlijn 2008/57/EG van het Europees Parlement en de Raad (13). Ten behoeve van de samenhang in de regelgeving dienen de bij die verordeningen en handelingen opgelegde toegankelijkheidsvoorschriften te blijven gelden als voorheen. De extra voorschriften van deze richtlijn vormen evenwel een aanvulling op de bestaande voorschriften en kunnen het functioneren van de interne markt op vervoersgebied verbeteren en personen met een handicap ten goede komen.

(37)

Bepaalde onderdelen van vervoersdiensten mogen niet onder deze richtlijn te vallen voor zover zij buiten het grondgebied van de lidstaten worden verleend, zelfs indien de dienst tot de markt van de Unie is gericht. Met betrekking tot die onderdelen dient een exploitant van een personenvervoersdienst uitsluitend wat betreft het binnen het grondgebied van de Unie verleende deel van de dienst ertoe te worden verplicht de voorschriften van deze richtlijn na te leven. In het geval van luchtvervoer moeten de luchtvaartmaatschappijen van de Unie er evenwel voor zorgen dat de toepasselijke voorschriften van deze richtlijn ook worden nageleefd op vluchten van een luchthaven in een derde land naar een luchthaven op het grondgebied van een lidstaat. Voorts moeten alle luchtvaartmaatschappijen, ook die welke geen licentie hebben in de Unie, ervoor zorgen dat de toepasselijke voorschriften van deze richtlijn worden nagekomen indien het vluchten betreft met vertrek op het grondgebied van de Unie en aankomst op het grondgebied van een derde land.

(38)

Stedelijke overheden moeten worden aangemoedigd om onbelemmerde toegankelijkheid tot stedelijke vervoersdiensten te integreren in hun duurzame stedelijke mobiliteitsplannen (SUMP’s), en om regelmatig lijsten van beste praktijken inzake onbelemmerde toegankelijkheid tot stedelijk openbaar vervoer en mobiliteit bekend te maken.

(39)

Het recht van de Unie inzake bankdiensten en financiële diensten strekt ertoe de afnemers van die diensten in de gehele Unie te beschermen en hun informatie te verstrekken, maar omvat geen toegankelijkheidsvoorschriften. Om personen met een handicap in staat te stellen in de gehele Unie gebruik te maken van deze mede via websites en diensten op basis van mobiele apparaten, daaronder begrepen mobiele applicaties, weloverwogen beslissingen te nemen en erop te kunnen vertrouwen dat zij voldoende, op gelijke voet met andere consumenten beschermd zijn, en om een gelijk speelveld voor dienstverleners te waarborgen, dient deze richtlijn gemeenschappelijke toegankelijkheidsvoorschriften vast te stellen voor bepaalde aan consumenten verleende bank- en financiële diensten.

(40)

De passende toegankelijkheidsvoorschriften moeten ook gelden voor identificatiemethoden, elektronische handtekening en betalingsdiensten, aangezien deze noodzakelijk zijn voor het sluiten van transacties op het gebied van bankieren door consumenten.

(41)

E-boekbestanden werken met behulp van een elektronische computercode die de verspreiding en raadpleging van een hoofdzakelijk tekstueel en grafisch intellectueel werk mogelijk maken. De nauwkeurigheid van deze code bepaalt de toegankelijkheid van e-boekbestanden, met name met betrekking tot de kwalificatie van de verschillende bestanddelen van het werk en de gestandaardiseerde beschrijving van de structuur ervan. Via interoperabiliteit op het gebied van toegankelijkheid moeten die bestanden optimaal compatibel worden gemaakt met de gebruikersagenten en de huidige en toekomstige hulptechnologieën. De specifieke kenmerken van bijzondere boeken, zoals strips, kinderboeken en kunstboeken, moeten worden bezien in het licht van alle toepasselijke toegankelijkheidsvoorschriften. Bij uiteenlopende toegankelijkheidsvoorschriften in de lidstaten is het moeilijk voor uitgeverijen en andere marktdeelnemers om te profiteren van de voordelen van de interne markt, kunnen er interoperabiliteitsproblemen met e-lezers ontstaan en wordt de toegang voor klanten met een handicap beperkt. In het geval van e-boeken kunnen onder dienstverlener ook worden verstaan uitgevers en andere marktdeelnemers die een rol in de distributie spelen.

Onderkend wordt dat personen met een handicap ook nog steeds moeilijkheden ondervinden om toegang te krijgen tot inhoud die wordt beschermd door auteursrechten en naburige rechten en dat er reeds bepaalde maatregelen zijn genomen om deze situatie te verhelpen, bijvoorbeeld door de vaststelling van Richtlijn (EU) 2017/1564 van het Europees Parlement en de Raad (14) en Verordening (EU) 2017/1563 van het Europees Parlement en de Raad (15), en dat er op dit gebied in de toekomst nog meer maatregelen van de Unie zouden kunnen worden genomen.

(42)

Deze richtlijn omschrijft diensten op het gebied van e-handel als diensten die geleverd worden op afstand, via websites en diensten op basis van mobiele apparaten, langs elektronische weg en op individueel verzoek van een consument, met het oog op het sluiten van een consumentenovereenkomst. Voor de toepassing van die definitie betekent „op afstand” een dienst die geleverd wordt zonder dat de partijen gelijktijdig aanwezig zijn; „langs elektronische weg” betekent dat de dienst verzonden en ontvangen wordt met behulp van elektronische apparatuur voor de verwerking, met inbegrip van digitale compressie, en de opslag van gegevens, en dat die geheel via kabel, radiogolven, optische middelen of andere elektromagnetische middelen wordt verzonden, doorgeleid en ontvangen; „op individueel verzoek van een consument” betekent dat de dienst wordt geleverd op individueel verzoek. Gezien het groeiende belang van diensten op het gebied van e-handel en de verregaand technologische aard daarvan, is het van groot belang over geharmoniseerde voorschriften voor de toegankelijkheid daarvan te beschikken.

(43)

De toegankelijkheidsvoorschriften voor e-handelsdiensten van deze richtlijn moeten gelden voor de onlineverkoop van willekeurig welke producten of diensten, en moeten bijgevolg tevens gelden voor de verkoop van producten of diensten die als zodanig onder deze richtlijn vallen.

(44)

De maatregelen in verband met de toegankelijkheid van het beantwoorden van noodcommunicatie dienen te worden genomen, onverminderd, en zonder van invloed te zijn op, de organisatie van de noodhulpdiensten, welke de exclusieve bevoegdheid van de lidstaten blijft.

(45)

De lidstaten dienen, in overeenstemming met Richtlijn (EU) 2018/1972, ervoor te zorgen dat de toegang voor eindgebruikers met een handicap tot noodhulpdiensten via noodcommunicatie beschikbaar en gelijkwaardig is aan die van andere eindgebruikers, overeenkomstig het Unierecht ter harmonisatie van toegankelijkheidseisen voor producten en diensten. De Commissie en de nationale regulerende instanties of andere bevoegde instanties moeten passende maatregelen treffen om te waarborgen dat, eindgebruikers met een handicap op voet van gelijkheid met andere eindgebruikers toegang hebben tot noodhulpdiensten wanneer zij in andere lidstaten reizen, waar mogelijk zonder registratie vooraf. Met die maatregelen wordt gestreefd naar interoperabiliteit onder de lidstaten, en zij moeten zo veel mogelijk gebaseerd zijn op Europese normen of specificaties die in overeenstemming met artikel 39 van Richtlijn (EU) 2018/1972 zijn neergelegd. Dergelijke maatregelen beletten de lidstaten niet aanvullende voorschriften vast te stellen met het oog op het bereiken van de in die richtlijn omschreven doelstellingen. Als alternatief voor het vervullen van de in deze richtlijn vervatte toegankelijkheidsvoorschriften met betrekking tot het beantwoorden van noodcommunicatie voor gebruikers met een handicap, moeten de lidstaten een derde aanbieder van bemiddelingsdiensten kunnen aanwijzen met behulp waarvan personen met een handicap met de alarmcentrale (Public Safety Answering Point - PSAP) kunnen communiceren, totdat deze alarmcentrales elektronischecommunicatiediensten kunnen gebruiken via internetprotocollen ter waarborging van de toegankelijkheid in verband met het beantwoorden van noodcommunicatie. In ieder geval mogen de verplichtingen van deze richtlijn niet in die zin worden opgevat dat zij leiden tot het beperken of minder streng maken van de verplichtingen ten behoeve van voor eindgebruikers met een handicap, met inbegrip van gelijkwaardige toegang tot elektronischecommunicatiediensten en noodhulpdiensten alsmede toegankelijkheidverplichtingen als vervat in Richtlijn (EU) 2018/1972.

(46)

Richtlijn (EU) 2016/2102 stelt een aantal toegankelijkheidsvoorschriften vast voor websites en mobiele applicaties van overheidsinstanties en andere gerelateerde aspecten, met name conformiteitsvoorschriften waaraan de betrokken websites en mobiele applicaties moeten voldoen. Deze richtlijn bevat evenwel een specifieke lijst uitzonderingen. Soortgelijke uitzonderingen zijn relevant voor deze richtlijn. Bepaalde activiteiten die via onder deze richtlijn vallende websites en mobiele applicaties van de overheidssector worden verricht, zoals diensten voor personenvervoer of e-handelsdiensten, dienen bovendien aan de toepasselijke toegankelijkheidsvoorschriften van deze richtlijn te voldoen opdat de onlineverkoop van producten en diensten toegankelijk is voor personen met een handicap, ongeacht of de verkoper een openbare dan wel een particuliere marktdeelnemer is. De toegankelijkheidsvoorschriften van deze richtlijn moeten worden afgestemd op de voorschriften van Richtlijn (EU) 2016/2102, ondanks verschillen in bijvoorbeeld toezicht, rapportering en handhaving.

(47)

De vier beginselen van toegankelijkheid van websites en mobiele applicaties, als gebruikt in Richtlijn (EU) 2016/2102, zijn: waarneembaarheid, waaronder wordt verstaan dat de informatie en de componenten van de gebruikersinterface zodanig aan gebruikers moeten kunnen worden gepresenteerd dat zij kunnen worden waargenomen; operabiliteit, waaronder wordt verstaan dat de componenten van de gebruikersinterface en de navigatie operabel (bedrijfsklaar) moeten zijn; begrijpelijkheid, waaronder wordt verstaan dat de informatie en de werking van de gebruikersinterface begrijpelijk moeten zijn; en robuustheid, waaronder wordt verstaan dat inhoud voldoende robuust moet zijn om op betrouwbare wijze te kunnen worden geïnterpreteerd door uiteenlopende user agents, waaronder hulptechnologieën. Die beginselen zijn ook voor deze Richtlijn relevant.

(48)

De lidstaten dienen alle passende maatregelen te nemen om te waarborgen dat het vrije verkeer binnen de Unie van producten en diensten die onder deze richtlijn vallen en die aan de toepasselijke toegankelijkheidsvoorschriften voldoen, niet om redenen met betrekking tot toegankelijkheidsvoorschriften wordt belemmerd.

(49)

In sommige situaties zouden gemeenschappelijke toegankelijkheidsvoorschriften voor de gebouwde omgeving bevorderlijk zijn voor het vrije verkeer van de betrokken diensten en van personen met een handicap. Daarom moet deze richtlijn de lidstaten de mogelijkheid bieden tot het opnemen van de gebouwde omgeving die wordt gebruikt bij het verlenen van de diensten die binnen het toepassingsgebied van deze richtlijn vallen, om te waarborgen dat deze voldoet aan de toegankelijkheidseisen in bijlage III.

(50)

Toegankelijkheid moet worden bereikt door het systematisch wegnemen en voorkomen van belemmeringen, bij voorkeur middels een „universeel ontwerp”- of „ontwerp voor iedereen”-benadering, die ertoe bijdraagt dat personen met een handicap op voet van gelijkheid met anderen toegang wordt gegarandeerd. Overeenkomstig het VN-VRPH houdt deze benadering het volgende in: het „ontwerpen van producten, omgevingen, programma’s en diensten die door iedereen in de ruimst mogelijke zin gebruikt kunnen worden zonder dat aanpassing of een speciaal ontwerp nodig is”. In de geest van het VN-VRPH omvat „’universeel ontwerp” tevens hulpapparaten voor specifieke groepen personen met een handicap, indien die nodig zijn”. Toegankelijkheid mag voorts het aanbrengen van redelijke aanpassingen niet uitsluiten als deze uit hoofde van het Unierecht of het nationale recht vereist zijn. De begrippen toegankelijkheid en universeel ontwerp moeten worden uitgelegd in overeenstemming met algemene opmerking nr. 2 (2014) - artikel 9: „Toegankelijkheid” van het Comité voor de rechten van personen met een handicap.

(51)

Producten of diensten die onder de werkingssfeer van deze richtlijn vallen, vallen niet automatisch onder de werkingssfeer van Richtlijn 93/42/EEG van de Raad (16). Dat neemt niet weg dat sommige hulptechnologieën die medische hulpmiddelen zijn, wel onder de werkingssfeer van die richtlijn kunnen vallen.

(52)

De meeste banen in de Unie worden gecreëerd door kleine en middelgrote ondernemingen en micro-ondernemingen. Zij zijn essentieel voor toekomstige groei, maar worden bij de ontwikkeling van hun producten of diensten vaak met obstakels en belemmeringen geconfronteerd, met name in een grensoverschrijdende context. Daarom moet het werk van kleine en middelgrote ondernemingen en micro-ondernemingen worden vergemakkelijkt door de nationale bepalingen inzake toegankelijkheid te harmoniseren, met behoud van de noodzakelijke waarborgen.

(53)

Micro-ondernemingen en kleine en middelgrote ondernemingen komen voor deze richtlijn uitsluitend in aanmerking indien zij daadwerkelijk voldoen aan de voorschriften van Aanbeveling 2003/361/EC (17) van de Commissie en de ter zake doende jurisprudentie, die gericht is op voorkoming van het omzeilen van de regels ervan.

(54)

Om de samenhang van het Unierecht te waarborgen, dient deze richtlijn, aangezien zij betrekking heeft op producten die reeds onder andere rechtshandelingen van de Unie vallen, te worden gebaseerd op Besluit nr. 768/2008/EG van het Europees Parlement en de Raad (18), waarbij tegelijk het specifieke karakter van de toegankelijkheidsvoorschriften van deze richtlijn wordt onderkend.

(55)

Alle marktdeelnemers die onder het toepassingsgebied van deze richtlijn vallen en een rol in de toeleverings- en distributieketen vervullen, dienen te waarborgen dat zij uitsluitend producten op de markt aanbieden die aan deze richtlijn voldoen. Hetzelfde dient te gelden voor marktdeelnemers die diensten verlenen. Er moet worden gezorgd voor een duidelijke en evenredige verdeling van de verplichtingen overeenkomstig de rol van alle marktdeelnemers in de toeleverings- en distributieketen.

(56)

Het is de verantwoordelijkheid van de marktdeelnemers om, naargelang van hun rol in de toeleveringsketen, ervoor te zorgen dat producten en diensten aan deze voorschriften voldoen, opdat een sterke bescherming van de toegankelijkheid en eerlijke concurrentie op de markt van de Unie worden gewaarborgd.

(57)

De verplichtingen van deze richtlijn dienen evenzeer te gelden voor marktdeelnemers uit de overheidssector als voor marktdeelnemers uit de particuliere sector.

(58)

De fabrikant is op de hoogte van alle details van het ontwerp- en productieproces en verkeert als zodanig in de beste positie om de conformiteitsbeoordeling volledig uit te voeren. De verantwoordelijkheid voor de conformiteit van de producten berust weliswaar bij de fabrikant, maar de markttoezichtautoriteiten dienen een cruciale rol te spelen bij het controleren of de in de Unie aangeboden producten in overeenstemming met het Unierecht zijn vervaardigd.

(59)

Importeurs en distributeurs dienen te worden betrokken bij de markttoezichttaken van nationale autoriteiten en actief medewerking te verlenen, door de bevoegde autoriteiten alle nodige informatie over het betrokken product te verstrekken.

(60)

Importeurs dienen te waarborgen dat producten die vanuit derde landen in de Unie in de handel worden gebracht, aan deze richtlijn voldoen, en met name dat de fabrikanten deze producten aan adequate conformiteitsbeoordelingsprocedures hebben onderworpen.

(61)

Wanneer importeurs een product in de handel brengen, dienen zij hun naam, geregistreerde handelsnaam of het geregistreerd merk, en het adres waarop met hen contact kan worden opgenomen, op het product te vermelden.

(62)

Distributeurs dienen ervoor te zorgen dat de wijze waarop zij met het product omgaan, de conformiteit van het product met de toegankelijkheidsvoorschriften van deze richtlijn niet nadelig beïnvloedt.

(63)

Wanneer een marktdeelnemer een product onder zijn eigen naam of merk in de handel brengt of een reeds in de handel gebracht product zodanig wijzigt dat de conformiteit met de toepasselijke voorschriften in het gedrang kan komen, dient hij als de fabrikant te worden beschouwd en de verplichtingen van de fabrikant op zich te nemen.

(64)

Omwille van de evenredigheid dienen toegankelijkheidsvoorschriften uitsluitend van toepassing te zijn voor zover zij niet tot een onevenredige last voor de betrokken marktdeelnemer leiden of voor zover zij geen ingrijpende wijziging van de producten en diensten vergen waardoor deze als gevolg van deze richtlijn fundamenteel zouden worden gewijzigd. Niettemin moet worden voorzien in controlemechanismen om te kunnen nagaan of aanspraak kan worden gemaakt op uitzonderingen op de toepasselijkheid van de toegankelijkheidsvoorschriften.

(65)

Deze richtlijn dient het beginsel „denk eerst klein” te volgen en rekening te houden met de administratieve lasten voor kleine en middelgrote ondernemingen. Er dienen bij deze richtlijn lichte regels voor conformiteitsbeoordeling te worden vastgesteld en te worden voorzien in vrijwaringsclausules voor marktdeelnemers, in plaats van in algemene uitzonderingen en vrijstellingen voor die ondernemingen. Bij het vaststellen van de regels voor de selectie en uitvoering van de geschiktste procedures voor conformiteitsbeoordeling dient de situatie van kleine en middelgrote ondernemingen in aanmerking te worden genomen, en dienen de verplichtingen voor het beoordelen van de conformiteit met de toegankelijkheidsvoorschriften voldoende beperkt te blijven om kleine en middelgrote ondernemingen niet onevenredig te belasten. Voorts dienen de markttoezichtautoriteiten hun manier van werken af te stemmen op de omvang van de ondernemingen en op de vraag in welke mate er sprake is van serieproductie, zonder onnodige hindernissen voor kleine en middelgrote ondernemingen te scheppen en zonder afbreuk te doen aan de bescherming van het algemeen belang.

(66)

In uitzonderlijke gevallen waarin de naleving van de toegankelijkheidsvoorschriften van deze richtlijn de marktdeelnemers onevenredig zou belasten, moet van de marktdeelnemers enkel worden verlangd dat zij deze voorschriften naleven voor zover die geen onevenredige last opleveren. In dergelijke naar behoren gemotiveerde gevallen zou het voor een marktdeelnemer redelijkerwijze niet mogelijk zijn één of meer van de toegankelijkheidsvoorschriften van deze richtlijn volledig toe te passen. De marktdeelnemer moet de onder de werkingssfeer van deze richtlijn vallende diensten en producten niettemin zo toegankelijk mogelijk maken door die voorschriften toe te passen voor zover zij geen onevenredige last opleveren. De toegankelijkheidsvoorschriften die volgens de marktdeelnemer geen onevenredige last opleveren, moeten onverkort gelden. Uitzonderingen op de naleving van één of meer toegankelijkheidsvoorschriften wegens de onevenredige last die zij opleveren, mogen niet verder gaan dan hetgeen strikt noodzakelijk is om die last met betrekking tot het product of de dienst in kwestie in elk individueel geval te beperken. Onder maatregelen die een onevenredige last zouden opleveren moeten maatregelen worden verstaan die de marktdeelnemer een extra buitensporige organisatorische of financiële last opleggen, evenwel overeenkomstig de criteria van deze richtlijn rekening houdend met het voordeel dat personen met een handicap wellicht ondervinden. Op basis van deze overwegingen moeten er criteria worden vastgesteld, opdat zowel marktdeelnemers als bevoegde autoriteiten verschillende situaties kunnen vergelijken en op systematische wijze kunnen beoordelen of er sprake is van een onevenredige last. Bij het beoordelen van de mate waarin niet aan de toegankelijkheidsvoorschriften kan worden voldaan omdat zij een onevenredige last zouden opleveren, mag alleen rekening worden gehouden met legitieme redenen. Het ontbreken van prioriteit, tijd of kennis mag niet als legitieme reden worden beschouwd.

(67)

Voor de algemene beoordeling van het al dan niet onevenredige karakter van de lasten, dienen de in bijlage VI genoemde criteria te worden gebruikt. De marktdeelnemer moet zijn oordeel dat de lasten onevenredig zijn schriftelijk staven, zulks rekening houdend met de toepasselijke criteria. Dienstverleners dienen het al dan niet onevenredige karakter van de lasten ten minste om de vijf jaar opnieuw te beoordelen.

(68)

De marktdeelnemer moet de bevoegde autoriteiten meedelen dat hij zich baseert op de bepalingen in verband met een fundamentele wijziging en/of een onevenredige last. De marktdeelnemer hoeft een exemplaar van de beoordeling die uitleg bevat waarom een product of dienst niet volledig toegankelijk is, en die bewijs is voor de onevenredige last en/of fundamentele wijziging, of beide, uitsluitend op verzoek van de bevoegde autoriteiten over te leggen.

(69)

Ingeval een dienstverlener op grond van de voorgeschreven beoordeling tot de slotsom komt dat er een onevenredige last ontstaat indien alle voor de levering van de onder deze richtlijn vallende diensten gebruikte zelfbedieningsterminals aan de toegankelijkheidsvoorschriften van deze richtlijn moeten voldoen, dient de dienstverlener die voorschriften slechts na te leven voor zover die voorschriften hem geen onevenredige last bezorgen. Bijgevolg moeten de dienstverleners beoordelen in welke mate een beperkt toegankelijkheidsniveau op alle zelfbedieningsterminals of een beperkt aantal volledig toegankelijke zelfbedieningsterminals hen in staat zou stellen een onevenredige last die anders voor hem zou ontstaan, te vermijden, en moet hen voorgeschreven worden alleen in die mate aan de toegankelijkheidsvoorschriften van deze richtlijn te voldoen.

(70)

Micro-ondernemingen onderscheiden zich van alle andere ondernemingen door hun beperkte personele middelen, jaarlijkse omzet of jaarlijkse balanstotaal. De lasten waarmee naleving van de toegankelijkheidsvoorschriften voor micro-ondernemingen gepaard gaat, leggen bijgevolg over het algemeen een groter beslag op hun financiële en personele middelen dan bij andere ondernemingen, en vormen vermoedelijk een onevenredig aandeel van de kosten. Een aanzienlijk gedeelte van de kosten voor micro-ondernemingen ontstaat door het invullen en bewaren van administratie en boekhouding om aan te tonen dat de verschillende door het Unierecht opgelegde voorschriften worden nageleefd. Hoewel alle marktdeelnemers die onder deze richtlijn vallen, in staat moeten zijn de evenredigheid van de naleving van de toegankelijkheidsvoorschriften van deze richtlijn te beoordelen en deze slechts in acht moeten nemen voor zover zij niet onevenredig zijn, zou het verlangen van een dergelijke beoordeling van dienstverlenende micro-ondernemingen op zichzelf een onevenredige last vormen. De voorschriften en verplichtingen van deze richtlijn dienen bijgevolg niet te gelden voor micro-ondernemingen die diensten binnen het toepassingsgebied van deze richtlijn verlenen.

(71)

Voor micro-ondernemingen die zich bezighouden met producten binnen het toepassingsgebied van deze richtlijn, moetende voorschriften en verplichtingen van deze richtlijn minder streng zijn, zodat het ontstaan van onevenredige administratieve lasten wordt verminderd.

(72)

Hoewel sommige micro-ondernemingen vrijgesteld zijn van de verplichtingen van deze richtlijn, moeten alle micro-ondernemingen er, met het oog op een groter concurrentievermogen en groeipotentieel ervan in de interne markt, toe worden aangemoedigd producten te vervaardigen, in te voeren of te distribueren en diensten te verlenen die voldoen aan de toegankelijkheidsvoorschriften van deze richtlijn. De lidstaten moeten micro-ondernemingen derhalve de nodige richtsnoeren en instrumenten geven om de toepassing van de nationale maatregelen ter omzetting van deze richtlijn te faciliteren.

(73)

Van alle marktdeelnemers wordt verwacht dat zij bij het in de handel brengen of op de markt aanbieden van producten of het op de markt verlenen van diensten verantwoordelijk optreden en aan alle toepasselijke wettelijke voorschriften voldoen.

(74)

Om de beoordeling van de conformiteit met de toepasselijke toegankelijkheidsvoorschriften te vergemakkelijken, moet worden voorzien in een vermoeden van conformiteit voor producten en diensten die voldoen aan vrijwillige geharmoniseerde normen die overeenkomstig Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad (19) zijn vastgesteld met de bedoeling die voorschriften in de vorm van gedetailleerde technische specificaties op te stellen. De Commissie heeft de Europese normalisatieorganisaties al een aantal normalisatieverzoeken op het gebied van toegankelijkheid toegestuurd, zoals de normalisatiemandaten M/376, M/473 en M/420, die relevant zouden zijn voor het opstellen van geharmoniseerde normen.

(75)

Verordening (EU) nr. 1025/2012 bevat een procedure voor formele bezwaren tegen geharmoniseerde normen die worden geacht niet aan de voorschriften van deze richtlijn te voldoen.

(76)

De Europese normen moeten marktgedreven zijn, rekening houden met het algemeen belang en met de beleidsdoelstellingen die duidelijk zijn geformuleerd in het verzoek van de Commissie aan één of meer Europese normalisatieorganisaties om geharmoniseerde normen op te stellen, en moeten stoelen op consensus. Bij gebrek aan geharmoniseerde normen en waar nodig ten behoeve van internemarktharmonisatie dient de Commissie in bepaalde gevallen uitvoeringshandelingen te kunnen vaststellen om voor de toegankelijkheidsvoorschriften van deze richtlijn technische specificaties vast te stellen. Er dient uitsluitend in dergelijke gevallen gebruik te worden gemaakt van technische specificaties. De Commissie moet technische specificaties kunnen vaststellen bijvoorbeeld wanneer het normalisatieproces wordt geblokkeerd omdat er tussen de belanghebbenden geen consensus heerst of indien er bij de vaststelling van een geharmoniseerde norm onnodige vertraging optreedt, bijvoorbeeld omdat de vereiste kwaliteit niet wordt gehaald. De Commissie moet voldoende tijd laten tussen het in behandeling nemen van een verzoek aan één of meer Europese normalisatieorganisaties om geharmoniseerde normen op te stellen en het vaststellen van een technische specificatie in verband met het desbetreffende toegankelijkheidsvoorschrift. De Commissie mag geen technische specificatie vaststellen indien zij nog niet heeft getracht om via het Europese normalisatiestelsel aan de toegankelijkheidsvoorschriften te voldoen, tenzij zij kan aantonen dat de technische specificaties in overeenstemming zijn met de voorschriften in bijlage II bij Verordening (EU) nr. 1025/2012.

(77)

Opdat de met de toegankelijkheidsvoorschriften van deze richtlijn overeenstemmende geharmoniseerde normen en technische specificaties voor producten en diensten zo efficiënt mogelijk worden vastgesteld, moet de Commissie hierbij, indien dit haalbaar is, Europese koepelorganisaties van personen met een handicap en alle andere relevante belanghebbenden betrekken.

(78)

Om de daadwerkelijke toegang tot informatie voor markttoezichtdoeleinden te waarborgen, dient de informatie die vereist is voor een verklaring van conformiteit met alle toepasselijke handelingen van de Unie beschikbaar te worden gemaakt in één enkele EU-conformiteitsverklaring. Ter beperking van hun administratieve lasten moeten marktdeelnemers alle relevante afzonderlijke conformiteitsverklaringen in die ene EU-conformiteitsverklaring kunnen integreren.

(79)

Voor de conformiteitsbeoordeling van producten dient deze richtlijn gebruik te maken van de in module A van bijlage II bij Besluit nr. 768/2008/EG vervatte interne productiecontrole, waarmee marktdeelnemers kunnen aantonen — en de bevoegde autoriteiten kunnen waarborgen — dat op de markt aangeboden producten aan de toegankelijkheidsvoorschriften voldoen, zonder dat hun een buitensporig grote last wordt opgelegd.

(80)

Bij het uitoefenen van markttoezicht op producten en het controleren van de conformiteit van diensten, moeten de autoriteiten ook de conformiteitsbeoordelingen controleren, inclusief of de relevante beoordeling van het bestaan van een fundamentele wijziging of onevenredige last correct is verricht. De autoriteiten moeten hun taken tevens uitoefenen in samenwerking met personen met een handicap en de organisaties die hen en hun belangen vertegenwoordigen.

(81)

Wat diensten betreft, dient de informatie die nodig is om de conformiteit met de toegankelijkheidsvoorschriften van deze richtlijn te beoordelen in de algemene voorwaarden of een gelijkwaardige document te worden verstrekt, onverminderd Richtlijn 2011/83/EU van het Europees Parlement en de Raad (20).

(82)

De CE-markering, waarmee de conformiteit van een product met de toegankelijkheidsvoorschriften van deze richtlijn wordt aangegeven, is de zichtbare uitkomst van het proces van conformiteitsbeoordeling in brede zin. Deze richtlijn moet sporen met de algemene beginselen voor de CE-markering van Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad (21) tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten. Naast het afgeven van de EU-conformiteitsverklaring moet de fabrikant consumenten op kosteneffectieve wijze informeren over de toegankelijkheid van zijn producten.

(83)

Overeenkomstig Verordening (EG) nr. 765/2008 verklaart de fabrikant door het aanbrengen van de CE-markering dat het product aan alle toepasselijke toegankelijkheidsvoorschriften voldoet en dat de fabrikant de volledige verantwoordelijkheid daarvoor op zich neemt.

(84)

Overeenkomstig Besluit nr. 768/2008/EG zijn de lidstaten op hun grondgebied verantwoordelijk voor een streng en doeltreffend markttoezicht op de producten en dienen zij hun markttoezichtautoriteiten voldoende bevoegdheden en middelen te geven.

(85)

De lidstaten dienen te controleren of de verplichtingen van deze richtlijn worden nageleefd en dienen actie te ondernemen bij klachten of meldingen in verband met het niet-naleven ervan om te waarborgen dat corrigerende maatregelen zijn getroffen.

(86)

Waar nodig kan de Commissie, in overleg met belanghebbenden, niet-bindende richtsnoeren opstellen ter bevordering van de coördinatie tussen markttoezichtautoriteiten en de voor het controleren van de conformiteit van diensten verantwoordelijke autoriteiten. De Commissie en de lidstaten moeten initiatieven kunnen opzetten voor het delen van de middelen en deskundigheid van autoriteiten.

(87)

De lidstaten moeten ervoor zorgen dat de markttoezichtautoriteiten en de voor de conformiteit van diensten verantwoordelijke autoriteiten controleren of de marktdeelnemers overeenkomstig de hoofdstukken VIII en IX voldoen aan de in bijlage VI vastgelegde criteria. De lidstaten moeten een gespecialiseerde instantie kunnen aanwijzen voor het vervullen van de verplichtingen van markttoezichtautoriteiten en voor de conformiteit van diensten verantwoordelijke autoriteiten krachtens deze richtlijn. De lidstaten moeten kunnen besluiten om de bevoegdheden van die gespecialiseerde instantie te beperken tot het toepassingsgebied van deze richtlijn of bepaalde delen ervan, onverminderd de verplichtingen van de lidstaten krachtens Verordening (EG) nr. 765/2008.

(88)

Er dient een vrijwaringsprocedure te worden ingesteld die moet worden gevolgd wanneer lidstaten het niet eens zijn over de door een lidstaat getroffen maatregelen waarbij belanghebbende partijen ingelicht worden over beoogde maatregelen tegen producten die niet aan de toegankelijkheidsvoorschriften van deze richtlijn voldoen. De vrijwaringsprocedure dient de markttoezichtautoriteiten in staat te stellen om, in samenwerking met de betrokken marktdeelnemers, in een vroeger stadium tegen die producten op te treden.

(89)

Wanneer de lidstaten en de Commissie het erover eens zijn dat een maatregel van een lidstaat rechtmatig is, zijn verdere initiatieven van de Commissie niet nodig, behalve wanneer de niet-naleving te wijten is aan tekortkomingen in de geharmoniseerde normen of in de technische specificaties.

(90)

De Richtlijnen 2014/24/EU (22) en 2014/25/EU (23) van het Europees Parlement en de Raad inzake overheidsopdrachten, waarin de procedures voor de gunning van overheidsopdrachten en prijsvragen voor bepaalde leveringen (producten), diensten en werken worden omschreven, bepalen dat, voor alle aanbestedingen die zijn bedoeld voor gebruik door natuurlijke personen, hetzij door het grote publiek, hetzij door het personeel van de aanbestedende dienst of instantie, de technische specificaties, uitgezonderd in naar behoren gemotiveerde gevallen, zodanig moeten worden opgesteld dat rekening wordt gehouden met de criteria inzake toegankelijkheid voor personen met een handicap of de geschiktheid van het ontwerp voor alle gebruikers. Voorts vereisen deze richtlijnen dat, indien middels een rechtshandeling van de Unie verplichte toegankelijkheidsvoorschriften zijn vastgesteld, de technische specificaties, voor zover het de criteria voor toegankelijkheid van personen met een handicap of het ontwerp voor iedereen betreft, onder verwijzing naar de desbetreffende criteria worden vastgesteld. Bij onderhavige richtlijn moeten verplichte toegankelijkheidsvoorschriften voor de onder de werkingssfeer ervan vallende producten en diensten worden vastgesteld. Voor niet onder de werkingssfeer van deze richtlijn vallende producten en diensten zijn de toegankelijkheidsvoorschriften van deze richtlijn niet bindend. Het gebruik van deze toegankelijkheidsvoorschriften voor het vervullen van de relevante verplichtingen die in andere Uniehandelingen dan deze richtlijn zijn opgenomen, zou echter de invoering van toegankelijkheid vergemakkelijken en bijdragen tot de rechtszekerheid en de onderlinge aanpassing van de toegankelijkheidsvoorschriften in de gehele Unie. De autoriteiten mag niet worden belet toegankelijkheidsvoorschriften vast te stellen die verder gaan dan de in bijlage I bij deze richtlijn opgenomen toegankelijkheidsvoorschriften.

(91)

Deze richtlijn mag het verplichte of vrijwillige karakter van de bepalingen betreffende toegankelijkheid in andere handelingen van de Unie niet wijzigen.

(92)

Deze richtlijn dient enkel van toepassing te zijn op overheidsopdrachten waarvoor een oproep tot mededinging is verzonden of, in gevallen waarin niet in een oproep tot mededinging is voorzien, overheidsopdrachten waarvoor de aanbestedende dienst of instantie de aanbestedingsprocedure na de datum van toepassing van deze richtlijn is begonnen.

(93)

Opdat deze richtlijn correct wordt toegepast, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 VWEU handelingen vast te stellen tot nadere bepaling van de toegankelijkheidsvoorschriften die vanwege de aard ervan het beoogde effect slechts kunnen sorteren indien zij nader worden bepaald in bindende rechtshandelingen van de Unie, tot wijziging van de periode gedurende welke marktdeelnemers andere marktdeelnemers kunnen aanwijzen die hun of aan wie zij producten hebben geleverd, en tot nadere bepaling van de toepasselijke criteria die de marktdeelnemer in acht moet nemen wanneer hij beoordeelt of het naleven van de toegankelijkheidsvoorschriften een onevenredige last zou opleveren. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven (24). Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.

(94)

Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze richtlijn moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend met betrekking tot technische specificaties. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (25).

(95)

De lidstaten moeten zorgen voor adequate en doeltreffende middelen om de naleving van deze richtlijn te waarborgen en moeten dus voorzien in gepaste controlemechanismen, zoals een controle achteraf door de markttoezichtautoriteiten, zodat kan worden nagegaan of de vrijstelling van de toepassing van de toegankelijkheidsvoorschriften te rechtvaardigen valt. De lidstaten moeten zich bij het behandelen van klachten over toegankelijkheid houden aan het algemeen beginsel van behoorlijk bestuur, en met name aan de verplichting voor ambtenaren te garanderen dat ten aanzien van iedere klacht binnen een redelijke termijn een besluit wordt genomen.

(96)

Teneinde bij te dragen tot de eenvormige toepassing van deze richtlijn moet de Commissie een werkgroep met relevante autoriteiten en belanghebbenden instellen om de uitwisseling van informatie en beste praktijken te faciliteren en advies te verstrekken. De samenwerking tussen autoriteiten en relevante belanghebbenden, waaronder personen met een handicap en organisaties die hen vertegenwoordigen, moet worden bevorderd, onder meer met het oog op een grotere consistentie bij de toepassing van de bepalingen van deze richtlijn inzake de toegankelijkheidsvoorschriften en om de uitvoering van de bepalingen inzake fundamentele wijziging en onevenredige last te monitoren.

(97)

Gezien het bestaande wettelijk kader inzake rechtsmiddelen op de onder de Richtlijnen 2014/24/EU en 2014/25/EU vallende gebieden, mogen de bepalingen van deze richtlijn in verband met handhaving en sancties niet gelden voor de aanbestedingsprocedures die onder de verplichtingen van deze richtlijn vallen. Die uitsluiting geldt onverminderd de verplichtingen voor de lidstaten krachtens de Verdragen om alle maatregelen te nemen die noodzakelijk zijn om de toepassing en effectiviteit van de Uniewetgeving te waarborgen.

(98)

Sancties dienen in verhouding tot de aard van de inbreuken en de omstandigheden te staan, opdat marktdeelnemers deze niet als alternatief gebruiken voor het nakomen van hun verplichtingen om hun producten of diensten toegankelijk te maken.

(99)

De lidstaten moeten ervoor zorgen dat er, overeenkomstig het bestaande Unierecht, alternatieve mechanismen voor geschillenbeslechting voorhanden zijn aan de hand waarvan een oplossing kan worden gevonden voor beweerde non-conformiteit met deze richtlijn voordat een vordering wordt ingesteld voor de rechter of een bevoegde administratieve instantie.

(100)

Overeenkomstig de gezamenlijke politieke verklaring van 28 september 2011 van de lidstaten en de Commissie over toelichtende stukken (26) hebben de lidstaten zich ertoe verbonden om in gerechtvaardigde gevallen de kennisgeving van hun omzettingsmaatregelen vergezeld te doen gaan van één of meer stukken waarin het verband tussen de onderdelen van een richtlijn en de overeenkomstige delen van de nationale omzettingsinstrumenten wordt toegelicht. Met betrekking tot deze richtlijn acht de wetgever de toezending van die stukken gerechtvaardigd.

(101)

Teneinde dienstverleners voldoende tijd te geven om zich aan de voorschriften van deze richtlijn aan te passen, is het nodig te voorzien in een overgangsperiode van vijf jaar na de datum van toepassing van deze richtlijn, waarin voor dienstverlening gebruikte producten die vóór die datum in de handel zijn gebracht, niet hoeven te voldoen aan de toegankelijkheidsvoorschriften van deze richtlijn, tenzij deze producten tijdens de overgangsperiode door de dienstverleners worden vervangen. Gezien de kostprijs en de lange levensduur van zelfbedieningsterminals moet worden geregeld dat, wanneer dergelijke terminals bij de dienstverlening worden gebruikt, zij tot het einde van hun economische levensduur, doch niet langer dan 20 jaar, mogen worden gebruikt, mits zij in deze periode niet vervangen worden.

(102)

De toegankelijkheidsvoorschriften van deze richtlijn dienen van toepassing te zijn op producten die in de handel worden gebracht en diensten die worden verleend na de datum waarop de nationale maatregelen tot omzetting van deze richtlijn van toepassing worden, met inbegrip van uit een derde land ingevoerde gebruikte en tweedehandsproducten die na die datum in de handel worden gebracht.

(103)

Deze richtlijn is in overeenstemming met de grondrechten en neemt de beginselen in acht die met name in het Handvest van de grondrechten van de Europese Unie („het Handvest”) worden erkend. Met deze richtlijn wordt meer bepaald gestreefd naar volledige eerbiediging van het recht van personen met een handicap om hun voordeel te doen met de maatregelen die bedoeld zijn om hun zelfstandigheid en hun integratie in de samenleving en het beroepsleven en hun deelname aan het gemeenschapsleven te waarborgen, alsmede naar een consequentere toepassing van de artikelen 21, 25 en 26 van het Handvest.

(104)

Daar de doelstelling van deze richtlijn - te weten het wegnemen van belemmeringen voor het vrije verkeer van bepaalde toegankelijke producten en diensten om bij te dragen tot het goede functioneren van de interne markt - niet voldoende door de lidstaten kan worden verwezenlijkt omdat dit de harmonisatie van verschillende voorschriften uit hun respectieve rechtsstelsels vereist, maar beter op het niveau van de Unie kan worden verwezenlijkt door gemeenschappelijke toegankelijkheidsvoorschriften en regels voor het functioneren van de interne markt vast te stellen, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze richtlijn niet verder dan nodig is om deze doelstelling te verwezenlijken,