ISSN 1977-0758

Publicatieblad

van de Europese Unie

L 151

European flag  

Uitgave in de Nederlandse taal

Wetgeving

62e jaargang
7 juni 2019


Inhoud

 

I   Wetgevingshandelingen

Bladzijde

 

 

VERORDENINGEN

 

*

Verordening (EU) 2019/880 van het Europees Parlement en de Raad van 17 april 2019 betreffende het binnenbrengen en de invoer van cultuurgoederen

1

 

*

Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening) ( 1 )

15

 

 

RICHTLIJNEN

 

*

Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad van 17 april 2019 betreffende de toegankelijkheidsvoorschriften voor producten en diensten ( 1 )

70

 

*

Richtlijn (EU) 2019/883 van het Europees Parlement en de Raad van 17 april 2019 inzake havenontvangstvoorzieningen voor de afvalafgifte van schepen, tot wijziging van Richtlijn 2010/65/EU en tot intrekking van Richtlijn 2000/59/EG ( 1 )

116

 

*

Richtlijn (EU) 2019/884 van het Europees Parlement en de Raad van 17 april 2019 tot wijziging van Kaderbesluit 2009/315/JBZ van de Raad, betreffende de uitwisseling van informatie over onderdanen van derde landen en betreffende het Europees Strafregisterinformatiesysteem (Ecris), en ter vervanging van Besluit 2009/316/JBZ van de Raad

143

 


 

(1)   Voor de EER relevante tekst

NL

Besluiten waarvan de titels mager zijn gedrukt, zijn besluiten van dagelijks beheer die in het kader van het landbouwbeleid zijn genomen en die in het algemeen een beperkte geldigheidsduur hebben.

Besluiten waarvan de titels vet zijn gedrukt en die worden voorafgegaan door een sterretje, zijn alle andere besluiten.


I Wetgevingshandelingen

VERORDENINGEN

7.6.2019   

NL

Publicatieblad van de Europese Unie

L 151/1


VERORDENING (EU) 2019/880 VAN HET EUROPEES PARLEMENT EN DE RAAD

van 17 april 2019

betreffende het binnenbrengen en de invoer van cultuurgoederen

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 207, lid 2,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Handelend volgens de gewone wetgevingsprocedure (1),

Overwegende hetgeen volgt:

(1)

In het licht van de conclusies van de Raad van 12 februari 2016 over de bestrijding van terrorismefinanciering, de mededeling van de Commissie aan het Europees Parlement en de Raad van 2 februari 2016 inzake een actieplan ter versterking van de strijd tegen terrorismefinanciering, en Richtlijn (EU) 2017/541 van het Europees Parlement en de Raad (2), moeten gemeenschappelijke voorschriften voor de handel met derde landen worden vastgesteld om cultuurgoederen doeltreffend te beschermen tegen illegale handel, verlies of vernietiging, het culturele erfgoed van de mensheid in stand te houden, en de financiering van terrorisme en het witwassen van geld via de verkoop van geplunderd cultuurgoederen aan kopers in de Unie te voorkomen.

(2)

De uitbuiting van volkeren en gebieden, kan leiden tot illegale handel in cultuurgoederen, met name wanneer deze illegale handel zijn oorsprong heeft in een context van gewapende conflicten. Desbetreffend moet deze verordening de regionale en lokale kenmerken van volkeren en gebieden in aanmerking nemen, en niet de marktwaarde van cultuurgoederen.

(3)

Cultuurgoederen maken deel uit van het culturele erfgoed en hebben dikwijls een grote culturele, artistieke, historische en wetenschappelijke betekenis. Cultureel erfgoed is een van de hoekstenen van de beschaving: het heeft onder meer symbolische waarde en vormt een onderdeel van het cultureel geheugen van de mensheid. Het verrijkt het culturele leven van alle volkeren en verenigt mensen door gedeelde herinnering, kennis en ontwikkeling van beschaving. Cultureel erfgoed moet daarom worden beschermd tegen onrechtmatige toe-eigening en plundering. De plundering van archeologische vindplaatsen is van alle tijden, maar gebeurt nu op industriële schaal en is samen met de handel in illegaal opgegraven cultuurgoederen een ernstig misdrijf dat aanzienlijke schade veroorzaakt voor hen die er direct of indirect door worden getroffen. De illegale handel in cultuurgoederen draagt in veel gevallen bij tot een sterke culturele homogenisering of tot het gedwongen verlies van culturele identiteit, en de plundering van cultuurgoederen leidt onder meer tot het uiteenvallen van culturen. Zolang het mogelijk is om een lucratieve handel in illegaal opgegraven cultuurgoederen te drijven en daar voordeel uit te halen zonder noemenswaardig risico, zullen dit soort opgravingen en plunderingen gewoon doorgaan. Door de economische en artistieke waarde van cultuurgoederen bestaat er een grote vraag naar hen op de internationale markt. Het ontbreken van krachtige internationale wettelijke maatregelen en de ondoeltreffende handhaving van de maatregelen die wel bestaan leiden ertoe dat deze goederen in de schaduweconomie terecht komen. De Unie moet dan ook het binnenbrengen in het douanegebied van de Unie van cultuurgoederen die illegaal uit derde landen zijn uitgevoerd, verbieden, waarbij de nadruk met name moet liggen op cultuurgoederen uit derde landen waar gewapende conflicten heersen, in het bijzonder cultuurgoederen die illegaal zijn verhandeld door terroristische of andere criminele organisaties. Hoewel zo’n algemeen verbod niet mag leiden tot systematische controles, moeten de lidstaten kunnen ingrijpen wanneer zij informatie krijgen inzake verdachte zendingen, en de nodige maatregelen kunnen nemen om illegaal uitgevoerde cultuurgoederen te onderscheppen.

(4)

Gelet op het feit dat de lidstaten uiteenlopende regels kennen voor de invoer van cultuurgoederen in het douanegebied van de Unie, moeten met name maatregelen worden genomen om te garanderen dat een bepaald type invoer van cultuurgoederen wordt onderworpen aan uniforme controles bij binnenkomst in het douanegebied van de Unie, op basis van bestaande processen, procedures en administratieve instrumenten om tot een eenvormige uitvoering te komen van Verordening (EU) nr. 952/2013 van het Europees Parlement en de Raad (3).

(5)

De bescherming van cultuurgoederen die als nationaal bezit van de lidstaten zijn aangemerkt, is reeds geregeld in Verordening (EG) nr. 116/2009 van de Raad (4) en Richtlijn 2014/60/EU van het Europees Parlement en de Raad (5). De onderhavige verordening moet dan ook niet van toepassing zijn op cultuurgoederen die in het douanegebied van de EU zijn vervaardigd of daar zijn ontdekt. De bij deze verordening ingevoerde gemeenschappelijke voorschriften moeten de douanebehandeling regelen van cultuurgoederen van buiten de Unie die het douanegebied van de Unie binnenkomen. Voor de toepassing van deze verordening dient het relevante douanegebied het douanegebied van de Unie op het tijdstip van invoer te zijn.

(6)

De controlemaatregelen die moeten worden ingesteld met betrekking tot vrije zones en zogenaamde „vrijhavens” moeten een zo breed mogelijk toepassingsgebied hebben voor de betreffende douaneregelingen, teneinde te voorkomen dat deze verordening wordt omzeild doordat gebruik wordt gemaakt van die vrije zones, die mogelijk gebruikt kunnen worden voor de verdere proliferatie van illegale handel. Daarom moeten de controlemaatregelen niet alleen betrekking hebben op cultuurgoederen die in het vrije handelsverkeer worden gebracht, maar ook op cultuurgoederen die onder een bijzondere douaneregeling worden geplaatst. Dit toepassingsgebied mag evenwel niet verder reiken dan hetgeen wordt beoogd, namelijk te voorkomen dat illegaal uitgevoerde cultuurgoederen het douanegebied van de Unie binnenkomen. Zodoende mogen systematische controlemaatregelen niet gelden ten aanzien van douanevervoer, terwijl zij wel moeten gelden voor het in het vrije verkeer brengen en voor sommige van de bijzondere douaneregelingen waaronder goederen die het douanegebied van de Unie binnenkomen kunnen worden geplaatst.

(7)

Veel derde landen en de meeste lidstaten zijn vertrouwd met de definities die worden gebruikt in de op 14 november 1970 te Parijs ondertekende Unesco-Overeenkomst inzake de middelen om de onrechtmatige invoer, uitvoer of eigendomsoverdracht van cultuurgoederen te verbieden en te verhinderen („de Unesco-Overeenkomst van 1970”), waar een groot aantal lidstaten partij bij is, en in het op 24 juni 1995 te Rome ondertekende Verdrag van Unidroit inzake gestolen of onrechtmatig uitgevoerde cultuurgoederen. Daarom zijn de in deze verordening gebruikte definities gebaseerd op die definities.

(8)

De vraag of de uitvoer legaal of illegaal is, moet eerst en vooral worden bepaald aan de hand van de wettelijke en bestuursrechtelijke bepalingen van het land waar de cultuurgoederen zijn vervaardigd of ontdekt. Om de legale handel in cultuurgoederen niet onnodig te belemmeren, moet een persoon die deze goederen in het douanegebied van de Unie wil invoeren in bepaalde gevallen bij uitzondering worden toegestaan aan te tonen dat deze goederen op legale wijze zijn uitgevoerd uit een ander derde land waar de goederen zich bevonden voordat zij naar het grondgebied van de Unie werden gebracht. Deze uitzondering geldt in gevallen waarin niet op betrouwbare wijze kan worden bepaald in welk land de cultuurgoederen zijn vervaardigd of ontdekt, of indien de uitvoer van de cultuurgoederen heeft plaatsgevonden voordat de Unesco-Overeenkomst van 1970 in werking trad, namelijk op 24 april 1972. Om te voorkomen dat deze verordening wordt omzeild door illegaal uitgevoerde cultuurgoederen eenvoudigweg naar een ander derde land te zenden voordat zij in de Unie worden ingevoerd, moeten bovengenoemde uitzonderingen gelden wanneer de cultuurgoederen zich gedurende een periode van meer dan vijf jaar in een derde land hebben bevonden voor andere doeleinden dan tijdelijk gebruik, doorvoer, wederuitvoer of overscheping of overlading. Indien deze voorwaarden voor meer dan één land zijn vervuld, dient het laatste land waar de goederen zich hebben bevonden voordat zij in het douanegebied van de Unie werden binnengebracht, in aanmerking te worden genomen.

(9)

Artikel 5 van de Unesco-Overeenkomst van 1970 roept de verdragsluitende staten op tot het instellen van een of meer nationale diensten voor de bescherming van de cultuurgoederen tegen illegale invoer, uitvoer en eigendomsoverdracht. Voldoende deskundig personeel moet aan deze nationale diensten worden verbonden om deze bescherming in overeenstemming met dat Verdrag te waarborgen en die diensten moeten tevens de nodige actieve samenwerking tussen de bevoegde diensten van de lidstaten die partij zijn bij de overeenkomst op het gebied van veiligheid en bestrijding van de onrechtmatige invoer van cultuurgoederen, met name in gebieden waar een gewapend conflict heerst, mogelijk maken.

(10)

Om geen buitensporige belemmeringen op te werpen voor de handel in cultuurgoederen over de buitengrenzen van de Unie moet deze verordening uitsluitend gelden voor cultuurgoederen vanaf een bepaalde ouderdom, die bij deze verordening wordt vastgesteld. Voorts is het passend een financiële drempel vast te leggen teneinde cultuurgoederen van lagere waarde uit te sluiten van de toepassing van de voorwaarden en procedures voor de invoer ervan in het douanegebied van de Unie. Die drempels zullen ervoor zorgen dat de maatregelen van deze verordening van toepassing zullen zijn op deze cultuurgoederen die het meest waarschijnlijke doelwit zijn aan plunderaars in conflictgebieden, zonder dat hierdoor andere goederen worden uitgesloten waarop ook controle noodzakelijk is ter bescherming van het cultureel erfgoed.

(11)

In het kader van de supranationale beoordeling van de risico’s van witwasserij en terrorismefinanciering voor de interne markt is de illegale handel in geplunderde cultuurgoederen aangemerkt als een mogelijke bron van terrorismefinanciering en witwasactiviteiten.

(12)

Aangezien bepaalde categorieën van cultuurgoederen, namelijk archeologische voorwerpen en delen van monumenten, bij uitstek kwetsbaar zijn voor aan plundering en vernietiging, lijkt het noodzakelijk te voorzien in een systeem van verscherpt toezicht voordat zij worden toegelaten het douanegebied van de Unie binnen te komen. In het kader van een dergelijk systeem moet worden verlangd dat een door de bevoegde dienst van een lidstaat afgegeven invoervergunning voor de cultuurgoederen wordt overgelegd voordat zij in het vrije verkeer worden gebracht in de Unie, of onder een bijzondere douaneregeling, met uitzondering van douanevervoer, worden geplaatst. Personen die een dergelijke invoervergunning aanvragen, moeten kunnen aantonen dat de cultuurgoederen legaal zijn uitgevoerd uit het land waar ze zijn vervaardigd of ontdekt, aan de hand van bewijsstukken zoals uitvoercertificaten of eigendomsbewijzen, facturen, verkoopovereenkomsten, verzekeringsdocumenten, vervoersdocumenten en expertiserapporten. De bevoegde autoriteiten van de lidstaten moeten op basis van volledige en zorgvuldig ingevulde aanvragen zonder onnodige vertraging over de afgifte van een vergunning beslissen. Alle invoervergunningen moeten worden opgeslagen in een elektronisch systeem.

(13)

Een icoon is een afbeelding van een religieuze figuur of een religieuze gebeurtenis. Zij kan op verschillende dragers en in verschillende formaten zijn geproduceerd, en kan zowel monumentaal als draagbaar zijn. In gevallen waarin zij ooit deel heeft uitgemaakt van bijvoorbeeld het interieur van een kerk, een klooster, een kapel, hetzij als zelfstandig object, hetzij als deel van het architectonisch meubilair, bijvoorbeeld een iconostase of een icoonhouder, is zij een essentieel en onlosmakelijk element van goddelijke erediensten en van liturgisch leven, en moet zij worden beschouwd als integrerend deel van een religieus monument dat niet in zijn geheel bewaard is gebleven. Ook in gevallen waarin niet bekend is van welk specifiek monument de icoon een onderdeel is geweest, maar waar wel bewijs is dat de icoon ooit integraal deel heeft uitgemaakt van een monument, in het bijzonder als er tekenen of elementen aanwezig zijn die erop wijzen dat zij ooit deel heeft uitgemaakt van een iconostase of een icoonhouder, moet de icoon geclassificeerd worden onder de in de bijlage genoemde categorie „delen van artistieke of historische monumenten of archeologische vindplaatsen die niet in hun geheel bewaard zijn gebleven”.

(14)

Gelet op de bijzondere aard van cultuurgoederen, spelen de douaneautoriteiten een zeer belangrijke rol, omdat zij in staat moeten zijn om, indien nodig, aanvullende informatie van de aangever te verlangen en de cultuurgoederen te analyseren door fysieke inspectie.

(15)

Voor categorieën van cultuurgoederen waarvoor geen invoervergunning is vereist bij de invoer, moeten de personen die dergelijke goederen in het douanegebied van de Unie willen invoeren, aan de hand van een verklaring bevestigen en de verantwoordelijkheid op zich nemen dat deze goederen legaal zijn uitgevoerd uit het derde land, en zij moeten voldoende informatie over deze cultuurgoederen verstrekken opdat de douaneautoriteiten deze kunnen identificeren. Om de procedure te vergemakkelijken en rechtszekerheid te bieden, moet de informatie over het cultuurgoed worden verstrekt door het gebruik van een gestandaardiseerd document. Het Object ID (de door de Unesco aanbevolen standaard) zou gebruikt kunnen worden om de goederen te omschrijven. De houder van de goederen dient die gegevens in een elektronisch systeem te registreren om identificatie door de douaneautoriteiten te vergemakkelijken en risicoanalyse en gerichte controles mogelijk te maken, alsmede om zo de cultuurgoederen traceerbaar te maken nadat zij op de interne markt zijn gebracht.

(16)

In het kader van de EU-éénloketomgeving voor de douane heeft de Commissie tot taak een centraal elektronisch systeem op te zetten voor het indienen van aanvragen voor invoervergunningen en voor importeursverklaringen, alsmede voor de opslag en de uitwisseling van gegevens tussen de autoriteiten van de lidstaten, vooral betreffende invoervergunningen en importeursverklaringen.

(17)

De gegevensverwerking in het kader van deze verordening moet ook persoonsgegevens kunnen behelzen en die verwerking moet overeenkomstig het Unierecht worden uitgevoerd. De lidstaten en de Commissie mogen persoonsgegevens uitsluitend verwerken met het oog op de doelstellingen van deze verordening of in naar behoren gerechtvaardigde omstandigheden met het oog op het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties, met inbegrip van het beschermen tegen en het voorkomen van gevaren voor de openbare veiligheid. Elke verzameling, openbaarmaking, doorzending, verstrekking en andersoortige verwerking van persoonsgegevens binnen het toepassingsgebied van deze verordening moet onderworpen zijn aan de voorschriften van de Verordeningen (EU) 2016/679 (6) en (EU) 2018/1725 (7) van het Europees Parlement en de Raad. De verwerking van persoonsgegevens voor de toepassing van deze verordening moet tevens in overeenstemming zijn met het recht op eerbiediging van het privéleven en van het familie- en gezinsleven zoals erkend in artikel 8 van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden van de Raad van Europa, alsook met het recht op eerbiediging van het privéleven en het familie- en gezinsleven en het recht op de bescherming van persoonsgegevens die worden gewaarborgd in respectievelijk de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie.

(18)

Voor cultuurgoederen die niet zijn vervaardigd of ontdekt in het douanegebied van de Unie, maar die als Uniegoederen zijn uitgevoerd, hoeft geen invoervergunning of importeursverklaring te worden overgelegd indien ze worden teruggezonden naar dat douanegebied als terugkerende goederen in de zin van Verordening (EU) nr. 952/2013.

(19)

Tijdelijke invoer van cultuurgoederen voor educatieve of wetenschappelijke doeleinden of met het oog op beheer en behoud, restauratie, tentoonstelling, digitalisering, podiumkunsten, onderzoek door academische instellingen of samenwerking tussen musea of soortgelijke instellingen, is evenmin onderworpen aan de overlegging van een invoervergunning of een importeursverklaring.

(20)

De opslag van cultuurgoederen uit landen waar een gewapend conflict heerst of een natuurramp heeft plaatsgevonden, met het uitsluitende doel om deze op een veilige plaats te laten bewaren en ze te behouden door of onder het toezicht van een overheidsinstantie hoeft geen invoervergunning of importeursverklaring te worden overgelegd.

(21)

Om de presentatie van cultuurgoederen op commerciële kunstbeurzen te vergemakkelijken, is geen invoervergunning vereist indien deze goederen onder de regeling van tijdelijke invoer in de zin van artikel 250 van Verordening (EU) nr. 952/2013 vallen en indien een importeursverklaring is verstrekt in plaats van de invoervergunning. Het overleggen van een invoervergunning moet echter wel worden vereist indien deze cultuurgoederen na afloop van een kunstbeurs in de Unie blijven.

(22)

Om eenvormige voorwaarden voor de uitvoering van deze verordening te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend voor de vaststelling van nadere regelingen voor: cultuurgoederen die terugkerende goederen zijn, de tijdelijke toelating van cultuurgoederen in het douanegebied van de Unie en de bewaring ervan, de modellen voor aanvragen en formulieren van invoervergunningen, alsook voor importeursverklaringen en bijgaande documenten, en nadere procedureregels voor de indiening en de verwerking daarvan. Aan de Commissie moeten ook uitvoeringsbevoegdheden worden toegekend om voorzieningen te treffen voor het opzetten van een elektronisch systeem voor het indienen van aanvragen voor invoervergunningen en importeursverklaringen en voor de opslag en de uitwisseling van informatie tussen de lidstaten. Deze bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (8).

(23)

Ter wille van een doeltreffende coördinatie en ter voorkoming van dubbel werk bij het organiseren van opleidingen, activiteiten inzake capaciteitsopbouw en bewustwordingscampagnes, alsmede met het oog op het verstrekken van opdrachten voor onderzoek en de ontwikkeling van normen moeten de Commissie en de lidstaten in voorkomend geval samenwerken met internationale organisaties en organen, zoals Unesco, Interpol, Europol, de Werelddouaneorganisatie, het Internationaal Centrum voor de Studie tot het behoud en de restauratie van culturele goederen (International Centre for the Preservation and Restoration of Cultural Property — ICCROM), en de Internationale Museumraad (International Council of Museums — ICOM).

(24)

Ter ondersteuning van de doeltreffende tenuitvoerlegging van deze verordening en als basis voor de toekomstige beoordeling ervan, moeten relevante gegevens over handelsstromen van cultuurgoederen elektronisch worden verzameld en door de lidstaten en de Commissie worden uitgewisseld. In het belang van transparantie en publieke controle dient zo veel mogelijk informatie openbaar te worden gemaakt. Het toezicht op de handelsstromen van cultuurgoederen kan niet efficiënt worden verricht louter op basis van de waarde of het gewicht van de goederen. Het is van wezenlijk belang dat elektronisch informatie wordt verzameld over het aantal aangegeven voorwerpen. Aangezien de gecombineerde nomenclatuur geen bijzondere maatstaf voor cultuurgoederen bevat, dient te worden vereist dat het aantal voorwerpen wordt aangegeven.

(25)

Met de EU-strategie en het actieplan voor douanerisicobeheer wordt onder meer gestreefd naar een versterking van de capaciteiten van de douaneautoriteiten, zodat deze beter kunnen reageren indien zich risico’s voor cultuurgoederen voordoen. Er moet gebruik worden gemaakt van het bij Verordening (EU) nr. 952/2013 ingestelde gemeenschappelijk kader voor risicobeheer, en tussen de douaneautoriteiten moet relevante informatie over risico’s worden uitgewisseld.

(26)

Om te kunnen profiteren van de deskundigheid van internationale organisaties en organen die actief zijn op het gebied van cultuurzaken, alsook van hun ervaringen met de illegale handel in cultuurgoederen, moeten hun aanbevelingen en richtsnoeren in aanmerking worden genomen in het gemeenschappelijk kader voor risicobeheer bij het bepalen van risico’s voor cultuurgoederen. Met name de rode lijsten van de ICOM moeten als richtsnoer dienen voor het in kaart brengen van de derde landen wier erfgoed het meest gevaar loopt en van de uit die landen uitgevoerde voorwerpen die vaker in de illegale handel terecht zouden kunnen komen.

(27)

Er moeten op kopers van cultuurgoederen gerichte bewustwordingscampagnes met betrekking tot het risico op illegale handel worden opgezet, en de marktdeelnemers moeten worden geholpen om deze verordening goed te begrijpen en toe te passen. De lidstaten dienen voor de verspreiding van deze informatie hun nationale contactpunten en andere voorlichtingsdiensten in te zetten.

(28)

De Commissie moet ervoor zorgen dat micro-ondernemingen en kleine en middelgrote ondernemingen adequate technische assistentie krijgen en dat zij gemakkelijk aan de informatie kunnen komen die zij nodig hebben om deze verordening efficiënt uit te voeren. In de Unie gevestigde kleine en middelgrote ondernemingen die cultuurgoederen invoeren, moeten daarom gebruik kunnen maken van bestaande en toekomstige Unieprogramma’s ter ondersteuning van het concurrentievermogen van kleine en middelgrote ondernemingen.

(29)

Om de naleving van deze verordening aan te moedigen en ontwijking ervan te ontmoedigen, moeten de lidstaten doeltreffende, evenredige en afschrikkende sancties voor niet-naleving vaststellen en deze aan de Commissie meedelen. Door de lidstaten vastgestelde sancties op overtredingen van deze verordening moeten in de gehele Unie een vergelijkbaar afschrikkend effect hebben.

(30)

De lidstaten moeten ervoor zorgen dat de douaneautoriteiten en de bevoegde autoriteiten het eens zijn over maatregelen krachtens artikel 198 van Verordening (EU) nr. 952/2013. De nadere regelingen van die maatregelen moeten zijn onderworpen aan nationaal recht.

(31)

De Commissie dient onverwijld de uitvoeringsbepalingen van deze verordening vast te stellen, vooral die met betrekking tot de passende elektronische, gestandaardiseerde formulieren die moeten worden gebruikt om een invoervergunning aan te vragen of een importeursverklaring op te stellen, en zo spoedig mogelijk daarna het elektronische systeem op te zetten. De toepassing van de bepalingen inzake invoervergunningen en importeursverklaringen moet dienovereenkomstig worden uitgesteld.

(32)

Overeenkomstig het evenredigheidsbeginsel, is het voor de verwezenlijking van de basisdoelstellingen van deze verordening nodig en passend regels vast te stellen betreffende de voorwaarden en procedures voor de invoer van cultuurgoederen in het douanegebied van de Unie. Deze verordening gaat overeenkomstig artikel 5, lid 4, van het Verdrag betreffende de Europese Unie niet verder dan wat nodig is om de beoogde doelstellingen te verwezenlijken,

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

Artikel 1

Onderwerp en toepassingsgebied

1.   Bij deze verordening worden de voorwaarden voor het binnenbrengen en de voorwaarden en procedures voor de invoer van cultuurgoederen vastgesteld, met het oog op het beschermen van het culturele erfgoed van de mensheid en het voorkomen van de illegale handel in cultuurgoederen, in het bijzonder wanneer deze illegale handel zou kunnen bijdragen aan de financiering van terrorisme.

2.   Deze verordening is niet van toepassing op cultuurgoederen die in het douanegebied van de Unie werden vervaardigd of ontdekt.

Artikel 2

Definities

In deze verordening wordt verstaan onder:

1)   „cultuurgoederen”: ieder voorwerp dat van belang is voor de archeologie, de prehistorie, de geschiedenis, de letterkunde, de kunst of de wetenschap zoals opgenomen in de bijlage;

2)   „binnenbrengen van cultuurgoederen”: iedere binnenkomst in het douanegebied van de Unie van cultuurgoederen die zijn onderworpen aan douanetoezicht of douanecontrole in het douanegebied van de Unie overeenkomstig Verordening (EU) nr. 952/2013;

3)   „invoer van cultuurgoederen”:

a)

in het vrije verkeer brengen van cultuurgoederen als bedoeld in artikel 201 van Verordening (EU) nr. 952/2013, of

b)

de plaatsing van cultuurgoederen onder een van de volgende categorieën van bijzondere regelingen als bedoeld in artikel 210 van Verordening (EU) nr. 952/2013:

i)

opslag, inhoudende douane-entrepot en vrije zones;

ii)

specifieke bestemming, inhoudende tijdelijke invoer en bijzondere bestemming;

iii)

actieve veredeling;

4)   „houder van de goederen”: de houder van de goederen als bedoeld in artikel 5, punt 34, van Verordening (EU) nr. 952/2013;

5)   „bevoegde autoriteiten”: de overheidsinstanties die door de lidstaten zijn aangewezen om invoervergunningen af te geven.

Artikel 3

Binnenbrengen en invoeren van cultuurgoederen

1.   Het binnenbrengen van in deel A van de bijlage bedoelde cultuurgoederen die in strijd met de wettelijke en bestuursrechtelijke bepalingen van het land waar de cultuurgoederen zijn ontdekt of vervaardigd, buiten het grondgebied van dat land zijn gebracht, wordt verboden.

De douaneautoriteiten en de bevoegde autoriteiten nemen passende maatregelen wanneer een poging wordt ondernomen om de in de eerste alinea bedoelde cultuurgoederen binnen te brengen.

2.   Het binnenbrengen van in de delen B en C van de bijlage opgenomen cultuurgoederen is slechts toegestaan na het verstrekken van:

a)

een overeenkomstig artikel 4 afgegeven invoervergunning, of

b)

een overeenkomstig artikel 5 ingediende importeursverklaring.

3.   De in lid 2 van dit artikel bedoelde invoervergunning of importeursverklaring wordt in overeenstemming met artikel 163 van Verordening (EU) nr. 952/2013 aan de douaneautoriteiten verstrekt. Indien de cultuurgoederen onder de regeling vrije zones worden geplaatst, verstrekt de houder van de goederen de invoervergunning of de importeursverklaring bij het aanbrengen van de goederen in overeenstemming met artikel 245, lid 1, onder a) en b), van Verordening (EU) nr. 952/2013.

4.   Lid 2 van dit artikel is niet van toepassing op:

a)

cultuurgoederen die terugkerende goederen zijn in de zin van artikel 203 van Verordening (EU) nr. 952/2013;

b)

de invoer van cultuurgoederen die uitsluitend bedoeld is om hun bewaring door of onder het toezicht van een overheidsinstantie te waarborgen, met het voornemen om deze cultuurgoederen terug te geven indien de situatie dat toestaat;

c)

de tijdelijke invoer van cultuurgoederen, in de zin van artikel 250 van Verordening (EU) nr. 952/2013, in het douanegebied van de Unie voor educatieve of wetenschappelijke doeleinden of met het oog op beheer en behoud, restauratie, tentoonstelling, digitalisering, podiumkunsten, onderzoek door academische instellingen of samenwerking tussen musea of soortgelijke instellingen.

5.   Een invoervergunningen is niet vereist voor cultuurgoederen die onder de regeling tijdelijke invoer in de zin van artikel 250 van Verordening (EU) nr. 952/2013 zijn geplaatst, wanneer dergelijke goederen zullen worden gepresenteerd op commerciële kunstbeurzen. In dergelijke gevallen wordt een importeursverklaring verstrekt overeenkomstig de procedure van artikel 5 van onderhavige verordening.

Indien die cultuurgoederen vervolgens echter onder een andere douaneregeling als bedoeld in artikel 2, lid 3, van deze verordening worden geplaatst, wordt een overeenkomstig artikel 4 van deze verordening afgegeven invoervergunning vereist.

6.   De Commissie stelt door middel van uitvoeringshandelingen gedetailleerde regelingen vast voor de cultuurgoederen die terugkerende goederen zijn, voor de invoer van cultuurgoederen met het oog op hun bewaring en voor de tijdelijke invoer van cultuurgoederen als bedoeld in de leden 4 en 5 van dit artikel. Deze uitvoeringshandelingen worden volgens de in artikel 13, lid 2, bedoelde onderzoeksprocedure vastgesteld.

7.   Lid 2 van dit artikel doet niet af aan andere, door de Unie in overeenstemming met artikel 215 van het Verdrag betreffende de werking van de Europese Unie vastgestelde maatregelen.

8.   Indien een douaneaangifte wordt ingediend om in de delen B en C van de bijlage opgenomen cultuurgoederen in te voeren, wordt het aantal voorwerpen vermeld volgens de in die bijlage bedoelde bijzondere maatstaf. Indien de cultuurgoederen onder de regeling vrije zones worden geplaatst, geeft de houder van de goederen het aantal voorwerpen aan bij het aanbrengen van de goederen in overeenstemming met artikel 245, lid 1, onder a) en b), van Verordening (EU) nr. 952/2013.

Artikel 4

Invoervergunning

1.   Voor de invoer van andere dan de in artikel 3, leden 4 en 5, bedoelde cultuurgoederen die in deel B van de bijlage zijn opgenomen, is een invoervergunning vereist. Die invoervergunning wordt afgegeven door de bevoegde autoriteit van de lidstaat waar de cultuurgoederen voor het eerst onder een van de in artikel 2, punt 3, bedoelde douaneregelingen zijn geplaatst.

2.   Invoervergunningen die overeenkomstig dit artikel zijn afgegeven door de bevoegde autoriteiten van een lidstaat, zijn in de hele Unie geldig.

3.   Een overeenkomstig dit artikel afgegeven invoervergunning wordt niet beschouwd als bewijs van de legale herkomst of eigendom van de desbetreffende cultuurgoederen.

4.   De houder van de goederen vraagt via het in artikel 8 bedoelde elektronische systeem een invoervergunning aan bij de in lid 1 van dit artikel bedoelde bevoegde autoriteit van de lidstaat. Bij de aanvraag worden alle bewijsstukken en gegevens gevoegd ten bewijze van het feit dat de cultuurgoederen in kwestie zijn uitgevoerd uit het land waar zij zijn vervaardigd of ontdekt in overeenstemming met de wettelijke en bestuursrechtelijke bepalingen van dat land, of ten bewijze van het feit dat er geen dergelijke wettelijke en bestuursrechtelijke bepalingen bestonden op het moment waarop de goederen buiten het grondgebied van dat land zijn gebracht.

In afwijking van de eerste alinea kan de aanvraag in plaats daarvan vergezeld gaan van alle bewijsstukken en gegevens ten bewijze van het feit dat de desbetreffende cultuurgoederen zijn uitgevoerd in overeenstemming met de wettelijke en bestuursrechtelijke bepalingen van het laatste land waar zij zich gedurende een periode van meer dan vijf jaar hebben bevonden voor andere doeleinden dan tijdelijk gebruik, doorvoer, wederuitvoer of overscheping of overlading, in onderstaande gevallen:

a)

het land waar de cultuurgoederen zijn vervaardigd of ontdekt, kan niet op betrouwbare wijze worden bepaald, of

b)

de cultuurgoederen zijn buiten het land waar zij zijn vervaardigd of ontdekt vóór 24 april 1972, gebracht.

5.   Bewijs dat de desbetreffende cultuurgoederen overeenkomstig lid 4 zijn uitgevoerd, wordt verstrekt in de vorm van uitvoercertificaten of uitvoervergunningen wanneer het betrokken land dergelijke documenten voor de uitvoer van cultuurgoederen op het moment van de uitvoer heeft vastgesteld.

6.   De bevoegde autoriteit controleert of de aanvraag volledig is. Zij verzoekt de aanvrager binnen 21 dagen na ontvangst van de aanvraag om alle ontbrekende of aanvullende gegevens of documenten in te dienen.

7.   Binnen 90 dagen na de ontvangst van de volledige aanvraag onderzoekt de bevoegde autoriteit de aanvraag en beslist zij om de invoervergunning af te geven of de aanvraag af te wijzen.

De bevoegde autoriteit wijst een aanvraag af indien:

a)

zij redelijke gronden heeft om aan te nemen dat de cultuurgoederen in strijd met de wettelijke en bestuursrechtelijke bepalingen van het land waar zij zijn vervaardigd of ontdekt, buiten het grondgebied van dat land zijn gebracht;

b)

het in lid 4 vereiste bewijs niet wordt verstrekt;

c)

zij informatie of redelijke gronden heeft om aan te nemen dat de houder van de goederen deze niet op rechtmatige wijze heeft verkregen, of

d)

zij ervan in kennis is gesteld dat er nog claims over de teruggave van de cultuurgoederen lopen die zijn ingediend door de autoriteiten van het land waar ze zijn vervaardigd of ontdekt.

8.   Indien de aanvraag wordt afgewezen, wordt het in lid 7 bedoelde bestuurlijke besluit samen met een motivering en informatie over de beroepsprocedure, onverwijld aan de aanvrager meegedeeld.

9.   Indien een invoervergunning wordt aangevraagd met betrekking tot cultuurgoederen waarvoor eerder een dergelijke aanvraag werd afgewezen, stelt de aanvrager de bevoegde autoriteit waarbij de aanvraag wordt ingediend van deze eerdere afwijzing in kennis.

10.   Indien een lidstaat een aanvraag afwijst, worden deze afwijzing alsmede de gronden waarop zij is gebaseerd via het in artikel 8 bedoelde elektronische systeem aan de andere lidstaten en de Commissie meegedeeld.

11.   De lidstaten wijzen onverwijld de autoriteiten aan die bevoegd zijn om invoervergunningen af te geven overeenkomstig dit artikel. De lidstaten delen de gegevens van de bevoegde autoriteiten en elke wijziging daarin mee aan de Commissie.

De Commissie maakt de gegevens van de bevoegde autoriteiten en elke wijziging daarin bekend in de C-reeks van het Publicatieblad van de Europese Unie.

12.   De Commissie stelt door middel van uitvoeringshandelingen het model en het formaat voor de aanvraag van een invoervergunning en eventuele bewijsstukken ter staving van de legale herkomst van de desbetreffende cultuurgoederen vast, alsmede de procedureregels voor de indiening en de verwerking van die aanvraag. Bij het bepalen van die elementen streeft Commissie naar een uniforme toepassing van de procedures inzake invoervergunningen door de bevoegde autoriteiten. Deze uitvoeringshandelingen worden volgens de in artikel 13, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 5

Importeursverklaring

1.   Het invoeren van de in deel C van de bijlage opgenomen vereist een importeursverklaring die door de houder van de goederen wordt ingediend via het in artikel 8 bedoelde elektronische systeem.

2.   De importeursverklaring bestaat uit:

a)

een door de houder van de goederen ondertekende verklaring dat de cultuurgoederen uit het land waar zij zijn vervaardigd of ontdekt zijn uitgevoerd in overeenstemming met de wettelijke en bestuursrechtelijke bepalingen van dat land op het moment waarop zij buiten zijn grondgebied zijn gebracht, en

b)

een gestandaardiseerd document waarin de cultuurgoederen in kwestie voldoende nauwkeurig zijn beschreven om door de autoriteiten te kunnen worden geïdentificeerd en om een risicoanalyse en gerichte controles van te verrichten.

In afwijking van punt a) van de eerste alinea kan de verklaring in plaats daarvan luiden dat de desbetreffende cultuurgoederen zijn uitgevoerd in overeenstemming met de wettelijke en bestuursrechtelijke bepalingen van het laatste land waar zij zich gedurende een periode van meer dan vijf jaar hebben bevonden voor andere doeleinden dan tijdelijk gebruik, doorvoer, wederuitvoer, overscheping of overlading, in onderstaande gevallen:

a)

het land waar de cultuurgoederen zijn vervaardigd of ontdekt, kan niet op betrouwbare wijze worden bepaald, of

b)

de cultuurgoederen zijn buiten het land waar zij zijn vervaardigd of ontdekt vóór 24 april 1972, gebracht.

3.   De Commissie stelt door middel van uitvoeringshandelingen het gestandaardiseerde model en het formaat voor de importeursverklaring vast, alsmede de procedureregels voor de indiening ervan en wijst de eventuele bewijsstukken aan ter staving van de legale herkomst van de desbetreffende cultuurgoederen die in het bezit van de houder van de goederen dienen te zijn, en de regels voor de verwerking van die verklaring. Deze uitvoeringshandelingen worden volgens de in artikel 13, lid 2 bedoelde onderzoeksprocedure vastgesteld.

Artikel 6

Bevoegde douanekantoren

De lidstaten kunnen het aantal douanekantoren dat bevoegd is om zich bezig te houden met de invoer van onder deze verordening vallende cultuurgoederen, beperken. Wanneer de lidstaten een dergelijke beperking toepassen, delen zij de gegevens van die kantoren en elke wijziging daarin mee aan de Commissie.

De Commissie maakt de gegevens van de bevoegde douanekantoren en elke wijziging daarin bekend in de C-reeks van het Publicatieblad van de Europese Unie.

Artikel 7

Administratieve samenwerking

Met het oog op de uitvoering van deze verordening garanderen de lidstaten samenwerking tussen hun douaneautoriteiten en de bevoegde autoriteiten als bedoeld in artikel 4.

Artikel 8

Gebruik van een elektronisch systeem

1.   De opslag en de uitwisseling van gegevens tussen de autoriteiten van de lidstaten, vooral betreffende invoervergunningen en importeursverklaringen, wordt door middel van een gecentraliseerd elektronisch systeem verricht.

In geval van een tijdelijke storing van het elektronische systeem mogen tijdelijk andere middelen voor de opslag en uitwisseling van gegevens worden gebruikt.

2.   De Commissie stelt door middel van uitvoeringshandelingen het volgende vast:

a)

voorzieningen voor de uitrol, het gebruik en het onderhoud van het in lid 1 bedoelde elektronische systeem;

b)

nadere voorschriften voor de indiening, verwerking, opslag en uitwisseling van gegevens tussen de autoriteiten van de lidstaten via het elektronische systeem of via andere middelen als bedoeld in lid 1.

Die uitvoeringshandelingen worden volgens de in artikel 13, lid 2, bedoelde onderzoeksprocedure uiterlijk 28 juni 2021 vastgesteld.

Artikel 9

Opzetten van een elektronisch systeem

De Commissie zet het in artikel 8 bedoelde elektronische systeem op. Het elektronisch systeem zal uiterlijk vier jaar na de inwerkingtreding van de eerste in artikel 8, lid 2, bedoelde uitvoeringshandelingen operationeel zijn.

Artikel 10

Bescherming van persoonsgegevens en bewaartermijnen

1.   De douaneautoriteiten en de bevoegde autoriteiten van de lidstaten treden op als verantwoordelijken voor de verwerking van de persoonsgegevens die krachtens de artikelen 4, 5 en 8 zijn verkregen.

2.   De verwerking van persoonsgegevens op basis van deze verordening mag uitsluitend voor het in artikel 1, lid 1, bepaalde doel worden verricht.

3.   De overeenkomstig de artikelen 4, 5 en 8 verkregen persoonsgegevens zijn uitsluitend toegankelijk voor naar behoren gemachtigde personeelsleden van de autoriteiten en worden op passende wijze beschermd tegen ongeoorloofde toegang of verstrekking. De gegevens worden niet openbaar gemaakt of verstrekt zonder de uitdrukkelijke schriftelijke toestemming van de autoriteit die de gegevens oorspronkelijk heeft verkregen. Dergelijke toestemming is evenwel niet vereist wanneer de autoriteiten er overeenkomstig de geldende wettelijke bepalingen in de lidstaat in kwestie, met name in het kader van gerechtelijke procedures, toe gehouden zijn deze gegevens openbaar te maken of te verstrekken.

4.   De autoriteiten bewaren de op grond van de artikelen 4, 5 of 8 verkregen persoonsgegevens gedurende een periode van 20 jaar met ingang van de datum waarop de gegevens zijn verkregen. Bij afloop van deze termijn worden deze persoonsgegevens gewist.

Artikel 11

Sancties

De lidstaten stellen de regels vast voor de sancties die van toepassing zijn op inbreuken op deze verordening en treffen alle nodige maatregelen om ervoor te zorgen dat zij worden toegepast. De sancties moeten doeltreffend, evenredig en afschrikkend zijn.

Uiterlijk 28 december 2020 stellen de lidstaten de Commissie in kennis van de regels inzake de sancties die van toepassing zijn op het binnenbrengen van cultuurgoederen in strijd met artikel 3, lid 1, en van de aanverwante maatregelen.

Uiterlijk 28 juni 2025 stellen de lidstaten de Commissie in kennis van de regels inzake de sancties die van toepassing zijn op andere inbreuken op deze verordening, met name valse verklaringen en het verstrekken van valse informatie, en van de desbetreffende maatregelen.

De lidstaten stellen de Commissie onverwijld in kennis van alle latere wijzigingen van deze regels.

Artikel 12

Samenwerking met derde landen

In aangelegenheden die onder haar activiteiten vallen en voor zover zulks nodig is voor de uitvoering van haar taken uit hoofde van deze verordening, kan de Commissie in samenwerking met lidstaten opleidingen en activiteiten organiseren inzake capaciteitsopbouw voor derde landen.

Artikel 13

Comitéprocedure

1.   De Commissie wordt bijgestaan door het bij artikel 8 van Verordening (EG) nr. 116/2009 van de Raad ingestelde comité. Dit comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.   Wanneer naar deze paragraaf wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 14

Rapportage en evaluatie

1.   De lidstaten verstrekken de Commissie informatie over de uitvoering van deze verordening.

Te dien einde zendt de Commissie de lidstaten relevante vragenlijsten toe. De lidstaten hebben na ontvangst van de vragenlijst zes maanden tijd om de gevraagde informatie aan de Commissie te verstrekken.

2.   Binnen drie jaar na de datum waarop deze verordening in haar geheel van toepassing is geworden en vervolgens om de vijf jaar legt de Commissie het Europees Parlement en de Raad een verslag over de uitvoering van deze verordening voor. Dat verslag wordt openbaar gemaakt en bevat onder meer relevante statistische informatie op het niveau van de Unie en op nationaal niveau, waaronder het aantal afgegeven invoervergunningen, het aantal afgewezen aanvragen en het aantal ingediende importeursverklaringen. In het verslag wordt tevens aandacht besteed aan de praktische uitvoering, inclusief de gevolgen voor marktdeelnemers in de Unie en, in het bijzonder, kleine en middelgrote ondernemingen.

3.   Uiterlijk 28 juni 2020 en vervolgens om de twaalf maanden tot het in artikel 9 bedoelde elektronische systeem is opgezet, legt de Commissie het Europees Parlement en de Raad een verslag voor over de vooruitgang die is geboekt inzake de vaststelling van de in artikel 8, lid 2, bedoelde uitvoeringshandelingen en inzake het opzetten van het in artikel 9 bedoelde elektronische systeem.

Artikel 15

Inwerkingtreding

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Artikel 16

Toepassing

1.   Deze verordening is van toepassing met ingang van de datum van inwerkingtreding ervan.

2.   Niettegenstaande lid 1 van dit artikel:

a)

is artikel 3, lid 1, van toepassing met ingang van 28 december 2020;

b)

zijn artikel 3, leden 2 tot en met 5, 7 en 8, artikel 4, leden 1 tot en met 10, artikel 5, leden 1 en 2, en artikel 8, lid 1, van toepassing vanaf de datum waarop het in artikel 8 bedoelde elektronische systeem operationeel wordt of uiterlijk met ingang van 28 juni 2025. De Commissie maakt in de C-reeks van het Publicatieblad van de Europese Unie bekend op welke datum aan de voorwaarden van dit lid is voldaan.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Straatsburg, 17 april 2019.

Voor het Europees Parlement

De voorzitter

A. TAJANI

Voor de Raad

De voorzitter

G. CIAMBA


(1)  Standpunt van het Europees Parlement van 12 maart 2019 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 9 april 2019.

(2)  Richtlijn (EU) 2017/541 van het Europees Parlement en de Raad van 15 maart 2017 inzake terrorismebestrijding en ter vervanging van Kaderbesluit 2002/475/JBZ van de Raad en tot wijziging van Besluit 2005/671/JBZ van de Raad (PB L 88 van 31.3.2017, blz. 6).

(3)  Verordening (EU) nr. 952/2013 van het Europees Parlement en van de Raad van 9 oktober 2013 tot vaststelling van het douanewetboek van de Unie (PB L 269 van 10.10.2013, blz. 1).

(4)  Verordening (EG) nr. 116/2009 van de Raad van 18 december 2008 betreffende de uitvoer van cultuurgoederen (PB L 39 van 10.2.2009, blz. 1).

(5)  Richtlijn 2014/60/EU van het Europees Parlement en de Raad van 15 mei 2014 betreffende de teruggave van cultuurgoederen die op onrechtmatige wijze buiten het grondgebied van een lidstaat zijn gebracht en houdende wijziging van Verordening (EU) nr. 1024/2012 (PB L 159 van 28.5.2014, blz. 1).

(6)  Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(7)  Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).

(8)  Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).


BIJLAGE

Deel A.   Cultuurgoederen die onder artikel 3, lid 1, vallen

a)

zeldzame verzamelingen en exemplaren van fauna, flora, mineralen en anatomie, en voorwerpen van paleontologisch belang;

b)

goederen die betrekking hebben op de geschiedenis, met inbegrip van de geschiedenis van wetenschap en technologie en de krijgs- en maatschappijgeschiedenis, alsmede op het leven van nationale leiders, denkers, wetenschapsbeoefenaars en kunstenaars en op gebeurtenissen van nationaal belang;

c)

voorwerpen afkomstig van archeologische opgravingen (zowel rechtmatige als illegale) of van archeologische vondsten op het land of in zee;

d)

delen van artistieke of historische monumenten of archeologische vindplaatsen die niet in hun geheel bewaard zijn gebleven (1);

e)

antieke voorwerpen ouder dan honderd jaar, zoals inscripties, munten en gegraveerde zegels;

f)

voorwerpen van etnologisch belang;

g)

voorwerpen van artistiek belang, zoals:

i)

afbeeldingen, schilderijen en tekeningen die geheel met de hand zijn vervaardigd, op welke ondergrond en van welke materialen ook (met uitzondering van producten van industriële vormgeving en met de hand versierde fabrieksgoederen);

ii)

oorspronkelijke beelden en oorspronkelijk beeldhouwwerk, van welk materiaal ook;

iii)

oorspronkelijke gravures, prenten en lithografieën;

iv)

oorspronkelijke assemblages en montages van welk materiaal ook;

h)

zeldzame manuscripten en wiegendrukken;

i)

oude boeken, documenten en publicaties van bijzonder belang (historisch, artistiek, wetenschappelijk, letterkundig enz.), afzonderlijk of in verzamelingen;

j)

postzegels, belastingzegels en soortgelijke zegels, afzonderlijk of in verzamelingen;

k)

archieven, met inbegrip van geluids-, foto- en filmarchieven;

l)

meubelen en meubelstukken van meer dan honderd jaar oud en oude muziekinstrumenten.

Deel B.   Cultuurgoederen die onder artikel 4 vallen

Categorieën van cultuurgoederen volgens deel A

Hoofdstuk, post of onderverdeling van de gecombineerde nomenclatuur (GN)

Minimale ouderdomsdrempel

Minimale financiële drempel (douanewaarde)

Bijzondere maatstaf

c)

voorwerpen afkomstig van archeologische opgravingen (zowel rechtmatige als illegale) of van archeologische vondsten op het land of in zee;

ex 9705 ; ex 9706

Ouder dan 250 jaar

Ongeacht hun waarde

Aantal stuks (p/st)

d)

delen van artistieke of historische monumenten of archeologische vindplaatsen die niet in hun geheel bewaard zijn gebleven (2);

ex 9705 ; ex 9706

Ouder dan 250 jaar

Ongeacht hun waarde

Aantal stuks (p/st)

Deel C.   Cultuurgoederen die onder artikel 5 vallen

Categorieën van cultuurgoederen volgens deel A

Hoofdstuk, post of onderverdeling van de gecombineerde nomenclatuur (GN)

Minimale ouderdomsdrempel

Minimale financiële drempel (douanewaarde)

Bijzondere maatstaf

a)

zeldzame verzamelingen en exemplaren van fauna, flora, mineralen en anatomie, en voorwerpen van paleontologisch belang;

ex 9705

Ouder dan 200 jaar

18 000  EUR of meer per stuk

Aantal stuks (p/st)

b)

goederen die betrekking hebben op de geschiedenis, met inbegrip van de geschiedenis van wetenschap en technologie en de krijgs- en maatschappijgeschiedenis, alsmede op het leven van nationale leiders, denkers, wetenschapsbeoefenaars en kunstenaars en op gebeurtenissen van nationaal belang;

ex 9705

Ouder dan 200 jaar

18 000  EUR of meer per stuk

Aantal stuks (p/st)

e)

antieke voorwerpen, zoals inscripties, munten en gegraveerde zegels;

ex 9706

Ouder dan 200 jaar

18 000  EUR of meer per stuk

Aantal stuks (p/st)

f)

voorwerpen van etnologisch belang;

ex 9705

Ouder dan 200 jaar

18 000  EUR of meer per stuk

Aantal stuks (p/st)

g)

voorwerpen van artistiek belang, zoals:

 

 

 

 

i)

afbeeldingen, schilderijen en tekeningen die geheel met de hand zijn gemaakt, op welke ondergrond en van welke materialen ook (met uitzondering van producten van industriële vormgeving en met de hand versierde fabrieksgoederen);

ex 9701

Ouder dan 200 jaar

18 000  EUR of meer per stuk

Aantal stuks (p/st)

ii)

oorspronkelijke beelden en oorspronkelijk beeldhouwwerk, van welk materiaal ook;

ex 9703

Ouder dan 200 jaar

18 000  EUR of meer per stuk

Aantal stuks (p/st)

iii)

oorspronkelijke gravures, prenten en lithografieën;

ex 9702

Ouder dan 200 jaar

18 000  EUR of meer per stuk

Aantal stuks (p/st)

iv)

oorspronkelijke assemblages en montages van welk materiaal ook;

ex 9701

Ouder dan 200 jaar

18 000  EUR of meer per stuk

Aantal stuks (p/st)

h)

zeldzame manuscripten en wiegendrukken;

ex 9702 ; ex 9706

Ouder dan 200 jaar

18 000  EUR of meer per stuk

Aantal stuks (p/st)

i)

oude boeken, documenten en publicaties van bijzonder belang (historisch, artistiek, wetenschappelijk, letterkundig enz.), afzonderlijk of in verzamelingen.

ex 9705 ; ex 9706

Ouder dan 200 jaar

18 000  EUR of meer per stuk

Aantal stuks (p/st)


(1)  Liturgische iconen en beelden, zelfs als zelfstandige voorwerpen, moeten worden beschouwd als culturele goederen die tot deze categorie behoren.

(2)  Liturgische iconen en beelden, zelfs als zelfstandige voorwerpen, moeten worden beschouwd als culturele goederen die tot deze categorie behoren.


7.6.2019   

NL

Publicatieblad van de Europese Unie

L 151/15


VERORDENING (EU) 2019/881 VAN HET EUROPEES PARLEMENT EN DE RAAD

van 17 april 2019

inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening)

(Voor de EER relevante tekst)

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 114,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité (1),

Gezien het advies van het Comité van de Regio’s (2),

Handelend volgens de gewone wetgevingsprocedure (3),

Overwegende hetgeen volgt:

(1)

Netwerk- en informatiesystemen alsmede elektronischecommunicatienetwerken en -diensten spelen een cruciale rol in de maatschappij en zijn de ruggengraat van de economische groei geworden. Informatie- en communicatietechnologie (ICT) vormt de basis van de complexe systemen die dagelijkse maatschappelijke activiteiten ondersteunen en onze economieën draaiende houden in essentiële sectoren zoals gezondheid, energie, financiën en vervoer, en met name de werking van de interne markt ondersteunen.

(2)

Burgers, organisaties en ondernemingen in de hele Unie maken alom gebruik van netwerk- en informatiesystemen. Digitalisering en connectiviteit zijn cruciale kenmerken aan het worden van steeds meer producten en diensten, en door de opkomst van het internet der dingen (IoT) zal naar verwachting de volgende tien jaar in de hele Unie een uitermate groot aantal verbonden digitale toestellen worden gebruikt. Er worden weliswaar steeds meer toestellen met het internet verbonden, maar bij het ontwerp wordt onvoldoende rekening gehouden met de beveiliging en de weerbaarheid, waardoor de cyberbeveiliging te wensen overlaat. Het beperkte gebruik van certificering leidt er in die context toe dat individuele gebruikers en gebruikers binnen organisaties en ondernemingen te weinig informatie hebben over de cyberbeveiligingskenmerken van ICT-producten, -diensten en -processen, hetgeen schadelijk is voor het vertrouwen in digitale oplossingen. Netwerk- en informatiesystemen zijn in staat om alle aspecten van ons leven te ondersteunen en zij vormen de motor van de economische groei in de Unie. Zij vormen de hoeksteen om de digitale eengemaakte markt tot stand te kunnen brengen.

(3)

De toenemende digitalisering en connectiviteit verhogen cyberbeveiligingsrisico’s, waardoor de maatschappij als geheel kwetsbaarder wordt voor cyberdreigingen en waardoor de gevaren waaraan individuen, waaronder kwetsbare personen zoals kinderen, zijn blootgesteld worden verergerd. Om die risico’s te beperken, moeten alle noodzakelijke maatregelen worden genomen om de cyberbeveiliging in de Unie te versterken, zodat netwerk- en informatiesystemen, communicatienetwerken, digitale producten, diensten en toestellen die worden gebruikt door burgers, organisaties en bedrijven — van kleine en middelgrote ondernemingen in de zin van Aanbeveling 2003/361/EG van de Commissie (4) tot exploitanten van cruciale infrastructuurvoorzieningen — beter beschermd worden tegen cyberdreigingen.

(4)

Door de relevante informatie openbaar te maken, draagt het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa), zoals opgericht bij Verordening (EU) nr. 526/2013 van het Europees Parlement en de Raad (5), bij aan de ontwikkeling van de cyberbeveiligingssector in de Unie, met name kleine en middelgrote ondernemingen en startende bedrijven. Enisa moet streven naar een nauwere samenwerking met universiteiten en onderzoekscentra, om de afhankelijkheid van cyberbeveiligingsproducten en -diensten van buiten de Unie te helpen verminderen en toeleveringsketens binnen de Unie te versterken.

(5)

Cyberaanvallen komen steeds vaker voor, en een verbonden economie en samenleving die kwetsbaarder is voor cyberdreigingen en -aanvallen moet beter worden beschermd. Hoewel cyberaanvallen vaak grensoverschrijdend plaatsvinden, zijn de bevoegdheden en beleidsmaatregelen van cyberbeveiligingsautoriteiten en rechtshandhavingsinstanties voornamelijk nationaal. Grootschalige incidenten kunnen de voorziening van essentiële diensten in de gehele Unie verstoren. Dit vereist een doeltreffend en gecoördineerd antwoord en crisisbeheer op Unieniveau, voortbouwend op specifiek beleid en bredere instrumenten voor Europese solidariteit en wederzijdse bijstand. Voorts zijn een regelmatige beoordeling van de staat van de cyberbeveiliging en -weerbaarheid in de Unie, op basis van betrouwbare Uniegegevens, alsmede systematische prognoses van toekomstige ontwikkelingen, uitdagingen en dreigingen, op Unie- en mondiaal niveau, belangrijk voor de beleidmakers, het bedrijfsleven en de gebruikers.

(6)

Gezien de toegenomen cyberbeveiligingsuitdagingen waarmee de Unie wordt geconfronteerd, moet een uitvoerige reeks maatregelen worden genomen die voortbouwen op eerdere Uniemaatregelen en die moeten bijdragen tot doelstellingen die elkaar wederzijds versterken. Zo moeten de capaciteiten en paraatheid van de lidstaten en het bedrijfsleven verder worden versterkt en moet de samenwerking, het delen van informatie en de coördinatie tussen de lidstaten en de instellingen, organen, en instanties van de Unie worden verbeterd. Gezien de grenzeloze aard van cyberdreigingen moet, in aanvulling op het optreden van de lidstaten, de capaciteiten op Unieniveau worden versterkt, met name in geval van grootschalige grensoverschrijdende incidenten en crises, waarbij het belang van handhaving en verdere versterking van de nationale capaciteiten om te kunnen reageren op cyberdreigingen van elke omvang in aanmerking moet worden genomen.

(7)

Er moeten ook meer inspanningen worden geleverd om de burgers, organisaties en ondernemingen bewuster te maken van cyberbeveiligingsvraagstukken. Aangezien incidenten het vertrouwen in digitaledienstverleners en in de digitale eengemaakte markt zelf ondermijnen, in het bijzonder bij consumenten, moet het vertrouwen in de digitale eengemaakte markt verder worden versterkt door over het beveiligingsniveau van ICT-producten, -diensten en -processen op transparante wijze informatie te verstrekken waarin wordt benadrukt dat zelfs een hoog niveau van cyberbeveiligingscertificering niet kan garanderen dat een ICT-product, -dienst of -proces volkomen beveiligd is. Een toename van het vertrouwen kan worden bevorderd door middel van een Uniebrede certificering die voorziet in gemeenschappelijke cyberbeveiligingsvoorschriften en evaluatiecriteria, ongeacht de nationale markten en sectoren.

(8)

Cyberbeveiliging is niet alleen maar een technologievraagstuk; het menselijk gedrag is even belangrijk. Daarom moet „cyberhygiëne” sterk worden aangemoedigd, namelijk eenvoudige routinemaatregelen die, indien zij regelmatig door burgers, organisaties en bedrijven worden toegepast en uitgevoerd, hun blootstelling aan risico’s van cyberdreigingen tot een minimum beperken.

(9)

Ter versterking van cyberbeveiligingsstructuren in de Unie is het van belang dat de capaciteiten van de lidstaten om uitgebreid te reageren op cyberdreigingen, met inbegrip van grensoverschrijdende incidenten, worden gehandhaafd en ontwikkeld.

(10)

Bedrijven en individuele consumenten moeten beschikken over nauwkeurige informatie met betrekking tot het zekerheidsniveau waarop hun ICT-producten, -diensten en -processen zijn gecertificeerd. Tegelijkertijd is geen enkel ICT-product en geen enkele ICT-dienst volledig cyberbeveiligd en moeten de basisregels van cyberhygiëne worden bevorderd en moeten zij prioriteit krijgen. Gezien de toenemende beschikbaarheid van IoT-apparaten kan de particuliere sector een reeks vrijwillige maatregelen treffen om het vertrouwen in de beveiliging van ICT-producten, -diensten en -processen te vergroten.

(11)

Moderne ICT-producten en -systemen maken vaak gebruik van technologieën en onderdelen die door een of meer derde partijen worden geleverd, zoals softwaremodules, bibliotheekprogramma’s of applicatieprogramma-interfaces, en steunen daarop. Deze omstandigheid, die „afhankelijkheid” wordt genoemd, kan een aanvullend cyberbeveiligingsrisico inhouden, aangezien kwetsbaarheden in onderdelen van derde partijen ook de veiligheid van de ICT-producten, -diensten en -processen kunnen aantasten. In veel gevallen stelt de identificatie en documentatie van dergelijke afhankelijkheden de eindgebruikers van ICT-producten, -diensten en -processen in staat om de cyberbeveiligingsrisico’s beter te beheersen door bijvoorbeeld het beleid en de herstelprocedures van de gebruikers inzake kwetsbaarheden van de cyberbeveiliging te verbeteren.

(12)

Bij het ontwerp en de ontwikkeling van ICT-producten, -diensten en -processen betrokken organisaties, fabrikanten en aanbieders moeten ertoe worden aangespoord om al in de eerste fase van ontwerp en ontwikkeling maatregelen te treffen om ervoor te zorgen dat het beveiligingsniveau van ICT-producten, -diensten en -processen zo hoog mogelijk is, zodat cyberaanvallen zijn ingecalculeerd en de gevolgen daarvan zijn ingeschat en tot een minimum beperkt („beveiliging door ontwerp”). Beveiliging moet tijdens de gehele levensduur van het ICT-product, de ICT-dienst of het ICT-proces worden gewaarborgd door middel van ontwerp- en ontwikkelingsprocessen die constant evolueren om het risico op schade door kwaadwillig gebruik te verminderen.

(13)

Ondernemingen, organisaties en overheidsinstanties dienen de door hen ontworpen ICT-producten, -diensten of -processen zodanig te configureren dat een hoger beveiligingsniveau is gewaarborgd, waarbij de eerste gebruiker de meest beveiligde instelling wordt aangeboden („beveiliging door standaardinstellingen”), waardoor het voor gebruikers minder lastig wordt om een ICT-product, -dienst of -proces geschikt te configureren. De beveiliging door standaardinstellingen moet eenvoudig en betrouwbaar werken zonder dat daarvoor een uitvoerige configuratie, specifiek technisch inzicht of niet voor de hand liggende handelingen van de gebruiker vereist zijn. Als uit een risico- en bruikbaarheidsanalyse per geval blijkt dat een dergelijke standaardinstelling niet haalbaar is, moeten gebruikers ertoe worden aangespoord voor de meest beveiligde instelling te kiezen.

(14)

Bij Verordening (EG) nr. 460/2004 van het Europees Parlement en de Raad (6) is Enisa opgericht teneinde bij te dragen tot een hoog en doeltreffend netwerk- en informatiebeveiligingsniveau in de Unie, en tot de ontwikkeling van een netwerk- en informatiebeveiligingscultuur ten bate van burgers, consumenten, ondernemingen en overheidsdiensten. Bij Verordening (EG) nr. 1007/2008 van het Europees Parlement en de Raad (7) is het mandaat van Enisa tot en met maart 2012 verlengd. Bij Verordening (EU) nr. 580/2011 van het Europees Parlement en de Raad (8) is het mandaat van Enisa nog eens verlengd tot en met 13 september 2013. Bij Verordening (EU) nr. 526/2013 is het mandaat van Enisa tot en met 19 juni 2020 verlengd.

(15)

De Unie heeft reeds belangrijke maatregelen genomen om voor cyberbeveiliging te zorgen en om het vertrouwen in digitale technologieën te vergroten. In 2013 werd de strategie inzake cyberbeveiliging van de Europese Unie goedgekeurd als leidraad voor de beleidsreactie van de Unie op cyberdreigingen en -risico’s. Om de burgers online beter te beschermen, werd in 2016 de eerste rechtshandeling van de Unie inzake cyberbeveiliging in de vorm van Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad (9) vastgesteld. Bij Richtlijn (EU) 2016/1148 werden eisen vastgesteld betreffende nationale capaciteiten inzake cyberbeveiliging, werden de eerste mechanismen opgezet om de strategische en operationele samenwerking tussen de lidstaten te versterken, en werden verplichtingen ingevoerd met betrekking tot beveiligingsmaatregelen en melding van incidenten in alle sectoren die van vitaal belang zijn voor de economie en de samenleving, zoals energie, vervoer, levering en distributie van drinkwater, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, digitale infrastructuur en belangrijke digitaledienstverleners (zoekmachines, cloudcomputingdiensten en onlinemarktplaatsen).

Aan Enisa werd een sleutelrol toebedeeld bij het ondersteunen van de uitvoering van die richtlijn. Daarnaast is de doeltreffende bestrijding van cybercriminaliteit een belangrijke prioriteit in de Europese veiligheidsagenda, die bijdraagt tot de algemene doelstelling om een hoog cyberbeveiligingsniveau tot stand te brengen. Andere rechtshandelingen zoals Verordening (EU) 2016/679 van het Europees Parlement en de Raad (10) en de Richtlijnen 2002/58/EG (11) en (EU) 2018/1972 (12) van het Europees Parlement en de Raad, dragen eveneens bij tot een hoog cyberbeveiligingsniveau in de digitale eengemaakte markt.

(16)

Sinds de strategie inzake cyberbeveiliging van de Europese Unie in 2013 werd vastgesteld en het mandaat van Enisa de laatste keer werd herzien, is de algehele beleidscontext aanzienlijk veranderd doordat de mondiale omgeving onzekerder en onveiliger is geworden. Tegen die achtergrond en in het licht van de positieve ontwikkeling van de rol die Enisa speelt als referentiepunt voor advies en expertise, als bemiddelaar van samenwerking en capaciteitsopbouw, evenals binnen het kader van het nieuwe cyberbeveiligingsbeleid van de Unie, moet het mandaat van Enisa worden herzien teneinde de rol van Enisa in de veranderde cyberbeveiligingsomgeving te bepalen en te waarborgen dat het op doeltreffende wijze bijdraagt tot de respons van de Unie op cyberbeveiligingsuitdagingen die voortvloeien uit het radicaal gewijzigde cyberdreigingslandschap, waarvoor, zoals gedurende de evaluatie van Enisa is gebleken, het huidige mandaat niet toereikend is.

(17)

Enisa, zoals bij deze verordening opgericht, moet Enisa, zoals opgericht bij Verordening (EG) nr. 526/2013, opvolgen. Enisa moet de taken uitvoeren die hem bij deze verordening en rechtshandelingen van de Unie op het gebied van cyberbeveiliging aan worden toegewezen, onder meer door advies en expertise te verstrekken en te fungeren als informatie- en kenniscentrum van de Unie. Enisa moet de uitwisseling van beste praktijken tussen de lidstaten en particuliere belanghebbenden bevorderen, beleidsaanbevelingen doen aan de Commissie en de lidstaten, fungeren als referentiepunt voor sectorale beleidsinitiatieven van de Unie inzake cyberbeveiligingsvraagstukken, en de operationele samenwerking tussen de lidstaten onderling en tussen de lidstaten en instellingen, organen en instanties van de Unie bevorderen.

(18)

Binnen het kader van Besluit 2004/97/EG, Euratom, in onderlinge overeenstemming genomen door de vertegenwoordigers van de lidstaten, op het niveau van de staatshoofden en regeringsleiders bijeen (13), hebben de vertegenwoordigers van de lidstaten besloten dat Enisa zou worden gevestigd in een door de Griekse regering aan te wijzen stad in Griekenland. De lidstaat van vestiging moet zorgen voor zo gunstig mogelijke voorwaarden voor de soepele en efficiënte werking van Enisa. Met het oog op de goede en efficiënte uitvoering van zijn taken, het werven en behouden van zijn personeel en efficiëntere netwerkactiviteiten is het noodzakelijk dat Enisa op een geschikte locatie wordt gehuisvest, waar onder meer goede vervoersverbindingen en geschikte faciliteiten voorhanden zijn voor echtgenoten en kinderen die meereizen met de leden van het personeel van Enisa. De noodzakelijke bepalingen moeten worden vastgelegd in een overeenkomst tussen Enisa en de lidstaat van vestiging, die wordt gesloten nadat de raad van bestuur van Enisa daarmee heeft ingestemd.

(19)

Gezien de toenemende cyberbeveiligingsrisico’s en -uitdagingen waarmee de Unie wordt geconfronteerd, moeten de financiële en personele middelen die aan Enisa worden toegewezen, worden uitgebreid om recht te doen aan zijn versterkte rol en taken en zijn cruciale positie in het ecosysteem van organisaties die het digitale ecosysteem van de Unie verdedigen, zodat Enisa de bij deze verordening toegekende taken op doeltreffende wijze kan uitvoeren.

(20)

Enisa moet een hoog expertiseniveau ontwikkelen en handhaven, en fungeren als een referentiepunt dat op grond van zijn onafhankelijkheid, de kwaliteit van zijn advies en informatie, de transparantie van zijn procedures en werkmethoden, en de toewijding bij de uitvoering van zijn taken vertrouwen in de eengemaakte markt schept. Enisa moet nationale inspanningen actief ondersteunen en proactief bijdragen aan inspanningen van de Unie en daarbij zijn taken uitvoeren in volledige samenwerking met de instellingen, organen en instanties van de Unie en de lidstaten, en daarbij dubbel werk vermijden en synergie bevorderen. Daarnaast moet Enisa voortbouwen op de input van en de samenwerking met de particuliere sector en andere relevante belanghebbenden. In een reeks taken moet worden vastgesteld hoe Enisa zijn doelstellingen moet verwezenlijken en toch flexibel kan functioneren.

(21)

Om gepaste ondersteuning aan de operationele samenwerking van de lidstaten te kunnen bieden, moet Enisa zijn technische en menselijke capaciteiten en vaardigheden verder versterken. Enisa moet zijn kennis en capaciteit uitbreiden. Enisa en de lidstaten zouden op vrijwillige basis programma’s kunnen ontwikkelen om nationale deskundigen bij het Enisa te detacheren en aldus een groep deskundigen kunnen samenbrengen en personeel kunnen uitwisselen.

(22)

Enisa moet de Commissie bijstaan met advies, standpunten en analyses over alle aangelegenheden van de Unie in verband met de ontwikkeling, actualisering en herziening van beleid en wetgeving op het gebied van cyberbeveiliging en de sectorspecifieke aspecten daarvan teneinde de relevantie van Uniebeleid en -wetgeving met een cyberbeveiligingsdimensie te vergroten en te zorgen voor een consistente uitvoering van dat beleid en die wetgeving op nationaal niveau. Enisa moet als referentiepunt voor advies en expertise fungeren ten behoeve van sectorspecifieke beleids- en wetgevingsinitiatieven van de Unie waarbij cyberbeveiligingsvraagstukken zijn betrokken. Enisa moet het Europees Parlement regelmatig van zijn werkzaamheden op de hoogte brengen.

(23)

De openbare kern van het open internet, namelijk de belangrijkste protocollen en infrastructuur, die een mondiaal publiek goed zijn, vormen de essentiële functionaliteit van het internet als geheel en ondersteunen de normale werking ervan. Enisa dient de beveiliging van de openbare kern van het open internet en de stabiliteit van zijn werking te ondersteunen, met inbegrip van, maar niet beperkt tot, cruciale protocollen (met name DNS, BGP en IPv6), de werking van het domeinnaamsysteem (waaronder de werking van alle topniveaudomeinen) en de werking van de „root zone”.

(24)

De onderliggende taak van Enisa bestaat uit de bevordering van de consistente uitvoering van het desbetreffende juridische kader, en met name de doeltreffende uitvoering van Richtlijn (EU) 2016/1148 en andere relevante rechtsinstrumenten met cyberbeveiligingsaspecten, hetgeen van essentieel belang is om de cyberweerbaarheid te versterken. Gezien het snel veranderende cyberdreigingslandschap is het duidelijk dat de lidstaten moeten worden ondersteund met een meer omvattende, beleidsoverschrijdende aanpak voor de opbouw van cyberweerbaarheid.

(25)

Enisa moet de lidstaten en de instellingen, organen en instanties van de Unie bijstaan bij hun inspanningen om capaciteiten en paraatheid te ontwikkelen en te vergroten om cyberdreigingen en -incidenten in verband met de beveiliging van netwerk- en informatiesystemen te voorkomen, op te sporen en aan te pakken. Enisa moet met name steun verlenen bij de ontwikkeling en versterking van bij Richtlijn (EU) 2016/1148 voorziene nationale computer security incident response teams („CSIRT’s”) en CSIRT’s van de Unie, met het oog op een hoog gemeenschappelijk niveau aan volwassenheid in de Unie. De activiteiten van Enisa in verband met de operationele capaciteiten van de lidstaten moeten actief ondersteuning bieden aan de maatregelen die de lidstaten zelf nemen om hun verplichtingen op grond van Richtlijn (EU) 2016/1148 na te komen en mogen derhalve daarvoor niet in de plaats komen.

(26)

Enisa moet ook helpen bij de ontwikkeling en actualisering van strategieën op Unieniveau en, op verzoek, op het niveau van de lidstaten, voor de beveiliging van netwerk- en informatiesystemen, en met name inzake cyberbeveiliging, en het dient de verspreiding van dergelijke strategieën te bevorderen en de voortgang van hun uitvoering te volgen. Enisa moet ook meehelpen te voorzien in de behoefte aan opleidingen en opleidingsmateriaal, ook ten aanzien van overheidsinstanties, en dient waar passend voor een groot deel de „opleiding voor opleiders” voor zijn rekening te nemen, voortbouwend op het digitalecompetentiekader voor burgers, teneinde de lidstaten en instellingen, organen en instanties van de Unie bij de ontwikkeling van hun eigen opleidingscapaciteit bij te staan.

(27)

Enisa moet de lidstaten ondersteunen bij de bewustmaking en voorlichting inzake cyberbeveiliging, door de lidstaten onderling nauwer te helpen samenwerken en beste praktijken te helpen uitwisselen. Zulke steun zou kunnen bestaan uit de ontwikkeling van een netwerk van nationale voorlichtingscontactpunten en de ontwikkeling van een opleidingsplatform voor cyberbeveiliging. Het netwerk van nationale voorlichtingscontactpunten zou binnen het netwerk van nationale verbindingsfunctionarissen kunnen fungeren en zou binnen de lidstaten een startpunt kunnen vormen voor toekomstige coördinatie.

(28)

Enisa moet de op grond van de bij Richtlijn (EU) 2016/1148 opgerichte samenwerkingsgroep helpen bij de uitvoering van zijn taken, in het bijzonder door expertise en advies te verstrekken en de uitwisseling van beste praktijken te bevorderen, met name wat betreft de identificatie van aanbieders van essentiële diensten door de lidstaten, alsmede met betrekking tot grensoverschrijdende afhankelijkheid, inzake risico’s en incidenten.

(29)

Ter bevordering van de samenwerking tussen de overheidssector en de particuliere sector enerzijds, en binnen de particuliere sector anderzijds, in het bijzonder ter ondersteuning van de bescherming van cruciale infrastructuur, moet Enisa het delen van informatie binnen en tussen sectoren, en met name de in bijlage II bij Richtlijn (EU) 2016/1148 vermelde sectoren, ondersteunen door te voorzien in beste praktijken en richtsnoeren over beschikbare instrumenten en over procedures, en richtsnoeren over de manier waarop problemen op regelgevingsgebied in verband met het delen van informatie kunnen worden opgelost, bijvoorbeeld door de oprichting van sectorale centra voor informatie-uitwisseling en -analyse te faciliteren.

(30)

Doordat de mogelijke negatieve gevolgen van kwetsbaarheden in ICT-producten, -diensten en -processen constant toenemen, is het achterhalen en verhelpen van die kwetsbaarheden van groot belang om het algehele cyberbeveiligingsrisico te verkleinen. Gebleken is dat de samenwerking tussen enerzijds organisaties, fabrikanten of aanbieders van kwetsbare ICT-producten, -diensten en -processen, en anderzijds de leden van de onderzoeksgemeenschap op cyberbeveiligingsgebied en overheden die kwetsbaarheden aantreffen, een aanzienlijke stijging oplevert van het aantal kwetsbaarheden dat in ICT-producten, -diensten en -processen wordt ontdekt en verholpen. De gecoördineerde openbaarmaking van kwetsbaarheden behelst een gestructureerde samenwerkingsprocedure waarin kwetsbaarheden aan de eigenaar van het informatiesysteem worden gemeld, zodat de organisatie de kans krijgt een diagnose te stellen en de kwetsbaarheden te verhelpen voordat gedetailleerde informatie over de kwetsbaarheden aan derden of het publiek wordt vrijgegeven. In het kader van die procedure worden tussen de vinder en de organisatie ook afspraken gemaakt over het bekendmaken van die kwetsbaarheden. Gecoördineerd openbaarmakingsbeleid inzake kwetsbaarheden kan een belangrijk onderdeel vormen van de inspanningen die de lidstaten ter versterking van cyberbeveiliging leveren.

(31)

Enisa moet vrijwillig gedeelde nationale verslagen van de CSIRT’s en het interinstitutionele computercrisisteam voor de instellingen, organen en instanties van de Unie dat is opgericht bij de overeenkomst tussen het Europees Parlement, de Europese Raad, de Raad van de Europese Unie, de Europese Commissie, het Hof van Justitie van de Europese Unie, de Europese Centrale Bank, de Europese Rekenkamer, de Europese Dienst voor extern optreden, het Europees Economisch en Sociaal Comité, het Europees Comité van de Regio’s en de Europese Investeringsbank betreffende de organisatie en het functioneren van een computercrisisteam voor de instellingen, organen en instanties van de Unie (CERT-EU) (14) verzamelen en analyseren om bij te dragen tot de instelling van gemeenschappelijke procedures, taal en terminologie voor de uitwisseling van informatie. Enisa moet daarbij de particuliere sector betrekken, binnen het kader van Richtlijn 2016/1148 die de grondslag legt voor de vrijwillige uitwisseling van technische informatie op operationeel niveau binnen het CSIRT-netwerk.

(32)

Enisa moet een bijdrage leveren aan een reactie op Unieniveau in het geval van grootschalige grensoverschrijdende incidenten en -crises in verband met cyberbeveiliging. Enisa moet die taak overeenkomstig zijn mandaat krachtens deze verordening uitvoeren, met een aanpak die de lidstaten overeen dienen te komen in het kader van Aanbeveling (EU) 2017/1584 van de Commissie (15) en de conclusies van de Raad van 26 juni 2018 over een gecoördineerde EU-respons op grootschalige cyberincidenten en -crises. Tot die taak behoren mogelijk het vergaren van relevante informatie en het optreden als bemiddelaar tussen het CSIRT-netwerk enerzijds en de technische gemeenschap en de beleidsmakers die belast zijn met crisisbeheer anderzijds. Daarnaast dient Enisa, op verzoek van een of meer lidstaten, de operationele samenwerking tussen de lidstaten bij de behandeling van incidenten vanuit een technisch oogpunt te ondersteunen door de uitwisseling van relevante technische oplossingen tussen de lidstaten te vergemakkelijken en input te leveren voor mededelingen aan het publiek. Enisa moet operationele samenwerking ondersteunen door de regelingen voor dergelijke samenwerking door middel van regelmatige cyberbeveiligingsoefeningen te testen.

(33)

Bij de ondersteuning van de operationele samenwerking moet Enisa door middel van gestructureerde samenwerking de beschikbare technische en operationele expertise van CERT-EU gebruiken. Dergelijke gestructureerde samenwerking kan voortbouwen op de expertise van Enisa. Indien passend moeten specifieke regelingen tussen de twee entiteiten worden vastgesteld teneinde de praktische uitvoering van dergelijke samenwerking te bepalen en dubbel werk te vermijden.

(34)

Bij de uitvoering van zijn taak ter ondersteuning van operationele samenwerking binnen het CSIRT-netwerk moet Enisa in staat zijn ondersteuning te bieden aan de lidstaten indien zij daarom verzoeken, bijvoorbeeld door advies te geven omtrent het vergroten van hun capaciteiten om incidenten te voorkomen, op te sporen en aan te pakken, door de technische afhandeling van incidenten met aanzienlijke of substantiële gevolgen te vergemakkelijken of door te zorgen voor analyses van cyberdreigingen en -incidenten. Enisa dient de technische afhandeling te vergemakkelijken van incidenten met aanzienlijke of substantiële gevolgen, in het bijzonder door het vrijwillig delen van technische oplossingen tussen lidstaten te ondersteunen of gecombineerde technische informatie op te stellen, waaronder door de lidstaten vrijwillig gedeelde technische oplossingen. In Aanbeveling (EU) 2017/1584 wordt aanbevolen dat de lidstaten te goeder trouw samenwerken en zowel onderling als met Enisa onverwijld informatie delen over grootschalige cyberincidenten en -crises. Die informatie moet Enisa verder helpen bij de uitoefening van zijn taak om operationele samenwerking te ondersteunen.

(35)

Als onderdeel van de regelmatige samenwerking op technisch niveau ter ondersteuning van het situatiebewustzijn van de Unie, moet Enisa regelmatig en in nauwe samenwerking met de lidstaten grondige een technisch situatieverslag inzake Uniecyberbeveiliging (EU Cybersecurity Technical Situation Report) over incidenten en cyberdreigingen opstellen, op basis van openbaar beschikbare informatie en eigen analyses en verslagen die het ontvangt van de CSIRT’s van de lidstaten of de bij Richtlijn (EU) 2016/1148 opgerichte nationale centrale contactpunten inzake de beveiliging van netwerk- en informatiesystemen („centrale contactpunten”), beide op vrijwillige basis, het Europees Centrum voor de bestrijding van cybercriminaliteit (EC3) van Europol, CERT-EU, en, voor zover passend, het Inlichtingen- en situatiecentrum van de Europese Unie (EU-INTCEN) van de Europese Dienst voor extern optreden. Dat verslag moet ter beschikking worden gesteld van de Raad, de Commissie, de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid, en het CSIRT-netwerk.

(36)

De steun die Enisa op verzoek van de betrokken lidstaten verleent aan technische onderzoeken achteraf van incidenten met aanzienlijke of substantiële gevolgen dient te zijn gericht op de preventie van toekomstige incidenten. De betrokken lidstaten moeten de nodige informatie en bijstand verstrekken opdat Enisa het technisch onderzoek achteraf doeltreffend kan steunen.

(37)

De lidstaten kunnen de bij het incident betrokken ondernemingen verzoeken medewerking te verlenen door Enisa de nodige informatie en bijstand te geven, zonder afbreuk te doen aan hun recht om commercieel gevoelige informatie en informatie die relevant is voor de openbare veiligheid te beschermen.

(38)

Om de cyberbeveiligingsuitdagingen beter te begrijpen en de lidstaten en de instellingen, organen en instanties van de Unie strategisch van langetermijnadvies te voorzien, moet Enisa bestaande en opkomende cyberbeveiligingsrisico’s analyseren. Daartoe moet Enisa, in samenwerking met de lidstaten en, wanneer passend, met bureaus voor de statistiek en andere entiteiten, relevante voor iedereen beschikbare of vrijwillig gedeelde informatie verzamelen, opkomende technologieën analyseren en themaspecifieke beoordelingen verstrekken over de verwachte maatschappelijke, juridische, economische en regelgevende gevolgen van technologische innovaties op het vlak van netwerk- en informatiebeveiliging, en met name op het vlak van cyberbeveiliging. Ook moet Enisa de lidstaten en de instellingen, organen en instanties van de Unie door de analyse van cyberdreigingen, -kwetsbaarheden en -incidenten ondersteunen bij het in kaart brengen van nieuwe cyberbeveiligingsrisico’s en het voorkomen van incidenten.

(39)

Om de weerbaarheid van de Unie te versterken, moet Enisa expertise ontwikkelen op het gebied van de cyberbeveiliging van infrastructuren, in het bijzonder ter ondersteuning van de in bijlage II bij Richtlijn (EU) 2016/1148 vermelde sectoren en de infrastructuren die worden gebruikt door de in bijlage III bij die richtlijn vermelde digitaledienstverleners, door advies, richtsnoeren en beste praktijken te verstrekken. Met het oog op het waarborgen van gemakkelijkere toegang tot beter gestructureerde informatie over cyberbeveiligingsrisico’s en mogelijke oplossingen, moet Enisa zorgen voor de ontwikkeling en instandhouding van het „informatiecentrum” van de Unie, één centraal portaal dat het publiek voorziet van informatie over cyberbeveiliging die afkomstig is van de instellingen, organen en instanties van de Unie en de lidstaten. Het vergemakkelijken van de toegang tot beter gestructureerde informatie over cyberbeveiligingsrisico’s en mogelijke oplossingen kan de lidstaten ook helpen hun capaciteiten te versterken en hun praktijken op elkaar af te stemmen, en zo de een algehele weerbaarheid ten aanzien van cyberaanvallen verhogen.

(40)

Enisa moet ertoe bijdragen het publiek bewuster te maken van cyberbeveiligingsrisico’s, onder meer door een Uniebrede bewustmakingscampagne, door voorlichting te bevorderen, en richtsnoeren te verstrekken inzake goede praktijken voor individuele gebruikers, gericht op burgers, organisaties en bedrijven. Verder moet Enisa bijdragen tot de bevordering van beste praktijken en oplossingen, onder meer inzake cyberhygiëne en cybergeletterdheid, op het niveau van burgers, organisaties en bedrijven, door publiek beschikbare informatie over significante incidenten te verzamelen en analyseren, en door verslagen en richtsnoeren op te stellen en te publiceren voor burgers, organisaties en bedrijven om het algemene paraatheids- en weerbaarheidsniveau te verhogen. Enisa moet er tevens naar streven consumenten van relevante informatie over toepasselijke certificeringsregelingen te voorzien, bijvoorbeeld door richtsnoeren en aanbevelingen te verstrekken. Enisa moet daarnaast regelmatig, overeenkomstig het bij de mededeling van de Commissie van 17 januari 2018 vastgestelde actieplan voor digitaal onderwijs is vastgesteld en in samenwerking met de lidstaten en de instellingen, organen en instanties van de Unie, aan de eindgebruikers gerichte voorlichtingscampagnes opzetten om een veiliger individueel online-gedrag en digitale geletterdheid te bevorderen, het publiek bewuster te maken van potentiële cyberdreigingen, waaronder criminele onlineactiviteiten zoals phishing-aanvallen, botnets, financiële en bankfraude, gegevensfraude-incidenten, en door advies te geven over meervoudige authentificatie, patching, encryptie, anonimisering en gegevensbescherming.

(41)

Enisa moet een centrale rol spelen bij de snellere bewustwording van de eindgebruikers over de beveiliging van toestellen en het veilig gebruik van diensten, en moet beveiliging door ontwerp en gegevensbescherming door ontwerp op Unieniveau bevorderen. Om dat doel na te streven moet Enisa zo veel mogelijk gebruikmaken van de beschikbare beste praktijken en ervaring, in het bijzonder van wetenschappelijke instellingen en onderzoekers op het gebied van IT-beveiliging.

(42)

Om bedrijven die actief zijn in de cyberbeveiligingssector en de gebruikers van cyberbeveiligingsoplossingen te ondersteunen, moet Enisa een „marktwaarnemingspost” opzetten en onderhouden door regelmatig analyses uit te voeren en informatie te verspreiden over de voornaamste tendensen op de cyberbeveiligingsmarkt, zowel aan de vraag- als aan de aanbodzijde.

(43)

Enisa moet de Unie steunen bij haar inspanningen om samen te werken met internationale organisaties, evenals binnen relevante internationale samenwerkingsverbanden op het gebied van cyberbeveiliging. Enisa moet, waar passend, bijdragen aan de samenwerking met organisaties zoals de OESO, de OVSE en de NAVO. Die samenwerking kan bestaan uit gezamenlijke cyberbeveiligingsoefeningen en een gezamenlijke gecoördineerde antwoord op incidenten. Die werkzaamheden moeten worden verricht met volledige inachtneming van de beginselen inclusiviteit, wederkerigheid en besluitvormingsautonomie van de Unie, zonder afbreuk te doen aan het specifieke karakter van het veiligheids- en defensiebeleid van enige lidstaat.

(44)

Teneinde te waarborgen dat Enisa zijn doelstellingen volledig verwezenlijkt, moet het overleggen met de betrokken toezichthoudende autoriteiten van de Unie en met andere bevoegde autoriteiten in de Unie, de instellingen, organen en instanties van de Unie, met inbegrip van CERT-EU, EC3, het Europees Defensieagentschap (EDA), het Agentschap van het Europese wereldwijde satellietnavigatiesysteem (Europees GNSS-agentschap), het Orgaan van Europese regelgevende instanties voor elektronische communicatie (Berec), het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA), de Europese Centrale Bank (ECB), de Europese Bankautoriteit (EBA), het Europees Comité voor gegevensbescherming, het Agentschap voor de samenwerking tussen energieregulators (ACER), het Agentschap van de Europese Unie voor de veiligheid van de luchtvaart (EASA) en alle andere agentschappen van de Unie die bij cyberbeveiliging betrokken zijn. Enisa moet overleggen met autoriteiten die zich bezighouden met gegevensbescherming teneinde kennis en beste praktijken uit te wisselen en advies te geven over cyberbeveiligingsaspecten die gevolgen kunnen hebben voor hun werkzaamheden. De vertegenwoordigers van de rechtshandhavings- en gegevensbeschermingsautoriteiten van de lidstaten en de Unie moeten recht hebben op vertegenwoordiging in de Enisa-adviesgroep. Wanneer Enisa contact opneemt met rechtshandhavingsautoriteiten betreffende netwerk- en informatiebeveiligingsaspecten die van invloed kunnen zijn op hun werkzaamheden, moet Enisa de bestaande informatiekanalen en gevestigde netwerken respecteren.

(45)

Er kunnen partnerschappen worden gesloten met wetenschappelijke instellingen die onderzoek verrichten op de betreffende gebieden, en er moeten geëigende kanalen zijn voor de input van consumentenorganisaties en andere organisaties, dat in ogenschouw moet worden genomen.

(46)

Enisa moet in zijn rol van het secretariaat van het CSIRT-netwerk de CSIRT’s van de lidstaten en CERT-EU ondersteunen wat betreft de operationele samenwerking in verband met alle in Richtlijn (EU) 2016/1148 bedoelde relevante taken van het CSIRT-netwerk. In het geval van incidenten, aanvallen of storingen van netwerken of infrastructuurvoorzieningen die door de CSIRT’s worden beheerd of beveiligd en waarbij ten minste twee CSIRT’s betrokken zijn of kunnen zijn, moet Enisa tevens de samenwerking tussen de betrokken CSIRT’s bevorderen, daarbij terdege rekening houdend met de standaardwerkwijzen van het CSIRT-netwerk.

(47)

Om de paraatheid van de Unie wat betreft de reactie op incidenten te verhogen, moet Enisa regelmatig cyberbeveiligingsoefeningen op Unieniveau organiseren, en de lidstaten alsmede de instellingen, organen en instanties van de Unie op hun verzoek ondersteunen bij het organiseren van dergelijke oefeningen. Om de twee jaar moet grootschalige oefeningen worden georganiseerd, waarbij technische, operationele of strategische aspecten zijn betrokken. Daarnaast kan Enisa regelmatig minder grootschalige oefeningen met hetzelfde doel houden, om de paraatheid van de Unie wat betreft de reactie op incidenten verhogen.

(48)

Verder moet Enisa expertise op het gebied van cyberbeveiligingscertificering ontwikkelen en in stand houden met het oog op de ondersteuning van het Uniebeleid op dat gebied. Enisa moet voortbouwen op bestaande beste praktijken en het gebruik van cyberbeveiligingscertificering binnen de Unie bevorderen, onder meer door bij te dragen aan de totstandbrenging en instandhouding van een kader voor cyberbeveiligingscertificering op Unieniveau (Europees kader voor cyberbeveiligingscertificering), om de transparantie van de cyberbeveiligingszekerheid van ICT-producten, diensten en -processen, en daarmee het vertrouwen in en het concurrentievermogen van de digitale interne markt, te vergroten.

(49)

Efficiënte beleidsmaatregelen inzake cyberbeveiliging moeten zijn gebaseerd op goed ontwikkelde methoden voor risicoanalyse, zowel in de overheidssector als in de particuliere sector. Methoden voor risicoanalyse worden op verschillende niveaus ingezet zonder dat er een gemeenschappelijke praktijk bestaat over de manier waarop deze efficiënt kunnen worden toegepast. Door beste praktijken voor risicoanalyse en voor interoperabele oplossingen voor risicobeheersing binnen overheids- en particuliere organisaties te promoten en te ontwikkelen, zal het cyberbeveiligingsniveau in de Unie worden verbeterd. Daartoe moet Enisa de samenwerking tussen belanghebbenden op Unieniveau bevorderen en hun inspanningen met betrekking tot de vaststelling en het gebruik van Europese en internationale normen voor risicobeheer en meetbare beveiliging van elektronische producten, systemen, netwerken en diensten die, samen met software, de netwerk- en informatiesystemen vormen.

(50)

Enisa moet de lidstaten, fabrikanten en aanbieders van ICT-producten, -diensten, of -processen ertoe aansporen hun algemene veiligheidsnormen op te voeren, zodat alle internetgebruikers de nodige stappen kunnen ondernemen om voor hun eigen cyberbeveiliging te zorgen en daartoe worden aangezet. Wanneer ICT-producten, -diensten of -processen niet aan cyberbeveiligingsnormen voldoen, moeten fabrikanten en aanbieders van ICT-producten, -diensten, of -processen alle nodige updates leveren en deze terugnemen, intrekken of recyclen, waarbij importeurs en distributeurs ervoor moeten zorgen dat de ICT-producten, -diensten en -processen die zij in de Unie in de handel brengen, aan de toepasselijke voorschriften voldoen en geen risico vormen voor consumenten in de Unie.

(51)

In samenwerking met de bevoegde autoriteiten dient Enisa informatie te kunnen verspreiden over het cyberbeveiligingsniveau van de ICT-producten, diensten en -processen die op de interne markt worden aangeboden, en dient het fabrikanten of aanbieders van ICT-producten, -diensten, of -processen waarschuwen en hen verplichten de beveiliging van hun ICT-producten, diensten en -processen, waaronder de cyberbeveiliging, te verbeteren.

(52)

Enisa moet volledig rekening houden met de lopende activiteiten op het gebied van onderzoek, ontwikkeling en technologiebeoordeling, en in het bijzonder de activiteiten van de verschillende onderzoeksinitiatieven van de Unie om de instellingen, organen en instanties van de Unie en in voorkomend geval de lidstaten, op hun verzoek, te adviseren over onderzoeksbehoeften op het gebied van cyberbeveiliging. Om te de onderzoeksbehoeften en -prioriteiten te bepalen, moet Enisa ook de relevante gebruikersgroepen raadplegen. Meer specifiek, zou samenwerking met de Europese Onderzoeksraad, het Europees Instituut voor innovatie en technologie, het Instituut voor veiligheidsstudies van de Europese Unie tot stand kunnen worden gebracht.

(53)

Enisa moet regelmatig normalisatieorganisaties raadplegen, met name Europese normalisatieorganisaties, wanneer het de Europese regelingen voor cyberbeveiligingscertificering opstelt.

(54)

Cyberdreigingen zijn een wereldwijd probleem. Er is dan ook behoefte aan nauwere internationale samenwerking om de cyberbeveiligingsnormen, met inbegrip van de omschrijving van gemeenschappelijke gedragsnormen, de vaststelling van gedragscodes, het gebruik van internationale normen en het delen van informatie, te verbeteren om snellere internationale samenwerking bij en een gemeenschappelijke wereldwijde aanpak van problemen op het gebied van netwerk- en informatiebeveiliging te bevorderen. Daartoe moet Enisa een verdergaande betrokkenheid van de Unie bij en samenwerking met derde landen en internationale organisaties ondersteunen door, voor zover van toepassing, de betrokken instellingen, organen en instanties van de Unie van de noodzakelijke expertise en analyses te voorzien.

(55)

Enisa moet kunnen reageren op ad-hocverzoeken om advies en bijstand van de lidstaten en de instellingen, organen en instanties van de Unie over aangelegenheden die binnen het mandaat van Enisa vallen.

(56)

Het is zinvol en aan te bevelen met betrekking tot het bestuur van Enisa bepaalde beginselen toe te passen uit de gezamenlijke verklaring en gemeenschappelijke aanpak die in juli 2012 door de interinstitutionele werkgroep voor gedecentraliseerde EU-agentschappen zijn overeengekomen en die tot doel hebben de activiteiten van gedecentraliseerde agentschappen te stroomlijnen en hun prestaties te verbeteren. Ook de aanbevelingen in de gezamenlijke verklaring en de gemeenschappelijke aanpak moeten, waar passend, in de werkprogramma’s, evaluaties, verslaglegging en administratieve werkwijzen van Enisa tot uiting komen.

(57)

De raad van bestuur, die is samengesteld uit vertegenwoordigers van de lidstaten en de Commissie, moet de algemene richting van de werkzaamheden van Enisa vaststellen en ervoor zorgen dat het Agentschap zijn taken overeenkomstig deze verordening uitvoert. De raad van bestuur dient de noodzakelijke bevoegdheden toegewezen te krijgen voor de vaststelling van de begroting, de controle op de uitvoering ervan, de vaststelling van passende financiële regels, de opstelling van transparante werkprocedures voor besluitvorming door Enisa, de goedkeuring van het enig programmeringsdocument van Enisa, de vaststelling van zijn eigen reglement van orde, de benoeming van de uitvoerend directeur en de besluitvorming over de verlenging en beëindiging van de ambtstermijn van de uitvoerend directeur.

(58)

Met het oog op van de goede en doeltreffende werking van Enisa moeten de Commissie en de lidstaten erop toezien dat personen die worden benoemd tot de raad van bestuur over passende professionele expertise en ervaring beschikken. De Commissie en de lidstaten dienen zich tevens in te spannen om het verloop onder hun respectieve vertegenwoordigers in de raad van bestuur te beperken met het oog op de continuïteit in de werkzaamheden.

(59)

Voor het goed functioneren van Enisa is het noodzakelijk dat de uitvoerend directeur wordt benoemd op grond van zowel verdiensten en aantoonbare administratieve en leidinggevende vaardigheden, als bekwaamheid en ervaring die relevant is voor cyberbeveiliging. De uitvoerend directeur dient zijn taken op volledig onafhankelijke wijze uit te voeren. De uitvoerend directeur moet een voorstel voor het jaarlijks werkprogramma van Enisa voorbereiden, na voorafgaand overleg met de Commissie, en alle nodige stappen ondernemen om te zorgen voor de goede uitvoering van dat werkprogramma. Hij moet een jaarverslag opstellen over onder andere de uitvoering van het jaarlijkse werkprogramma van Enisa, dat moet worden voorgelegd aan de raad van bestuur, een ontwerpverklaring van de geraamde inkomsten en uitgaven van Enisa opstellen en de begroting uitvoeren. De uitvoerend directeur moet voorts over de mogelijkheid beschikken om ad-hocwerkgroepen op te richten voor specifieke aangelegenheden, met name van wetenschappelijke, technische, juridische of sociaaleconomische aard. Met name voor het opstellen van een specifieke potentiële Europese regeling voor cyberbeveiligingscertificering (potentiële regeling) wordt het nodig geacht een ad-hocwerkgroep in te stellen. De uitvoerend directeur moet erop toezien dat de leden van de ad-hocwerkgroepen overeenkomstig de hoogste normen inzake expertise worden geselecteerd, waarbij gestreefd wordt naar een evenwicht tussen mannen en vrouwen en, afhankelijk van de specifieke aangelegenheid, een passend evenwicht tussen de overheidsinstanties van de lidstaten, de instellingen, organen en instanties van de Unie, de particuliere sector, waaronder het bedrijfsleven, de gebruikers en wetenschappelijke deskundigen op het gebied van netwerk- en informatiebeveiliging.

(60)

Het dagelijks bestuur moet bijdragen tot het doeltreffend functioneren van de raad van bestuur. In het kader van de voorbereidende werkzaamheden met betrekking tot besluiten van de raad van bestuur, moet het dagelijks bestuur relevante informatie nauwkeurig onderzoeken, de beschikbare opties verkennen alsmede advies en oplossingen bieden ter voorbereiding van de besluiten van de raad van bestuur.

(61)

Enisa moet beschikken over een Enisa-adviesgroep als adviserend orgaan teneinde regelmatig overleg met de particuliere sector, consumentenorganisaties en andere relevante belanghebbenden te waarborgen. De op voorstel van de uitvoerend directeur door de raad van bestuur opgerichte Enisa-adviesgroep moet zich richten op voor de belanghebbenden relevante vraagstukken en deze onder de aandacht van Enisa brengen. De Enisa-adviesgroep wordt in het bijzonder geraadpleegd met betrekking tot het ontwerp van het jaarlijks werkprogramma van Enisa. De samenstelling van de Enisa-adviesgroep en de aan deze groep toegewezen taken, moeten waarborgen dat de belanghebbenden voldoende worden vertegenwoordigd in de werkzaamheden van Enisa.

(62)

De Groep van belanghebbenden bij cyberbeveiligingscertificering moet worden opgericht om Enisa en de Commissie te helpen het raadplegen van de betrokken belanghebbenden te vergemakkelijken. De Groep van belanghebbenden bij cyberbeveiligingscertificering moet worden samengesteld uit leden die op evenwichtige wijze de sector vertegenwoordigen, zowel wat vraag als aanbod van ICT-producten en -diensten betreft, waaronder met name kleine en middelgrote ondernemingen, digitaledienstverleners, Europese en internationale normalisatieorganisaties, nationale accreditatie-instanties, gegevensbeschermingsautoriteiten en conformiteitsbeoordelingsinstanties overeenkomstig Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad (16), de wetenschap alsmede consumentenorganisaties.

(63)

Enisa moet beschikken over regels ter voorkoming en beheersing van belangenconflicten. Enisa moet voorts de toepasselijke in Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad (17) vastgelegde Unievoorschriften inzake toegang van het publiek tot documenten toepassen, zoals vervat. Persoonsgegevens moeten door Enisa worden verwerkt overeenkomstig Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (18). Enisa dient de bepalingen na te leven die van toepassing zijn op de instellingen, organen en instanties van de Unie alsmede de nationale wetgeving inzake de behandeling van informatie, in het bijzonder gevoelige niet-gerubriceerde informatie en gerubriceerde informatie van de Europese Unie (EUCI).

(64)

Om de volledige autonomie en onafhankelijkheid van Enisa te garanderen en Enisa in staat te stellen bijkomende taken te verrichten, waaronder onvoorziene noodmaatregelen, dient aan Enisa een toereikende eigen begroting te worden toegekend die hoofdzakelijk moet worden gefinancierd uit een bijdrage van de Unie en bijdragen van derde landen die deelnemen aan de werkzaamheden van Enisa. Een passende begroting is cruciaal om te waarborgen dat Enisa over voldoende capaciteit beschikt om al zijn steeds omvangrijkere taken te kunnen vervullen en zijn doelstellingen te verwezenlijken. Het merendeel van het personeel van Enisa moet rechtstreeks worden ingezet voor de operationele uitvoering van het mandaat van Enisa. De lidstaat van vestiging of enige andere lidstaat mag een vrijwillige bijdrage leveren aan de inkomsten van Enisa. De Uniebegrotingsprocedure blijft van toepassing op eventuele subsidies die ten laste van de algemene begroting van de Unie komen. Voorts controleert de Rekenkamer de rekeningen van Enisa teneinde transparantie en verantwoording zeker te stellen.

(65)

Cyberbeveiligingscertificering is belangrijk om het vertrouwen in en de beveiliging van ICT-producten, -diensten en -processen te vergroten. De digitale eengemaakte markt, en met name de data-economie en het internet der dingen, kan enkel gedijen als het grote publiek er vertrouwen in heeft dat dergelijke producten, diensten en processen een bepaald cyberbeveiligingsniveau bieden. Verbonden en geautomatiseerde auto’s, elektronische medische hulpmiddelen, besturingssystemen voor industriële automatisering en slimme netwerken zijn slechts enkele voorbeelden van sectoren waarin certificering reeds op grote schaal wordt gebruikt of naar verwachting in de toekomst zal worden gebruikt. De door Richtlijn (EU) 2016/1148 gereguleerde sectoren, zijn tevens sectoren waarin cyberbeveiligingscertificering van cruciaal belang is.

(66)

In de mededeling „Versterken van het Europese cyberbeveiligingssysteem en bevorderen van een concurrerende en innovatieve cyberbeveiligingsbranche” van 2016 heeft de Commissie gesteld dat er behoefte is aan hoogwaardige, betaalbare en interoperabele producten en oplossingen op het gebied van cyberbeveiliging. De levering van ICT-producten, -diensten en -processen binnen de eengemaakte markt blijft in geografisch opzicht zeer versnipperd, omdat de cyberbeveiligingsbranche in Europa zich grotendeels op basis van de vraag van nationale overheden heeft ontwikkeld. Daarnaast is het gebrek aan interoperabele oplossingen (technische normen), praktijken en Uniebrede certificeringsmechanismen een tekortkoming van de eengemaakte markt op het gebied van cyberbeveiliging. Dit maakt het voor Europese ondernemingen moeilijk om op nationaal, Unie- en mondiaal niveau te concurreren. Burgers en bedrijven hebben hierdoor slechts toegang tot een beperkte keuze aan levensvatbare en bruikbare cyberbeveiligingstechnologieën. Verder heeft de Commissie in de mededeling van 2017 inzake de tussentijdse evaluatie van de uitvoering van de strategie voor de digitale interne markt — Een connectieve digitale interne markt voor iedereen, gewezen op de noodzaak van veilige verbonden producten en systemen en aangegeven dat door het opzetten van een Europees ICT-beveiligingskader met regels voor het organiseren van ICT-beveiligingscertificering in de Unie zowel het vertrouwen in het internet in stand kan worden gehouden als de huidige versnippering van de interne markt kan worden aangepakt.

(67)

Momenteel wordt de cyberbeveiligingscertificering van ICT-producten, -diensten en -processen slechts in beperkte mate gebruikt. Indien deze certificering bestaat, is dat meestal op het niveau van de lidstaten of in het kader van regelingen die op initiatief van het bedrijfsleven zijn opgezet. In dat kader wordt een certificaat dat is afgegeven door een nationale cyberbeveiligingscertificeringsautoriteit in principe niet erkend in andere lidstaten. Bijgevolg moeten bedrijven hun ICT-producten, -diensten en -processen wellicht laten certificeren in de verschillende lidstaten waarin zij actief zijn, bijvoorbeeld met het oog op deelname aan nationale aanbestedingsprocedures, waardoor hun kosten oplopen. Er worden weliswaar nieuwe regelingen opgezet, maar er schijnt geen samenhangende en alomvattende benadering te zijn ten aanzien van horizontale cyberbeveiligingsvraagstukken, bijvoorbeeld op het gebied van het internet der dingen. Bestaande regelingen vertonen aanzienlijke tekortkomingen en verschillen wat betreft productdekking, zekerheidsniveaus, materiële criteria en daadwerkelijk gebruik, hetgeen een belemmering vormt voor wederzijdse-erkenningsmechanismen binnen de Unie.

(68)

Er zijn enige inspanningen geleverd om te zorgen voor wederzijdse erkenning van certificaten in de Unie. Maar die zijn echter slechts gedeeltelijk geslaagd. Het voornaamste voorbeeld daarvan is de overeenkomst inzake wederzijdse erkenning van de Groep van Hoge Ambtenaren voor de beveiliging van informatiesystemen (SOG-IS). Dat is weliswaar het belangrijkste model voor samenwerking en wederzijdse erkenning op het gebied van beveiligingscertificering, maar SOG-IS omvat slechts enkele lidstaten. De doeltreffendheid van de overeenkomst inzake wederzijdse erkenning van SOG-IS is daardoor vanuit het oogpunt van de interne markt beperkt.

(69)

Het is daarom noodzakelijk een gemeenschappelijke aanpak vast te stellen en een Europees kader voor cyberbeveiligingscertificering op te zetten waarin de voornaamste horizontale voorschriften voor te ontwikkelen Europese cyberbeveiligingscertificeringsregelingen worden vastgesteld, en dat het mogelijk maakt dat Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen voor ICT-producten, -diensten of -processen in alle lidstaten worden erkend en gebruikt. Daarbij is het essentieel om voort te bouwen op zowel bestaande nationale en internationale regelingen als stelsels voor wederzijdse erkenning, in het bijzonder SOG-IS, en een vlotte overgang mogelijk te maken van bestaande regelingen binnen die stelsels naar regelingen binnen het nieuwe Europese kader voor cyberbeveiligingscertificering. Het Europees kader voor cyberbeveiligingscertificering moet een tweeledig doel hebben. Enerzijds moet het bijdragen aan een groter vertrouwen in ICT-producten, -diensten en -processen die op grond van Europese regelingen voor cyberbeveiligingscertificering zijn gecertificeerd. Anderzijds moet het helpen voorkomen dat er meerdere tegenstrijdige of elkaar overlappende nationale cyberbeveiligingscertificeringsregelingen bestaan, en zodoende zorgen voor lagere kosten voor ondernemingen die actief zijn op de digitale eengemaakte markt. De Europese cyberbeveiligingscertificeringsregelingen moeten niet-discriminerend en gebaseerd zijn op Europese of internationale normen, tenzij dergelijke normen met het oog op de verwezenlijking van de desbetreffende legitieme doelstellingen van de Unie niet doeltreffend of niet geschikt zijn.

(70)

Het Europees kader voor cyberbeveiligingscertificering moet op uniforme wijze in alle lidstaten worden opgesteld om het „certificeringsshoppen” vanwege verschillende stringentieniveaus in de verschillende lidstaten tegen te gaan.

(71)

Europese cybercertificeringsregelingen moeten voortbouwen op wat er al op internationaal en nationaal niveau bestaat en zo nodig op technische specificaties van overlegfora en consortia; er moeten lessen worden getrokken uit de huidige sterke punten en de zwakke punten moeten worden beoordeeld en gecorrigeerd.

(72)

Aangezien het bedrijfsleven behoefte heeft aan flexibele cyberbeveiligingsoplossingen om cyberdreigingen voor te blijven, moet alle certificeringsregelingen zo worden ontwerpen dat het risico dat ze snel achterhaald zijn, wordt vermeden.

(73)

De Commissie dient de bevoegdheid te krijgen om Europese regelingen voor cyberbeveiligingscertificering met betrekking tot bepaalde groepen van ICT-producten, -diensten en -processen vast te stellen. De uitvoering van en het toezicht op die regelingen moeten worden verricht door de nationale cyberbeveiligingscertificeringsautoriteiten en de in het kader van die regelingen afgegeven certificaten moeten in de hele Unie geldig zijn en worden erkend. Certificeringsregelingen die door het bedrijfsleven of door andere particuliere organisaties worden toegepast, moeten buiten het toepassingsgebied van deze verordening vallen. De organisaties die dergelijke regelingen toepassen, moeten echter kunnen voorstellen dat de Commissie dergelijke regelingen in overweging nemen als basis voor de verbetering daarvan in de vorm van een Europese cyberbeveiligingscertificeringsregeling.

(74)

De bepalingen van deze verordening moeten Uniewetgeving waarbij specifieke regels voor de certificering van ICT-producten, -diensten en -processen zijn vastgesteld, onverlet laten. Met name omvat Verordening (EU) 2016/679 bepalingen betreffende de vaststelling van certificeringsmechanismen en van gegevensbeschermingszegels en -merktekens, om de naleving van die verordening bij verwerkingen door verwerkingsverantwoordelijken en verwerkers aan te tonen. Met behulp van dergelijke certificeringsmechanismen en gegevensbeschermingszegels en -merktekens dienen betrokkenen snel te kunnen beoordelen wat het beschermingsniveau van de relevante ICT-producten en -diensten is. Deze verordening doet geen afbreuk aan de certificering van gegevensverwerkingen overeenkomstig Verordening (EU) 2016/649, ook niet als dergelijke verwerkingen zijn geïntegreerd in ICT-producten, -diensten en -processen.

(75)

Europese regelingen voor cyberbeveiligingscertificering moeten tot doel hebben te waarborgen dat ICT-producten, -diensten en -processen die door middel van een dergelijke regeling zijn gecertificeerd, aan gespecificeerde voorschriften voldoen met als doel de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of verzonden gegevens of de daaraan gerelateerde diensten die via die producten, diensten en processen, worden aangeboden of toegankelijk zijn, gedurende hun levenscyclus te beschermen. Het is niet mogelijk om in deze verordening de cyberbeveiligingsvoorschriften voor alle ICT-producten, -diensten en -processen in detail op te nemen. ICT-producten, -diensten en -processen en de daarmee verband houdende behoeften inzake cyberbeveiliging zijn zodanig uiteenlopend dat het zeer moeilijk is te voorzien in algemene, in alle omstandigheden geldende cyberbeveiligingsvoorschriften. Met het oog op certificering is daarom een breed en algemeen begrip van cyberbeveiliging noodzakelijk, dat moet worden aangevuld met een reeks specifieke doelstellingen inzake cyberbeveiliging waarmee rekening moet worden gehouden bij het opzetten van Europese regelingen voor cyberbeveiligingscertificering. De regelingen waarmee dergelijke doelstellingen dienen te worden verwezenlijkt in specifieke ICT-producten, -diensten en -processen moet vervolgens verder worden gepreciseerd op het niveau van de specifieke, door de Commissie vastgestelde certificeringsregeling, bijvoorbeeld door middel van verwijzing naar normen of technische specificaties wanneer er geen passende normen beschikbaar zijn.

(76)

De in Europese cyberbeveiligingscertificeringsregelingen te gebruiken technische specificaties moeten de in bijlage II bij Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad (19) vastgestelde voorschriften in acht nemen. Enige afwijkingen van die voorschriften kunnen evenwel in naar behoren gemotiveerde gevallen noodzakelijk worden geacht wanneer die technische specificaties moeten worden gebruikt in een Europese cyberbeveiligingscertificeringsregeling waarin zekerheidsniveau „hoog” staat aangegeven. De redenen voor dergelijke afwijkingen moeten openbaar worden gemaakt.

(77)

Een conformiteitsbeoordeling is een procedure waarbij wordt geëvalueerd of aan gespecificeerde voorschriften met betrekking tot een ICT-product, -dienst of -proces is voldaan. Die procedure wordt verricht door een onafhankelijke derde partij die niet de fabrikant of de aanbieder van de geëvalueerde ICT-producten, -diensten of -processen is. Een Europese cyberbeveiligingscertificaat dient te worden afgegeven na een succesvolle evaluatie van een ICT-product, -dienst of -proces. Een Europees cyberbeveiligingscertificaat moet worden gezien als een bevestiging dat de evaluatie correct is uitgevoerd. Afhankelijk van het zekerheidsniveau moet in de Europese cyberbeveiligingscertificeringsregeling worden aangegeven of het Europees cyberbeveiligingscertificaat dient te worden afgegeven door een particuliere of een openbare instantie. Conformiteitsbeoordeling en certificering bieden geen garantie dat gecertificeerde ICT-producten, -diensten en -processen cyberbeveiligd zijn. Zij behelzen veeleer procedures en een technische methoden om te bevestigen dat ICT-producten, -diensten en -processen zijn getest en dat zij voldoen aan bepaalde cyberbeveiligingsvoorschriften die elders, bijvoorbeeld in technische normen, zijn vastgesteld.

(78)

De keuze van de gebruikers van Europese cyberbeveiligingscertificaten voor de passende certificering en de bijbehorende beveiligingsvoorschriften moet worden gebaseerd op een analyse van de met het gebruik van de ICT-producten, -diensten of -processen verbonden risico’s. Het zekerheidsniveau moet daarom in verhouding staan tot het niveau van het risico dat verbonden is aan het beoogde gebruik van een ICT-product, -dienst of -proces.

(79)

In Europese regelingen voor cyberbeveiligingscertificering zou kunnen worden bepaald dat een conformiteitsbeoordeling wordt uitgevoerd onder de uitsluitende verantwoordelijkheid van de fabrikant of aanbieder van ICT-producten, -diensten of -processen („conformiteitszelfbeoordeling”). In dergelijke gevallen moet het volstaan dat de fabrikant of de aanbieder van ICT-producten, -diensten of -processen zelf alle inspecties uitvoert om te zorgen dat de ICT-producten, -diensten of -processen in overeenstemming zijn met de Europese cyberbeveiligingscertificeringsregeling. De conformiteitszelfbeoordeling moet geschikt worden geacht voor ICT-producten, -diensten en -processen met een geringe complexiteit (eenvoudig ontwerp- en productiemechanismen) die een laag risico voor het openbaar belang opleveren. Voorts dient conformiteitszelfbeoordeling ten aanzien van ICT-producten, -diensten of -processen alleen te worden toegestaan wanneer deze zekerheidsniveau „basis” hebben.

(80)

Europese regelingen voor cyberbeveiligingscertificering zouden de mogelijkheid kunnen bieden van zowel conformiteitszelfbeoordeling als certificering van ICT-producten, -diensten of -processen. In een dergelijk geval moet de regeling de consumenten of andere gebruikers duidelijke en begrijpelijke middelen aanreiken waarmee zij een onderscheid kunnen maken tussen ICT-producten, -diensten of -processen ten aanzien waarvan de fabrikant of aanbieder verantwoordelijk is voor de beoordeling en ICT-producten, -diensten of -processen die door een derde partij zijn gecertificeerd.

(81)

De fabrikant of aanbieder van ICT-producten, -diensten of -processen die een conformiteitszelfbeoordeling uitvoert moet, als onderdeel van de conformiteitsbeoordelingsprocedure, de EU-conformiteitsverklaring kunnen verstrekken en ondertekenen. Een EU-conformiteitsverklaring is een document waarin staat dat een specifiek ICT-product, -dienst of -proces voldoet aan de voorschriften van de Europese cyberbeveiligingscertificeringsregeling. Door de EU-conformiteitsverklaring te verstrekken en ondertekenen verklaart de fabrikant of de aanbieder van ICT-producten, -diensten of -processen zich verantwoordelijk voor de conformiteit van het ICT-product, -dienst of -proces met de wettelijke voorschriften van de Europese cyberbeveiligingscertificeringsregeling. Van de EU-conformiteitsverklaring moet een exemplaar bij de nationale cyberbeveiligingscertificeringsautoriteit en bij Enisa worden ingediend.

(82)

Fabrikanten of aanbieders van ICT-producten, -diensten of -processen moeten de EU-conformiteitsverklaring en de technische documentatie van alle andere relevante informatie met betrekking tot de conformiteit van de ICT-producten, -diensten of -processen met een Europese cyberbeveiligingscertificeringsregeling ter beschikking van de bevoegde nationale cyberbeveiligingscertificeringsautoriteit stellen, en wel gedurende een in de betrokken Europese cyberbeveiligingscertificeringsregeling bepaalde periode. In de technische documentatie moeten de krachtens de regeling toepasselijke vereisten worden vermeld en moet, voor zover relevant voor de conformiteitszelfbeoordeling, het ontwerp, de fabricage en de werking van het ICT-product, -dienst of -proces worden bestreken. De technische documentatie moet zodanig worden opgesteld dat kan worden beoordeeld of een ICT-product, -dienst of -proces voldoet aan de krachtens die regeling toepasselijke vereisten.

(83)

De governance van het Europees kader voor cyberbeveiligingscertificering houdt rekening met de betrokkenheid van de lidstaten alsmede de passende betrokkenheid van belanghebbenden en legt de rol van de Commissie vast gedurende het plannen, voorstellen, aanvragen, voorbereiden, goedkeuren en evalueren van Europese regelingen voor cyberbeveiligingscertificering.

(84)

De Commissie moet na open en breed overleg met de steun van de Europese Groep voor cyberbeveiligingscertificering (de „EGC”) en de Groep van belanghebbenden bij cyberbeveiligingscertificering een voortschrijdend werkprogramma van de Unie voor Europese regelingen voor cyberbeveiligingscertificering opstellen en bekendmaken in de vorm van een niet-bindend instrument. Het voortschrijdend werkprogramma van de Unie dient een strategisch document te zijn aan de hand waarvan met name de sector, de nationale autoriteiten en de normalisatieorganisaties zich kunnen voorbereiden op toekomstige Europese regelingen voor cyberbeveiligingscertificering. Het voortschrijdend werkprogramma van de Unie moet een meerjarig overzicht van de verzoeken om potentiële regelingen bevatten die de Commissie ter voorbereiding bij Enisa wil indienen, op specifieke gronden. De Commissie moet met het voortschrijdend werkprogramma van de Unie rekening houden wanneer zij haar voortschrijdend plan voor ICT-normalisatie en normalisatieverzoeken aan Europese normalisatieorganisaties opstelt. In het licht van de snelle invoering en absorptie van nieuwe technologieën, het ontstaan van voorheen onbekende cyberbeveiligingsrisico’s en ontwikkelingen in wetgeving en de markt, moet de Commissie of de EGC het recht hebben om Enisa te verzoeken potentiële regelingen op te stellen die niet in het voortschrijdend werkprogramma van de Unie zijn opgenomen. In dergelijke gevallen moeten de Commissie en de EGC ook de noodzaak van een dergelijk verzoek beoordelen, rekening houdend met de algemene doelstellingen van deze verordening en noodzaak tot waarborging van de continuïteit van de planning en het gebruik van de middelen van Enisa.

Enisa moet, naar aanleiding van een dergelijk verzoek, onverwijld potentiële regelingen opstellen voor specifieke ICT-producten, -diensten en -processen. De Commissie moet de positieve en negatieve gevolgen van haar verzoek voor de betrokken specifieke markt evalueren, met name wat betreft kleine en middelgrote ondernemingen, innovatie, belemmeringen om tot die markt toe te treden en kosten voor eindgebruikers. De Commissie moet de bevoegdheid krijgen om vervolgens, op basis van de door Enisa voorgestelde potentiële regeling, de Europese cyberbeveiligingscertificeringsregeling bij uitvoeringshandeling vast te stellen. Rekening houdend met het in deze verordening bepaalde algemene doel en de beveiligingsdoelstellingen, moet in door de Commissie vastgestelde Europese cyberbeveiligingscertificeringsregelingen een minimumreeks elementen worden gespecificeerd wat betreft onderwerp, toepassingsgebied en werking van de afzonderlijke regeling. Tot die elementen moeten onder meer het toepassingsgebied en het voorwerp van de cyberbeveiligingscertificering behoren, met inbegrip van de betrokken categorieën ICT-producten, -diensten en -processen, de gedetailleerde specificatie van de cyberbeveiligingsvoorschriften, bijvoorbeeld door verwijzing naar normen of technische specificaties, de specifieke evaluatiecriteria en -methoden evenals het beoogde zekerheidsniveau („basis”, „substantieel” of „hoog”) en de evaluatieniveaus, indien van toepassing. Enisa moet een verzoek van de EGC kunnen weigeren. Dergelijke beslissingen moeten door de raad van bestuur worden genomen en moeten naar behoren worden gemotiveerd.

(85)

Enisa moet een website in stand houden met informatie over en bekendmaking van Europese cyberbeveiligingscertificeringsregelingen, waaronder de verzoeken voor de opstelling van een potentiële regeling en voor de feedback die wordt ontvangen tijdens het raadplegingsproces dat Enisa in de voorbereidingsfase uitvoert. De website moet ook informatie verstrekken over Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen die krachtens deze verordening worden afgegeven, waaronder informatie over intrekking en verval van dergelijke Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen. Tevens moet de website vermelden welke nationale cyberbeveiligingscertificeringsregelingen zijn vervangen door een Europese cyberbeveiligingscertificeringsregeling.

(86)

Het zekerheidsniveau van een Europese certificeringsregeling is een basis voor vertrouwen dat een ICT-product, -dienst of -proces voldoet aan de beveiligingsvoorschriften van een specifieke Europese cyberbeveiligingscertificeringsregeling. Teneinde de samenhang van het Europees cyberbeveiligingscertificeringskader te waarborgen moeten in een Europese cybercertificeringsregeling zekerheidsniveaus kunnen worden aangegeven voor uit hoofde van die regeling afgegeven Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen. In elk Europees cyberbeveiligingscertificaat zou kunnen worden verwezen naar de zekerheidsniveaus „basis”, „substantieel” of „hoog”, terwijl in de EU-conformiteitsverklaring alleen melding zou kunnen worden gemaakt van zekerheidsniveau „basis”. De zekerheidsniveaus zouden de overeenkomstige grondigheid en diepgang van de evaluatie van het ICT-product, de ICT-dienst of het ICT-proces bepalen, en zouden worden gekenmerkt door verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles, waarvan het doel is om incidenten te beperken of voorkomen. Elk zekerheidsniveau dient in overeenstemming te zijn met de diverse sectorale domeinen waar certificering wordt toegepast.

(87)

In een Europese cyberbeveiligingscertificeringsregeling zouden verscheidene evaluatieniveaus kunnen worden vermeld, afhankelijk van de vraag hoe strikt en diepgaand de gebruikte evaluatiemethodologie is. Evaluatieniveaus moeten overeenkomen met één van de zekerheidsniveaus en moeten gepaard gaan met een passende combinatie van zekerheidscomponenten. Voor alle zekerheidsniveaus moeten ICT-producten, -diensten of -processen een aantal in de regeling gespecificeerde beveiligde functies bevatten zoals onder meer: een standaardconfiguratie, een ondertekende code, beveiligde actualisering en exploitmitigatie, en volledige bescherming van het stack- of heapgeheugen. Die functies moeten worden ontwikkeld en onderhouden met op beveiliging gerichte benaderingen inzake ontwikkeling en de bijbehorende hulpmiddelen waardoor wordt gewaarborgd dat er doeltreffende software- en hardwaremechanismen op betrouwbare wijze in worden verwerkt.

(88)

Voor het zekerheidsniveau „basis” moet de evaluatie worden geleid door ten minste de volgende zekerheidscomponenten: de evaluatie moet ten minste een beoordeling inhouden van de technische documentaties van het ICT-product, de ICT-dienst of het ICT-proces door de conformiteitsbeoordelingsinstantie. Indien de certificering ICT-processen omvat, moet de technische evaluatie ook betrekking hebben op het proces dat wordt gebruikt voor het ontwerpen, ontwikkelen en in stand houden van een ICT-product of -dienst. Indien een Europese cyberbeveiligingscertificeringsregeling voorziet in een conformiteitszelfbeoordeling, moet het voldoende zijn als de fabrikant of aanbieder van ICT-producten, -diensten of -processen zelf heeft beoordeeld of de ICT-producten, -diensten of -processen voldoen aan de certificeringsregeling.

(89)

Voor zekerheidsniveau „substantieel” moet de evaluatie, in aanvulling op de vereisten voor het zekerheidsniveau „basis”, worden geleid door ten minste de verificatie van de conformiteit van de beveiligingsfuncties van het ICT-product, de ICT-dienst of het ICT-proces met de technische documentatie ervan omvatten.

(90)

Voor zekerheidsniveau „hoog” moet de evaluatie, in aanvulling op de vereisten voor zekerheidsniveau „substantieel”, worden geleid door ten minste een efficiëntietest waarbij wordt beoordeeld of de beveiligingsfuncties van een ICT-product, -dienst of -proces bestand zijn tegen mensen die complexe cyberaanvallen uitvoeren en over aanzienlijke vaardigheden en middelen beschikken.

(91)

Het gebruik van Europese cyberbeveiligingscertificering en EU-conformiteitsverklaringen moet vrijwillig blijven, tenzij anders is bepaald in Unierecht, of in het in overeenstemming met het Unierecht vastgestelde recht van de lidstaten. Bij ontstentenis van geharmoniseerd Unierecht kunnen de lidstaten nationale technische voorschriften vaststellen die voorzien in verplichte certificering uit hoofde van een Europese cyberbeveiligingscertificeringsregeling overeenkomstig Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad (20). De lidstaten kunnen tevens gebruikmaken van de Europese cyberbeveiligingscertificering in het kader van overheidsopdrachten en Richtlijn 2014/24/EU van het Europees Parlement en de Raad (21).

(92)

Op sommige gebieden kan het in de toekomst nodig zijn om specifieke cyberbeveiligingsvoorschriften op te leggen en de certificering daarvan verplicht te maken voor bepaalde ICT-producten, -diensten of -processen teneinde het cyberbeveiligingsniveau in de Unie te verbeteren. De Commissie moet toezien op de vastgestelde Europese cyberbeveiligingscertificeringsregelingen en de beschikbaarheid van beveiligde ICT-producten, -diensten en -processen in de interne markt en regelmatig het niveau van de door de fabrikanten of aanbieders van ICT-producten, -diensten en -processen in de Unie gebruikte certificeringsregelingen beoordelen. De efficiëntie van de Europese cyberbeveiligingscertificeringsregelingen en de vraag of specifieke regelingen verplicht moeten worden gesteld, moet worden beoordeeld in het licht van de Uniewetgeving inzake cyberbeveiliging, met name Richtlijn (EU) 2016/1148, rekening houdend met de beveiliging van de netwerk- en informatiesystemen die door aanbieders van essentiële diensten worden gebruikt.

(93)

Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen moeten eindgebruikers helpen geïnformeerde keuzes te maken. Daarom moeten ICT-producten, -diensten en -processen die zijn gecertificeerd of waarvoor een EU-conformiteitsverklaring is afgegeven, vergezeld gaan van gestructureerde informatie die aan het verwachte technische niveau van de beoogde eindgebruiker is aangepast. Alle dergelijke informatie moet online, en waar passend in tastbare vorm, beschikbaar zijn. De eindgebruiker moet toegang hebben tot informatie met betrekking tot het referentienummer van de certificeringsregeling, het zekerheidsniveau, de omschrijving van de cyberbeveiligingsrisico’s die gepaard gaan met het ICT-product, de ICT-dienst of het ICT-proces, en de autoriteit of instantie van afgifte, of moet een kopie van het Europees cyberbeveiligingscertificaat kunnen verkrijgen. Daarnaast moet de eindgebruiker worden geïnformeerd over het cyberbeveiligingsondersteuningsbeleid namelijk hoe lang de eindgebruiker mag verwachten cyberbeveiligingsupdates of -patches te krijgen van de fabrikant of aanbieder van ICT-producten, -diensten of -processen. Waar van toepassing dienen richtsnoeren te worden verstrekt over maatregelen of instellingen die de eindgebruiker kan toepassen om de cyberbeveiliging van het ICT-product, de ICT-dienst of het ICT-proces in stand te houden of te verbeteren, alsmede de contactgegevens van een centraal contactpunt om cyberaanvallen te melden of in geval van cyberaanvallen hulp te ontvangen (naast automatische melding). Die informatie moet regelmatig worden geactualiseerd en op een website met informatie over Europese cyberbeveiligingscertificeringsregelingen beschikbaar worden gesteld.

(94)

Om de doelstellingen van deze verordening te verwezenlijken en de versnippering van de interne markt te voorkomen, dient de geldigheid van nationale cyberbeveiligingscertificeringsregelingen of -procedures voor ICT-producten, diensten of -processen die onder een Europese cyberbeveiligingscertificeringsregelingen vallen, te vervallen vanaf een door de Commissie bij de uitvoeringshandeling vastgestelde datum. Bovendien dienen de lidstaten geen nieuwe nationale cyberbeveiligingscertificeringsregelingen in te voeren voor ICT-producten, -diensten of -processen die reeds onder een bestaande Europese regeling voor cyberbeveiligingscertificering vallen. De lidstaten dient echter niet belet te worden nationale cyberbeveiligingscertificeringsregelingen met het oog op de nationale veiligheid vast te stellen of te handhaven. De lidstaten dienen de Commissie en de EGC in te lichten over elk voornemen om nieuwe nationale cyberbeveiligingscertificeringsregelingen op te stellen. De Commissie en de EGC moeten de gevolgen van de nieuwe nationale cyberbeveiligingscertificeringsregelingen voor de goede werking van de interne markt evalueren, mede in het licht van enig strategische belang om in de plaats daarvan om een Europese cyberbeveiligingscertificeringsregeling te verzoeken.

(95)

Met Europese cyberbeveiligingscertificeringsregelingen wordt beoogd bij te dragen aan de harmonisatie van cyberbeveiligingspraktijken in de Unie. Zij dienen bij te dragen tot een betere cyberbeveiliging binnen de Unie. Bij het ontwerp van de Europese cyberbeveiligingscertificeringsregelingen moet de ontwikkeling van innovaties op het gebied van cyberbeveiliging in aanmerking worden genomen en mogelijk zijn.

(96)

Bij Europese cyberbeveiligingscertificeringsregelingen dient rekening gehouden te worden met bestaande software- en hardwareontwikkelingsmethoden en in het bijzonder met de gevolgen van veelvuldige updates van software of firmware voor afzonderlijke Europese cyberbeveiligingscertificaten. In Europese cyberbeveiligingscertificeringsregelingen moeten de voorwaarden zijn gespecificeerd waaronder een update kan vereisen dat een ICT-product, -dienst of -proces opnieuw wordt gecertificeerd of dat de geldigheid van dat Europees cyberbeveiligingscertificaat wordt beperkt, rekening houdend met mogelijke negatieve gevolgen van de update voor de naleving van de beveiligingsvoorschriften van dat certificaat.

(97)

Zodra een Europese cyberbeveiligingscertificeringsregelingen is vastgesteld, moeten fabrikanten of aanbieders van ICT-producten, -diensten of -processen bij een conformiteitsbeoordelingsinstantie van hun keuze, waar dan ook in de Unie, een aanvraag indienen voor de certificering van hun ICT-producten of -diensten. Conformiteitsbeoordelingsinstanties moeten door een nationale accreditatie-instantie worden geaccrediteerd indien zij aan bepaalde, in deze verordening vastgestelde specifieke vereisten voldoen. De accreditatie moet worden afgegeven voor een maximumperiode van vijf jaar en moet onder dezelfde voorwaarden kunnen worden verlengd, mits de conformiteitsbeoordelingsinstantie nog steeds aan de vereisten voldoet. Nationale accreditatie-instanties moeten de accreditatie van een conformiteitsbeoordelingsinstantie beperken, opschorten of intrekken wanneer niet of niet meer aan de voorwaarden voor de accreditatie wordt voldaan of wanneer de conformiteitsbeoordelingsinstantie inbreuk maakt op deze verordening.

(98)

Verwijzingen in nationale wetgeving naar nationale normen die niet langer gelden door de inwerkingtreding van een Europese cyberbeveiligingscertificeringsregelingen, kunnen een bron van verwarring zijn. Daarom moeten de lidstaten de vaststelling van een Europese cyberbeveiligingscertificeringsregelingen in hun nationale wetgeving weerspiegelen.

(99)

Om binnen de hele Unie gelijkwaardige normen te bereiken teneinde wederzijdse erkenning te vergemakkelijken en de algemene acceptatie van Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen te bevorderen, moeten de nationale cyberbeveiligingscertificeringsautoriteiten een collegialetoetsingssysteem inrichten. Collegiale toetsing moet procedures omvatten voor het toezicht op de conformiteit van ICT-producten, -diensten en -processen van Europese cyberbeveiligingscertificaten, op de verplichtingen van fabrikanten en aanbieders van ICT-producten, -diensten en -processen die aan zelfbeoordeling doen, op conformiteitsbeoordelingsinstanties, evenals op de relevantie van de expertise van het personeel van de organen die certificaten voor zekerheidsniveau „hoog” afgeven. De Commissie moet, door middel van een uitvoeringshandeling, ten minste een vijfjarenplan voor collegiale toetsingen kunnen opstellen, alsmede ook criteria en methoden vastleggen voor de werking van het systeem van collegiale toetsing.

(100)

Sommige Europese cyberbeveiligingscertificeringsregelingen kunnen, onverminderd het algemene systeem van collegiale toetsing dat voor alle nationale cyberbeveiligingscertificeringsautoriteiten binnen het Europees cyberbeveiligingscertificeringskader moet worden ingericht, een collegialetoetsingsmechanisme opzetten voor de instanties die onder dergelijke regelingen Europese cyberbeveiligingscertificaten voor ICT-producten, -diensten en -processen met zekerheidsniveau „hoog” afgeven. De EGC moet de uitvoering van dergelijke collegialetoetsingsmechanismen steunen. Bij de collegiale toetsingen dient in het bijzonder te worden beoordeeld of de betrokken instanties hun taken op geharmoniseerde wijze uitvoeren, en kunnen beroepsmechanismen omvatten. De resultaten van de collegiale toetsing moeten openbaar worden gemaakt. De betrokken instanties kunnen passende maatregelen nemen om hun praktijken en expertise aan te passen.

(101)

De lidstaten moeten één of meer nationale cyberbeveiligingscertificeringsautoriteiten aanwijzen om toe te zien op de naleving van de uit deze verordening voortvloeiende verplichtingen. Een nationale cyberbeveiligingscertificeringsautoriteit kan een bestaande of een nieuwe autoriteit zijn. Een lidstaat moet, na overeenstemming met een andere lidstaat, tevens één of meer nationale cyberbeveiligingscertificeringsautoriteiten op het grondgebied van die andere lidstaat kunnen aanwijzen.

(102)

Nationale cyberbeveiligingscertificeringsautoriteiten moeten in het bijzonder de verplichtingen van op hun respectieve grondgebieden gevestigde fabrikanten of aanbieders van ICT-producten, -diensten of -processen, ten aanzien van de EU-conformiteitsverklaring, volgen en handhaven, de nationale accreditatie-instanties bijstaan bij het volgen van en toezicht op de activiteiten van conformiteitsbeoordelingsinstanties door hen te voorzien van expertise en relevante informatie, conformiteitsbeoordelingsinstanties toestaan hun taken uit te voeren wanneer dergelijke instanties voldoen aan in Europese cyberbeveiligingscertificeringsregelingen gestelde aanvullende vereisten, en relevante ontwikkelingen volgen op het gebied van cyberbeveiligingscertificering. De nationale cyberbeveiligingscertificeringsautoriteiten moeten klachten behandelen die natuurlijke of rechtspersonen hebben ingediend over door die autoriteiten afgegeven Europese cyberbeveiligingscertificaten of in verband met Europese cyberbeveiligingscertificaten die zijn afgegeven door conformiteitsbeoordelingsinstanties indien in dergelijke certificaten zekerheidsniveau „hoog” staat aangegeven, moeten de inhoud van de klacht in passende mate onderzoeken en de klager binnen een redelijke termijn in kennis stellen van de vooruitgang en het resultaat van het onderzoek. Bovendien moeten de nationale cyberbeveiligingscertificeringsautoriteiten samenwerken met andere nationale autoriteiten voor cyberbeveiligingscertificering of andere overheidsinstanties, onder meer door de uitwisseling van informatie over de mogelijke niet-conformiteit van ICT-producten, -diensten en -processen met de voorschriften van deze verordening of van specifieke Europese cyberbeveiligingscertificeringsregelingen. De Commissie moet die informatie-uitwisseling bevorderen door een algemeen elektronisch informatieondersteuningssysteem beschikbaar te stellen, bijvoorbeeld het informatie- en communicatiesysteem voor markttoezicht (ICSMS) en het systeem voor snelle waarschuwingen over gevaarlijke niet-levensmiddelen (Rapex), die overeenkomstig Verordening (EG) nr. 765/2008 al door markttoezichtautoriteiten worden gebruikt.

(103)

Om de consistente toepassing van het Europees cyberbeveiligingscertificeringskader te waarborgen moet een EGC worden opgericht die is samengesteld uit vertegenwoordigers van de nationale cyberbeveiligingscertificeringsautoriteiten of andere relevante nationale autoriteiten. De voornaamste taken van de EGC moeten bestaan in het verlenen van advies en bijstand aan de Commissie bij haar taak een samenhangende uitvoering en toepassing van het Europees cyberbeveiligingscertificeringskader te waarborgen, het verlenen van bijstand aan en het nauw samenwerken met Enisa bij het opstellen van potentiële cyberbeveiligingscertificeringsregelingen, het in naar behoren gemotiveerde gevallen verzoeken van Enisa om een potentiële regeling op te stellen, het vaststellen van aan Enisa gerichte standpunten over potentiële regelingen en het vaststellen van aan de Commissie gerichte standpunten over de instandhouding en herziening van bestaande Europese cyberbeveiligingscertificeringsregelingen. De EGC moet de uitwisseling vergemakkelijken van goede praktijken en expertise tussen de verschillende nationale cyberbeveiligingscertificeringsautoriteiten die verantwoordelijk zijn voor de toelating van conformiteitsbeoordelingsinstanties en voor de afgifte van Europese cyberbeveiligingscertificaten.

(104)

Om toekomstige Europese cyberbeveiligingscertificeringsregelingen onder de aandacht te brengen en de acceptatie ervan te bevorderen, kan de Commissie algemene of sectorspecifieke richtsnoeren inzake cyberbeveiliging uitbrengen, bijvoorbeeld over goede praktijken op het gebied van cyberbeveiliging of verantwoordelijk cyberbeveiligingsgedrag, waarbij wordt gewezen op het gunstige effect van het gebruik van gecertificeerde ICT-producten, -diensten en -processen.

(105)

Teneinde de handel verder te vergemakkelijken, en erkennende dat ICT-toeleveringsketens mondiaal zijn, kan de Unie overeenkomstig artikel 218 van het Verdrag betreffende de werking van de Europese Unie (VWEU) overeenkomsten inzake wederzijdse erkenning sluiten met betrekking tot Europese cyberbeveiligingscertificaten. De Commissie, rekening houdend met het advies van Enisa en de Europese Groep voor cyberbeveiligingscertificering, kan aanbevelen daarover onderhandelingen te openen. Iedere Europese cyberbeveiligingscertificeringsregeling moet specifieke voorwaarden bevatten voor dergelijke overeenkomsten met derde landen inzake wederzijdse erkenning.

(106)

Aan de Commissie dienen de uitvoeringsbevoegdheden te worden verleend opdat zij voor uniforme omstandigheden voor de uitvoering van deze verordening kan zorgen. Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (22).

(107)

De onderzoeksprocedure moet worden toegepast voor de vaststelling van uitvoeringshandelingen inzake Europese cyberbeveiligingscertificeringsregelingen voor ICT-producten, -diensten of -processen, voor de vaststelling van uitvoeringshandelingen inzake regelingen voor door Enisa uit te voeren onderzoeken, voor de vaststelling van uitvoeringshandelingen inzake een plan voor de collegiale toetsing van nationale cyberbeveiligingscertificeringsautoriteiten, alsmede voor de vaststelling van uitvoeringshandelingen inzake de omstandigheden, vormen en procedures voor kennisgeving aan de Commissie van geaccrediteerde conformiteitsbeoordelingsinstanties door de nationale cyberbeveiligingscertificeringsautoriteiten.

(108)

De werking van Enisa moet aan een regelmatige en onafhankelijke evaluatie worden onderworpen. Die evaluatie moet betrekking hebben op de verwezenlijking van de doelstellingen van Enisa, zijn werkmethoden en de relevantie van zijn taken, met name zijn taken met betrekking tot de operationele samenwerking op Unieniveau. Bij die evaluatie moeten tevens de gevolgen, de doeltreffendheid en de efficiëntie van het Europees cyberbeveiligingscertificeringskader worden geëvalueerd. In geval van een herziening moet de Commissie nagaan hoe de rol van Enisa als referentiepunt voor advies en expertise kan worden versterkt en moet de Commissie tevens de mogelijkheid evalueren van een rol voor Enisa bij het helpen beoordelen van ICT-producten, -diensten en -processen uit derde landen die niet aan de Unieregels voldoen.

(109)

Aangezien de doelstellingen van deze verordening niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar vanwege de omvang en de gevolgen ervan beter op het niveau van de Unie kunnen worden gerealiseerd, kan de Unie maatregelen nemen overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie (VEU) neergelegde subsidiariteitsbeginsel. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstellingen te verwezenlijken.

(110)

Verordening (EU) nr. 526/2013 moet worden ingetrokken,

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

TITEL I

ALGEMENE BEPALINGEN

Artikel 1

Onderwerp en toepassingsgebied

1.   Om de goede werking van de interne markt te waarborgen en tegelijkertijd te streven naar een hoog niveau van cyberbeveiliging, cyberweerbaarheid en vertrouwen binnen de Unie, wordt met deze verordening het volgende vastgesteld:

a)

de doelstellingen, taken en organisatorische aangelegenheden in verband met Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging); evenals

b)

een kader voor de vaststelling van Europese cyberbeveiligingscertificeringsregelingen teneinde een toereikend cyberbeveiligingsniveau van ICT-producten, -diensten en -processen in de Unie te waarborgen, alsmede om versnippering van de interne markt wat betreft cyberbeveiligingscertificeringsregelingen in de Unie te vermijden.

Het in de eerste alinea, onder b), bedoelde kader is van toepassing onverminderd specifieke bepalingen inzake vrijwillige of verplichte certificering in andere rechtshandelingen van de Unie.

2.   Deze verordening laat de bevoegdheden van de lidstaten betreffende activiteiten op het gebied van openbare beveiliging, defensie, nationale veiligheid en activiteiten van de staat op het gebied van het strafrecht onverlet.

Artikel 2

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

1.   „cyberbeveiliging”: de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen, en andere personen die getroffen worden door cyberdreigingen, te beschermen;

2.   „netwerk- en informatiesysteem”: een netwerk- en informatiesysteem als gedefinieerd in artikel 4, punt 1, van Richtlijn (EU) 2016/1148;

3.   „nationale strategie voor de beveiliging van netwerk- en informatiesystemen”: een nationale strategie voor de beveiliging van netwerk- en informatiesystemen als gedefinieerd in artikel 4, punt 3, van Richtlijn (EU) 2016/1148;

4.   „aanbieder van essentiële diensten”: een aanbieder van essentiële diensten als gedefinieerd in artikel 4, punt 4, van Richtlijn (EU) 2016/1148;

5.   „digitaledienstverlener”: een digitaledienstverlener als gedefinieerd in artikel 4, punt 6, van Richtlijn (EU) 2016/1148;

6.   „incident”: een incident als gedefinieerd in artikel 4, punt 7, van Richtlijn (EU) 2016/1148;

7.   „incidentenbehandeling”: incidentenbehandeling als gedefinieerd in artikel 4, punt 8, van Richtlijn (EU) 2016/1148;

8.   „cyberdreiging”: elke potentiële omstandigheid, gebeurtenis of actie die netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen kan schaden, verstoren of op andere wijze negatief kan beïnvloeden;

9.   „Europese cyberbeveiligingscertificeringsregeling”: een uitvoerige reeks voorschriften, technische vereisten, normen en procedures die op Unieniveau zijn vastgesteld en die van toepassing zijn op de certificering of conformiteitsbeoordeling van specifieke ICT-producten, -diensten en -processen;

10.   „nationale cyberbeveiligingscertificeringsregeling”: een uitvoerige reeks voorschriften, technische vereisten, normen en procedures die door een nationale overheidsinstantie zijn ontwikkeld en vastgesteld en die van toepassing zijn op de certificering of conformiteitsbeoordeling van ICT-producten, -diensten en -processen die onder het toepassingsgebied van de specifieke regeling vallen;

11.   „Europees cyberbeveiligingscertificaat”: een door een bevoegde instantie afgegeven document waarin wordt bevestigd dat is geëvalueerd of een bepaald ICT-product, een bepaalde ICT-dienst of een bepaald ICT-proces voldoet aan de specifieke, in een Europese cyberbeveiligingscertificeringsregeling vastgestelde beveiligingsvoorschriften;

12.   „ICT-product”: een element of groep elementen van een netwerk- of informatiesysteem;

13.   „ICT-dienst”: een dienst die volledig of hoofdzakelijk bestaat in de verzending, opslag, opvraging of verwerking van gegevens door middel van netwerk- en informatiesystemen;

14.   „ICT-proces”: een reeks activiteiten die wordt uitgevoerd om een ICTproduct of ICTdienst te ontwerpen, ontwikkelen, leveren of onderhouden;

15.   „accreditatie”: accreditatie als gedefinieerd in artikel 2, punt 10, van Verordening (EG) nr. 765/2008;

16.   „nationale accreditatie-instantie”: een nationale accreditatie-instantie als gedefinieerd in artikel 2, punt 11, van Verordening (EG) nr. 765/2008;

17.   „conformiteitsbeoordeling”: een conformiteitsbeoordeling als gedefinieerd in artikel 2, punt 12, van Verordening (EG) nr. 765/2008;

18.   „conformiteitsbeoordelingsinstantie”: een conformiteitsbeoordelingsinstantie als gedefinieerd in artikel 2, punt 13, van Verordening (EG) nr. 765/2008;

19.   „norm”: een norm als gedefinieerd in artikel 2, punt 1, van Verordening (EU) nr. 1025/2012;

20.   „technische specificatie”: een document waarin de technische vereisten of conformiteitsbeoordelingsprocedures zijn voorgeschreven waaraan een ICT-product, een ICT-dienst of een ICT-proces moet voldoen;

21.   „zekerheidsniveau”: een basis voor vertrouwen dat een ICT-product, -dienst of -proces aan de beveiligingsvoorschriften van een specifieke Europese cyberbeveiligingscertificeringsregeling voldoet, die aangeeft op welk niveau het betrokken ICT-product, de betrokken ICT-dienst of het betrokken ICT-proces is geëvalueerd maar als zodanig geen maatstaf is voor de beveiliging van het betrokken ICT-product, de betrokken ICT-dienst of het betrokken ICT-proces;

22.   „conformiteitszelfbeoordeling”: een maatregel die wordt uitgevoerd door een fabrikant of aanbieder van ICT-producten, -diensten of -processen die evalueert of de ICT-producten, -diensten of -processen voldoen aan de in een specifieke Europese cyberbeveiligingscertificeringsregeling opgenomen voorschriften.

TITEL II

ENISA (HET AGENTSCHAP VAN DE EUROPESE UNIE VOOR CYBERBEVEILIGING)

HOOFDSTUK I

Mandaat en doelstellingen

Artikel 3

Mandaat

1.   Enisa verricht de krachtens deze verordening aan hem toegewezen taken met als doel een hoog gemeenschappelijk cyberbeveiligingsniveau te bereiken in de hele Unie, onder meer door actief steun te verlenen aan de lidstaten, instellingen, organen en instanties van de Unie met het oog op betere cyberbeveiliging. Enisa fungeert voor de instellingen, organen en instanties van de Unie, evenals voor andere betrokken belanghebbenden van de Unie, als referentiepunt voor advies en expertise op het gebied van cyberbeveiliging.

Door de taken uit te voeren die het krachtens deze verordening krijgt toegewezen, draagt Enisa bij tot het verminderen van de versnippering van de interne markt.

2.   Enisa verricht de taken die hem worden toegewezen bij rechtshandelingen van de Unie tot vaststelling van maatregelen voor de onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten die betrekking hebben op cyberbeveiliging.

3.   Enisa voert zijn taken op onafhankelijke wijze uit, waarbij het dubbel werk met de activiteiten van de lidstaten vermijdt en rekening houdt met de reeds bestaande expertise in de lidstaten.

4.   Enisa ontwikkelt zijn eigen middelen, met inbegrip van technische en menselijke capaciteiten en vaardigheden, om de uit hoofde van deze verordening toegewezen taken uit te voeren.

Artikel 4

Doelstellingen

1.   Enisa is een expertisecentrum voor cyberbeveiliging door zijn onafhankelijkheid, de wetenschappelijke en technische kwaliteit van zijn advies en bijstand, de informatie die het verstrekt, de transparantie van zijn werkwijzen en -methoden, en zijn toewijding bij de uitvoering van zijn taken.

2.   Enisa staat de instellingen, organen en instanties van de Unie alsmede de lidstaten bij in de ontwikkeling en uitvoering van het cyberbeveiligingsbeleid van de Unie, waaronder sectoraal cyberbeveiligingsbeleid.

3.   Enisa ondersteunt de capaciteitsopbouw en de paraatheid in de hele Unie door de instellingen, organen en instanties van de Unie, alsmede de lidstaten en publieke en particuliere belanghebbenden bij te staan teneinde de bescherming van hun netwerk- en informatiesystemen te verbeteren, cyberweerbaarheid en cyberresponscapaciteit te ontwikkelen en te verbeteren, en vaardigheden en bekwaamheden op het gebied van cyberbeveiliging te ontwikkelen.

4.   Enisa bevordert de samenwerking, met inbegrip van informatie-uitwisseling, en coördinatie op Unieniveau tussen de lidstaten, de instellingen, organen en instanties van de Unie, en betrokken particuliere en publieke belanghebbenden inzake aangelegenheden op het gebied van cyberbeveiliging.

5.   Enisa draagt bij tot het versterken van de cyberbeveiligingscapaciteiten op Unieniveau ter ondersteuning van de maatregelen van de lidstaten om cyberdreigingen te voorkomen en daarop te reageren, met name in het geval van grensoverschrijdende incidenten.

6.   Enisa bevordert het gebruik van Europese cyberbeveiligingscertificering om versnippering van de interne markt te vermijden. Enisa draagt bij tot het tot stand brengen en handhaven van een Europees cyberbeveiligingscertificeringskader overeenkomstig titel III van deze verordening, met het oog op een transparantere cyberbeveiliging van ICT-producten, -diensten en -processen, waardoor het vertrouwen in de digitale interne markt en haar concurrentievermogen wordt versterkt.

7.   Enisa stimuleert bij burgers, organisaties en bedrijven een grote mate van bewustwording betreffende cyberbeveiliging, en bevordert onder meer de cyberhygiëne en cybergeletterdheid.

HOOFDSTUK II

Taken

Artikel 5

Ontwikkeling en uitvoering van Uniebeleid en -recht

Enisa draagt bij tot de ontwikkeling en uitvoering van Uniebeleid en -recht door:

1.

bijstand en advies inzake de ontwikkeling en herziening van Uniebeleid en -recht op het gebied van cyberbeveiliging en van sectorspecifieke beleids- en rechtsinitiatieven die verband houden met cyberbeveiliging, met name door het verstrekken van onafhankelijk advies en onafhankelijke analyse en door het verrichten van voorbereidende werkzaamheden;

2.

de lidstaten bij te staan bij de consistente uitvoering van het Uniebeleid en -recht inzake cyberbeveiliging, met name in verband met Richtlijn (EU) 2016/1148, onder meer door middel van het verstrekken van standpunten, richtsnoeren, adviezen en beste praktijken op gebieden als risicobeheer, melding van incidenten en uitwisseling van informatie, alsmede door bevordering van de uitwisseling van beste praktijken tussen op dat vlak bevoegde autoriteiten;

3.

de lidstaten en instellingen, organen en instanties van de Unie bij te staan in de ontwikkeling en bevordering van cyberbeveiligingsbeleid in verband met het vrijwaren van de algemene beschikbaarheid of integriteit van de openbare kern van het open internet;

4.

bij te dragen tot de werkzaamheden van de samenwerkingsgroep overeenkomstig artikel 11 van Richtlijn (EU) 2016/1148, door expertise en bijstand te verstrekken;

5.

ondersteuning te bieden:

a)

bij de ontwikkeling en uitvoering van Uniebeleid op het gebied van elektronische identiteits- en vertrouwensdiensten, in het bijzonder door advies en technische richtsnoeren te verstrekken alsmede door de uitwisseling van beste praktijken tussen de bevoegde autoriteiten te vergemakkelijken;

b)

bij de bevordering van een verhoogd beveiligingsniveau van elektronische communicatie, onder meer door advies en expertise te verstrekken alsmede door de uitwisseling van beste praktijken tussen de bevoegde autoriteiten te vergemakkelijken;

c)

aan lidstaten bij de uitvoering van specifieke cyberbeveiligingsaspecten van Uniebeleid en -recht inzake gegevensbescherming en privacy, waaronder, op verzoek, het verstrekken van advies aan het Europees Comité voor gegevensbescherming.

6.

ondersteuning te bieden bij de regelmatige toetsing van Uniebeleidsactiviteiten door een jaarlijks verslag voor te bereiden over de stand van uitvoering van het juridisch kader inzake:

a)

informatie over de ingevolge artikel 10, lid 3, van Richtlijn (EU) 2016/1148 aan de samenwerkingsgroep door de centrale contactpunten van iedere lidstaat gerapporteerde meldingen van incidenten;

b)

overzichten van de ingevolge artikel 19, lid 3, van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad (23) door de toezichthoudende organen aan Enisa gemaakte meldingen van beveiligingsinbreuken of integriteitsverlies die werden ontvangen van aanbieders van vertrouwensdiensten;

c)

ingevolge artikel 40 van Richtlijn (EU) 2018/1972 door de bevoegde autoriteiten aan Enisa gemaakte meldingen van beveiligingsincidenten door aanbieders van openbare elektronischecommunicatienetwerken of openbare elektronischecommunicatiediensten.

Artikel 6

Capaciteitsopbouw

1.   Enisa verleent bijstand aan:

a)

de lidstaten bij hun inspanningen ter verbetering van de preventie, opsporing en analyse van en de capaciteit om te reageren op cyberdreigingen en -incidenten, door hen te voorzien van kennis en expertise;

b)

de lidstaten en instellingen, organen en instanties van de Unie bij de opstelling en uitvoering van openbaarmakingsbeleid inzake kwetsbaarheden op vrijwillige basis;

c)

de instellingen, organen en instanties van de Unie bij hun inspanningen ter verbetering van de preventie, opsporing en analyse van cyberdreigingen en -incidenten en ter verbetering van hun capaciteit om op dergelijke dreigingen en incidenten te reageren, met name door passende ondersteuning voor het CERT-EU;

d)

de lidstaten, bij de ontwikkeling van nationale CSIRT’s, indien het daarom wordt verzocht op grond van artikel 9, lid 5, van Richtlijn (EU) 2016/1148;

e)

de lidstaten bij de ontwikkeling van nationale strategieën voor de beveiliging van netwerk- en informatiesystemen, indien het daarom wordt verzocht op grond van artikel 7, lid 2, van Richtlijn (EU) 2016/1148, en het bevordert de verspreiding van die strategieën en neemt kennis van de voortgang van hun uitvoering in de hele Unie teneinde beste praktijken te bevorderen;

f)

de instellingen van de Unie bij de ontwikkeling en evaluatie van Uniestrategieën inzake cyberbeveiliging, door de verspreiding van die strategieën te bevorderen en de voortgang van de uitvoering ervan te volgen;

g)

de nationale CSIRT’s en EU-CSIRT’s bij het verhogen van het niveau van hun capaciteiten, onder meer door de dialoog en de informatie-uitwisseling te bevorderen, met als doel ervoor te zorgen dat iedere CSIRT, rekening houdend met de stand van de techniek, over een gemeenschappelijke set minimumcapaciteiten beschikt en overeenkomstig de beste praktijken te werk gaat;

h)

de lidstaten door regelmatig en ten minste tweejaarlijks cyberbeveiligingsoefeningen op Unieniveau te organiseren overeenkomstig artikel 7, lid 5, en door beleidsaanbevelingen te verstrekken op basis van de evaluatie van de oefeningen en de daaruit getrokken lessen;

i)

betrokken overheidsinstanties door opleidingen op het gebied van cyberbeveiliging aan te bieden, in voorkomend geval in samenwerking met belanghebbenden;

j)

de samenwerkingsgroep bij de uitwisseling van beste praktijken, met name voor het in kaart brengen van aanbieders van essentiële diensten door de lidstaten, krachtens artikel 11, lid 3, punt 1, van Richtlijn (EU) 2016/1148, onder meer wat grensoverschrijdende afhankelijkheid inzake risico’s en incidenten betreft.

2.   Enisa ondersteunt informatie-uitwisseling binnen en tussen sectoren, met name in de in bijlage II bij Richtlijn (EU) 2016/1148 genoemde sectoren, door beste praktijken en richtsnoeren te verstrekken inzake beschikbare instrumenten en procedures, en over de manier waarop regelgevingsvraagstukken in verband met informatie-uitwisseling kunnen worden opgelost.

Artikel 7

Operationele samenwerking op Unieniveau

1.   Enisa ondersteunt de operationele samenwerking tussen de lidstaten, de instellingen, organen en instanties van de Unie en tussen belanghebbenden.

2.   Enisa werkt op operationeel niveau samen met en brengt synergieën tot stand met de instellingen, organen en instanties van de Unie, met inbegrip van CERT-EU, alsook met de diensten die zich bezighouden met cybercriminaliteit, en met de toezichthoudende autoriteiten die zich bezighouden met de bescherming van de persoonlijke levenssfeer en persoonsgegevens, met als doel onderwerpen van gemeenschappelijk belang aan te pakken, onder meer door:

a)

het uitwisselen van kennis en beste praktijken;

b)

het verstrekken van advies en richtsnoeren over relevante aangelegenheden in verband met cyberbeveiliging;

c)

het vaststellen van praktische regelingen voor de uitvoering van specifieke taken, na raadpleging van de Commissie.

3.   Enisa verzorgt het secretariaat van het CSIRT-netwerk op grond van artikel 12, lid 2, van Richtlijn (EU) 2016/1148 en steunt in die hoedanigheid op actieve wijze de uitwisseling van informatie en de samenwerking tussen de leden ervan.

4.   Enisa steunt de lidstaten wat hun operationele samenwerking binnen het CSIRT-netwerk betreft, door

a)

advies te verstrekken over de wijze waarop zij hun preventie-, opsporings- en responscapaciteiten ten aanzien van incidenten kunnen versterken en door, op verzoek van één of meer lidstaten, advies te verstrekken over een specifieke cyberdreiging;

b)

op verzoek van één of meer lidstaten te helpen bij de beoordeling van incidenten met aanzienlijke of substantiële gevolgen door expertise aan te reiken en de technische afhandeling van dergelijke incidenten te vergemakkelijken, onder meer door de vrijwillige uitwisseling van relevante informatie en technische oplossingen tussen de lidstaten te steunen;

c)

kwetsbaarheden en incidenten te analyseren op basis van algemeen beschikbare informatie of informatie die hiertoe vrijwillig door de lidstaten wordt verstrekt, en

d)

op verzoek van één of meer lidstaten steun te verlenen in verband met technische onderzoeken achteraf van incidenten met aanzienlijke of substantiële gevolgen, in de zin van Richtlijn (EU) 2016/1148.

Bij de uitvoering van die taken werken Enisa en CERT-EU op gestructureerde wijze samen om te kunnen profiteren van synergieën en om dubbel werk te voorkomen.

5.   Enisa organiseert regelmatig cyberbeveiligingsoefeningen op Unieniveau en ondersteunt de lidstaten en de instellingen, organen en instanties van de Unie op hun verzoek bij de organisatie van cyberbeveiligingsoefeningen. Dergelijke cyberbeveiligingsoefeningen op Unieniveau kunnen technische, operationele of strategische onderdelen bevatten. Om de twee jaar organiseert Enisa een grootschalige alomvattende oefening.

Enisa levert in voorkomend geval ook een bijdrage aan, en hulp bij de organisatie van, sectorale cyberbeveiligingsoefeningen, samen met relevante organisaties die ook deelnemen aan cyberbeveiligingsoefeningen op Unieniveau.

6.   Enisa stelt in nauwe samenwerking met de lidstaten regelmatig een grondig technisch situatieverslag inzake de EU-cyberbeveiliging op met betrekking tot incidenten en cyberdreigingen, op basis van publiek beschikbare informatie, eigen analyses, en verslagen die ter beschikking worden gesteld door onder meer: de CSIRT’s van de lidstaten of de bij de Richtlijn (EU) 2016/1148 opgerichte centrale contactpunten, beide op vrijwillige basis, EC3 en CERT-EU.

7.   Enisa draagt bij tot de ontwikkeling van een gezamenlijke reactie, op het niveau van de Unie en van de lidstaten, op grootschalige grensoverschrijdende incidenten of crises in verband met cyberbeveiliging, met name door:

a)

algemeen beschikbare of op vrijwillige basis gedeelde verslagen van nationale bronnen te bundelen en te analyseren teneinde bij te dragen tot het tot stand brengen van een gemeenschappelijk situatiebewustzijn;

b)

te zorgen voor een efficiënte informatiestroom en voor escalatiemechanismen tussen het CSIRT-netwerk en de technische en politieke besluitvormers op Unieniveau;

c)

op verzoek de technische afhandeling van dergelijke incidenten of crises te vergemakkelijken, met name door onder meer steun te verlenen aan het vrijwillig delen van technische oplossingen tussen de lidstaten;

d)

steun te verlenen aan de instellingen, organen en instanties van de Unie en, op hun verzoek, aan de lidstaten bij de communicatie met het publiek in verband met dergelijke incidenten of crises;

e)

de samenwerkingsplannen wat betreft de reactie op dergelijke incidenten of crises op Unieniveau te toetsen, en op hun verzoek de lidstaten te steunen bij het toetsen van dergelijke plannen op nationaal niveau.

Artikel 8

Markt, cyberbeveiligingscertificering en normalisatie

1.   Enisa ondersteunt en bevordert de ontwikkeling en uitvoering van het Uniebeleid inzake cyberbeveiligingscertificering van ICT-producten, -diensten en -processen, zoals vastgesteld in titel III van deze verordening, door:

a)

de ontwikkelingen op het vlak van normalisatie in aanverwante gebieden voortdurend te blijven volgen en op grond van artikel 54, lid 1, onder c), passende technische specificaties aan te bevelen voor gebruik bij de ontwikkeling van Europese cyberbeveiligingscertificeringsregelingen indien geen normen beschikbaar zijn;

b)

overeenkomstig artikel 49 potentiële Europese cyberbeveiligingscertificeringsregelingen („potentiële regelingen”) voor ICT-producten, -diensten en -processen voor te bereiden;

c)

vastgestelde Europese cyberbeveiligingscertificeringsregelingen overeenkomstig artikel 49, lid 8, te evalueren;

d)

op grond van artikel 59, lid 4, deel te nemen aan collegiale toetsingen;

e)

op grond van artikel 62, lid 5, de Commissie bij te staan bij het verzorgen van het secretariaat van de EGC.

2.   Enisa verzorgt het secretariaat van de Groep van belanghebbenden bij cyberbeveiligingscertificering op grond van artikel 22, lid 4.

3.   Enisa stelt richtsnoeren op en maakt die bekend, en ontwikkelt goede praktijken, wat betreft de cyberbeveiligingsvoorschriften voor ICT-producten, -diensten en -processen, in samenwerking met de nationale cyberbeveiligingscertificeringsautoriteiten en de sector in een formeel, gestructureerd en transparant proces.

4.   Enisa draagt bij aan capaciteitsopbouw in verband met evaluatie- en certificeringsprocessen door richtsnoeren te verzamelen en bekend te maken, en door op verzoek steun te verlenen aan de lidstaten.

5.   Enisa vergemakkelijkt de opstelling en toepassing van Europese en internationale normen voor risicobeheersing en voor de beveiliging van ICT-producten, -diensten en -processen;

6.   Enisa verleent op grond van artikel 19, lid 2, van Richtlijn (EU) 2016/1148 advies en stelt richtsnoeren op — in samenwerking met de lidstaten en de sector — met betrekking tot de technische gebieden die verband houden met de beveiligingsvoorschriften voor aanbieders van essentiële diensten en digitaledienstverleners, en met betrekking tot reeds bestaande normen, met inbegrip van nationale normen van de lidstaten.

7.   Enisa verricht en verspreidt regelmatig analyses van de voornaamste tendensen op de markt voor cyberbeveiliging, zowel aan de vraag- als aan de aanbodzijde, teneinde de markt voor cyberbeveiliging in de Unie te stimuleren.

Artikel 9

Kennis en informatie

Enisa:

a)

verricht analyses van opkomende technologieën en verstrekt themaspecifieke beoordelingen over de verwachte maatschappelijke, juridische, economische en regelgevende gevolgen van technologische innovaties voor cyberbeveiliging;

b)

verricht strategische langetermijnanalyses van cyberdreigingen en -incidenten teneinde nieuwe tendensen in kaart te brengen en incidenten te helpen voorkomen;

c)

verstrekt, in samenwerking met deskundigen van autoriteiten van de lidstaten en betrokken belanghebbenden, advies, richtsnoeren en beste praktijken voor de beveiliging van netwerk- en informatiesystemen, met name voor de beveiliging van infrastructuurvoorzieningen die de in bijlage II bij Richtlijn (EU) 2016/1148 vermelde sectoren ondersteunen en die welke worden gebruikt door de in bijlage III bij die richtlijn vermelde digitaledienstverleners;

d)

het bundelt en organiseert door middel van een hiervoor bestemd portaal informatie over cyberbeveiliging die door de instellingen, organen en instanties van de Unie wordt verstrekt en informatie over cyberbeveiliging die op vrijwillige basis door de lidstaten en publieke en particuliere belanghebbenden wordt verstrekt, en stelt die informatie via dat portaal beschikbaar aan het publiek;

e)

het verzamelt en analyseert publiek beschikbare informatie over significante incidenten, en stelt verslagen op met het oog op het verstrekken van richtsnoeren aan burgers, organisaties en bedrijven in de hele Unie.

Artikel 10

Bewustmaking en voorlichting

Enisa:

a)

draagt bij tot de maatschappelijke bewustmaking van cyberbeveiligingsrisico’s en verstrekt richtsnoeren inzake goede praktijken voor individuele gebruikers, gericht op burgers, organisaties en bedrijven, waaronder cyberhygiëne en cybergeletterdheid;

b)

het organiseert, in samenwerking met de lidstaten, de instellingen, organen en instanties van de Unie en de sector, regelmatig voorlichtingscampagnes teneinde de cyberbeveiliging in de Unie te versterken en zichtbaarder te maken en een breed publiek debat te stimuleren;

c)

staat de lidstaten bij in hun inspanningen mom het cyberbeveiligingsbewustzijn te verhogen en bevordert cyberbeveiligingsvoorlichting;

d)

ondersteunt nauwere coördinatie en uitwisseling van beste praktijken tussen de lidstaten met betrekking tot cyberbeveiligingsbewustzijn en -voorlichting.

Artikel 11

Onderzoek en innovatie

In verband met onderzoek en innovatie voert Enisa de volgende taken uit:

a)

advies verlenen aan de instellingen, organen en instanties van de Unie en de lidstaten over onderzoeksbehoeften en prioriteiten op het gebied van cyberbeveiliging om doeltreffend te kunnen reageren op bestaande en opkomende risico’s en cyberdreigingen, onder meer met betrekking tot nieuwe en opkomende informatie- en communicatietechnologieën, en om risicopreventietechnologieën doeltreffend te kunnen gebruiken;

b)

wanneer de Commissie de desbetreffende bevoegdheden aan Enisa heeft gedelegeerd, deelnemen aan de uitvoeringsfase van financieringsprogramma’s voor onderzoek en innovatie, of als begunstigde;

c)

bijdragen aan de strategische onderzoeks- en innovatieagenda op Unieniveau op het gebied van cyberbeveiliging.

Artikel 12

Internationale samenwerking

Enisa draagt bij aan de inspanningen van de Unie om met derde landen en internationale organisaties evenals binnen de toepasselijke internationale samenwerkingskaders samen te werken teneinde de internationale samenwerking op het gebied van cyberbeveiliging te bevorderen, door:

a)

waar passend, als waarnemer betrokken te zijn bij de organisatie van internationale oefeningen, en de resultaten van dergelijke oefeningen te analyseren en er verslag over uit te brengen aan de raad van bestuur;

b)

op verzoek van de Commissie de uitwisseling van beste praktijken te vergemakkelijken;

c)

de Commissie, op verzoek, van expertise te voorzien;

d)

de Commissie advies en steun te verlenen inzake overeenkomsten met derde landen betreffende de wederzijdse erkenning van cyberbeveiligingscertificaten, zulks in samenwerking met de bij artikel 62 ingestelde EGC.

HOOFDSTUK III

Organisatie van Enisa

Artikel 13

Structuur van Enisa

De administratieve en beheersstructuur van Enisa is samengesteld uit:

a)

een raad van bestuur;

b)

een dagelijks bestuur;

c)

een uitvoerend directeur;

d)

een Enisa-adviesgroep;

e)

een netwerk van nationale verbindingsfunctionarissen.

Afdeling 1

Raad van bestuur

Artikel 14

Samenstelling van de raad van bestuur

1.   De raad van bestuur bestaat uit per lidstaat één lid dat door die lidstaat is benoemd en twee door de Commissie benoemde leden. Alle leden hebben stemrecht.

2.   Elk lid van de raad van bestuur heeft een plaatsvervanger. Die plaatsvervanger vertegenwoordigt het lid in geval van diens afwezigheid.

3.   De leden van de raad van bestuur en hun plaatsvervangers worden benoemd op grond van hun kennis op het gebied van cyberbeveiliging en rekening houdend met hun relevante leidinggevende, administratieve en budgettaire vaardigheden. De Commissie en de lidstaten spannen zich ter wille van de continuïteit van het werk van de raad van bestuur in om het verloop onder hun vertegenwoordigers in de raad van bestuur te beperken. De Commissie en de lidstaten streven naar een evenwichtige vertegenwoordiging van mannen en vrouwen in de raad van bestuur.

4.   De ambtstermijn van de leden van de raad van bestuur en hun plaatsvervangers bedraagt vier jaar. Die termijn kan worden verlengd.

Artikel 15

Taken van de raad van bestuur

1.   De raad van bestuur:

a)

stelt de algemene opzet vast van de werkzaamheden van Enisa en ziet erop toe dat de werkzaamheden van Enisa in overeenstemming zijn met de in deze verordening vastgestelde regels en beginselen. Ook zorgt de raad van bestuur voor samenhang tussen de werkzaamheden van Enisa en de op het niveau van de lidstaten en de Unie verrichte activiteiten;

b)

stelt het in artikel 24 bedoelde ontwerp van het enig programmeringsdocument van Enisa vast, voordat het bij de Commissie voor advies wordt ingediend;

c)

stelt, rekening houdend met het advies van de Commissie, het enig programmeringsdocument van Enisa vast;

d)

oefent toezicht uit op de uitvoering van de meerjarige en jaarlijkse programmering die in het enig programmeringsdocument is opgenomen;

e)

stelt de jaarlijkse begroting van Enisa vast en oefent andere functies uit met betrekking tot de begroting van Enisa overeenkomstig hoofdstuk IV;

f)

beoordeelt het geconsolideerde jaarverslag over de activiteiten van Enisa, dat de rekeningen bevat en beschrijft hoe Enisa zijn prestatie-indicatoren heeft nageleefd, en keurt dit jaarverslag goed, doet zowel het jaarverslag als zijn beoordeling daarvan uiterlijk op 1 juli van het volgende jaar toekomen aan het Europees Parlement, de Raad, de Commissie en de Rekenkamer, en maakt dit jaarverslag openbaar;

g)

stelt overeenkomstig artikel 32 de financiële regels vast die van toepassing zijn op Enisa;

h)

stelt een fraudebestrijdingsstrategie vast die in verhouding staat tot de frauderisico’s, rekening houdend met een kosten-batenanalyse van de uit te voeren maatregelen;

i)

stelt regels vast voor de preventie en beheersing van belangenconflicten met betrekking tot zijn leden;

j)

zorgt voor adequate opvolging van de bevindingen en aanbevelingen die voortkomen uit onderzoeken van het Europees Bureau voor fraudebestrijding (OLAF) en de diverse interne of externe auditverslagen en evaluaties;

k)

stelt zijn reglement van orde vast, met inbegrip van voorlopige besluiten over de delegatie van specifieke taken op grond van artikel 19, lid 7;

l)

oefent, overeenkomstig lid 2 van dit artikel, ten aanzien van het personeel van Enisa de bevoegdheden uit die het Statuut van de ambtenaren van de Europese Unie (het „Statuut van de ambtenaren”) en de Regeling welke van toepassing is op de andere personeelsleden van de Europese Unie (de „Regeling welke van toepassing is op de andere personeelsleden”), zoals vastgesteld in Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad (24), toekennen aan het tot aanstelling bevoegde gezag en het tot het aangaan van arbeidsovereenkomsten bevoegde gezag (hierna „de bevoegdheden van het tot aanstelling bevoegde gezag” genoemd);

m)

stelt overeenkomstig in artikel 110 bepaalde de procedure van het Statuut van de ambtenaren voorschriften op voor de toepassing van het Statuut van de ambtenaren en van de Regeling welke van toepassing is op de andere personeelsleden;

n)

benoemt de uitvoerend directeur en, indien van toepassing, verlengt zijn of haar ambtstermijn of ontheft hem uit zijn of haar functie overeenkomstig artikel 36;

o)

benoemt een rekenplichtige, die de rekenplichtige van de Commissie kan zijn en die volledig onafhankelijk is bij de uitvoering van zijn of haar taken;

p)

neemt alle beslissingen in verband met het opzetten van de interne structuren van Enisa en, waar nodig, de wijziging van die interne structuren, rekening houdend met de activiteitenbehoeften van Enisa en met het oog op een gezond begrotingsbeheer;

q)

geeft machtiging tot het opstellen van werkafspraken ten aanzien van artikel 7.

r)

geeft machtiging tot het opstellen of het sluiten van werkafspraken overeenkomstig artikel 42.

2.   Overeenkomstig artikel 110 van het Statuut van de ambtenaren neemt de raad van bestuur op grond van artikel 2, lid 1, van het Statuut van de ambtenaren alsmede op grond van artikel 6 van de Regeling welke van toepassing is op de andere personeelsleden, een besluit waarbij hij de nodige bevoegdheden van het tot aanstelling bevoegde gezag delegeert aan de uitvoerend directeur en de voorwaarden bepaalt voor de opschorting van die gedelegeerde bevoegdheden. De uitvoerend directeur kan die bevoegdheden op zijn beurt delegeren.

3.   Wanneer uitzonderlijke omstandigheden dat vereisen, kan de raad van bestuur door middel van een besluit de delegatie van de bevoegdheden van het tot aanstelling bevoegde gezag aan de uitvoerend directeur en de bevoegdheden van het tot aanstelling bevoegde gezag die de uitvoerend directeur op zijn beurt heeft gedelegeerd, tijdelijk opschorten en die bevoegdheden in diens plaats zelf uitoefenen of delegeren aan een van zijn leden of aan een ander personeelslid dan de uitvoerend directeur.

Artikel 16

Voorzitter van de raad van bestuur

De raad van bestuur kiest met een tweederdemeerderheid van zijn leden uit zijn midden een voorzitter en een vicevoorzitter. Hun ambtstermijn bedraagt vier jaar, die éénmaal kan worden verlengd. Indien tijdens hun ambtstermijn hun lidmaatschap van de raad van bestuur echter eindigt, loopt hun ambtstermijn op dezelfde datum als die van deze eindiging automatisch af. De vicevoorzitter vervangt ambtshalve de voorzitter wanneer deze niet in staat is om zijn taken te verrichten.

Artikel 17

Vergaderingen van de raad van bestuur

1.   De raad van bestuur wordt door de voorzitter in vergadering bijeengeroepen.

2.   De raad van bestuur houdt ten minste twee gewone vergaderingen per jaar. Op verzoek van zijn voorzitter, van de Commissie of van ten minste een derde van zijn leden belegt de raad van bestuur ook buitengewone vergaderingen.

3.   De uitvoerend directeur neemt aan de vergaderingen van de raad van bestuur, maar heeft geen stemrecht.

4.   De leden van de Enisa-adviesgroep kunnen deelnemen aan de vergaderingen van de raad van bestuur op uitnodiging van de voorzitter, maar hebben geen stemrecht.

5.   De leden van de raad van bestuur en hun plaatsvervangers kunnen zich, overeenkomstig de bepalingen van het reglement van orde. tijdens de vergaderingen van de raad van bestuur laten bijstaan door adviseurs of deskundigen.

6.   Enisa verzorgt het secretariaat voor de raad van bestuur.

Artikel 18

Stemregels in de raad van bestuur

1.   De raad van bestuur neemt besluiten met een meerderheid van zijn leden.

2.   Voor de vaststelling van het enig programmeringsdocument en de jaarlijkse begroting alsmede voor de benoeming, de verlenging van de ambtstermijn of de ambtsontheffing van de uitvoerend directeur, is een tweederdemeerderheid van alle leden van de raad van bestuur vereist.

3.   Elk lid heeft één stem. Bij afwezigheid van een lid is zijn of haar plaatsvervanger gerechtigd het stemrecht van het lid uit te oefenen.

4.   De voorzitter van de raad van bestuur neemt deel aan de stemming.

5.   De uitvoerend directeur neemt niet deel aan de stemming.

6.   In het reglement van orde van de raad van bestuur wordt de stemprocedure nader uitgewerkt, met name betreffende de gevallen waarin een lid mag handelen namens een ander lid.

Afdeling 2

Dagelijks bestuur

Artikel 19

Dagelijks bestuur

1.   De raad van bestuur wordt bijgestaan door een dagelijks bestuur.

2.   Het dagelijks bestuur:

a)

stelt besluiten op die ter goedkeuring aan de raad van bestuur worden voorgelegd;

b)

zorgt samen met de raad van bestuur voor adequate opvolging van de bevindingen en aanbevelingen die voortkomen uit onderzoeken van OLAF en de diverse interne of externe auditverslagen en evaluaties;

c)

verleent, onverminderd de in artikel 20 bepaalde verantwoordelijkheden van de uitvoerend directeur, op grond van dat artikel bijstand en advies aan de uitvoerend directeur bij de uitvoering van de besluiten van de raad van bestuur inzake administratieve en budgettaire aangelegenheden.

3.   Het dagelijks bestuur bestaat uit vijf leden. Zij worden benoemd uit de leden van de raad van bestuur. Een van de leden is de voorzitter van de raad van bestuur, die tevens het dagelijks bestuur kan voorzitten, en een ander lid is een van de vertegenwoordigers van de Commissie. Bij de benoemingen van de leden van het dagelijks bestuur wordt een evenwicht tussen mannen en vrouwen nagestreefd. De uitvoerend directeur neemt deel aan de vergaderingen van het dagelijks bestuur, maar heeft geen stemrecht.

4.   De ambtstermijn van de leden van het dagelijks bestuur bedraagt vier jaar. Die termijn kan worden verlengd.

5.   Het dagelijks bestuur vergadert ten minste eens in de drie maanden. De voorzitter van het dagelijks bestuur belegt aanvullende vergaderingen op verzoek van de leden ervan.

6.   De raad van bestuur stelt het reglement van orde van het dagelijks bestuur vast.

7.   Indien nodig wegens hoogdringendheid kan het dagelijks bestuur namens de raad van bestuur bepaalde voorlopige besluiten nemen, met name op het gebied van administratief beheer, met inbegrip van de opschorting van de delegatie van de bevoegdheden van het tot aanstelling bevoegde gezag en begrotingsaangelegenheden. Een dergelijk voorlopig besluit wordt onverwijld ter kennis gebracht van de raad van bestuur. De raad van bestuur besluit vervolgens, uiterlijk drie maanden nadat het besluit was genomen, of het voorlopig besluit wordt goedgekeurd of afgewezen. Het dagelijks bestuur neemt geen besluiten namens de raad van bestuur waarvoor een tweederdemeerderheid van de leden van de raad van bestuur is vereist.

Afdeling 3

Uitvoerend directeur

Artikel 20

Taken van de uitvoerend directeur

1.   Enisa wordt geleid door de uitvoerend directeur, die onafhankelijk is in de uitvoering van zijn taken. De uitvoerend directeur legt verantwoording af aan de raad van bestuur.

2.   De uitvoerend directeur brengt desgevraagd verslag uit aan het Europees Parlement over de uitvoering van zijn taken. De Raad kan de uitvoerend directeur verzoeken verslag uit te brengen over de uitvoering van zijn taken.

3.   De uitvoerend directeur is verantwoordelijk voor:

a)

de dagelijks leiding van Enisa;

b)

de uitvoering van de besluiten van de raad van bestuur;

c)

de opstelling van het enig programmeringsdocument en de indiening ter goedkeuring ervan bij de raad van bestuur voordat het bij de Commissie wordt ingediend;

d)

de uitvoering van het enig programmeringsdocument en de verslaglegging erover aan de raad van bestuur;

e)

de opstelling van het geconsolideerde jaarverslag over de activiteiten van Enisa, waaronder de uitvoering van het jaarlijkse werkprogramma van Enisa, en de indiening ter beoordeling en goedkeuring ervan bij de raad van bestuur;

f)

de opstelling van een actieplan voor de opvolging van de conclusies van de evaluaties achteraf, en de verslaglegging elke twee jaar aan de Commissie over de geboekte vooruitgang;

g)

de opstelling van een actieplan voor de opvolging van de conclusies van interne of externe auditverslagen, alsook van onderzoeken van het OLAF, en de verslaglegging over de geboekte vooruitgang, tweemaal per jaar aan de Commissie en op regelmatige tijdstippen aan de raad van bestuur;

h)

de opstelling van het ontwerp van de in artikel 32 bedoelde financiële regels die van toepassing is op Enisa;

i)

de opstelling van de ontwerpraming van ontvangsten en uitgaven van Enisa en de uitvoering van de begroting van Enisa;

j)

de bescherming van de financiële belangen van de Unie door maatregelen ter voorkoming van fraude, corruptie en andere illegale activiteiten toe te passen, controles te verrichten en, wanneer er onregelmatigheden worden ontdekt, ten onrechte betaalde bedragen terug te vorderen en in voorkomend geval doeltreffende, evenredige en afschrikkende administratieve en financiële sancties op te leggen;

k)

de opstelling van een fraudebestrijdingsstrategie voor Enisa en de voorlegging ervan aan de raad van bestuur ter goedkeuring;

l)

het leggen en onderhouden van contacten met het bedrijfsleven en consumentenorganisaties om een regelmatige dialoog met de belanghebbenden te waarborgen;

m)

de regelmatige uitwisseling van standpunten en informatie met de instellingen, organen en instanties van de Unie over hun cyberbeveiligingsactiviteiten om te zorgen voor samenhang in de ontwikkeling en uitvoering van het Uniebeleid;

n)

de verrichting van andere taken waarmee de uitvoerend directeur krachtens deze verordening is belast.

4.   Indien noodzakelijk en in overeenstemming met de doelstellingen en taken van Enisa, kan de uitvoerend directeur ad-hocwerkgroepen instellen, samengesteld uit deskundigen, waaronder deskundigen van de bevoegde autoriteiten van de lidstaten. De raad van bestuur wordt daarvan van tevoren door de uitvoerend directeur in kennis gesteld. De procedures betreffende met name de samenstelling van de werkgroepen, de benoeming van de deskundigen van de werkgroepen door de uitvoerend directeur en de werkwijze van de werkgroepen worden in het huishoudelijk reglement van Enisa vastgesteld.

5.   De uitvoerend directeur kan, indien nodig voor de efficiënte en doeltreffende uitvoering van de taken van Enisa en op basis van een passende kosten-batenanalyse besluiten in een of meer lidstaten een of meer lokale kantoren op te zetten. Voordat de uitvoerend directeur besluit een lokaal kantoor op te zetten, vraagt hij advies van de betrokken lidstaten, waaronder de lidstaat waar de zetel van Enisa zich bevindt, en verkrijgt hij daarvoor voorafgaande toestemming van de Commissie en de raad van bestuur. Indien tijdens het overleg tussen de uitvoerend directeur en de betrokken lidstaten geen overeenstemming kan worden bereikt, wordt de aangelegenheid ter bespreking aan de Raad voorgelegd. Het aantal personeelsleden in alle lokale kantoren wordt tot een minimum beperkt en maakt in totaal maximaal 40 % uit van het voltallige personeel van Enisa in de lidstaat waar de zetel van Enisa zich bevindt. Het aantal personeelsleden in elk lokaal kantoor maakt maximaal 10 % uit van het totaal aantal personeelsleden van Enisa in de lidstaat waar de zetel van Enisa zich bevindt.

In het besluit tot het opzetten van een lokaal kantoor wordt het toepassingsgebied van de in dat lokale kantoor te verrichten activiteiten omschreven, op zodanige wijze dat onnodige kosten en verdubbeling van administratieve functies van Enisa worden vermeden.

Afdeling 4

Enisa-adviesgroep, groep van belanghebbenden bij cyberbeveiligingscertificering en netwerk van nationale verbindingsfunctionarissen

Artikel 21

Enisa-adviesgroep

1.   De raad van bestuur richt, op voorstel van de uitvoerend directeur, op transparante wijze de Enisa-adviesgroep op, samengesteld uit erkende deskundigen die de relevante belanghebbenden vertegenwoordigen, zoals de ICT-sector, aanbieders van openbare elektronischecommunicatienetwerken of -diensten, kleine en middelgrote ondernemingen, aanbieders van essentiële diensten, consumentenorganisaties, universitaire deskundigen op het gebied van cyberbeveiliging en vertegenwoordigers van overeenkomstig Richtlijn (EU) 2018/1972 aangemelde bevoegde autoriteiten, Europese normalisatieorganisaties, evenals rechtshandhavingsinstanties en toezichthoudende autoriteiten voor gegevensbescherming. De raad van bestuur streeft naar een passend evenwicht tussen mannen en vrouwen, een geografisch evenwicht en een evenwicht tussen de verschillende groepen belanghebbenden.

2.   Procedures voor de Enisa-adviesgroep, met name betreffende de samenstelling, het in lid 1 bedoelde voorstel van de uitvoerend directeur, het aantal, en de benoeming van zijn leden en de werking van de Enisa-adviesgroep, worden in het huishoudelijk reglement van Enisa vastgelegd en gepubliceerd.

3.   De Enisa-adviesgroep wordt voorgezeten door de uitvoerend directeur of door een andere persoon die door de uitvoerend directeur per geval wordt benoemd.

4.   De ambtstermijn van de leden van de Enisa-adviesgroep bedraagt tweeënhalf jaar. Leden van de raad van bestuur zijn geen lid van de Enisa-adviesgroep. Deskundigen van de Commissie en van de lidstaten mogen de vergaderingen van de Enisa-adviesgroep bijwonen en aan de werkzaamheden ervan deelnemen. Vertegenwoordigers van andere door de uitvoerend directeur relevant geachte organen, die geen lid zijn van de Enisa-adviesgroep, mogen worden uitgenodigd op de vergaderingen van de Enisa-adviesgroep en deelnemen aan de werkzaamheden ervan.

5.   De Enisa-adviesgroep adviseert Enisa met betrekking tot de uitvoering van zijn activiteiten, met uitzondering van de toepassing van de bepalingen van titel III van deze verordening. Zij adviseert met name de uitvoerend directeur met betrekking tot de opstelling van een voorstel voor het jaarlijkse werkprogramma van Enisa en met betrekking tot de communicatie met de relevante belanghebbenden over met het jaarlijkse werkprogramma verband houdende aangelegenheden.

6.   De Enisa-adviesgroep informeert de raad van bestuur regelmatig over haar activiteiten.

Artikel 22

Groep van belanghebbenden bij cyberbeveiligingscertificering

1.   De Groep van belanghebbenden bij cyberbeveiligingscertificering wordt opgericht.

2.   De Groep van belanghebbenden bij cyberbeveiligingscertificering bestaat uit leden die gekozen worden uit erkende deskundigen die de betrokken belanghebbenden vertegenwoordigen. De Commissie selecteert de leden van de Groep van belanghebbenden bij cyberbeveiligingscertificering op basis van een voorstel van Enisa na een transparante en open oproep en zorgt voor een evenwicht tussen de verschillenden groepen belanghebbenden alsmede voor een evenwicht tussen mannen en vrouwen en een geografisch evenwicht.

3.   De Groep van belanghebbenden bij cyberbeveiligingscertificering:

a)

adviseert de Commissie over strategische aangelegenheden met betrekking tot het Europees cyberbeveiligingscertificeringskader;

b)

verleent Enisa op verzoek advies over algemene en strategische aangelegenheden wat betreft de taken van Enisa in verband met de markt, cyberbeveiligingscertificering en normalisatie;

c)

staat de Commissie bij in de voorbereiding van het in artikel 47 bedoelde voortschrijdend werkprogramma van de Unie;

d)

verleent advies over het voortschrijdend werkprogramma van de Unie, overeenkomstig artikel 47, lid 4, en

e)

verstrekt in dringende gevallen advies aan de Commissie en de EGC over de behoefte aan aanvullende certificeringsregelingen die niet in het voortschrijdend werkprogramma van de Unie zijn opgenomen, zoals uiteengezet in de artikelen 47 en 48.

4.   De Groep van belanghebbenden bij cyberbeveiligingscertificering wordt gezamenlijk voorgezeten door de vertegenwoordigers van de Commissie en Enisa, waarbij het secretariaat wordt verzorgd door Enisa.

Artikel 23

Netwerk van nationale verbindingsfunctionarissen

1.   De raad van bestuur zet op voorstel van de uitvoerend directeur een netwerk van nationale verbindingsfunctionarissen op dat is samengesteld uit vertegenwoordigers van alle lidstaten (netwerk van nationale verbindingsfunctionarissen). Elke lidstaat wijst één vertegenwoordiger voor het netwerk van nationale verbindingsfunctionarissen aan. De vergaderingen van het netwerk van nationale verbindingsfunctionarissen kunnen in verschillende samenstellingen van deskundigen worden gehouden.

2.   Het netwerk van nationale verbindingsfunctionarissen vergemakkelijkt met name de uitwisseling van informatie tussen Enisa en de lidstaten en verleent steun aan Enisa bij de verspreiding van zijn activiteiten, bevindingen en aanbevelingen onder de betrokken belanghebbenden in de hele Unie.

3.   De nationale verbindingsfunctionarissen fungeren als contactpunt op nationaal niveau om de samenwerking tussen Enisa en nationale deskundigen in het kader van de uitvoering van het jaarlijkse werkprogramma van Enisa te vergemakkelijken.

4.   Hoewel de nationale verbindingsfunctionarissen nauw samenwerken met de vertegenwoordigers van hun respectieve lidstaten in de raad van bestuur, verricht het netwerk van nationale verbindingsfunctionarissen zelf geen dubbel werk ten aanzien van de werkzaamheden van de raad van bestuur, noch ten aanzien van die van andere Uniefora.

5.   De taken en procedures van het netwerk van nationale verbindingsfunctionarissen worden in het huishoudelijk reglement van Enisa vastgesteld en bekendgemaakt.

Afdeling 5

Werking

Artikel 24

Enig programmeringsdocument

1.   Enisa voert zijn werkzaamheden uit overeenkomstig een enig programmeringsdocument, bestaande uit een jaarlijkse en meerjarige programmering, dat al zijn geplande activiteiten bevat.

2.   Elk jaar stelt de uitvoerend directeur overeenkomstig artikel 32 van Gedelegeerde Verordening (EU) nr. 1271/2013 van de Commissie (25) een ontwerp van het enig programmeringsdocument op dat de jaarlijkse en meerjarige programmering met de bijbehorende planning van financiële en personele middelen bevat, rekening houdend met de richtsnoeren van de Commissie.

3.   De raad van bestuur stelt elk jaar uiterlijk op 30 november het in lid 1 bedoelde enig programmeringsdocument vast en stuurt het uiterlijk op 31 januari van het jaar daarna toe aan het Europees Parlement, de Raad en de Commissie; dit gebeurt ook met alle daarna bijgewerkte versies van dat document.

4.   Het enig programmeringsdocument wordt definitief na de definitieve vaststelling van de algemene begroting van de Unie en wordt waar nodig aangepast.

5.   Het jaarlijkse werkprogramma bevat gedetailleerde doelstellingen en de beoogde resultaten, met inbegrip van prestatie-indicatoren. Het bevat voorts een beschrijving van de te financieren acties en een indicatie van de financiële en personele middelen die aan iedere actie worden toegewezen overeenkomstig de beginselen betreffende activiteitsgestuurde begroting en beheer. Het jaarlijkse werkprogramma is consistent met het in lid 7 bedoelde meerjarige werkprogramma. Het vermeldt duidelijk de taken die zijn toegevoegd, gewijzigd of geschrapt ten opzichte van het vorige begrotingsjaar.

6.   De raad van bestuur past het vastgestelde jaarlijkse werkprogramma aan wanneer een nieuwe taak aan Enisa wordt toegewezen. Iedere wezenlijke wijziging van het jaarlijkse werkprogramma wordt vastgesteld door middel van dezelfde procedure als die welke voor het oorspronkelijke jaarlijkse werkprogramma geldt. De raad van bestuur kan aan de uitvoerend directeur de bevoegdheid delegeren om niet-wezenlijke wijzigingen door te voeren in het jaarlijkse werkprogramma.

7.   Het meerjarige werkprogramma omvat een beschrijving van de algemene strategische programmering, met inbegrip van de doelstellingen, beoogde resultaten en prestatie-indicatoren. Het behelst ook de programmering van de middelen, met inbegrip van de meerjarige begroting en de personele middelen.

8.   Deze programmering van de middelen wordt jaarlijks geactualiseerd. De strategische programmering wordt in voorkomend geval geactualiseerd, met name indien zulks nodig is om rekening te houden met de resultaten van de in artikel 67 bedoelde evaluatie.

Artikel 25

Belangenverklaring

1.   De leden van de raad van bestuur, de uitvoerend directeur en de door de lidstaten op tijdelijke basis gedetacheerde ambtenaren leggen elk een verklaring over hun verplichtingen en een verklaring over hun belangen af waaruit blijkt dat zij wel of geen directe of indirecte belangen hebben die als nadelig voor hun onafhankelijkheid kunnen worden beschouwd. De verklaringen zijn nauwkeurig en volledig, en worden jaarlijks schriftelijk afgelegd en telkens wanneer dat nodig is bijgewerkt.

2.   De leden van de raad van bestuur, de uitvoerend directeur en de externe deskundigen die deelnemen aan ad-hocwerkgroepen leggen elk uiterlijk aan het begin van elke vergadering een nauwkeurige en volledige verklaring af over belangen die met betrekking tot de agendapunten als nadelig voor hun onafhankelijkheid zouden kunnen worden beschouwd, en nemen niet deel aan de bespreking van en de stemming over die aangelegenheden.

3.   Enisa legt in zijn huishoudelijk reglement de praktische regelingen voor de toepassing van de in de leden 1 en 2 bedoelde bepalingen inzake belangenverklaring vast.

Artikel 26

Transparantie

1.   Enisa voert zijn activiteiten uit met een hoog niveau van transparantie en overeenkomstig artikel 28.

2.   Enisa zorgt ervoor dat geïnteresseerden en alle belanghebbenden worden voorzien van passende, objectieve, betrouwbare en gemakkelijk toegankelijke informatie, in het bijzonder met betrekking tot de resultaten van zijn werkzaamheden. Tevens maakt het de overeenkomstig artikel 25 afgelegde belangenverklaringen openbaar.

3.   De raad van bestuur kan op voorstel van de uitvoerend directeur belanghebbenden toestemming geven om de uitvoering van sommige activiteiten van Enisa als waarnemer bij te wonen.

4.   Enisa legt in zijn huishoudelijk reglement de praktische regelingen voor de toepassing van de in de leden 1 en 2 vervatte transparantiebepalingen vast.

Artikel 27

Vertrouwelijkheid

1.   Onverminderd artikel 28 onthult Enisa aan derden geen verwerkte of ontvangen informatie waarvoor een met redenen omkleed verzoek om vertrouwelijke behandeling is ingediend.

2.   De leden van de raad van bestuur, de uitvoerend directeur, de leden van de Enisa-adviesgroep, de externe deskundigen die deelnemen aan ad-hocwerkgroepen en de personeelsleden van Enisa, met inbegrip van de door de lidstaten tijdelijk gedetacheerde ambtenaren, leven ook na de beëindiging van hun functie de geheimhoudingsplicht uit hoofde van artikel 339 VWEU na.

3.   Enisa legt in zijn huishoudelijk reglement de praktische regelingen voor de toepassing van de in de leden 1 en 2 bedoelde vertrouwelijkheidsregels vast.

4.   Indien dat voor de verrichting van de taken van Enisa noodzakelijk is, besluit de raad van bestuur Enisa toestemming te geven om gerubriceerde informatie te verwerken. In dat geval stelt Enisa, in overleg met de diensten van de Commissie, een beveiligingsreglement vast waarbij de veiligheidsbeginselen van Besluiten (EU, Euratom) 2015/443 (26) en 2015/444 (27) worden toegepast. Dat beveiligingsreglement omvat onder meer bepalingen betreffende de uitwisseling, de verwerking en de opslag van gerubriceerde gegevens.

Artikel 28

Toegang tot documenten

1.   Verordening (EG) nr. 1049/2001 is van toepassing op de documenten die gehouden worden door Enisa.

2.   De raad van bestuur stelt uiterlijk op 28 december 2019 regelingen voor de uitvoering van Verordening (EG) nr. 1049/2001 vast.

3.   Tegen besluiten van Enisa ingevolge artikel 8 van Verordening (EG) nr. 1049/2001 kan een klacht bij de Europese Ombudsman worden ingediend op grond van artikel 228 VWEU of beroep bij het Hof van Justitie van de Europese Unie worden ingesteld op grond van artikel 263 VWEU.

HOOFDSTUK IV

Vaststelling en structuur van de begroting van Enisa

Artikel 29

Vaststelling van de begroting van Enisa

1.   De uitvoerend directeur stelt jaarlijks een ontwerpraming op van de ontvangsten en uitgaven van Enisa voor het volgende begrotingsjaar en zendt die, tezamen met een ontwerpoverzicht van de personeelsformatie, aan de raad van bestuur. De ontvangsten en uitgaven moeten in evenwicht zijn.

2.   De raad van bestuur stelt jaarlijks de raming van de ontvangsten en uitgaven van Enisa voor het volgende begrotingsjaar vast op basis van de in lid 1 bedoelde opgestelde ontwerpraming van de ontvangsten en uitgaven.

3.   Uiterlijk op 31 januari van elk jaar stuurt de raad van bestuur de raming, die deel uitmaakt van het ontwerp van het enig programmeringsdocument, naar de Commissie en de derde landen waarmee de Unie overeenkomstig artikel 42, lid 2, een overeenkomst heeft gesloten.

4.   Op basis van de raming voert de Commissie in het ontwerp van algemene begroting van de Unie, dat zij overeenkomstig artikel 314 VWEU bij het Europees Parlement en de Raad indient, de ramingen op die zij nodig acht voor het overzicht van de personeelsformatie en voor de bijdrage ten laste van de algemene begroting van de Unie.

5.   Het Europees Parlement en de Raad keuren de kredieten voor de bijdrage van de Unie aan Enisa goed.

6.   Het Europees Parlement en de Raad stellen de personeelsformatie van Enisa vast.

7.   De raad van bestuur stelt, samen met het enig programmeringsdocument, de begroting van Enisa vast. De begroting van Enisa wordt definitief na de definitieve vaststelling van de algemene begroting van de Unie. Indien nodig past de raad van bestuur de begroting en het enig programmeringsdocument van Enisa aan in overeenstemming met de algemene begroting van de Unie.

Artikel 30

Structuur van de begroting van Enisa

1.   Onverminderd andere middelen zijn de ontvangsten van Enisa samengesteld uit:

a)

een bijdrage uit de algemene begroting van de Unie;

b)

bestemmingsontvangsten voor de financiering van specifieke uitgaven in overeenstemming met de in artikel 32 bedoelde financiële regels;

c)

financiering van de Unie in de vorm van delegatieovereenkomsten of ad-hocsubsidies in overeenstemming met de in artikel 32 bedoelde financiële regels en met de bepalingen van de relevante instrumenten die het beleid van de Unie ondersteunen;

d)

bijdragen van derde landen die overeenkomstig artikel 42 aan de werkzaamheden van Enisa deelnemen;

e)

eventuele vrijwillige bijdragen in geld of in natura van de lidstaten.

Lidstaten die vrijwillig bijdragen op grond van de eerste alinea, onder e), kunnen geen aanspraak maken op specifieke rechten of diensten op grond daarvan.

2.   De uitgaven van Enisa hebben betrekking op het personeel, administratieve en technische ondersteuning, infrastructuur, werkingskosten en uitgaven die voortvloeien uit overeenkomsten met derden.

Artikel 31

Uitvoering van de begroting van Enisa

1.   De uitvoerend directeur is verantwoordelijk voor de uitvoering van de begroting van Enisa.

2.   De interne controleur van de Commissie heeft ten aanzien van Enisa dezelfde bevoegdheden als ten aanzien van de diensten van de Commissie.

3.   Uiterlijk op 1 maart van het jaar dat volgt op elk begrotingsjaar (1 maart van jaar N + 1) dient de rekenplichtige van Enisa de voorlopige rekeningen van het begrotingsjaar (jaar N) in bij de rekenplichtige van de Commissie en bij de Rekenkamer.

4.   Na ontvangst van de opmerkingen van de Rekenkamer over de voorlopige rekeningen van Enisa ingevolge artikel 246 van Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad (28) maakt de rekenplichtige van Enisa onder eigen verantwoordelijkheid de definitieve rekeningen van Enisa op en legt deze voor advies voor aan de raad van bestuur.

5.   De raad van bestuur brengt advies uit over de definitieve rekeningen van Enisa.

6.   Uiterlijk op 31 maart van het jaar N + 1 zendt de uitvoerend directeur het verslag over het budgettair en financieel beheer toe aan het Europees Parlement, de Raad, de Commissie en de Rekenkamer.

7.   Uiterlijk op 1 juli van jaar N + 1 zendt de rekenplichtige van Enisa de definitieve rekeningen van Enisa en het advies van de raad van bestuur toe aan het Europees Parlement, de Raad, de rekenplichtige van de Commissie en de Rekenkamer.

8.   Op dezelfde dag als die waarop hij de definitieve rekeningen van Enisa toezendt, zendt de rekenplichtige van Enisa aan de Rekenkamer een begeleidende brief betreffende die definitieve rekeningen toe, met kopie aan de rekenplichtige van de Commissie.

9.   Uiterlijk op 15 november van jaar N + 1 maakt de uitvoerend directeur de definitieve rekeningen van Enisa bekend in het Publicatieblad van de Europese Unie.

10.   Uiterlijk op 30 september van jaar N + 1 stuurt de uitvoerend directeur de Rekenkamer een antwoord op diens opmerkingen, en stuurt eveneens een kopie daarvan aan de raad van bestuur en de Commissie.

11.   De uitvoerend directeur verstrekt het Europees Parlement op verzoek alle inlichtingen die nodig zijn voor het goede verloop van de kwijtingsprocedure voor het desbetreffende begrotingsjaar overeenkomstig artikel 261, lid 3, van Verordening (EU, Euratom) 2018/1046.

12.   Op aanbeveling van de Raad verleent het Europees Parlement verleent vóór 15 mei van het jaar N + 2 aan de uitvoerend directeur kwijting inzake de uitvoering van de begroting van het jaar N.

Artikel 32

Financiële regels

De financiële regels die van toepassing zijn op Enisa worden vastgesteld door de raad van bestuur, na raadpleging van de Commissie. Die regels wijken niet af van Gedelegeerde Verordening (EU) nr. 1271/2013 tenzij dat in verband met de werking van Enisa specifiek vereist is en de Commissie vooraf toestemming heeft verleend.

Artikel 33

Fraudebestrijding

1.   Om de bestrijding van fraude, corruptie en andere onwettige activiteiten als bedoeld in Verordening (EU, Euratom) nr. 883/2013 van het Europees Parlement en de Raad (29) te bevorderen, treedt Enisa uiterlijk op 28 december 2019 toe tot het Interinstitutioneel Akkoord van 25 mei 1999 tussen het Europees Parlement, de Raad van de Europese Unie en de Commissie van de Europese Gemeenschappen betreffende de interne onderzoeken verricht door het Europees Bureau voor fraudebestrijding (OLAF) (30). Enisa stelt het de passende, voor alle werknemers van Enisa geldende bepalingen vast volgens het model van de bijlage bij dat akkoord.

2.   De Rekenkamer is bevoegd om bij alle begunstigden van subsidies, contractanten en subcontractanten die van Enisa Uniemiddelen hebben ontvangen, audits te verrichten zowel op basis van documenten als door middel van inspecties ter plaatse.

3.   OLAF kan, overeenkomstig de bepalingen en procedures van Verordening (EU, Euratom) nr. 883/2013 en Verordening (Euratom, EG) nr. 2185/96 van de Raad (31), onderzoeken verrichten, waaronder controles en verificaties ter plaatse, om vast te stellen of er in verband met een door Enisa gefinancierde subsidie of overeenkomst sprake is van fraude, corruptie of andere illegale activiteiten waardoor de financiële belangen van de Unie worden geschaad.

4.   Samenwerkingsovereenkomsten met derde landen of internationale organisaties, overeenkomsten, subsidieovereenkomsten en subsidiebesluiten van het Enisa bevatten, onverminderd de leden 1, 2 en 3, bepalingen die de Rekenkamer en OLAF uitdrukkelijk de bevoegdheid verlenen dergelijke audits en onderzoeken binnen hun respectieve bevoegdheden te verrichten.

HOOFDSTUK V

Personeel

Artikel 34

Algemene bepalingen

Het Statuut van de ambtenaren en de Regeling welke van toepassing is op de andere personeelsleden, alsook de voorschriften die onderling overeengekomen zijn tussen de instellingen van de Unie om daaraan uitvoering te geven, zijn van toepassing op het personeel van Enisa.

Artikel 35

Voorrechten en immuniteit

Protocol nr. 7 betreffende de voorrechten en immuniteiten van de Europese Unie, dat is gehecht aan het VEU en het VWEU, is van toepassing op Enisa en op het personeel ervan.

Artikel 36

Uitvoerend directeur

1.   De uitvoerend directeur wordt in dienst genomen als een tijdelijk functionaris van Enisa overeenkomstig artikel 2, onder a), van de Regeling welke van toepassing is op de andere personeelsleden.

2.   De uitvoerend directeur wordt benoemd door de raad van bestuur, uit een kandidatenlijst die door de Commissie wordt opgesteld na een open en transparante selectieprocedure.

3.   Voor de sluiting van de arbeidsovereenkomst met de uitvoerend directeur wordt Enisa vertegenwoordigd door de voorzitter van de raad van bestuur.

4.   Vóór de benoeming wordt de door de raad van bestuur gekozen kandidaat uitgenodigd een verklaring voor de betreffende commissie van het Europees Parlement af te leggen en vragen van leden te beantwoorden.

5.   De ambtstermijn van de uitvoerend directeur bedraagt vijf jaar. Aan het eind van die termijn voert de Commissie een beoordeling uit van de prestaties van de uitvoerend directeur en de toekomstige taken en uitdagingen van Enisa.

6.   De raad van bestuur neemt besluiten over de benoeming van de uitvoerend directeur, de verlenging van diens ambtstermijn en de ontheffing van de uitvoerend directeur uit zijn of haar functie overeenkomstig artikel 18, lid 2.

7.   Op voorstel van de Commissie, waarin rekening wordt gehouden met de in lid 5 bedoelde beoordeling, kan de raad van bestuur de ambtstermijn van de uitvoerend directeur eenmaal verlengen met vijf jaar.

8.   De raad van bestuur stelt het Europees Parlement in kennis van zijn voornemen om de ambtstermijn van de directeur te verlengen. Binnen drie maanden voorafgaand aan een dergelijke verlenging legt de uitvoerend directeur, indien daartoe uitgenodigd, een verklaring af voor de betreffende commissie van het Europees Parlement en beantwoordt hij of zij vragen van leden.

9.   Een uitvoerend directeur wiens ambtstermijn is verlengd, mag niet deelnemen aan een andere selectieprocedure voor dezelfde betrekking.

10.   De uitvoerend directeur kan uitsluitend uit zijn of haar functie worden ontheven bij besluit van de raad van bestuur op voorstel van de Commissie.

Artikel 37

Gedetacheerde nationale deskundigen en andere personeelsleden

1.   Enisa kan gebruikmaken van gedetacheerde nationale deskundigen of ander personeel dat niet in dienst is van Enisa. Het Statuut van de ambtenaren van de Europese Unie en de Regeling welke van toepassing is op de andere personeelsleden, zijn niet van toepassing op dit personeel.

2.   De raad van bestuur stelt een besluit vast houdende voorschriften inzake de detachering van nationale deskundigen bij Enisa.

HOOFDSTUK VI

Algemene bepalingen betreffende Enisa

Artikel 38

Juridische status van Enisa

1.   Enisa is een orgaan van de Unie en heeft rechtspersoonlijkheid.

2.   In elke lidstaat heeft het de ruimste handelingsbevoegdheid die door de nationale wetgeving aan rechtspersonen wordt toegekend. Enisa kan in het bijzonder roerende en onroerende zaken verkrijgen of vervreemden en kan in rechte optreden.

3.   Enisa wordt vertegenwoordigd door de uitvoerend directeur.

Artikel 39

Aansprakelijkheid van Enisa

1.   De contractuele aansprakelijkheid van Enisa valt onder het recht dat van toepassing is op de betrokken overeenkomst.

2.   Het Hof van Justitie van de Europese Unie is bevoegd uitspraak te doen krachtens een arbitrageclausule in een door Enisa gesloten overeenkomst.

3.   In geval van niet-contractuele aansprakelijkheid vergoedt Enisa alle schade die Enisa zelf of zijn personeelsleden in de uitoefening van hun functie hebben veroorzaakt, overeenkomstig de algemene beginselen die de wetgevingen van de lidstaten gemeen hebben.

4.   Het Hof van Justitie van de Europese Unie is bevoegd inzake geschillen over de vergoeding van schade als bedoeld in lid 3.

5.   De persoonlijke aansprakelijkheid van de personeelsleden van Enisa ten aanzien van Enisa is geregeld bij de desbetreffende bepalingen die van toepassing zijn op het personeel van Enisa.

Artikel 40

Talenregeling

1.   Verordening nr. 1 van de Raad (32) is van toepassing op Enisa. De lidstaten en de overige door de lidstaten aangewezen instanties mogen hun verzoeken aan Enisa richten en daarop een antwoord verlangen in de officiële taal van de instellingen van de Unie van hun keuze.

2.   De voor het functioneren van Enisa vereiste vertaaldiensten worden geleverd door het Vertaalbureau voor de organen van de Europese Unie.

Artikel 41

Bescherming van persoonsgegevens

1.   Op de verwerking van persoonsgegevens door Enisa is Verordening (EU) 2018/1725 van toepassing.

2.   De raad van bestuur stelt uitvoeringsvoorschriften als bedoeld in artikel 45, lid 3, van Verordening (EU) 2018/1725 vast. De raad van bestuur kan aanvullende maatregelen vaststellen met het oog op de toepassing van Verordening (EU) 2018/1725 door Enisa.

Artikel 42

Samenwerking met derde landen en internationale organisaties

1.   Voor zover dat voor de verwezenlijking van de doelstellingen van deze verordening noodzakelijk is, kan Enisa samenwerken met de bevoegde autoriteiten van derde landen of met internationale organisaties, of met beide. Daartoe kan Enisa werkregelingen treffen met de autoriteiten van derde landen en met internationale organisaties, onder voorbehoud van voorafgaande goedkeuring door de Commissie. Die werkregelingen scheppen geen wettelijke verplichtingen voor de Unie en haar lidstaten.

2.   Enisa staat open voor deelname van derde landen die met de Unie overeenkomsten in die zin hebben gesloten. Krachtens de desbetreffende bepalingen van dergelijke overeenkomsten worden werkregelingen uitgewerkt voor met name de aard, de omvang en de wijze van deelname van elk van die derde landen aan de werkzaamheden van Enisa, met inbegrip van bepalingen betreffende de deelname aan de initiatieven van Enisa en betreffende financiële en personele bijdragen. Wat personeelszaken betreft, voldoen die werkregelingen in elk geval aan het Statuut van de ambtenaren en de Regeling welke van toepassing is op de andere personeelsleden.

3.   De raad van bestuur stelt een strategie op voor betrekkingen met derde landen en internationale organisaties wat betreft aangelegenheden waarvoor Enisa bevoegd is. De Commissie zorgt ervoor dat Enisa binnen zijn mandaat en het bestaande institutionele kader handelt door passende werkovereenkomsten met de uitvoerend directeur te sluiten.

Artikel 43

Beveiligingsvoorschriften voor de bescherming van gevoelige niet-gerubriceerde informatie en gerubriceerde informatie

Enisa stelt na overleg met de Commissie beveiligingsvoorschriften vast en past daarbij de beveiligingsbeginselen toe die zijn vervat in de veiligheidsvoorschriften van de Commissie voor de bescherming van gevoelige niet-gerubriceerde gegevens en EUCI, als vermeld in Besluiten (EU, Euratom) 2015/443 en 2015/444. De veiligheidsvoorschriften van Enisa bevatten bepalingen voor de uitwisseling, verwerking en opslag van dergelijke informatie.

Artikel 44

Zetelovereenkomst en voorwaarden voor de werking

1.   De nodige regelingen betreffende de huisvesting van Enisa in de gastlidstaat en de faciliteiten die die lidstaat ter beschikking moet stellen, alsmede de specifieke voorschriften die in de gastlidstaat gelden voor de uitvoerend directeur, de leden van de raad van bestuur, de personeelsleden van Enisa en hun gezinsleden, worden vastgelegd in een zetelovereenkomst tussen Enisa en de gastlidstaat, die gesloten wordt nadat de raad van bestuur daarmee heeft ingestemd.

2.   De gastlidstaat van Enisa verschaft zo goed mogelijke voorwaarden om een goede werking van Enisa te waarborgen, rekening houdend met de bereikbaarheid van de locatie, de aanwezigheid van passende onderwijsvoorzieningen voor de kinderen van personeelsleden en passende arbeidsmogelijkheden, sociale zekerheid en medische zorg voor kinderen en echtgenoten van personeelsleden.

Artikel 45

Administratief toezicht

De Europese Ombudsman ziet overeenkomstig artikel 228 VWEU toe op de activiteiten van Enisa.

TITEL III

CYBERBEVEILIGINGSCERTIFICERINGSKADER

Artikel 46

Europees cyberbeveiligingscertificeringskader

1.   Het Europees cyberbeveiligingscertificeringskader wordt ingesteld teneinde de omstandigheden voor de werking van de interne markt te verbeteren, en wel middels een verhoging van het cyberbeveiligingsniveau in de Unie en het mogelijk maken van een geharmoniseerde aanpak op Unieniveau van Europese cyberbeveiligingscertificeringsregelingen, met als doel de totstandbrenging van een digitale eengemaakte markt voor ICT-producten, -diensten en -processen.

2.   Binnen het Europees cyberbeveiligingscertificeringskader wordt een mechanisme omschreven voor de totstandbrenging van Europese cyberbeveiligingscertificeringsregelingen alsmede om te waarborgen dat ICT-producten, -diensten en -processen die door middel van dergelijke regelingen zijn geëvalueerd, aan gespecificeerde beveiligingsvoorschriften voldoen met als doel de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of de daaraan gerelateerde diensten die via die producten, diensten en processen worden aangeboden of toegankelijk zijn, te beschermen gedurende hun gehele levenscyclus.

Artikel 47

Het voortschrijdend werkprogramma van de Unie voor Europese cyberbeveiligingscertificering

1.   De Commissie publiceert een voortschrijdend werkprogramma van de Unie voor Europese cyberbeveiligingscertificering („het voortschrijdend werkprogramma van de Unie”) met strategische prioriteiten voor toekomstige Europese cyberbeveiligingscertificeringsregelingen.

2.   Het voortschrijdend werkprogramma van de Unie omvat met name een lijst van ICT-producten, -diensten en -processen of categorieën daarvan die kunnen worden opgenomen in het toepassingsgebied van een Europese cyberbeveiligingscertificeringsregeling.

3.   De opname van specifieke ICT-producten, -diensten en -processen of categorieën daarvan in het voortschrijdend werkprogramma van de Unie geschiedt op een of meer van de volgende gronden:

a)

de beschikbaarheid en ontwikkeling van nationale cyberbeveiligingscertificeringsregelingen voor een specifieke categorie ICT-producten, -diensten of -processen, en met name ten aanzien van het risico op versnippering;

b)

relevant recht en beleid ter zake van de Unie of de lidstaten;

c)

marktvraag;

d)

ontwikkelingen in het cyberdreigingslandschap;

e)

verzoek om opstelling van een specifieke potentiële regeling door de EGC.

4.   De Commissie houdt terdege rekening met de adviezen over het ontwerp van voortschrijdend werkprogramma van de Unie die zijn uitgebracht door de EGC en de Groep van belanghebbenden bij cyberbeveiligingscertificering.

5.   Het eerste voortschrijdend werkprogramma van de Unie wordt uiterlijk op 28 juni 2020 bekendgemaakt. Het voortschrijdend werkprogramma van de Unie wordt ten minste eens in de drie jaar, en wanneer dat nodig is vaker, bijgewerkt.

Artikel 48

Verzoek om een Europese cyberbeveiligingscertificeringsregeling

1.   De Commissie kan Enisa verzoeken een potentiële regeling) op te stellen of een bestaande Europese cyberbeveiligingscertificeringsregeling te herzien op basis van het voortschrijdend werkprogramma van de Unie.

2.   In naar behoren gemotiveerde gevallen kan de Commissie of de EGC Enisa verzoeken een potentiële regeling op te stellen of een bestaande Europese cyberbeveiligingscertificeringsregeling te herzien die niet is opgenomen in het voortschrijdend werkprogramma van de Unie. Het voortschrijdend werkprogramma van de Unie wordt dienovereenkomstig gewijzigd.

Artikel 49

Opstelling, vaststelling en herziening van een Europese cyberbeveiligingscertificeringsregeling

1.   Naar aanleiding van een verzoek van de Commissie overeenkomstig artikel 48 bereidt Enisa een potentiële regeling voor die voldoet aan de in de artikelen 51, 52 en 54 bepaalde voorschriften.

2.   Naar aanleiding van een verzoek van de EGC overeenkomstig artikel 48, lid 2, kan Enisa een potentiële regeling opstellen die voldoet aan de in de artikelen 51, 52 en 54 bepaalde eisen. Indien Enisa een dergelijk verzoek afwijst, motiveert het zijn afwijzing. Een besluit tot afwijzing van een dergelijk verzoek wordt genomen door de raad van bestuur.

3.   Bij de opstelling van een potentiële regeling, raadpleegt Enisa door middel van een formele, open, transparante en inclusieve raadplegingsprocedure alle betrokken partijen.

4.   Voor elke potentiële regeling stelt Enisa overeenkomstig artikel 20, lid 4, een ad-hocwerkgroep in, met het doel Enisa van specifiek advies en expertise te voorzien.

5.   Enisa werkt nauw samen met de EGC. De EGC verleent Enisa bijstand en deskundig advies met betrekking tot de opstelling van de potentiële regeling en brengt over de potentiële regeling advies uit.

6.   Enisa houdt zo veel mogelijk rekening met het advies van de EGC voordat de overeenkomstig de leden 3, 4 en 5 opgestelde potentiële regeling aan de Commissie wordt toegezonden. Het advies van de EGC is niet bindend en het ontbreken daarvan belet Enisa niet de potentiële regeling aan de Commissie toe te zenden.

7.   Op basis van de door Enisa opgestelde potentiële regeling kan de Commissie uitvoeringshandelingen vaststellen om te voorzien in een Europese cyberbeveiligingscertificeringsregeling voor ICT-producten, -diensten en -processen die voldoen aan de in de artikelen 51, 52 en 54 bepaalde voorschriften. Die uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 66, lid 2, bedoelde onderzoeksprocedure.

8.   Enisa evalueert ten minste om de vijf jaar elke vastgestelde Europese cyberbeveiligingscertificeringsregeling en houdt daarbij rekening met de feedback die het ontvangt van belanghebbenden. Indien nodig kan de Commissie of de EGC Enisa verzoeken de procedure te beginnen voor het ontwikkelen van een herziene potentiële regeling overeenkomstig de artikel 48 en dit artikel.

Artikel 50

Website over Europese cyberbeveiligingscertificeringsregelingen

1.   Enisa beheert een specifieke website met informatie over, en bekendmaking van, Europese cyberbeveiligingscertificeringsregelingen, Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen, met inbegrip van informatie inzake Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen die niet langer geldig, ingetrokken of verstreken zijn, en inzake het register voor links naar overeenkomstig artikel 55 verstrekte informatie over cyberbeveiliging.

2.   Waar van toepassing staan op de in lid 1 bedoelde website ook de nationale cyberbeveiligingscertificeringsregelingen die zijn vervangen door een Europese cyberbeveiligingscertificeringsregeling.

Artikel 51

Beveiligingsdoelstellingen van Europese cyberbeveiligingscertificeringsregelingen

De opzet van een Europese cyberbeveiligingscertificeringsregelingen is van dien aard dat, voor zover van toepassing, ten minste de volgende beveiligingsdoelstellingen worden verwezenlijkt:

a)

opgeslagen, doorgegeven of anderszins verwerkte gegevens worden gedurende het gehele proces en de gehele levensduur van het ICT-product, de ICT-dienst of het ICT-proces beschermd tegen onbedoelde of onbevoegde opslag, verwerking, toegang of openbaarmaking;

b)

opgeslagen, doorgegeven of anderszins verwerkte gegevens worden gedurende het gehele proces en de gehele levensduur van het ICT-product, de ICT-dienst of het ICT-proces beschermd tegen onbedoelde of onbevoegde vernietiging, verlies of wijziging, of gebrekkige beschikbaarheid;

c)

bevoegde personen, programma’s of machines kunnen uitsluitend toegang hebben tot gegevens, diensten of functies waarvoor hun recht van toegang geldt;

d)

afhankelijkheid en kwetsbaarheden worden opgespoord en, indien gekend, gedocumenteerd;

e)

er wordt geregistreerd op welk tijdstip en door wie gegevens, diensten of functies zijn ingezien, gebruikt of anderszins verwerkt;

f)

het is mogelijk na te gaan op welk tijdstip en door wie gegevens, diensten of functies zijn ingezien, gebruikt of anderszins verwerkt;

g)

er wordt geverifieerd dat ICT-producten, diensten en processen geen bekende kwetsbaarheden bevatten;

h)

in geval van een fysiek of technisch incident worden de beschikbaarheid van en de toegang tot gegevens, diensten en functies tijdig hersteld;

i)

ICT-producten, -diensten en processen zijn door standaardinstellingen en door ontwerp veilig;

j)

ICT-producten, -diensten en -processen worden geleverd met actuele software en hardware die geen algemeen bekende kwetsbaarheden bevatten, en met mechanismen voor beveiligde updates.

Artikel 52

Zekerheidsniveaus van Europese cyberbeveiligingscertificeringsregelingen

1.   In een Europese cyberbeveiligingscertificeringsregeling kunnen voor ICT-producten, -diensten en -processen een of meer van de volgende zekerheidsniveaus worden gespecificeerd: „basis”, „substantieel” of „hoog”. Het zekerheidsniveau staat in verhouding tot het niveau van risico dat verbonden is aan het beoogde gebruik van een ICT-product, -dienst of -proces, wat betreft de waarschijnlijkheid en de gevolgen van een incident.

2.   In Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen wordt verwezen naar een zekerheidsniveau dat staat aangegeven in de Europese cyberbeveiligingscertificeringsregeling uit hoofde waarvan het Europese cyberbeveiligingscertificaat of de EU-conformiteitsverklaring is afgegeven.

3.   In de betrokken Europese cyberbeveiligingscertificeringsregeling worden de overeenkomstige beveiligingsvoorschriften voor elk zekerheidsniveau bepaald, waaronder de overeenkomstige beveiligingsfuncties en de overeenkomstige grondigheid en diepgang van de evaluatie waaraan dat ICT-product, die ICT-dienst of dat ICT-proces wordt onderworpen.

4.   Het certificaat of de EU-conformiteitsverklaring geeft de daaraan gerelateerde technische specificaties, normen en procedures, waaronder technische controles, weer, welke tot doel hebben het risico van cyberbeveiligingsincidenten te verminderen of die incidenten te voorkomen.

5.   Een Europees cyberbeveiligingscertificaat of EU-conformiteitsverklaring voor het zekerheidsniveau „basis” biedt de zekerheid dat de ICT-producten, -diensten en -processen voldoen aan de, waarvoor dat certificaat of die EU-conformiteitsverklaring is afgegeven, de overeenkomstige beveiligingsvoorschriften, waaronder beveiligingsfuncties, en dat zij geëvalueerd zijn op het niveau dat bedoeld is om de bekende basisrisico’s van cyberincidenten en cyberaanvallen tot een minimum te beperken. De te ondernemen evaluatiewerkzaamheden behelzen ten minste een toetsing van technische documenten. Indien een dergelijke toetsing niet geschikt is, worden vervangende gelijkwaardige evaluatiewerkzaamheden ondernomen.

6.   Een Europees cyberbeveiligingscertificaat voor het zekerheidsniveau „substantieel”, biedt de zekerheid dat de ICT-producten, -diensten en -processen voldoen waarvoor dat certificaat is afgegeven aan de overeenkomstige beveiligingsvoorschriften, waaronder beveiligingsfuncties, en dat zij geëvalueerd zijn op een niveau dat bedoeld is om de bekende cyberbeveiligingsrisico’s, en het risico op cyberincidenten en cyberaanvallen door actoren met beperkte vaardigheden en middelen, tot een minimum te beperken. De te ondernemen evaluatiewerkzaamheden behelzen ten minste het volgende: verifiëren dat er geen algemeen bekende kwetsbaarheden zijn, en testen of bij de ICT-producten, -diensten of -processen de benodigde beveiligingsfuncties correct worden toegepast. Indien dergelijke evaluatiewerkzaamheden niet geschikt zijn, worden vervangende gelijkwaardige evaluatiewerkzaamheden ondernomen.

7.   Een Europees cyberbeveiligingscertificaat voor het zekerheidsniveau „hoog”, biedt de zekerheid dat de ICT-producten, -diensten en -processen waarvoor dat certificaat is afgegeven voldoen aan de overeenkomstige beveiligingsvoorschriften, waaronder beveiligingsfuncties, en dat zij geëvalueerd zijn op een niveau dat bedoeld is om het risico van geavanceerde cyberaanvallen door actoren met aanzienlijke vaardigheden en middelen, tot een minimum te beperken.

De te ondernemen evaluatiewerkzaamheden behelzen ten minste het volgende: verifiëren dat er geen algemeen bekende kwetsbaarheden zijn, testen of bij de ICT-producten, -diensten of -processen de beveiligingsfuncties correct, volgens de huidige stand van de techniek, worden toegepast, en het testen van hun weerbaarheid tegen deskundige aanvallers door middel van penetratietests. Indien dergelijke evaluatiewerkzaamheden niet geschikt zijn, worden vervangende gelijkwaardige evaluatiewerkzaamheden ondernomen.

8.   In een Europese cyberbeveiligingscertificeringsregeling kunnen meerdere evaluatieniveaus worden aangegeven, afhankelijk van de grondigheid en de diepgang van de gebruikte evaluatiemethodologie. Elk evaluatieniveau komt overeen met één van de zekerheidsniveaus en wordt door middel van een passende combinatie van zekerheidscomponenten omschreven.

Artikel 53

Conformiteitszelfbeoordeling

1.   In een Europese cyberbeveiligingscertificeringsregeling mag worden bepaald dat een conformiteitszelfbeoordeling uitsluitend onder de verantwoordelijkheid van de fabrikant of aanbieder van ICT-producten, -diensten of -proces wordt uitgevoerd. Conformiteitsbeoordelingen worden uitsluitend toegestaan voor ICT-producten, -diensten en -processen met een laag risico of voor Europese cyberbeveiligingscertificeringsregelingen met zekerheidsniveau „basis”.

2.   De fabrikant of aanbieder van ICT-producten, -diensten of -processen kan een EU-conformiteitsverklaring afgeven waarin wordt verklaard dat is aangetoond dat aan de voorschriften van de regeling is voldaan. Door een dergelijke verklaring op te stellen aanvaardt de fabrikant of aanbieder van ICT-producten, diensten of -processen verantwoordelijkheid voor de conformiteit van het ICT-product, de ICT-dienst of het ICT-proces met de in die regeling bepaalde voorschriften.

3.   De fabrikant of aanbieder van ICT-producten, -diensten of -processen stelt de EU-conformiteitsverklaring, de technische documenten en alle andere relevante informatie over de conformiteit van de ICT-producten of ICT-diensten met een regeling ter beschikking van de in artikel 58, lid 1, bedoelde nationale cyberbeveiligingscertificeringsautoriteit gedurende de termijn die is vastgesteld in de betrokken Europese cyberbeveiligingscertificeringsregeling. Aan de nationale cyberbeveiligingscertificeringsautoriteit en aan Enisa wordt een kopie van de EU-conformiteitsverklaring voorgelegd.

4.   De afgifte van een EU-conformiteitsverklaring geschiedt op basis van vrijwilligheid, tenzij in de wetgeving van de Unie of de lidstaten anders is bepaald.

5.   EU-conformiteitsverklaringen worden in alle lidstaten erkend.

Artikel 54

Elementen van Europese cyberbeveiligingscertificeringsregelingen

1.   Een Europese cyberbeveiligingscertificeringsregeling omvat ten minste de volgende elementen:

a)

het onderwerp en het toepassingsgebied van de certificeringsregeling, met inbegrip van het type of de categorieën ICT-producten, -diensten en -processen die eronder vallen;

b)

een duidelijke beschrijving van het doel van de regeling en van de wijze waarop de geselecteerde normen, evaluatiemethoden en zekerheidsniveaus beantwoorden aan de behoeften van de beoogde gebruikers van de regeling.

c)

een vermelding van de internationale, Europese of nationale norm die bij de evaluatie wordt gevolgd of, indien dergelijke normen niet beschikbaar of geschikt zijn, een vermelding van de technische specificaties die voldoen aan de in bijlage II bij Verordening (EU) nr. 1025/2012 bepaalde voorschriften, of, indien dergelijke specificaties niet beschikbaar zijn, de technische specificaties of andere cyberbeveiligingsvoorschriften die in de Europese cyberbeveiligingscertificeringsregelingen zijn omschreven;

d)

indien van toepassing, één of meer zekerheidsniveaus;

e)

een vermelding of conformiteitszelfbeoordeling is toegestaan uit hoofde van de regeling;

f)

indien van toepassing, specifieke of aanvullende voorschriften voor conformiteitsbeoordelingsinstanties, om te garanderen dat zij beschikken over de technische bekwaamheid om de cyberbeveiligingsvoorschriften te evalueren;

g)

de specifieke evaluatiecriteria en -methoden, met inbegrip van soorten evaluaties, die worden gebruikt om aan te tonen dat de in artikel 51 genoemde beveiligingsdoelstellingen worden verwezenlijkt;

h)

indien van toepassing, de door een aanvrager aan de conformiteitsbeoordelingsinstanties te verstrekken of anderszins beschikbaar te stellen informatie die nodig is voor certificering;

i)

indien de regeling voorziet in merktekens of labels, de voorwaarden waaronder dergelijke merktekens of labels mogen worden gebruikt;

j)

de regels voor het toezicht op de conformiteit van ICT-producten, -diensten en -processen van de Europese cyberbeveiligingscertificaten of van de EU-conformiteitsverklaringen, met inbegrip van mechanismen om aan te tonen dat de vermelde cyberbeveiligingsvoorschriften nog altijd worden nageleefd;

k)

indien van toepassing, de voorwaarden voor de afgifte, handhaving, voortzetting en vernieuwing van een Europese cyberbeveiligingscertificaat, evenals de voorwaarden voor uitbreiding of beperking van het toepassingsgebied van de certificering;

l)

regels over de gevolgen voor ICT-producten, -diensten en -processen die zijn gecertificeerd of waarvoor een EU-conformiteitsverklaring is afgegeven, maar die niet voldoen aan de voorschriften van de regeling;

m)

regels over de wijze waarop voorheen onopgemerkte kwetsbaarheden in de cyberbeveiliging van ICT-producten, -diensten en -processen moeten worden gemeld en aangepakt;

n)

indien van toepassing, regels over het bewaren van gegevens door conformiteitsbeoordelingsinstanties;

o)

een overzicht van nationale of internationale cyberbeveiligingscertificeringsregelingen die betrekking hebben op hetzelfde type of dezelfde categorieën ICT-producten, -diensten en -processen, beveiligingsvoorschriften, evaluatiecriteria en -methoden en zekerheidsniveaus;

p)

de inhoud en vorm van de af te geven Europees cyberbeveiligingscertificaten en EU-conformiteitsverklaringen;

q)

de beschikbaarheidstermijn van de EU-conformiteitsverklaring, de technische documentatie en alle andere relevante informatie die door de fabrikant of aanbieder van ICT-producten, -diensten of -processen ter beschikking moet worden gesteld;

r)

de maximale geldigheidsduur van Europees cyberbeveiligingscertificaten die uit hoofde van de regeling zijn afgegeven;

s)

het openbaarmakingsbeleid inzake uit hoofde van de regeling afgegeven, gewijzigde en ingetrokken Europees cyberbeveiligingscertificaten die zijn afgegeven;

t)

voorwaarden voor de wederzijdse erkenning van certificeringsregelingen met derde landen;

u)

indien van toepassing, regels met betrekking tot een door de regeling vastgesteld collegialetoetsingsmechanisme voor autoriteiten of instanties die krachtens artikel 56, lid 6, Europese cyberbeveiligingscertificaten afgeven met zekerheidsniveau „hoog”. Een dergelijk mechanisme doet geen afbreuk aan de in artikel 59 bedoelde collegiale toetsing;

v)

vormen en procedures waaraan de fabrikanten of aanbieders van ICT-producten, -diensten of -processen zich moeten houden bij de verstrekking en actualisering van de aanvullende informatie over cyberbeveiliging overeenkomstig artikel 55.

2.   De specifieke eisen van de Europese cyberbeveiligingscertificeringsregeling moeten in overeenstemming zijn met de toepasselijke wettelijke voorschriften, met name voorschriften die voortvloeien uit geharmoniseerd Unierecht.

3.   Indien een specifieke rechtshandeling van de Unie daarin voorziet, kan een certificaat of een EU-conformiteitsverklaring op grond van een Europese cyberbeveiligingscertificeringsregeling worden gebruikt om het vermoeden van conformiteit met de voorschriften van die rechtshandeling aan te tonen.

4.   Bij ontstentenis van geharmoniseerd Unierecht, kan in nationaal recht ook worden bepaald dat een Europese cyberbeveiligingscertificeringsregeling kan worden gebruikt om het vermoeden van conformiteit met de wettelijke voorschriften vast te stellen.

Artikel 55

Aanvullende cyberbeveiligingsinformatie voor gecertificeerde ICT-producten, -diensten en -processen

1.   De fabrikant of aanbieder van gecertificeerde ICT-producten, -diensten en -processen of van ICT-producten, -diensten en -processen waarvoor een EU-conformiteitsverklaring is afgegeven maakt de hierna genoemde aanvullende cyberbeveiligingsinformatie openbaar:

a)

richtsnoeren en aanbevelingen om eindgebruikers te helpen met de beveiligde configuratie, installatie, inzet, exploitatie en onderhoud van de ICT-producten of -diensten;

b)

de periode gedurende welke beveiligingsondersteuning zal worden aangeboden aan eindgebruikers, met name wat betreft de beschikbaarheid van actualiseringen in verband met cyberbeveiliging;

c)

contactgegevens van de fabrikant of aanbieder en aanvaarde methoden voor het ontvangen, van eindgebruikers en beveiligingsonderzoekers, van kwetsbaarheidsinformatie;

d)

een verwijzing naar online registers van openbaar gemaakte kwetsbaarheden met betrekking tot het ICT-product, de ICT-dienst of het ICT-proces en met betrekking tot relevante cyberbeveiligingsadviesorganen.

2.   De in lid 1 bedoelde informatie wordt in elektronische vorm beschikbaar gesteld, blijft beschikbaar en wordt indien nodig bijgewerkt, ten minste tot het verstrijken van het overeenkomstige Europese cyberbeveiligingscertificaat of de overeenkomstige EU-conformiteitsverklaring.

Artikel 56

Cyberbeveiligingscertificering

1.   ICT-producten, -diensten en -processen die zijn gecertificeerd uit hoofde van een overeenkomstig artikel 49 vastgestelde Europese cyberbeveiligingscertificeringsregeling, worden geacht te voldoen aan de voorschriften van een dergelijke regeling.

2.   De cyberbeveiligingscertificering geschiedt op basis van vrijwilligheid, tenzij in het recht van de Unie of de lidstaten anders is bepaald.

3.   De Commissie beoordeelt regelmatig de efficiëntie en het gebruik van de vastgestelde Europese cyberbeveiligingscertificeringsregelingen en beoordeelt of er door middel van het relevante Unierecht een specifieke Europese cyberbeveiligingscertificeringsregeling verplicht moet worden gesteld om te zorgen voor een passend niveau van cyberbeveiliging van ICT-producten, -diensten en -processen in de Unie en om de werking van de interne markt te verbeteren. De eerste zulke beoordeling vindt uiterlijk op 31 december 2023 plaats en daaropvolgende beoordelingen vinden ten minste om de twee jaar daarna plaats.

Op basis van de resultaten van die beoordelingen stelt de Commissie een lijst op van de onder een bestaande certificeringsregeling vallende ICT-producten, -diensten en -processen die gedekt moeten worden door een verplichte certificeringsregeling.

De Commissie concentreert zich prioritair op de in bijlage II bij Richtlijn (EU) 2016/1148 vermelde sectoren, die uiterlijk twee jaar na de vaststelling van de eerste Europese cyberbeveiligingscertificeringsregeling moeten worden beoordeeld.

Bij de voorbereiding van de beoordeling moet de Commissie:

a)

rekening houden met de gevolgen die de maatregelen hebben voor de fabrikanten of aanbieders van zulke ICT-producten, -diensten of -processen en voor de gebruikers in termen van de kosten van die maatregelen, evenals de maatschappelijke of economische voordelen die voortvloeien uit de verwachte betere beveiliging voor de beoogde ICT-producten, -diensten of -processen;

b)

rekening houden met het bestaan en de uitvoering van relevant recht in de lidstaten en derde landen;

c)

een open, transparant en inclusief overleg voeren met alle betrokken belanghebbenden en lidstaten;

d)

rekening houden met eventuele uitvoeringstermijnen, overgangsmaatregelen en overgangstermijnen, in het bijzonder betreffende de mogelijke gevolgen van de maatregelen voor de fabrikanten of aanbieders van ICT- producten, -diensten en -processen, met inbegrip van kleine en middelgrote ondernemingen;

e)

de snelste en efficiëntste wijze voorstellen waarop de overgang van vrijwillige naar verplichte certificeringsregelingen moet worden uitgevoerd.

4.   De in artikel 60 bedoelde conformiteitsbeoordelingsinstanties geven ingevolge dit artikel Europese cyberbeveiligingscertificaten voor zekerheidsniveau „basis” of „substantieel” af op basis van de criteria die zijn opgenomen in de op grond van artikel 49 door de Commissie vastgestelde Europese cyberbeveiligingscertificeringsregeling.

5.   In afwijking van lid 4 en in naar behoren gemotiveerde gevallen kan een Europese cyberbeveiligingscertificeringsregeling erin voorzien dat uit die regeling voortvloeiende Europees cyberbeveiligingscertificaten alleen door een overheidsinstantie kunnen worden afgegeven. Een dergelijke instantie is een van de volgende organen:

a)

een in artikel 58, lid 1, bedoelde nationale cyberbeveiligingscertificeringsautoriteit, of

b)

een overheidsorgaan dat als een conformiteitsbeoordelingsinstantie overeenkomstig artikel 60, lid 1, is geaccrediteerd.

6.   Indien een op grond van artikel 49 vastgestelde Europese cyberbeveiligingscertificeringsregeling een zekerheidsniveau „hoog” voorschrijft, dient het Europees cyberbeveiligingscertificaat uit hoofde van die regeling uitsluitend te worden afgegeven door een nationale cyberbeveiligingscertificeringsautoriteit, of, in de volgende gevallen, door een conformiteitsbeoordelingsinstantie:

a)

nadat de nationale cyberbeveiligingscertificeringsautoriteit elk door de conformiteitsbeoordelingsinstantie afgegeven individueel Europees cyberbeveiligingscertificaat heeft goedgekeurd, of

b)

op basis van een algemene delegatie door de nationale cyberbeveiligingscertificeringsautoriteit van de taak tot afgifte van dergelijke Europese cyberbeveiligingscertificaten aan een conformiteitsbeoordelingsinstantie.

7.   De natuurlijke of rechtspersoon die zijn ICT-producten, -diensten of -processen, aan de certificering onderwerpt, stelt aan de in artikel 58 bedoelde nationale cyberbeveiligingscertificeringsautoriteit, indien deze autoriteit het Europees cyberbeveiligingscertificaat afgeeft, of aan de in artikel 60 bedoelde conformiteitsbeoordelingsinstantie alle informatie ter beschikking die nodig is voor de uitvoering van de certificering.

8.   De houder van een Europees cyberbeveiligingscertificaat stelt de instantie of het orgaan, bedoeld in lid 7, in kennis van kwetsbaarheden of onregelmatigheden in verband met de beveiliging van gecertificeerde ICT-producten, -diensten of -processen die achteraf zijn vastgesteld en die gevolgen kunnen hebben voor de naleving van de met de certificering verband houdende voorschriften. Die instantie of dat orgaan stuurt die informatie onverwijld door naar de betrokken nationale cyberbeveiligingscertificeringsautoriteit.

9.   Een Europees cyberbeveiligingscertificaat wordt afgegeven voor de periode die is vastgesteld in de betrokken Europese cyberbeveiligingscertificeringsregeling en kan worden verlengd, mits nog steeds aan de desbetreffende voorschriften wordt voldaan.

10.   Een op grond van dit artikel afgegeven Europees cyberbeveiligingscertificaat wordt in alle lidstaten erkend.

Artikel 57

Nationale cyberbeveiligingscertificeringsregelingen en -certificaten

1.   Onverminderd lid 3 van dit artikel hebben nationale cyberbeveiligingscertificeringsregelingen en de daaraan verbonden procedures voor de ICT-producten, -diensten en -processen die onder een Europese cyberbeveiligingscertificeringsregeling vallen, niet langer gevolgen vanaf de datum die wordt bepaald in de op grond van artikel 49, lid 7, vastgestelde uitvoeringshandeling. Nationale cyberbeveiligingscertificeringsregelingen en de daaraan verbonden procedures voor ICT-producten, -diensten en -processen die niet onder een Europese cyberbeveiligingscertificeringsregeling vallen, blijven bestaan.

2.   De lidstaten voeren geen nieuwe nationale cyberbeveiligingscertificeringsregelingen in voor ICT-producten, -diensten en -processen die onder een van kracht zijnde Europese cyberbeveiligingscertificeringsregeling vallen.

3.   Bestaande certificaten die op grond van nationale cyberbeveiligingscertificeringsregelingen waren afgegeven en onder een Europese cyberbeveiligingscertificeringsregeling vallen, blijven geldig tot hun vervaldatum.

4.   Om versnippering van de interne markt te vermijden leggen de lidstaten elk voornemen voor de opstelling van nieuwe nationale cyberbeveiligingscertificeringsregelingen voor aan de Commissie en de EGC.

Artikel 58

Nationale cyberbeveiligingscertificeringsautoriteiten

1.   Iedere lidstaat wijst één of meer nationale cyberbeveiligingscertificeringsautoriteiten op zijn grondgebied aan, of wijst, in onderlinge overeenstemming met een andere lidstaat, één of meer in die andere lidstaat gevestigde nationale cyberbeveiligingscertificeringsautoriteiten aan die verantwoordelijk zijn voor de toezichthoudende taken in de aanwijzende lidstaat.

2.   Elke lidstaat stelt de Commissie in kennis van de identiteit van de aangewezen nationale cyberbeveiligingscertificeringsautoriteiten, wanneer een lidstaat meer dan één autoriteit aanwijst, geeft hij de Commissie ook informatie over de taken die aan elke van die autoriteiten zijn toegewezen.

3.   Onverminderd artikel 56, lid 5, onder a), en artikel 56, lid 6, is elke nationale cyberbeveiligingscertificeringsautoriteit op het vlak van haar organisatie, financieringsbeslissingen, rechtsstructuur en besluitvorming onafhankelijk van de entiteiten waarop zij toezicht houdt.

4.   De lidstaten zorgen ervoor dat de werkzaamheden van de nationale cyberbeveiligingscertificeringsautoriteit met betrekking tot de afgifte van de in artikel 56, lid 5, onder a), en artikel 56, lid 6, bedoelde Europese cyberbeveiligingscertificaten strikt gescheiden zijn van de in dit artikel bedoelde toezichthoudende werkzaamheden en dat die werkzaamheden onafhankelijk van elkaar worden verricht.

5.   De lidstaten zorgen ervoor dat de nationale cyberbeveiligingscertificeringsautoriteiten over voldoende middelen beschikken om hun bevoegdheden uit te oefenen en hun taken op een doeltreffende en doelmatige wijze uit te voeren.

6.   Met het oog op de doeltreffende uitvoering van deze verordening is het passend dat nationale cyberbeveiligingscertificeringsautoriteiten op een actieve, doeltreffende, efficiënte en betrouwbare manier deelnemen aan de EGC.

7.   Nationale cyberbeveiligingscertificeringsautoriteiten

a)

zien toe op en handhaven op grond van artikel 54, lid 1, onder j), in Europese cyberbeveiligingscertificeringsregelingen opgenomen regels voor toezicht op de conformiteit van ICT-producten, -diensten en -processen met de voorschriften van de Europese cyberbeveiligingscertificaten die zijn afgegeven op hun respectieve grondgebieden, in samenwerking met andere betrokken markttoezichtautoriteiten;

b)

monitoren de naleving door en handhaven de verplichtingen van de fabrikanten of aanbieders van ICT-producten, -diensten en -processen die gevestigd zijn op hun respectieve grondgebieden en conformiteitszelfbeoordelingen verrichten, en zien met name toe op de naleving en handhaving van de in artikel 53, leden 2 en 3, en in de overeenkomstige Europese cyberbeveiligingscertificeringsregeling bepaalde verplichtingen;

c)

verlenen, onverminderd artikel 60, lid 3, bijstand en ondersteuning aan de nationale accreditatie-instanties bij de monitoring van en het toezicht op de werkzaamheden van de conformiteitsbeoordelingsinstanties voor de toepassing van deze verordening;

d)

monitoren en houden toezicht op de werkzaamheden van de in artikel 56, lid 5, bedoelde openbare instanties;

e)

laten, indien van toepassing, overeenkomstig artikel 60, lid 3, conformiteitsbeoordelingsinstanties toe en gaan over tot het beperken, opschorten of intrekken van bestaande toelatingen indien de conformiteitsbeoordelingsinstanties inbreuk maken op de in deze verordening neergelegde voorschriften;

f)

behandelen klachten van natuurlijke of rechtspersonen over door de nationale cyberbeveiligingscertificeringsautoriteiten of overeenkomstig artikel 56, lid 6, door conformiteitsbeoordelingsinstanties afgegeven Europese cyberbeveiligingscertificaten, of over uit hoofde van artikel 53 afgegeven EU-conformiteitsverklaringen, en zij onderzoeken, voor zover passend, de inhoud van dergelijke klachten en stellen de klager binnen een redelijke termijn in kennis van de voortgang en het resultaat van het onderzoek;

g)

stellen een samenvattend jaarverslag op over de uit hoofde van de punten b), c) en d) van dit lid of overeenkomstig lid 8 ondernomen werkzaamheden voor Enisa en de EGC;

h)

werken samen met andere nationale cyberbeveiligingscertificeringautoriteiten of andere overheidsinstanties, onder meer door informatie uit te wisselen over de mogelijke niet-conformiteit van ICT-producten, -diensten en -processen met de voorschriften van deze verordening of met de voorschriften van specifieke Europese cyberbeveiligingscertificeringsregelingen, en

i)

volgen de relevante ontwikkelingen op het gebied van cyberbeveiligingscertificering.

8.   Elke nationale cyberbeveiligingscertificeringautoriteit beschikt ten minste over de volgende bevoegdheden:

a)

het verzoeken van conformiteitsbeoordelingsinstanties, houders van Europese cyberbeveiligingscertificaten en afgevers van EU-conformiteitsverklaringen om alle informatie te verstrekken die zij nodig heeft voor de uitvoering van haar taken;

b)

het verrichten van onderzoeken, in de vorm van audits, naar conformiteitsbeoordelingsinstanties, houders van Europese cyberbeveiligingscertificaten en afgevers van EU-conformiteitsverklaringen om hun naleving van deze titel te verifiëren;

c)

het nemen van passende maatregelen, overeenkomstig het nationale recht, om ervoor te zorgen dat conformiteitsbeoordelingsinstanties, houders van Europese cyberbeveiligingscertificaten en afgevers van EU-conformiteitsverklaringen deze verordening of een Europese regeling voor cyberbeveiligingscertificering naleven;

d)

het verkrijgen van toegang tot de gebouwen en terreinen van een conformiteitsbeoordelingsinstantie of houders van Europese cyberbeveiligingscertificaten voor het verrichten van onderzoeken overeenkomstig het procesrecht van de Unie of lidstaat;

e)

het overeenkomstig nationaal recht intrekken van door de nationale cyberbeveiligingscertificeringsautoriteit of overeenkomstig artikel 56, lid 6, door conformiteitsbeoordelingsinstanties afgegeven Europese cyberbeveiligingscertificaten die niet voldoen aan deze verordening of een Europese cyberbeveiligingscertificeringsregeling;

f)

de oplegging overeenkomstig nationaal recht van in artikel 65 bedoelde sancties en het eisen dat onmiddellijk een einde wordt gemaakt aan de niet-nakoming van de verplichtingen van deze verordening.

9.   Nationale cyberbeveiligingscertificeringsautoriteiten werken samen met elkaar en met de Commissie en wisselen met name informatie, ervaringen en goede praktijken uit op het vlak van cyberbeveiligingscertificering en technische vraagstukken met betrekking tot de cyberbeveiliging van ICT-producten, -diensten en -processen.

Artikel 59

Collegiale toetsing

1.   Met het oog op de verwezenlijking van gelijkwaardige normen in de hele Unie ten aanzien van Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen, worden nationale cyberbeveiligingscertificeringsautoriteiten onderworpen aan collegiale toetsing.

2.   De collegiale toetsing wordt verricht op basis van deugdelijke en transparante toetsingscriteria en -procedures, met name op het gebied van structuur-, personeels- en procesvereisten, vertrouwelijkheid en klachten.

3.   Collegiale toetsing beoordeelt:

a)

indien van toepassing, de vraag of de werkzaamheden van de nationale cyberbeveiligingscertificeringsautoriteiten met betrekking tot de in artikel 56, lid 5, onder a), en artikel 56, lid 6, bedoelde afgifte van Europese cyberbeveiligingscertificaten strikt gescheiden zijn van de in artikel 58 bepaalde toezichthoudende werkzaamheden en of die werkzaamheden onafhankelijk van elkaar worden verricht;

b)

de procedures voor het toezicht op en de handhaving van de regels voor het toezicht op de conformiteit van ICT-producten, -diensten en processen met Europese cyberbeveiligingscertificaten op grond van artikel 58, lid 7, onder a);

c)

de procedures voor de monitoring en handhaving van de verplichtingen van fabrikanten en aanbieders van ICT-producten, -diensten of -processen op grond van artikel 58, lid 7, onder b);

d)

de procedures voor het monitoren en toestaan van en het toezien op de werkzaamheden van de conformiteitsbeoordelingsinstanties;

e)

indien van toepassing, de vraag of het personeel van autoriteiten of instanties die op grond van artikel 56, lid 6, certificaten afgeven voor zekerheidsniveau „hoog”, over de passende expertise beschikt.

4.   Collegiale toetsingen worden verricht door ten minste twee nationale cyberbeveiligingscertificeringsautoriteiten van andere lidstaten en de Commissie en worden ten minste om de vijf jaar uitgevoerd. Enisa mag aan de collegiale toetsing deelnemen.

5.   De Commissie kan uitvoeringshandelingen vaststellen met een plan voor collegiale toetsingen dat een periode van ten minste vijf jaar beslaat, waarin criteria worden vastgesteld voor de samenstelling van het collegialetoetsingsteam, de bij de collegiale toetsing gebruikte methode, en het tijdschema, de frequentie en andere taken die daarmee verband houden. Bij de vaststelling van die uitvoeringshandelingen houdt de Commissie terdege rekening met de zienswijzen van de EGC. Die uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 66, lid 2, bedoelde onderzoeksprocedure.

6.   De uitkomsten van de collegiale toetsing worden onderzocht door de EGC, die een overzicht opstelt dat openbaar kan worden gemaakt en die, indien nodig, richtsnoeren of aanbevelingen uitvaardigt over door de betrokken entiteiten te ondernemen acties of te nemen maatregelen.

Artikel 60

Conformiteitsbeoordelingsinstanties

1.   De conformiteitsbeoordelingsinstanties worden door de op grond van Verordening (EG) nr. 765/2008 aangestelde nationale accreditatie-instantie geaccrediteerd. Dergelijke accreditatie wordt enkel verstrekt indien de conformiteitsbeoordelingsinstantie aan de in de bijlage bij deze verordening vastgestelde voorschriften voldoet.

2.   Indien op grond van artikel 56, lid 5, onder a), en artikel 56, lid 6, door een nationale cyberbeveiligingscertificeringsautoriteit een Europees cyberbeveiligingscertificaat wordt afgegeven, wordt de certificeringsinstantie van de nationale cyberbeveiligingscertificeringsautoriteit op grond van lid 1 van dit artikel geaccrediteerd als een conformiteitsbeoordelingsinstantie.

3.   Indien in Europese cyberbeveiligingscertificeringregelingen op grond van artikel 54, lid 1, onder f), specifieke of aanvullende eisen zijn bepaald, worden alleen conformiteitsbeoordelingsinstanties die aan die eisen voldoen door de nationale cyberbeveiligingscertificeringautoriteit toegestaan om taken uit hoofde van dergelijke regelingen uit te voeren.

4.   De in lid 1 bedoelde accreditatie wordt aan conformiteitsbeoordelingsinstanties afgegeven voor een maximumperiode van vijf jaar en kan onder dezelfde voorwaarden worden verlengd, mits de conformiteitsbeoordelingsinstantie nog steeds aan de in dit artikel gestelde eisen voldoet. Nationale accreditatie-instanties nemen binnen een redelijke termijn alle passende maatregelen om de op grond van lid 1 afgegeven accreditatie van een conformiteitsbeoordelingsinstantie te beperken, op te schorten of in te trekken wanneer niet of niet meer aan de voorwaarden voor de accreditatie wordt voldaan of wanneer de conformiteitsbeoordelingsinstantie inbreuk maakt op deze verordening.

Artikel 61

Aanmelding

1.   Voor elke Europese cyberbeveiligingscertificeringsregeling stellen de nationale cyberbeveiligingscertificeringautoriteiten de Commissie in kennis van de conformiteitsbeoordelingsinstanties die geaccrediteerd en, in voorkomend geval, overeenkomstig artikel 60, lid 3, gemachtigd zijn om Europese cyberbeveiligingscertificaten af te geven voor in artikel 52 bedoelde gespecificeerde zekerheidsniveaus. De nationale cyberbeveiligingscertificeringautoriteiten stellen de Commissie onverwijld in kennis van alle latere wijzigingen daarvan.

2.   Eén jaar na de inwerkingtreding van een Europese cyberbeveiligingscertificeringsregeling maakt de Commissie in het Publicatieblad van de Europese Unie een lijst met de uit hoofde van die regeling aangemelde conformiteitsbeoordelingsinstanties bekend.

3.   Indien de Commissie een aanmelding ontvangt nadat de in lid 2 bedoelde periode is verstreken, maakt zij binnen twee maanden na de datum van ontvangst van die aanmelding in het Publicatieblad van de Europese Unie de wijzigingen van de lijst van aangemelde conformiteitsbeoordelingsinstanties bekend.

4.   Een nationale cyberbeveiligingscertificeringsautoriteit kan bij de Commissie een verzoek indienen om een door die autoriteit aangemelde conformiteitsbeoordelingsinstantie te verwijderen van de in lid 2 bedoelde lijst van aangemelde conformiteitsbeoordelingsinstanties. Binnen één maand vanaf de datum van ontvangst van het verzoek van de nationale cyberbeveiligingscertificeringsautoriteit maakt de Commissie de overeenkomstige wijzigingen van die lijst bekend in het Publicatieblad van de Europese Unie.

5.   De Commissie kan uitvoeringshandelingen vaststellen om de omstandigheden, vormen en procedures van de in lid 1 van dit artikel bedoelde aanmeldingen vast te leggen. Die uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 66, lid 2, bedoelde onderzoeksprocedure.

Artikel 62

Europese Groep voor cyberbeveiligingscertificering

1.   De Europese Groep voor cyberbeveiligingscertificering („de EGC”) wordt opgericht.

2.   De EGC bestaat uit vertegenwoordigers van nationale cyberbeveiligingscertificeringsautoriteiten of vertegenwoordigers van andere relevante nationale autoriteiten. Een lid van de EGC vertegenwoordigt niet meer dan twee lidstaten.

3.   Belanghebbenden en relevante derde partijen kunnen worden uitgenodigd om de vergaderingen van de EGC bij te wonen en aan de werkzaamheden ervan deelnemen.

4.   De EGC heeft de volgende taken:

a)

advies en bijstand verlenen aan de Commissie in haar werkzaamheden om te zorgen voor een consistente uitvoering en toepassing van deze titel, met name met betrekking tot het voortschrijdend werkprogramma van de Unie, beleidsvraagstukken inzake cyberbeveiligingscertificering, de coördinatie van beleidsbenaderingen en de opstelling van Europese cyberbeveiligingscertificeringsregelingen;

b)

bijstand en advies verlenen aan en samenwerken met Enisa bij de voorbereiding van een potentiële regeling op grond van artikel 49;

c)

een advies uitbrengen over potentiële regelingen op grond van artikel 49;

d)

Enisa verzoeken potentiële regelingen op te stellen op grond artikel 48, lid 2;

e)

adviezen aan de Commissie uitbrengen met betrekking tot de instandhouding en herziening van bestaande Europese cyberbeveiligingscertificeringsregelingen;

f)

de relevante ontwikkelingen op het gebied van cyberbeveiligingscertificering bestuderen en informatie en goede praktijken op het gebied van cyberbeveiligingscertificeringsregelingen uitwisselen;

g)

de samenwerking tussen de nationale cyberbeveiligingscertificeringsautoriteiten voor uit hoofde van deze titel vergemakkelijken door middel van capaciteitsopbouw en informatie-uitwisseling, met name door de vaststelling van methoden voor de efficiënte uitwisseling van informatie over alle aangelegenheden die verband houden met cyberbeveiligingscertificering;

h)

ondersteuning verlenen aan de uitvoering van collegialetoetsingsmechanismen overeenkomstig de regels die op grond van artikel 54, lid 1, onder u), in een Europese cyberbeveiligingscertificeringsregeling zijn vastgesteld;

i)

de onderlinge afstemming van Europese cyberbeveiligingscertificeringsregelingen en internationaal erkende normen vergemakkelijken, onder andere door bestaande Europese cyberbeveiligingscertificeringsregelingen te herzien en waar nodig aanbevelingen te doen aan Enisa om betrekkingen met relevante internationale normalisatieorganisaties aan te knopen om tekortkomingen of hiaten in beschikbare internationaal erkende normen aan te pakken.

5.   De Commissie zit, bijgestaan door Enisa, de EGC voor en verzorgt het secretariaat van de EGC overeenkomstig artikel 8, lid 1, onder e).

Artikel 63

Recht om een klacht in te dienen

1.   Natuurlijke en rechtspersonen hebben het recht een klacht in te dienen bij de afgever van een Europees cyberbeveiligingscertificaat of, wanneer de klacht verband houdt met een Europees cyberbeveiligingscertificaat dat is afgegeven door een conformiteitsbeoordelingsinstantie handelend overeenkomstig artikel 56, lid 6), bij de bevoegde nationale cyberbeveiligingscertificeringsautoriteit.

2.   De autoriteit of instantie waarbij de klacht is ingediend stelt de klager in kennis van de voortgang van de procedure en van het genomen besluit, alsmede van de mogelijkheid van een doeltreffende voorziening in rechte als bedoeld in artikel 64.

Artikel 64

Recht op een doeltreffende voorziening in rechte

1.   Onverminderd bestuurlijke of buitengerechtelijke rechtsmiddelen hebben natuurlijke en rechtspersonen recht op een doeltreffende voorziening in rechte met betrekking tot:

a)

door de autoriteit of instantie bedoeld in artikel 63, lid 1, genomen besluiten, onder meer, in voorkomend geval, met betrekking tot onjuiste afgifte, nalaten van afgifte of erkenning van een Europees cyberbeveiligingscertificaat dat door die natuurlijke en rechtspersonen wordt gehouden;

b)

het verzuim om gevolg te geven aan een klacht die is ingediend bij de in artikel 63, lid 1, bedoelde autoriteit of instantie.

2.   Procedures op grond van dit artikel worden ingesteld bij een gerechtelijke instantie van de lidstaat waar de autoriteit of instantie jegens welke de voorziening in rechte wordt verzocht, is gevestigd.

Artikel 65

Sancties

De lidstaten stellen voorschriften vast betreffende sancties voor inbreuken op deze titel en voor inbreuken op Europese cyberbeveiligingscertificeringsregelingen en treffen alle nodige maatregelen om ervoor te zorgen dat die sancties worden toegepast. De vastgestelde sancties zijn doeltreffend, evenredig en afschrikkend. De lidstaten stellen de Commissie onverwijld van die voorschriften en die maatregelen in kennis alsmede van alle eventuele latere wijzigingen ervan.

TITEL IV

SLOTBEPALINGEN

Artikel 66

Comitéprocedure

1.   De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.   Wanneer naar dit lid wordt verwezen, is artikel 5, lid 4, onder b), van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 67

Evaluatie en toetsing

1.   Uiterlijk op 28 juni 2024, en vervolgens om de vijf jaar evalueert de Commissie het effect, de doeltreffendheid en de efficiëntie van Enisa, zijn werkmethoden, de eventuele noodzaak om het mandaat van Enisa te wijzigen en de financiële gevolgen van een dergelijke wijziging. Bij de evaluatie wordt rekening gehouden met feedback die aan Enisa is gegeven naar aanleiding van zijn activiteiten. Als de Commissie van oordeel is dat het voortbestaan van Enisa niet langer gerechtvaardigd is in het licht van de hem toegewezen doelstellingen, mandaat en taken, kan zij voorstellen om de bepalingen van deze verordening die betrekking hebben op Enisa, te wijzigen.

2.   Bij de evaluatie wordt ook gekeken naar de gevolgen, de doeltreffendheid en de efficiëntie van de bepalingen van titel III van deze verordening met betrekking tot de doelstellingen om een adequaat cyberbeveiligingsniveau van ICT-producten, -diensten en -processen in de Unie te waarborgen en de werking van de interne markt te verbeteren.

3.   Bij de evaluatie wordt beoordeeld of er voor cyberbeveiliging essentiële voorschriften voor toegang tot de interne markt nodig zijn om te voorkomen dat ICT-producten, -diensten en -processen die niet aan de basisvoorschriften inzake cyberbeveiliging voldoen, de markt van de Unie binnenkomen.

4.   Uiterlijk op 28 juni 2024 en vervolgens om de vijf jaar stuurt de Commissie een verslag over de evaluatie tezamen met haar conclusies toe aan het Europees Parlement, de Raad en de raad van bestuur. De bevindingen van dat evaluatieverslag worden openbaar gemaakt.

Artikel 68

Intrekking en opvolging

1.   Verordening (EU) nr. 526/2013 wordt met ingang van 27 juni 2019 ingetrokken.

2.   Verwijzingen naar Verordening (EG) nr. 526/2013 en naar Enisa gelden als verwijzingen naar deze verordening en naar Enisa, zoals bij deze verordening opgericht.

3.   Enisa zoals bij de onderhavige verordening opgericht, volgt Enisa zoals bij Verordening (EG) nr. 526/2013 opgericht, op wat alle eigendommen, overeenkomsten, juridische verplichtingen, arbeidsovereenkomsten, financiële verbintenissen en aansprakelijkheden betreft. Alle overeenkomstig Verordening (EU) nr. 526/2013 vastgestelde besluiten van de raad van bestuur en het dagelijks bestuur blijven geldig, mits zij stroken met deze verordening.

4.   Enisa wordt opgericht voor onbepaalde tijd met ingang van 27 juni 2019.

5.   De overeenkomstig artikel 24, lid 4, van Verordening (EU) nr. 526/2013 aangewezen uitvoerend directeur blijft in functie en oefent de taken uit van de uitvoerend directeur als bedoeld in artikel 20 van deze verordening voor het resterende gedeelte van de ambtstermijn van de uitvoerend directeur. De andere voorwaarden van zijn of haar contract blijven ongewijzigd.

6.   De overeenkomstig artikel 6 van Verordening (EU) nr. 526/2013 aangewezen leden van de raad van bestuur en hun plaatsvervangers blijven in functie en oefenen de taken uit van de raad van bestuur als bedoeld in artikel 15 van deze verordening voor het resterende gedeelte van hun ambtstermijn.

Artikel 69

Inwerkingtreding

1.   Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

2.   De artikelen 58, 60, 61, 63, 64 en 65 zijn van toepassing met ingang van 28 juni 2021.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Straatsburg, 17 april 2019.

Voor het Europees Parlement

De voorzitter

A. TAJANI

Voor de Raad

De voorzitter

G. CIAMBA


(1)  PB C 227 van 28.6.2018, blz. 86.

(2)  PB C 176 van 23.5.2018, blz. 29.

(3)  Standpunt van het Europees Parlement van 12 maart 2019 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 9 april 2019.

(4)  Aanbeveling van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (OJ L 124, 20.5.2003, blz. 36).

(5)  Verordening (EU) nr. 526/2013 van het Europees Parlement en de Raad van 21 mei 2013 inzake het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa) en tot intrekking van Verordening (EG) nr. 460/2004 (PB L 165 van 18.6.2013, blz. 41).

(6)  Verordening (EG) nr. 460/2004 van het Europees Parlement en de Raad van 10 maart 2004 tot oprichting van het Europees Agentschap voor netwerk- en informatiebeveiliging (PB L 77 van 13.3.2004, blz. 1).

(7)  Verordening (EG) nr. 1007/2008 van het Europees Parlement en de Raad van 24 september 2008 tot wijziging van Verordening (EG) nr. 460/2004 tot oprichting van het Europees Agentschap voor netwerk- en informatiebeveiliging, ten aanzien van de looptijd van het Agentschap (PB L 293 van 31.10.2008, blz. 1).

(8)  Verordening (EU) nr. 580/2011 van het Europees Parlement en de Raad van 8 juni 2011 tot wijziging van Verordening (EG) nr. 460/2004 tot oprichting van het Europees Agentschap voor netwerk- en informatiebeveiliging, ten aanzien van de looptijd van het Agentschap (PB L 165 van 24.6.2011, blz. 3).

(9)  Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PB L 194 van 19.7.2016, blz. 1).

(10)  Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(11)  Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37).

(12)  Richtlijn (EU) 2018/1972 van het Europees Parlement en de Raad van 11 december 2018 tot vaststelling van het Europees wetboek voor elektronische communicatie (PB L 321 van 17 december 2018, blz. 36).

(13)  Besluit (EG, Euratom) 2004/97, in onderlinge overeenstemming genomen door de vertegenwoordigers van de lidstaten, op het niveau van de staatshoofden en regeringsleiders bijeen, van 13 december 2003 inzake de vestigingsplaatsen van bepaalde bureaus en organen van de Europese Unie (PB L 29 van 3.2.2004, blz. 15).

(14)  PB C 12 van 13.1.2018, blz. 1.

(15)  Aanbeveling (EU) 2017/1584 van de Commissie van 13 september 2017 inzake een gecoördineerde respons op grootschalige cyberincidenten en -crises (PB L 239 van 19.9.2017, blz. 36).

(16)  Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93 (PB L 218 van 13.8.2008, blz. 30).

(17)  Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43).

(18)  Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295, 21.11.2018, blz. 39).

(19)  Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het Europees Parlement en de Raad (PB L 316 van 14.11.2012, blz. 12).

(20)  Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij (PB L 241 van 17.9.2015, blz. 1).

(21)  Richtlijn 2014/24/EU van het Europees Parlement en de Raad van 26 februari 2014 betreffende het plaatsen van overheidsopdrachten en tot intrekking van Richtlijn 2004/18/EG (PB L 94 van 28.3.2014, blz. 65).

(22)  Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

(23)  Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (PB L 257 van 28.8.2014, blz. 73).

(24)  PB L 56 van 4.3.1968, blz. 1.

(25)  Gedelegeerde Verordening (EU) nr. 1271/2013 van de Commissie van 30 september 2013 houdende de financiële kaderregeling van de organen, bedoeld in artikel 208 van Verordening (EU, Euratom) nr. 966/2012 van het Europees Parlement en de Raad (PB L 328 van 7.12.2013, blz. 42).

(26)  Besluit (EU, Euratom) 2015/443 van de Commissie van 13 maart 2015 betreffende veiligheid binnen de Commissie (PB L 72 van 17.3.2015, blz. 41).

(27)  Besluit (EU, Euratom) 2015/444 van de Commissie van 13 maart 2015 betreffende de veiligheidsvoorschriften voor de bescherming van gerubriceerde EU-informatie (PB L 72 van 17.3.2015, blz. 53).

(28)  Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad van 18 juli 2018 tot vaststelling van de financiële regels van toepassing op de algemene begroting van de Unie, tot wijziging van Verordeningen (EU) nr. 1296/2013, (EU) nr. 1301/2013, (EU) nr. 1303/2013, (EU) nr. 1304/2013, (EU) nr. 1309/2013, (EU) nr. 1316/2013, (EU) nr. 223/2014, (EU) nr. 283/2014 en Besluit nr. 541/2014/EU en tot intrekking van Verordening (EU, Euratom) nr. 966/2012 (PB L 193 van 30.7.2018, blz. 1).

(29)  Verordening (EU, Euratom) nr. 883/2013 van het Europees Parlement en de Raad van 11 september 2013 betreffende onderzoeken door het Europees Bureau voor fraudebestrijding (OLAF) en tot intrekking van Verordening (EG) nr. 1073/1999 van het Europees Parlement en de Raad en Verordening (Euratom) nr. 1074/1999 van de Raad (PB L 248 van 18.9.2013, blz. 1).

(30)  PB L 136 van 31.5.1999, blz. 15.

(31)  Verordening (Euratom, EG) nr. 2185/96 van de Raad van 11 november 1996 betreffende de controles en verificaties ter plaatse die door de Commissie worden uitgevoerd ter bescherming van de financiële belangen van de Europese Gemeenschappen tegen fraudes en andere onregelmatigheden (PB L 292 van 15.11.1996, blz. 2).

(32)  Verordening (EEG) nr. 1/58 van de Raad van 15 april 1958 tot regeling van het taalgebruik in de Europese Economische Gemeenschap (PB 17 van 6.10.1958, blz. 385).


BIJLAGE

VEREISTEN WAARAAN CONFORMITEITSBEOORDELINGSINSTANTIES MOETEN VOLDOEN

Conformiteitsbeoordelingsinstanties die wensen te worden geaccrediteerd, moeten aan de volgende vereisten voldoen:

1.

Een conformiteitsbeoordelingsinstantie is naar nationaal recht opgericht en heeft rechtspersoonlijkheid.

2.

Een conformiteitsbeoordelingsinstantie is een derde partij die onafhankelijk is van de door haar beoordeelde organisaties of ICT-producten, -diensten of -processen.

3.

Een instantie die behoort tot een branche- of beroepsorganisatie die ondernemingen vertegenwoordigt die betrokken zijn bij het ontwerpen, vervaardigen, leveren, monteren, gebruiken of onderhouden van de door haar beoordeelde ICT-producten, -diensten of -processen, kan als conformiteitsbeoordelingsinstantie worden beschouwd op voorwaarde dat haar onafhankelijkheid en de afwezigheid van belangenconflicten zijn aangetoond.

4.

De conformiteitsbeoordelingsinstanties, hun hoogste leidinggevenden en personen die de conformiteitsbeoordelingstaken verrichten, mogen niet de ontwerper, fabrikant, leverancier, installateur, koper, eigenaar, gebruiker of onderhouder zijn van het ICT-product, -dienst of -proces dat of die wordt beoordeeld, noch de gemachtigde van één van die partijen. Dat verbod vormt geen beletsel voor het gebruik van de beoordeelde ICT-producten die nodig zijn voor de activiteiten van de conformiteitsbeoordelingsinstantie of voor het gebruik van dergelijke ICT-producten voor persoonlijke doeleinden.

5.

De conformiteitsbeoordelingsinstantie, hun hoogste leidinggevenden en personen die de conformiteitsbeoordeling verrichten, zijn noch rechtstreeks noch als vertegenwoordiger van de betrokken partijen betrokken bij het ontwerpen, vervaardigen of bouwen, op de markt brengen, installeren, gebruiken of onderhouden van de ICT-producten, -diensten of -processen die worden beoordeeld. De conformiteitsbeoordelingsinstanties, hun hoogste leidinggevenden en personen die de conformiteitsbeoordelingstaken verrichten geen activiteiten die hun onafhankelijk oordeel of hun integriteit met betrekking tot hun conformiteitsbeoordelingswerkzaamheden, in het gedrang kunnen brengen. Dat verbod geldt met name voor adviesdiensten.

6.

Indien een conformiteitsbeoordelingsinstantie in eigendom is van of wordt geëxploiteerd door een overheidsinstantie, worden de onafhankelijkheid en de afwezigheid van belangenconflicten tussen de nationale cyberbeveiligingscertificeringsautoriteit en de conformiteitsbeoordelingsinstantie gewaarborgd en gedocumenteerd.

7.

Conformiteitsbeoordelingsinstanties zorgen ervoor dat de activiteiten van hun dochterondernemingen en onderaannemers geen afbreuk doen aan de vertrouwelijkheid, objectiviteit of onpartijdigheid van hun conformiteitsbeoordelingswerkzaamheden.

8.

Conformiteitsbeoordelingsinstanties en hun personeel voeren conformiteitsbeoordelingswerkzaamheden uit met de grootste mate van beroepsintegriteit en met de vereiste technische bekwaamheid op het specifieke gebied en zij zijn vrij van elke druk en beïnvloeding, waaronder van financiële aard, die hun oordeel of de resultaten van hun conformiteitsbeoordelingswerkzaamheden zouden kunnen beïnvloeden, in het bijzonder van of door personen of groepen van personen die belang hebben bij de resultaten van deze activiteiten.

9.

Een conformiteitsbeoordelingsinstantie is in staat alle conformiteitsbeoordelingstaken te vervullen die haar krachtens deze verordening zijn toegewezen, ongeacht of die taken door de conformiteitsbeoordelingsinstantie zelf dan wel namens haar en onder haar verantwoordelijkheid worden verricht. Elke uitbesteding aan of raadpleging van extern personeel wordt naar behoren gedocumenteerd, brengt geen tussenpersonen met zich mee en geschiedt bij schriftelijke overeenkomst waarin onder meer de vertrouwelijkheid en belangenconflicten worden geregeld. De betrokken conformiteitsbeoordelingsinstantie neemt de volledige verantwoordelijkheid voor de verrichte taken.

10.

Een conformiteitsbeoordelingsinstantie beschikt te allen tijde, voor elke conformiteitsbeoordelingsprocedure en voor elke soort, categorie of subcategorie ICT-producten, -diensten of -processen over:

a)

personeel met technische kennis en voldoende geschikte ervaring om de conformiteitsbeoordelingstaken te verrichten;

b)

beschrijvingen van de procedures voor de uitvoering van de conformiteitsbeoordeling, om de transparantie en de mogelijkheid tot reproductie van die procedures te waarborgen. Zij beschikt over een gepast beleid en geschikte procedures die een onderscheid maken tussen taken die zij als op grond van artikel 61 aangemelde instantie verricht en haar andere activiteiten;

c)

procedures voor de uitoefening van haar werkzaamheden, die naar behoren rekening houden met de omvang van een onderneming, de sector waarin deze actief is, de structuur ervan, de relatieve complexiteit van de technologie van het of de betrokken ICT-product, -dienst of -proces en het massa- of seriële karakter van het productieproces.

11.

Een conformiteitsbeoordelingsinstantie beschikt over de nodige middelen om de technische en administratieve taken in verband met de conformiteitsbeoordelingswerkzaamheden op passende wijze uit te voeren en heeft toegang tot alle vereiste apparatuur en faciliteiten.

12.

De voor de uitvoering van de conformiteitsbeoordelingswerkzaamheden verantwoordelijke personen:

a)

hebben een gedegen technische en beroepsopleiding gevolgd die alle relevante conformiteitsbeoordelingswerkzaamheden omvat;

b)

beschikken over toereikende kennis van de eisen inzake de conformiteitsbeoordelingen die ze verrichten en over voldoende bevoegdheid om die beoordelingen uit te voeren;

c)

beschikken over voldoende kennis van en inzicht in de toepasselijke eisen en testnormen;

d)

beschikken over de bekwaamheid om certificaten, dossiers en rapporten op te stellen die aantonen dat de conformiteitsbeoordelingen zijn verricht.

13.

De onpartijdigheid van de conformiteitsbeoordelingsinstanties, hun hoogste leidinggevenden, de voor de verrichting van de conformiteitsbeoordelingswerkzaamheden verantwoordelijke personen en eventuele onderaannemers wordt gegarandeerd.

14.

De beloning van de hoogste leidinggevenden en van de voor de verrichting van de conformiteitsbeoordelingswerkzaamheden verantwoordelijke personen hangt niet af van het aantal uitgevoerde conformiteitsbeoordelingen of van de resultaten daarvan.

15.

Conformiteitsbeoordelingsinstanties sluiten een aansprakelijkheidsverzekering af, tenzij aansprakelijkheid op grond van het nationale recht door de lidstaat wordt gedekt of de lidstaat zelf rechtstreeks verantwoordelijk is voor de conformiteitsbeoordeling.

16.

De conformiteitsbeoordelingsinstantie en haar personeel, comités, dochterondernemingen, onderaannemers en aanverwante instanties of het personeel van externe organisaties van een conformiteitsbeoordelingsinstantie zijn verplicht tot geheimhouding en zijn gebonden aan het beroepsgeheim ten aanzien van alle informatie waarvan zij kennisnemen bij de uitoefening van hun conformiteitsbeoordelingstaken uit hoofde van deze verordening of op grond van bepalingen van nationaal recht die aan deze verordening uitvoering geven, behalve wanneer bekendmaking wordt vereist door wetgeving van de Unie of de lidstaat waaronder zij vallen en behalve ten opzichte van de bevoegde autoriteiten van de lidstaat waarin de werkzaamheden plaatsvinden. Intellectuele eigendomsrechten worden beschermd. De conformiteitsbeoordelingsinstantie beschikt over gedocumenteerde procedures met betrekking tot de vereisten van dit punt.

17.

Met uitzondering van punt 16 sluiten de voorschriften van deze bijlage op geen enkele wijze de uitwisseling uit van technische inlichtingen en regelgevingsrichtsnoeren tussen een conformiteitsbeoordelingsinstantie en een persoon die om certificering verzoekt of dat overweegt.

18.

Conformiteitsbeoordelingsinstanties handelen overeenkomstig een reeks consistente, billijke en redelijke voorwaarden, met inachtneming van de belangen van kleine en middelgrote ondernemingen met betrekking tot vergoedingen.

19.

Conformiteitsbeoordelingsinstanties voldoen aan de eisen van de toepasselijke norm die op grond van Verordening (EG) nr. 765/2008 is geharmoniseerd voor de accreditatie van conformiteitsbeoordelingsinstanties die ICT-producten, -diensten of -processen certificeren.

20.

Conformiteitsbeoordelingsinstanties zorgen ervoor dat testlaboratoria die worden gebruikt voor conformiteitsbeoordelingen voldoen aan de eisen van de toepasselijke norm die op grond van Verordening (EG) nr. 765/2008 is geharmoniseerd voor de accreditatie van laboratoria die tests uitvoeren.


RICHTLIJNEN

7.6.2019   

NL

Publicatieblad van de Europese Unie

L 151/70


RICHTLIJN (EU) 2019/882 VAN HET EUROPEES PARLEMENT EN DE RAAD

van 17 april 2019

betreffende de toegankelijkheidsvoorschriften voor producten en diensten

(Voor de EER relevante tekst)

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 114,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité (1),

Handelend volgens de gewone wetgevingsprocedure (2),

Overwegende hetgeen volgt:

(1)

Deze richtlijn strekt ertoe een bijdrage te leveren tot het goed functioneren van de interne markt middels onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten inzake de toegankelijkheidsvoorschriften voor bepaalde producten en diensten, in het bijzonder door belemmeringen voor het vrije verkeer van bepaalde toegankelijke producten en diensten ten gevolge van uiteenlopende toegankelijkheidsvoorschriften in de lidstaten, weg te nemen en te voorkomen. Dit zou de beschikbaarheid van toegankelijke producten en diensten in de interne markt vergroten en de toegankelijkheid van relevante informatie verbeteren.

(2)

Er is veel vraag naar toegankelijke producten en diensten, en volgens ramingen zal het aantal personen met een handicap aanzienlijk toenemen. Een omgeving waar producten en diensten beter toegankelijk zijn, draagt bij tot een inclusievere samenleving en maakt het voor personen met een handicap gemakkelijker om zelfstandig te leven. In dit verband moet voor ogen worden gehouden dat in de Unie handicaps vaker voorkomen bij vrouwen dan bij mannen.

(3)

In deze richtlijn worden personen met een handicap gedefinieerd volgens het op 13 december 2006 vastgestelde VN-Verdrag inzake de rechten van personen met een handicap (VN-VRPH), waarbij de Unie sinds 21 januari 2011 partij is en dat door alle lidstaten is geratificeerd. Volgens het VN-VRPH omvat personen met een handicap „personen met langdurige fysieke, mentale, intellectuele of zintuiglijke beperkingen die in hun interactie te kampen hebben met diverse drempels die hen kunnen beletten volledig, effectief en op voet van gelijkheid met anderen te participeren in de samenleving”. Deze richtlijn bevordert de volledige en effectieve participatie op voet van gelijkheid door te zorgen voor betere toegang tot veelgebruikte producten en diensten die door hun oorspronkelijke vormgeving of latere aanpassing tegemoetkomen aan de specifieke behoeften van personen met een handicap.

(4)

Andere personen met een functionele beperking, zoals ouderen, zwangere vrouwen of personen die reizen met bagage, zouden eveneens voordeel bij deze richtlijn hebben. Het concept „personen met een functionele beperking” als bedoeld in deze richtlijn omvat personen die, permanent dan wel tijdelijk, beperkingen hebben van lichamelijke, geestelijke, intellectuele of zintuiglijke aard, als gevolg van leeftijd of door andere lichamelijke oorzaken, die in wisselwerking met diverse belemmeringen tot gevolg heeft dat zij slechts beperkt toegang hebben tot producten en diensten, en er een situatie ontstaat dat deze producten en diensten aan hun specifieke behoeften moeten worden aangepast.

(5)

De verschillen tussen de wettelijke en bestuursrechtelijke bepalingen van de lidstaten met betrekking tot de toegankelijkheid van producten en diensten voor personen met een handicap, leiden tot belemmeringen in het vrije verkeer van producten en diensten en verstoren de daadwerkelijke mededinging in de interne markt. Bij bepaalde producten en diensten worden deze verschillen in de Unie waarschijnlijk groter na de inwerkingtreding van het VN- VRPH. Marktdeelnemers, met name kleine en middelgrote ondernemingen, ondervinden in het bijzonder hinder van deze belemmeringen.

(6)

De uiteenlopende nationale toegankelijkheidsvoorschriften ontmoedigen met name zelfstandigen, kleine en middelgrote ondernemingen en micro-ondernemingen om zakelijke activiteiten buiten hun binnenlandse markt te ontplooien. De nationale of zelfs regionale of lokale toegankelijkheidsvoorschriften die de lidstaten hebben vastgesteld, verschillen momenteel zowel wat betreft toepassingsgebied als mate van gedetailleerdheid. Door de extra kosten die nodig zijn om toegankelijke producten en diensten voor elke nationale markt te ontwikkelen en te verhandelen, hebben deze verschillen een negatief effect op het concurrentievermogen en de groei.

(7)

Door de beperkte concurrentie tussen leveranciers worden gebruikers van toegankelijke producten en van hulptechnologieën en diensten geconfronteerd met hoge prijzen. De potentiële voordelen van het uitwisselen van ervaringen tussen nationale en internationale marktdeelnemers bij het inspelen op maatschappelijke en technologische ontwikkelingen worden beperkt door de versnippering van de nationale regelingen.

(8)

Voor het goed functioneren van de interne markt is het daarom noodzakelijk de nationale maatregelen op Unieniveau op elkaar af te stemmen, teneinde een einde te maken aan de fragmentatie van de markt voor toegankelijke producten en diensten, schaalvoordelen tot stand te brengen, de grensoverschrijdende handel en mobiliteit te vergemakkelijken en de marktdeelnemers te helpen hun beschikbare middelen aan innovatie te besteden en niet aan kosten voortvloeiend uit versnipperde wetgeving in de Unie.

(9)

De voordelen van het harmoniseren van toegankelijkheidsvoorschriften voor de interne markt blijken uit de toepassing van Richtlijn 2014/33/EU van het Europees Parlement en de Raad (3) betreffende liften en Verordening (EG) nr. 661/2009 van het Europees Parlement en de Raad (4) op het gebied van vervoer.

(10)

Bij verklaring nr. 22, betreffende personen met een handicap, gehecht aan het Verdrag van Amsterdam, is de Conferentie van de vertegenwoordigers van de regeringen der lidstaten overeengekomen dat de instellingen van de Unie bij het vaststellen van maatregelen krachtens artikel 114 van het Verdrag betreffende de werking van de Europese Unie (VWEU) rekening houden met de behoeften van personen met een handicap.

(11)

Het algemene doel van de mededeling van de Commissie van 6 mei 2015„Een strategie voor een digitale eengemaakte markt voor Europa” is het realiseren van duurzame economische en sociale voordelen dankzij een connectieve digitale eengemaakte markt, waardoor de handel wordt gefaciliteerd en de werkgelegenheid in de Unie wordt bevorderd. Consumenten in de Unie kunnen nog steeds niet optimaal profiteren van de prijsvoordelen en keuzemogelijkheden die de eengemaakte markt kan bieden, omdat grensoverschrijdende onlinetransacties nog zeer beperkt zijn. Ook de versnippering van de markt beperkt de vraag naar grensoverschrijdende e-handelstransacties. Tevens is een gecoördineerde aanpak nodig om ervoor te zorgen dat elektronische inhoud, elektronischecommunicatiediensten en toegang tot audiovisuele mediadiensten volledig toegankelijk zijn voor personen met een handicap. Daarom is het nodig de toegankelijkheidsvoorschriften in de hele digitale eengemaakte markt te harmoniseren en ervoor te zorgen dat alle burgers van de Unie, ongeacht hun vermogens, de voordelen ervan kunnen genieten.

(12)

Sinds de Unie partij is bij het VN-VRPH, maken de bepalingen ervan integraal deel uit van de rechtsorde van de Unie en zijn zij bindend voor de instellingen en de lidstaten van de Unie.

(13)

Bij het VN-VRPH is bepaald dat de partijen bij dat verdrag passende maatregelen nemen om personen met een handicap op voet van gelijkheid met anderen de toegang te garanderen tot de fysieke omgeving, tot vervoer, tot informatie en communicatie, met inbegrip van informatie- en communicatietechnologieën en -systemen, en tot andere voorzieningen en diensten die openstaan voor of verleend worden aan het publiek, zowel in stedelijke als in landelijke gebieden. Het VN-comité voor de rechten van personen met een handicap heeft geconstateerd dat er een wetgevingskader nodig is met concrete, afdwingbare en tijdgebonden ijkpunten voor het toezicht op de geleidelijke invoering van toegankelijkheid.

(14)

Het VN-VRPH roept de partijen bij dit verdrag op tot het uitvoeren of bevorderen van onderzoek naar en ontwikkeling van, en het bevorderen van de beschikbaarheid en het gebruik van nieuwe technologieën, met inbegrip van informatie- en communicatietechnologieën, mobiliteitshulpmiddelen, instrumenten en hulptechnologieën, die geschikt zijn voor personen met een handicap. In het VN-VRPH wordt tevens verzocht om prioriteit te geven aan betaalbare technologieën.

(15)

Doordat het VN-VRPH doorwerkt in de rechtsorde van de lidstaten, zijn er aanvullende nationale bepalingen over de toegankelijkheid van producten en diensten nodig. Zonder optreden van de Unie zouden die bepalingen tot nog grotere verschillen tussen de wettelijke en bestuursrechtelijke bepalingen van de lidstaten leiden.

(16)

Daarom is het noodzakelijk de uitvoering van het VN- VRPH in de Unie te faciliteren met gemeenschappelijke EU-regels. Deze richtlijn helpt voorts de lidstaten hun nationale afspraken en hun verplichtingen uit hoofde van het VN-VRPH in verband met toegankelijkheid op geharmoniseerde wijze na te komen.

(17)

In de mededeling van de Commissie van 15 november 2010 getiteld „Europese strategie inzake handicaps 2010-2020 — Een hernieuwd engagement voor een onbelemmerd Europa” wordt in overeenstemming met het VN- VRPH toegankelijkheid tot een van de acht actieterreinen bestempeld, wordt gesteld dat toegankelijkheid een basisvoorwaarde voor deelname aan de samenleving is, en wordt beoogd ervoor te zorgen dat producten en diensten toegankelijk zijn.

(18)

Welke producten en diensten onder deze richtlijn vallen, is bepaald op basis van een screening in het kader van de effectbeoordeling die de voor personen met een handicap relevante producten en diensten in kaart heeft gebracht, waarvoor de lidstaten uiteenlopende nationale, het functioneren van de interne markt verstorende toegankelijkheidsvoorschriften hebben vastgesteld of vermoedelijk zullen vaststellen.

(19)

Teneinde de toegankelijkheid van de onder deze richtlijn vallende diensten te garanderen, moeten producten die gebruikt worden bij het verlenen van die diensten waarvan de consument gebruikmaakt, eveneens aan de toepasselijke toegankelijkheidsvoorschriften van deze richtlijn voldoen.

(20)

Zelfs als een dienst, of een deel daarvan, aan een derde wordt uitbesteed, mag de toegankelijkheid van die dienst niet in het gedrang worden gebracht en moeten de dienstverleners voldoen aan de verplichtingen van deze richtlijn. Dienstverleners moeten er tevens voor zorgen dat hun personeelsleden naar behoren en continu worden opgeleid, zodat zij de nodige kennis van zaken hebben met betrekking tot het gebruik van toegankelijke producten en diensten. Die opleiding moet onder meer betrekking hebben op informatieverschaffing, advies en reclame.

(21)

Toegankelijkheidsvoorschriften moeten zodanig worden ingevoerd dat de marktdeelnemers en de lidstaten zo min mogelijk worden belast.

(22)

Om het vrije verkeer van producten en diensten die onder deze richtlijn vallen op de interne markt te waarborgen, moeten er toegankelijkheidsvoorschriften voor het in de handel brengen ervan worden vastgesteld.

(23)

Deze richtlijn dient functionele toegankelijkheidsvoorschriften verplicht te stellen en zij moeten worden uitgedrukt in de vorm van algemene doelstellingen. Deze voorschriften moeten nauwkeurig genoeg zijn om juridisch bindende verplichtingen te scheppen, en voldoende gedetailleerd om de conformiteit te kunnen beoordelen en zo het goed functioneren van de interne markt voor de onder deze richtlijn vallende producten en diensten te waarborgen, maar moeten tegelijkertijd een zekere flexibiliteit bieden om innovatie mogelijk te maken.

(24)

Deze richtlijn bevat een aantal functioneleprestatie-eisen met betrekking tot de bedieningswijzen van producten en diensten. Deze eisen zijn niet bedoeld als algemeen alternatief voor de toegankelijkheidsvoorschriften van deze richtlijn, maar mogen uitsluitend in uiterst specifieke situaties worden toegepast. Indien de toegankelijkheidsvoorschriften van deze richtlijn één of meer specifieke functies of eigenschappen van producten of diensten niet dekken, moeten deze eisen daarop worden toegepast, teneinde de producten of diensten in kwestie toegankelijk te maken. Bovendien, ingeval een toegankelijkheidsvoorschrift specifieke technische voorschriften bevat en een product of dienst voorziet in een alternatieve technische oplossing voor deze technische voorschriften, moet deze alternatieve technische oplossing nog altijd aan de betreffende toegankelijkheidsvoorschriften voldoen en in gelijkwaardige of verhoogde toegankelijkheid resulteren door aan de desbetreffende functioneleprestatie-eisen te voldoen.

(25)

Gewone computerapparatuur voor consumenten dient onder deze richtlijn te vallen. Om die apparatuur op een toegankelijke manier te kunnen laten werken, moet het besturingssysteem ervan eveneens toegankelijk zijn. Dergelijke computerapparatuur is multifunctioneel en kan, met de juiste software, de meest voorkomende, door consumenten gevraagde computertaken uitvoeren, en is bedoeld voor gebruik door consumenten. Personal computers, met inbegrip van desktops, laptops, smartphones en tablets, zijn voorbeelden van dergelijke computerapparatuur. Gespecialiseerde computers die zijn ingebouwd in consumentenelektronica behoren niet tot gewone computerapparatuur voor consumenten. Afzonderlijke componenten met specifieke functies, zoals een moederbord of een geheugenkaart, die in dergelijke apparatuur gebruikt worden of kunnen worden, mogen niet op individuele basis onder deze richtlijn te vallen.

(26)

Deze richtlijn moet ook van toepassing zijn op betaalterminals, inclusief apparatuur en software daarvoor, op bepaalde interactieve zelfbedieningsterminals voor gebruik ter verrichting van onder deze richtlijn vallende diensten, inclusief hun apparatuur en software daarvoor: bijvoorbeeld geldautomaten, ticketautomaten voor de uitgifte van fysieke tickets die toegang tot diensten geven, bijvoorbeeld reisticketautomaten en nummertjesautomaten in bankkantoren; incheckautomaten; en interactieve informatieverstrekkende zelfbedieningsterminals, met inbegrip van interactieve informatieschermen.

(27)

Bepaalde interactieve informatieverstrekkende zelfbedieningsterminals die als geïntegreerde delen van voertuigen, luchtvaartuigen, schepen of rollend materieel zijn geïnstalleerd, moeten van het toepassingsgebied van deze richtlijn worden uitgesloten, aangezien zij onderdeel zijn van deze voertuigen, luchtvaartuigen, schepen of rollend materieel, die niet onder deze richtlijn vallen.

(28)

Onder deze richtlijn moeten tevens elektronischecommunicatiediensten vallen, met inbegrip van noodcommunicatie, zoals omschreven in Richtlijn (EU) 2018/1972 van het Europees Parlement en de Raad (5). Momenteel nemen de lidstaten wat betreft de toegankelijkheid voor personen met een handicap uiteenlopende maatregelen die niet in de gehele interne markt geharmoniseerd zijn. Wanneer in de hele Unie dezelfde toegankelijkheidsvoorschriften gelden, biedt dat schaalvoordelen voor marktdeelnemers die in meer dan één lidstaat actief zijn, en bevordert dat de daadwerkelijke toegang van personen met een handicap zowel in hun eigen lidstaat als op reis van de ene lidstaat naar de andere. Om ervoor te zorgen dat elektronischecommunicatiediensten, met inbegrip van noodcommunicatie, toegankelijk zijn, moeten dienstverleners bij het aanbieden van video niet alleen in stem voorzien maar tevens in realtimetekst en totaleconversatiediensten, en al deze communicatiemiddelen synchroon laten lopen. De lidstaten moeten, naast de voorschriften van deze richtlijn, in overeenstemming met Richtlijn (EU) 2018/1972 bemiddelingsdiensten kunnen aanwijzen waarvan personen met een handicap gebruik kunnen maken.

(29)

Bij deze richtlijn worden toegankelijkheidsvoorschriften voor elektronischecommunicatiediensten en verwante producten geharmoniseerd, en wordt Richtlijn (EU) 2018/1972, inzake voorschriften voor gelijkwaardige toegang en keuze voor eindgebruikers met een handicap, aangevuld. Bij Richtlijn (EU) 2018/1972 worden tevens voorschriften in het kader van de universeledienstverplichtingen vastgesteld wat betreft de betaalbaarheid van internettoegang en gesproken communicatie alsmede wat betreft de betaalbaarheid en beschikbaarheid van verwante eindapparatuur, specifieke uitrusting en diensten voor consumenten met een handicap.

(30)

Ook eindapparatuur voor gebruik door consumenten, met interactieve computerfuncties die naar verwachting hoofdzakelijk voor toegang tot elektronischecommunicatiediensten zullen worden gebruikt, dient onder deze richtlijn te vallen. Deze apparatuur dient voor de toepassing van deze richtlijn tevens geacht te worden apparatuur te omvatten die gebruikt wordt als onderdeel van de voorziening voor het verkrijgen van toegang tot de elektronischecommunicatiediensten, zoals een router of een modem.

(31)

Voor de toepassing van deze richtlijn moet onder toegang tot audiovisuele mediadiensten verstaan worden dat de toegang tot audiovisuele inhoud toegankelijk is, en dat er mechanismen zijn waardoor gebruikers met een handicap gebruik kunnen maken van hulptechnologieën. Bij diensten die toegang verschaffen tot audiovisuele mediadiensten kan het onder meer gaan om websites, onlinetoepassingen, elektronische applicaties op basis van set-top-boxen, downloadbare toepassingen, diensten op basis van mobiele apparaten, daaronder begrepen mobiele applicaties en bijbehorende mediaspelers, alsmede geconnecteerde televisiediensten. De toegankelijkheid van audiovisuele mediadiensten is gereguleerd bij Richtlijn 2010/13/EU van het Europees Parlement en de Raad (6) met uitzondering van de toegankelijkheid van elektronische programmagidsen (EPG’s) die vallen onder de definitie van diensten die toegang verschaffen tot audiovisuele mediadiensten, die onder deze richtlijn vallen.

(32)

Wat betreft personenvervoer per vliegtuig, bus, trein en over water dient deze richtlijn onder meer betrekking te hebben op het verstrekken van informatie over vervoersdiensten, met inbegrip van realtime-reisinformatie via websites, diensten op basis van mobiele apparaten, interactieve informatieschermen en interactieve zelfbedieningsterminals die passagiers met een handicap nodig hebben om te reizen. Hierbij kan het gaan om informatie over producten en -diensten voor personenvervoer van de dienstverlener, informatie vóór de reis, informatie tijdens de reis en informatie bij annulering van een vervoersdienst of vertraging bij vertrek. Anderzijds kan het ook gaan om informatie over prijzen en promoties.

(33)

Deze richtlijn dient tevens van toepassing te zijn op websites, diensten op basis van mobiele apparaten, onder meer mobiele applicaties die zijn ontwikkeld of beschikbaar worden gesteld door exploitanten van diensten voor personenvervoer, elektronische ticketing, elektronische tickets en interactieve zelfbedieningsterminals.

(34)

Bij het bepalen van de werkingssfeer van deze richtlijn ten aanzien van diensten voor personenvervoer per vliegtuig, bus, trein en over water dient te worden uitgegaan van de bestaande sectorale wetgeving inzake passagiersrechten. Wanneer deze richtlijn niet van toepassing is op bepaalde soorten vervoersdiensten, dienen de lidstaten de dienstverleners aan te moedigen de betreffende toegankelijkheidsvoorschriften van deze richtlijn toe te passen.

(35)

Richtlijn (EU) 2016/2102 van het Europees Parlement en de Raad (7) verplicht overheidsinstanties die vervoersdiensten, waaronder stedelijke en voorstedelijke vervoersdiensten en regionale vervoersdiensten, aanbieden, reeds hun websites toegankelijk te maken. Onderhavige richtlijn bevat nog vrijstellingen voor micro-ondernemingen die diensten, waaronder stedelijke en voorstedelijke vervoersdiensten en regionale vervoersdiensten, verlenen. Voorts bevat onderhavige richtlijn verplichtingen die ervoor zorgen dat websites voor e-handel toegankelijk zijn. Omdat deze richtlijn een grote meerderheid van particuliere aanbieders van vervoersdiensten verplicht hun websites toegankelijk te maken bij de onlineverkoop van tickets, behoeven in onderhavige richtlijn geen verdere voorschriften voor de websites van aanbieders van stedelijke en voorstedelijke vervoersdiensten en regionale vervoersdiensten te worden opgenomen.

(36)

Bepaalde elementen van de toegankelijkheidsvoorschriften, met name in verband met het verstrekken van informatie als bedoeld in deze richtlijn, worden reeds geregeld bij bestaande Uniewetgeving op het gebied van personenvervoer. Het gaat onder meer om onderdelen van Verordening (EG) nr. 261/2004 van het Europees Parlement en de Raad (8), Verordening (EG) nr. 1107/2006 van het Europees Parlement en de Raad (9), Verordening (EG) nr. 1371/2007 van het Europees Parlement en de Raad (10), Verordening (EU) nr. 1177/2010 van het Europees Parlement en de Raad (11) en Verordening (EU) nr. 181/2011 van het Europees Parlement en de Raad (12). Het gaat ook om relevante handelingen die zijn vastgesteld op basis van Richtlijn 2008/57/EG van het Europees Parlement en de Raad (13). Ten behoeve van de samenhang in de regelgeving dienen de bij die verordeningen en handelingen opgelegde toegankelijkheidsvoorschriften te blijven gelden als voorheen. De extra voorschriften van deze richtlijn vormen evenwel een aanvulling op de bestaande voorschriften en kunnen het functioneren van de interne markt op vervoersgebied verbeteren en personen met een handicap ten goede komen.

(37)

Bepaalde onderdelen van vervoersdiensten mogen niet onder deze richtlijn te vallen voor zover zij buiten het grondgebied van de lidstaten worden verleend, zelfs indien de dienst tot de markt van de Unie is gericht. Met betrekking tot die onderdelen dient een exploitant van een personenvervoersdienst uitsluitend wat betreft het binnen het grondgebied van de Unie verleende deel van de dienst ertoe te worden verplicht de voorschriften van deze richtlijn na te leven. In het geval van luchtvervoer moeten de luchtvaartmaatschappijen van de Unie er evenwel voor zorgen dat de toepasselijke voorschriften van deze richtlijn ook worden nageleefd op vluchten van een luchthaven in een derde land naar een luchthaven op het grondgebied van een lidstaat. Voorts moeten alle luchtvaartmaatschappijen, ook die welke geen licentie hebben in de Unie, ervoor zorgen dat de toepasselijke voorschriften van deze richtlijn worden nagekomen indien het vluchten betreft met vertrek op het grondgebied van de Unie en aankomst op het grondgebied van een derde land.

(38)

Stedelijke overheden moeten worden aangemoedigd om onbelemmerde toegankelijkheid tot stedelijke vervoersdiensten te integreren in hun duurzame stedelijke mobiliteitsplannen (SUMP’s), en om regelmatig lijsten van beste praktijken inzake onbelemmerde toegankelijkheid tot stedelijk openbaar vervoer en mobiliteit bekend te maken.

(39)

Het recht van de Unie inzake bankdiensten en financiële diensten strekt ertoe de afnemers van die diensten in de gehele Unie te beschermen en hun informatie te verstrekken, maar omvat geen toegankelijkheidsvoorschriften. Om personen met een handicap in staat te stellen in de gehele Unie gebruik te maken van deze mede via websites en diensten op basis van mobiele apparaten, daaronder begrepen mobiele applicaties, weloverwogen beslissingen te nemen en erop te kunnen vertrouwen dat zij voldoende, op gelijke voet met andere consumenten beschermd zijn, en om een gelijk speelveld voor dienstverleners te waarborgen, dient deze richtlijn gemeenschappelijke toegankelijkheidsvoorschriften vast te stellen voor bepaalde aan consumenten verleende bank- en financiële diensten.

(40)

De passende toegankelijkheidsvoorschriften moeten ook gelden voor identificatiemethoden, elektronische handtekening en betalingsdiensten, aangezien deze noodzakelijk zijn voor het sluiten van transacties op het gebied van bankieren door consumenten.

(41)

E-boekbestanden werken met behulp van een elektronische computercode die de verspreiding en raadpleging van een hoofdzakelijk tekstueel en grafisch intellectueel werk mogelijk maken. De nauwkeurigheid van deze code bepaalt de toegankelijkheid van e-boekbestanden, met name met betrekking tot de kwalificatie van de verschillende bestanddelen van het werk en de gestandaardiseerde beschrijving van de structuur ervan. Via interoperabiliteit op het gebied van toegankelijkheid moeten die bestanden optimaal compatibel worden gemaakt met de gebruikersagenten en de huidige en toekomstige hulptechnologieën. De specifieke kenmerken van bijzondere boeken, zoals strips, kinderboeken en kunstboeken, moeten worden bezien in het licht van alle toepasselijke toegankelijkheidsvoorschriften. Bij uiteenlopende toegankelijkheidsvoorschriften in de lidstaten is het moeilijk voor uitgeverijen en andere marktdeelnemers om te profiteren van de voordelen van de interne markt, kunnen er interoperabiliteitsproblemen met e-lezers ontstaan en wordt de toegang voor klanten met een handicap beperkt. In het geval van e-boeken kunnen onder dienstverlener ook worden verstaan uitgevers en andere marktdeelnemers die een rol in de distributie spelen.

Onderkend wordt dat personen met een handicap ook nog steeds moeilijkheden ondervinden om toegang te krijgen tot inhoud die wordt beschermd door auteursrechten en naburige rechten en dat er reeds bepaalde maatregelen zijn genomen om deze situatie te verhelpen, bijvoorbeeld door de vaststelling van Richtlijn (EU) 2017/1564 van het Europees Parlement en de Raad (14) en Verordening (EU) 2017/1563 van het Europees Parlement en de Raad (15), en dat er op dit gebied in de toekomst nog meer maatregelen van de Unie zouden kunnen worden genomen.

(42)

Deze richtlijn omschrijft diensten op het gebied van e-handel als diensten die geleverd worden op afstand, via websites en diensten op basis van mobiele apparaten, langs elektronische weg en op individueel verzoek van een consument, met het oog op het sluiten van een consumentenovereenkomst. Voor de toepassing van die definitie betekent „op afstand” een dienst die geleverd wordt zonder dat de partijen gelijktijdig aanwezig zijn; „langs elektronische weg” betekent dat de dienst verzonden en ontvangen wordt met behulp van elektronische apparatuur voor de verwerking, met inbegrip van digitale compressie, en de opslag van gegevens, en dat die geheel via kabel, radiogolven, optische middelen of andere elektromagnetische middelen wordt verzonden, doorgeleid en ontvangen; „op individueel verzoek van een consument” betekent dat de dienst wordt geleverd op individueel verzoek. Gezien het groeiende belang van diensten op het gebied van e-handel en de verregaand technologische aard daarvan, is het van groot belang over geharmoniseerde voorschriften voor de toegankelijkheid daarvan te beschikken.

(43)

De toegankelijkheidsvoorschriften voor e-handelsdiensten van deze richtlijn moeten gelden voor de onlineverkoop van willekeurig welke producten of diensten, en moeten bijgevolg tevens gelden voor de verkoop van producten of diensten die als zodanig onder deze richtlijn vallen.

(44)

De maatregelen in verband met de toegankelijkheid van het beantwoorden van noodcommunicatie dienen te worden genomen, onverminderd, en zonder van invloed te zijn op, de organisatie van de noodhulpdiensten, welke de exclusieve bevoegdheid van de lidstaten blijft.

(45)

De lidstaten dienen, in overeenstemming met Richtlijn (EU) 2018/1972, ervoor te zorgen dat de toegang voor eindgebruikers met een handicap tot noodhulpdiensten via noodcommunicatie beschikbaar en gelijkwaardig is aan die van andere eindgebruikers, overeenkomstig het Unierecht ter harmonisatie van toegankelijkheidseisen voor producten en diensten. De Commissie en de nationale regulerende instanties of andere bevoegde instanties moeten passende maatregelen treffen om te waarborgen dat, eindgebruikers met een handicap op voet van gelijkheid met andere eindgebruikers toegang hebben tot noodhulpdiensten wanneer zij in andere lidstaten reizen, waar mogelijk zonder registratie vooraf. Met die maatregelen wordt gestreefd naar interoperabiliteit onder de lidstaten, en zij moeten zo veel mogelijk gebaseerd zijn op Europese normen of specificaties die in overeenstemming met artikel 39 van Richtlijn (EU) 2018/1972 zijn neergelegd. Dergelijke maatregelen beletten de lidstaten niet aanvullende voorschriften vast te stellen met het oog op het bereiken van de in die richtlijn omschreven doelstellingen. Als alternatief voor het vervullen van de in deze richtlijn vervatte toegankelijkheidsvoorschriften met betrekking tot het beantwoorden van noodcommunicatie voor gebruikers met een handicap, moeten de lidstaten een derde aanbieder van bemiddelingsdiensten kunnen aanwijzen met behulp waarvan personen met een handicap met de alarmcentrale (Public Safety Answering Point - PSAP) kunnen communiceren, totdat deze alarmcentrales elektronischecommunicatiediensten kunnen gebruiken via internetprotocollen ter waarborging van de toegankelijkheid in verband met het beantwoorden van noodcommunicatie. In ieder geval mogen de verplichtingen van deze richtlijn niet in die zin worden opgevat dat zij leiden tot het beperken of minder streng maken van de verplichtingen ten behoeve van voor eindgebruikers met een handicap, met inbegrip van gelijkwaardige toegang tot elektronischecommunicatiediensten en noodhulpdiensten alsmede toegankelijkheidverplichtingen als vervat in Richtlijn (EU) 2018/1972.

(46)

Richtlijn (EU) 2016/2102 stelt een aantal toegankelijkheidsvoorschriften vast voor websites en mobiele applicaties van overheidsinstanties en andere gerelateerde aspecten, met name conformiteitsvoorschriften waaraan de betrokken websites en mobiele applicaties moeten voldoen. Deze richtlijn bevat evenwel een specifieke lijst uitzonderingen. Soortgelijke uitzonderingen zijn relevant voor deze richtlijn. Bepaalde activiteiten die via onder deze richtlijn vallende websites en mobiele applicaties van de overheidssector worden verricht, zoals diensten voor personenvervoer of e-handelsdiensten, dienen bovendien aan de toepasselijke toegankelijkheidsvoorschriften van deze richtlijn te voldoen opdat de onlineverkoop van producten en diensten toegankelijk is voor personen met een handicap, ongeacht of de verkoper een openbare dan wel een particuliere marktdeelnemer is. De toegankelijkheidsvoorschriften van deze richtlijn moeten worden afgestemd op de voorschriften van Richtlijn (EU) 2016/2102, ondanks verschillen in bijvoorbeeld toezicht, rapportering en handhaving.

(47)

De vier beginselen van toegankelijkheid van websites en mobiele applicaties, als gebruikt in Richtlijn (EU) 2016/2102, zijn: waarneembaarheid, waaronder wordt verstaan dat de informatie en de componenten van de gebruikersinterface zodanig aan gebruikers moeten kunnen worden gepresenteerd dat zij kunnen worden waargenomen; operabiliteit, waaronder wordt verstaan dat de componenten van de gebruikersinterface en de navigatie operabel (bedrijfsklaar) moeten zijn; begrijpelijkheid, waaronder wordt verstaan dat de informatie en de werking van de gebruikersinterface begrijpelijk moeten zijn; en robuustheid, waaronder wordt verstaan dat inhoud voldoende robuust moet zijn om op betrouwbare wijze te kunnen worden geïnterpreteerd door uiteenlopende user agents, waaronder hulptechnologieën. Die beginselen zijn ook voor deze Richtlijn relevant.

(48)

De lidstaten dienen alle passende maatregelen te nemen om te waarborgen dat het vrije verkeer binnen de Unie van producten en diensten die onder deze richtlijn vallen en die aan de toepasselijke toegankelijkheidsvoorschriften voldoen, niet om redenen met betrekking tot toegankelijkheidsvoorschriften wordt belemmerd.

(49)

In sommige situaties zouden gemeenschappelijke toegankelijkheidsvoorschriften voor de gebouwde omgeving bevorderlijk zijn voor het vrije verkeer van de betrokken diensten en van personen met een handicap. Daarom moet deze richtlijn de lidstaten de mogelijkheid bieden tot het opnemen van de gebouwde omgeving die wordt gebruikt bij het verlenen van de diensten die binnen het toepassingsgebied van deze richtlijn vallen, om te waarborgen dat deze voldoet aan de toegankelijkheidseisen in bijlage III.

(50)

Toegankelijkheid moet worden bereikt door het systematisch wegnemen en voorkomen van belemmeringen, bij voorkeur middels een „universeel ontwerp”- of „ontwerp voor iedereen”-benadering, die ertoe bijdraagt dat personen met een handicap op voet van gelijkheid met anderen toegang wordt gegarandeerd. Overeenkomstig het VN-VRPH houdt deze benadering het volgende in: het „ontwerpen van producten, omgevingen, programma’s en diensten die door iedereen in de ruimst mogelijke zin gebruikt kunnen worden zonder dat aanpassing of een speciaal ontwerp nodig is”. In de geest van het VN-VRPH omvat „’universeel ontwerp” tevens hulpapparaten voor specifieke groepen personen met een handicap, indien die nodig zijn”. Toegankelijkheid mag voorts het aanbrengen van redelijke aanpassingen niet uitsluiten als deze uit hoofde van het Unierecht of het nationale recht vereist zijn. De begrippen toegankelijkheid en universeel ontwerp moeten worden uitgelegd in overeenstemming met algemene opmerking nr. 2 (2014) - artikel 9: „Toegankelijkheid” van het Comité voor de rechten van personen met een handicap.

(51)

Producten of diensten die onder de werkingssfeer van deze richtlijn vallen, vallen niet automatisch onder de werkingssfeer van Richtlijn 93/42/EEG van de Raad (16). Dat neemt niet weg dat sommige hulptechnologieën die medische hulpmiddelen zijn, wel onder de werkingssfeer van die richtlijn kunnen vallen.

(52)

De meeste banen in de Unie worden gecreëerd door kleine en middelgrote ondernemingen en micro-ondernemingen. Zij zijn essentieel voor toekomstige groei, maar worden bij de ontwikkeling van hun producten of diensten vaak met obstakels en belemmeringen geconfronteerd, met name in een grensoverschrijdende context. Daarom moet het werk van kleine en middelgrote ondernemingen en micro-ondernemingen worden vergemakkelijkt door de nationale bepalingen inzake toegankelijkheid te harmoniseren, met behoud van de noodzakelijke waarborgen.

(53)

Micro-ondernemingen en kleine en middelgrote ondernemingen komen voor deze richtlijn uitsluitend in aanmerking indien zij daadwerkelijk voldoen aan de voorschriften van Aanbeveling 2003/361/EC (17) van de Commissie en de ter zake doende jurisprudentie, die gericht is op voorkoming van het omzeilen van de regels ervan.

(54)

Om de samenhang van het Unierecht te waarborgen, dient deze richtlijn, aangezien zij betrekking heeft op producten die reeds onder andere rechtshandelingen van de Unie vallen, te worden gebaseerd op Besluit nr. 768/2008/EG van het Europees Parlement en de Raad (18), waarbij tegelijk het specifieke karakter van de toegankelijkheidsvoorschriften van deze richtlijn wordt onderkend.

(55)

Alle marktdeelnemers die onder het toepassingsgebied van deze richtlijn vallen en een rol in de toeleverings- en distributieketen vervullen, dienen te waarborgen dat zij uitsluitend producten op de markt aanbieden die aan deze richtlijn voldoen. Hetzelfde dient te gelden voor marktdeelnemers die diensten verlenen. Er moet worden gezorgd voor een duidelijke en evenredige verdeling van de verplichtingen overeenkomstig de rol van alle marktdeelnemers in de toeleverings- en distributieketen.

(56)

Het is de verantwoordelijkheid van de marktdeelnemers om, naargelang van hun rol in de toeleveringsketen, ervoor te zorgen dat producten en diensten aan deze voorschriften voldoen, opdat een sterke bescherming van de toegankelijkheid en eerlijke concurrentie op de markt van de Unie worden gewaarborgd.

(57)

De verplichtingen van deze richtlijn dienen evenzeer te gelden voor marktdeelnemers uit de overheidssector als voor marktdeelnemers uit de particuliere sector.

(58)

De fabrikant is op de hoogte van alle details van het ontwerp- en productieproces en verkeert als zodanig in de beste positie om de conformiteitsbeoordeling volledig uit te voeren. De verantwoordelijkheid voor de conformiteit van de producten berust weliswaar bij de fabrikant, maar de markttoezichtautoriteiten dienen een cruciale rol te spelen bij het controleren of de in de Unie aangeboden producten in overeenstemming met het Unierecht zijn vervaardigd.

(59)

Importeurs en distributeurs dienen te worden betrokken bij de markttoezichttaken van nationale autoriteiten en actief medewerking te verlenen, door de bevoegde autoriteiten alle nodige informatie over het betrokken product te verstrekken.

(60)

Importeurs dienen te waarborgen dat producten die vanuit derde landen in de Unie in de handel worden gebracht, aan deze richtlijn voldoen, en met name dat de fabrikanten deze producten aan adequate conformiteitsbeoordelingsprocedures hebben onderworpen.

(61)

Wanneer importeurs een product in de handel brengen, dienen zij hun naam, geregistreerde handelsnaam of het geregistreerd merk, en het adres waarop met hen contact kan worden opgenomen, op het product te vermelden.

(62)

Distributeurs dienen ervoor te zorgen dat de wijze waarop zij met het product omgaan, de conformiteit van het product met de toegankelijkheidsvoorschriften van deze richtlijn niet nadelig beïnvloedt.

(63)

Wanneer een marktdeelnemer een product onder zijn eigen naam of merk in de handel brengt of een reeds in de handel gebracht product zodanig wijzigt dat de conformiteit met de toepasselijke voorschriften in het gedrang kan komen, dient hij als de fabrikant te worden beschouwd en de verplichtingen van de fabrikant op zich te nemen.

(64)

Omwille van de evenredigheid dienen toegankelijkheidsvoorschriften uitsluitend van toepassing te zijn voor zover zij niet tot een onevenredige last voor de betrokken marktdeelnemer leiden of voor zover zij geen ingrijpende wijziging van de producten en diensten vergen waardoor deze als gevolg van deze richtlijn fundamenteel zouden worden gewijzigd. Niettemin moet worden voorzien in controlemechanismen om te kunnen nagaan of aanspraak kan worden gemaakt op uitzonderingen op de toepasselijkheid van de toegankelijkheidsvoorschriften.

(65)

Deze richtlijn dient het beginsel „denk eerst klein” te volgen en rekening te houden met de administratieve lasten voor kleine en middelgrote ondernemingen. Er dienen bij deze richtlijn lichte regels voor conformiteitsbeoordeling te worden vastgesteld en te worden voorzien in vrijwaringsclausules voor marktdeelnemers, in plaats van in algemene uitzonderingen en vrijstellingen voor die ondernemingen. Bij het vaststellen van de regels voor de selectie en uitvoering van de geschiktste procedures voor conformiteitsbeoordeling dient de situatie van kleine en middelgrote ondernemingen in aanmerking te worden genomen, en dienen de verplichtingen voor het beoordelen van de conformiteit met de toegankelijkheidsvoorschriften voldoende beperkt te blijven om kleine en middelgrote ondernemingen niet onevenredig te belasten. Voorts dienen de markttoezichtautoriteiten hun manier van werken af te stemmen op de omvang van de ondernemingen en op de vraag in welke mate er sprake is van serieproductie, zonder onnodige hindernissen voor kleine en middelgrote ondernemingen te scheppen en zonder afbreuk te doen aan de bescherming van het algemeen belang.

(66)

In uitzonderlijke gevallen waarin de naleving van de toegankelijkheidsvoorschriften van deze richtlijn de marktdeelnemers onevenredig zou belasten, moet van de marktdeelnemers enkel worden verlangd dat zij deze voorschriften naleven voor zover die geen onevenredige last opleveren. In dergelijke naar behoren gemotiveerde gevallen zou het voor een marktdeelnemer redelijkerwijze niet mogelijk zijn één of meer van de toegankelijkheidsvoorschriften van deze richtlijn volledig toe te passen. De marktdeelnemer moet de onder de werkingssfeer van deze richtlijn vallende diensten en producten niettemin zo toegankelijk mogelijk maken door die voorschriften toe te passen voor zover zij geen onevenredige last opleveren. De toegankelijkheidsvoorschriften die volgens de marktdeelnemer geen onevenredige last opleveren, moeten onverkort gelden. Uitzonderingen op de naleving van één of meer toegankelijkheidsvoorschriften wegens de onevenredige last die zij opleveren, mogen niet verder gaan dan hetgeen strikt noodzakelijk is om die last met betrekking tot het product of de dienst in kwestie in elk individueel geval te beperken. Onder maatregelen die een onevenredige last zouden opleveren moeten maatregelen worden verstaan die de marktdeelnemer een extra buitensporige organisatorische of financiële last opleggen, evenwel overeenkomstig de criteria van deze richtlijn rekening houdend met het voordeel dat personen met een handicap wellicht ondervinden. Op basis van deze overwegingen moeten er criteria worden vastgesteld, opdat zowel marktdeelnemers als bevoegde autoriteiten verschillende situaties kunnen vergelijken en op systematische wijze kunnen beoordelen of er sprake is van een onevenredige last. Bij het beoordelen van de mate waarin niet aan de toegankelijkheidsvoorschriften kan worden voldaan omdat zij een onevenredige last zouden opleveren, mag alleen rekening worden gehouden met legitieme redenen. Het ontbreken van prioriteit, tijd of kennis mag niet als legitieme reden worden beschouwd.

(67)

Voor de algemene beoordeling van het al dan niet onevenredige karakter van de lasten, dienen de in bijlage VI genoemde criteria te worden gebruikt. De marktdeelnemer moet zijn oordeel dat de lasten onevenredig zijn schriftelijk staven, zulks rekening houdend met de toepasselijke criteria. Dienstverleners dienen het al dan niet onevenredige karakter van de lasten ten minste om de vijf jaar opnieuw te beoordelen.

(68)

De marktdeelnemer moet de bevoegde autoriteiten meedelen dat hij zich baseert op de bepalingen in verband met een fundamentele wijziging en/of een onevenredige last. De marktdeelnemer hoeft een exemplaar van de beoordeling die uitleg bevat waarom een product of dienst niet volledig toegankelijk is, en die bewijs is voor de onevenredige last en/of fundamentele wijziging, of beide, uitsluitend op verzoek van de bevoegde autoriteiten over te leggen.

(69)

Ingeval een dienstverlener op grond van de voorgeschreven beoordeling tot de slotsom komt dat er een onevenredige last ontstaat indien alle voor de levering van de onder deze richtlijn vallende diensten gebruikte zelfbedieningsterminals aan de toegankelijkheidsvoorschriften van deze richtlijn moeten voldoen, dient de dienstverlener die voorschriften slechts na te leven voor zover die voorschriften hem geen onevenredige last bezorgen. Bijgevolg moeten de dienstverleners beoordelen in welke mate een beperkt toegankelijkheidsniveau op alle zelfbedieningsterminals of een beperkt aantal volledig toegankelijke zelfbedieningsterminals hen in staat zou stellen een onevenredige last die anders voor hem zou ontstaan, te vermijden, en moet hen voorgeschreven worden alleen in die mate aan de toegankelijkheidsvoorschriften van deze richtlijn te voldoen.

(70)

Micro-ondernemingen onderscheiden zich van alle andere ondernemingen door hun beperkte personele middelen, jaarlijkse omzet of jaarlijkse balanstotaal. De lasten waarmee naleving van de toegankelijkheidsvoorschriften voor micro-ondernemingen gepaard gaat, leggen bijgevolg over het algemeen een groter beslag op hun financiële en personele middelen dan bij andere ondernemingen, en vormen vermoedelijk een onevenredig aandeel van de kosten. Een aanzienlijk gedeelte van de kosten voor micro-ondernemingen ontstaat door het invullen en bewaren van administratie en boekhouding om aan te tonen dat de verschillende door het Unierecht opgelegde voorschriften worden nageleefd. Hoewel alle marktdeelnemers die onder deze richtlijn vallen, in staat moeten zijn de evenredigheid van de naleving van de toegankelijkheidsvoorschriften van deze richtlijn te beoordelen en deze slechts in acht moeten nemen voor zover zij niet onevenredig zijn, zou het verlangen van een dergelijke beoordeling van dienstverlenende micro-ondernemingen op zichzelf een onevenredige last vormen. De voorschriften en verplichtingen van deze richtlijn dienen bijgevolg niet te gelden voor micro-ondernemingen die diensten binnen het toepassingsgebied van deze richtlijn verlenen.

(71)

Voor micro-ondernemingen die zich bezighouden met producten binnen het toepassingsgebied van deze richtlijn, moetende voorschriften en verplichtingen van deze richtlijn minder streng zijn, zodat het ontstaan van onevenredige administratieve lasten wordt verminderd.

(72)

Hoewel sommige micro-ondernemingen vrijgesteld zijn van de verplichtingen van deze richtlijn, moeten alle micro-ondernemingen er, met het oog op een groter concurrentievermogen en groeipotentieel ervan in de interne markt, toe worden aangemoedigd producten te vervaardigen, in te voeren of te distribueren en diensten te verlenen die voldoen aan de toegankelijkheidsvoorschriften van deze richtlijn. De lidstaten moeten micro-ondernemingen derhalve de nodige richtsnoeren en instrumenten geven om de toepassing van de nationale maatregelen ter omzetting van deze richtlijn te faciliteren.

(73)

Van alle marktdeelnemers wordt verwacht dat zij bij het in de handel brengen of op de markt aanbieden van producten of het op de markt verlenen van diensten verantwoordelijk optreden en aan alle toepasselijke wettelijke voorschriften voldoen.

(74)

Om de beoordeling van de conformiteit met de toepasselijke toegankelijkheidsvoorschriften te vergemakkelijken, moet worden voorzien in een vermoeden van conformiteit voor producten en diensten die voldoen aan vrijwillige geharmoniseerde normen die overeenkomstig Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad (19) zijn vastgesteld met de bedoeling die voorschriften in de vorm van gedetailleerde technische specificaties op te stellen. De Commissie heeft de Europese normalisatieorganisaties al een aantal normalisatieverzoeken op het gebied van toegankelijkheid toegestuurd, zoals de normalisatiemandaten M/376, M/473 en M/420, die relevant zouden zijn voor het opstellen van geharmoniseerde normen.

(75)

Verordening (EU) nr. 1025/2012 bevat een procedure voor formele bezwaren tegen geharmoniseerde normen die worden geacht niet aan de voorschriften van deze richtlijn te voldoen.

(76)

De Europese normen moeten marktgedreven zijn, rekening houden met het algemeen belang en met de beleidsdoelstellingen die duidelijk zijn geformuleerd in het verzoek van de Commissie aan één of meer Europese normalisatieorganisaties om geharmoniseerde normen op te stellen, en moeten stoelen op consensus. Bij gebrek aan geharmoniseerde normen en waar nodig ten behoeve van internemarktharmonisatie dient de Commissie in bepaalde gevallen uitvoeringshandelingen te kunnen vaststellen om voor de toegankelijkheidsvoorschriften van deze richtlijn technische specificaties vast te stellen. Er dient uitsluitend in dergelijke gevallen gebruik te worden gemaakt van technische specificaties. De Commissie moet technische specificaties kunnen vaststellen bijvoorbeeld wanneer het normalisatieproces wordt geblokkeerd omdat er tussen de belanghebbenden geen consensus heerst of indien er bij de vaststelling van een geharmoniseerde norm onnodige vertraging optreedt, bijvoorbeeld omdat de vereiste kwaliteit niet wordt gehaald. De Commissie moet voldoende tijd laten tussen het in behandeling nemen van een verzoek aan één of meer Europese normalisatieorganisaties om geharmoniseerde normen op te stellen en het vaststellen van een technische specificatie in verband met het desbetreffende toegankelijkheidsvoorschrift. De Commissie mag geen technische specificatie vaststellen indien zij nog niet heeft getracht om via het Europese normalisatiestelsel aan de toegankelijkheidsvoorschriften te voldoen, tenzij zij kan aantonen dat de technische specificaties in overeenstemming zijn met de voorschriften in bijlage II bij Verordening (EU) nr. 1025/2012.

(77)

Opdat de met de toegankelijkheidsvoorschriften van deze richtlijn overeenstemmende geharmoniseerde normen en technische specificaties voor producten en diensten zo efficiënt mogelijk worden vastgesteld, moet de Commissie hierbij, indien dit haalbaar is, Europese koepelorganisaties van personen met een handicap en alle andere relevante belanghebbenden betrekken.

(78)

Om de daadwerkelijke toegang tot informatie voor markttoezichtdoeleinden te waarborgen, dient de informatie die vereist is voor een verklaring van conformiteit met alle toepasselijke handelingen van de Unie beschikbaar te worden gemaakt in één enkele EU-conformiteitsverklaring. Ter beperking van hun administratieve lasten moeten marktdeelnemers alle relevante afzonderlijke conformiteitsverklaringen in die ene EU-conformiteitsverklaring kunnen integreren.

(79)

Voor de conformiteitsbeoordeling van producten dient deze richtlijn gebruik te maken van de in module A van bijlage II bij Besluit nr. 768/2008/EG vervatte interne productiecontrole, waarmee marktdeelnemers kunnen aantonen — en de bevoegde autoriteiten kunnen waarborgen — dat op de markt aangeboden producten aan de toegankelijkheidsvoorschriften voldoen, zonder dat hun een buitensporig grote last wordt opgelegd.

(80)

Bij het uitoefenen van markttoezicht op producten en het controleren van de conformiteit van diensten, moeten de autoriteiten ook de conformiteitsbeoordelingen controleren, inclusief of de relevante beoordeling van het bestaan van een fundamentele wijziging of onevenredige last correct is verricht. De autoriteiten moeten hun taken tevens uitoefenen in samenwerking met personen met een handicap en de organisaties die hen en hun belangen vertegenwoordigen.

(81)

Wat diensten betreft, dient de informatie die nodig is om de conformiteit met de toegankelijkheidsvoorschriften van deze richtlijn te beoordelen in de algemene voorwaarden of een gelijkwaardige document te worden verstrekt, onverminderd Richtlijn 2011/83/EU van het Europees Parlement en de Raad (20).

(82)

De CE-markering, waarmee de conformiteit van een product met de toegankelijkheidsvoorschriften van deze richtlijn wordt aangegeven, is de zichtbare uitkomst van het proces van conformiteitsbeoordeling in brede zin. Deze richtlijn moet sporen met de algemene beginselen voor de CE-markering van Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad (21) tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten. Naast het afgeven van de EU-conformiteitsverklaring moet de fabrikant consumenten op kosteneffectieve wijze informeren over de toegankelijkheid van zijn producten.

(83)

Overeenkomstig Verordening (EG) nr. 765/2008 verklaart de fabrikant door het aanbrengen van de CE-markering dat het product aan alle toepasselijke toegankelijkheidsvoorschriften voldoet en dat de fabrikant de volledige verantwoordelijkheid daarvoor op zich neemt.

(84)

Overeenkomstig Besluit nr. 768/2008/EG zijn de lidstaten op hun grondgebied verantwoordelijk voor een streng en doeltreffend markttoezicht op de producten en dienen zij hun markttoezichtautoriteiten voldoende bevoegdheden en middelen te geven.

(85)

De lidstaten dienen te controleren of de verplichtingen van deze richtlijn worden nageleefd en dienen actie te ondernemen bij klachten of meldingen in verband met het niet-naleven ervan om te waarborgen dat corrigerende maatregelen zijn getroffen.

(86)

Waar nodig kan de Commissie, in overleg met belanghebbenden, niet-bindende richtsnoeren opstellen ter bevordering van de coördinatie tussen markttoezichtautoriteiten en de voor het controleren van de conformiteit van diensten verantwoordelijke autoriteiten. De Commissie en de lidstaten moeten initiatieven kunnen opzetten voor het delen van de middelen en deskundigheid van autoriteiten.

(87)

De lidstaten moeten ervoor zorgen dat de markttoezichtautoriteiten en de voor de conformiteit van diensten verantwoordelijke autoriteiten controleren of de marktdeelnemers overeenkomstig de hoofdstukken VIII en IX voldoen aan de in bijlage VI vastgelegde criteria. De lidstaten moeten een gespecialiseerde instantie kunnen aanwijzen voor het vervullen van de verplichtingen van markttoezichtautoriteiten en voor de conformiteit van diensten verantwoordelijke autoriteiten krachtens deze richtlijn. De lidstaten moeten kunnen besluiten om de bevoegdheden van die gespecialiseerde instantie te beperken tot het toepassingsgebied van deze richtlijn of bepaalde delen ervan, onverminderd de verplichtingen van de lidstaten krachtens Verordening (EG) nr. 765/2008.

(88)

Er dient een vrijwaringsprocedure te worden ingesteld die moet worden gevolgd wanneer lidstaten het niet eens zijn over de door een lidstaat getroffen maatregelen waarbij belanghebbende partijen ingelicht worden over beoogde maatregelen tegen producten die niet aan de toegankelijkheidsvoorschriften van deze richtlijn voldoen. De vrijwaringsprocedure dient de markttoezichtautoriteiten in staat te stellen om, in samenwerking met de betrokken marktdeelnemers, in een vroeger stadium tegen die producten op te treden.

(89)

Wanneer de lidstaten en de Commissie het erover eens zijn dat een maatregel van een lidstaat rechtmatig is, zijn verdere initiatieven van de Commissie niet nodig, behalve wanneer de niet-naleving te wijten is aan tekortkomingen in de geharmoniseerde normen of in de technische specificaties.

(90)

De Richtlijnen 2014/24/EU (22) en 2014/25/EU (23) van het Europees Parlement en de Raad inzake overheidsopdrachten, waarin de procedures voor de gunning van overheidsopdrachten en prijsvragen voor bepaalde leveringen (producten), diensten en werken worden omschreven, bepalen dat, voor alle aanbestedingen die zijn bedoeld voor gebruik door natuurlijke personen, hetzij door het grote publiek, hetzij door het personeel van de aanbestedende dienst of instantie, de technische specificaties, uitgezonderd in naar behoren gemotiveerde gevallen, zodanig moeten worden opgesteld dat rekening wordt gehouden met de criteria inzake toegankelijkheid voor personen met een handicap of de geschiktheid van het ontwerp voor alle gebruikers. Voorts vereisen deze richtlijnen dat, indien middels een rechtshandeling van de Unie verplichte toegankelijkheidsvoorschriften zijn vastgesteld, de technische specificaties, voor zover het de criteria voor toegankelijkheid van personen met een handicap of het ontwerp voor iedereen betreft, onder verwijzing naar de desbetreffende criteria worden vastgesteld. Bij onderhavige richtlijn moeten verplichte toegankelijkheidsvoorschriften voor de onder de werkingssfeer ervan vallende producten en diensten worden vastgesteld. Voor niet onder de werkingssfeer van deze richtlijn vallende producten en diensten zijn de toegankelijkheidsvoorschriften van deze richtlijn niet bindend. Het gebruik van deze toegankelijkheidsvoorschriften voor het vervullen van de relevante verplichtingen die in andere Uniehandelingen dan deze richtlijn zijn opgenomen, zou echter de invoering van toegankelijkheid vergemakkelijken en bijdragen tot de rechtszekerheid en de onderlinge aanpassing van de toegankelijkheidsvoorschriften in de gehele Unie. De autoriteiten mag niet worden belet toegankelijkheidsvoorschriften vast te stellen die verder gaan dan de in bijlage I bij deze richtlijn opgenomen toegankelijkheidsvoorschriften.

(91)

Deze richtlijn mag het verplichte of vrijwillige karakter van de bepalingen betreffende toegankelijkheid in andere handelingen van de Unie niet wijzigen.

(92)

Deze richtlijn dient enkel van toepassing te zijn op overheidsopdrachten waarvoor een oproep tot mededinging is verzonden of, in gevallen waarin niet in een oproep tot mededinging is voorzien, overheidsopdrachten waarvoor de aanbestedende dienst of instantie de aanbestedingsprocedure na de datum van toepassing van deze richtlijn is begonnen.

(93)

Opdat deze richtlijn correct wordt toegepast, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 VWEU handelingen vast te stellen tot nadere bepaling van de toegankelijkheidsvoorschriften die vanwege de aard ervan het beoogde effect slechts kunnen sorteren indien zij nader worden bepaald in bindende rechtshandelingen van de Unie, tot wijziging van de periode gedurende welke marktdeelnemers andere marktdeelnemers kunnen aanwijzen die hun of aan wie zij producten hebben geleverd, en tot nadere bepaling van de toepasselijke criteria die de marktdeelnemer in acht moet nemen wanneer hij beoordeelt of het naleven van de toegankelijkheidsvoorschriften een onevenredige last zou opleveren. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven (24). Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.

(94)

Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze richtlijn moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend met betrekking tot technische specificaties. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (25).

(95)

De lidstaten moeten zorgen voor adequate en doeltreffende middelen om de naleving van deze richtlijn te waarborgen en moeten dus voorzien in gepaste controlemechanismen, zoals een controle achteraf door de markttoezichtautoriteiten, zodat kan worden nagegaan of de vrijstelling van de toepassing van de toegankelijkheidsvoorschriften te rechtvaardigen valt. De lidstaten moeten zich bij het behandelen van klachten over toegankelijkheid houden aan het algemeen beginsel van behoorlijk bestuur, en met name aan de verplichting voor ambtenaren te garanderen dat ten aanzien van iedere klacht binnen een redelijke termijn een besluit wordt genomen.

(96)

Teneinde bij te dragen tot de eenvormige toepassing van deze richtlijn moet de Commissie een werkgroep met relevante autoriteiten en belanghebbenden instellen om de uitwisseling van informatie en beste praktijken te faciliteren en advies te verstrekken. De samenwerking tussen autoriteiten en relevante belanghebbenden, waaronder personen met een handicap en organisaties die hen vertegenwoordigen, moet worden bevorderd, onder meer met het oog op een grotere consistentie bij de toepassing van de bepalingen van deze richtlijn inzake de toegankelijkheidsvoorschriften en om de uitvoering van de bepalingen inzake fundamentele wijziging en onevenredige last te monitoren.

(97)

Gezien het bestaande wettelijk kader inzake rechtsmiddelen op de onder de Richtlijnen 2014/24/EU en 2014/25/EU vallende gebieden, mogen de bepalingen van deze richtlijn in verband met handhaving en sancties niet gelden voor de aanbestedingsprocedures die onder de verplichtingen van deze richtlijn vallen. Die uitsluiting geldt onverminderd de verplichtingen voor de lidstaten krachtens de Verdragen om alle maatregelen te nemen die noodzakelijk zijn om de toepassing en effectiviteit van de Uniewetgeving te waarborgen.

(98)

Sancties dienen in verhouding tot de aard van de inbreuken en de omstandigheden te staan, opdat marktdeelnemers deze niet als alternatief gebruiken voor het nakomen van hun verplichtingen om hun producten of diensten toegankelijk te maken.

(99)

De lidstaten moeten ervoor zorgen dat er, overeenkomstig het bestaande Unierecht, alternatieve mechanismen voor geschillenbeslechting voorhanden zijn aan de hand waarvan een oplossing kan worden gevonden voor beweerde non-conformiteit met deze richtlijn voordat een vordering wordt ingesteld voor de rechter of een bevoegde administratieve instantie.

(100)

Overeenkomstig de gezamenlijke politieke verklaring van 28 september 2011 van de lidstaten en de Commissie over toelichtende stukken (26) hebben de lidstaten zich ertoe verbonden om in gerechtvaardigde gevallen de kennisgeving van hun omzettingsmaatregelen vergezeld te doen gaan van één of meer stukken waarin het verband tussen de onderdelen van een richtlijn en de overeenkomstige delen van de nationale omzettingsinstrumenten wordt toegelicht. Met betrekking tot deze richtlijn acht de wetgever de toezending van die stukken gerechtvaardigd.

(101)

Teneinde dienstverleners voldoende tijd te geven om zich aan de voorschriften van deze richtlijn aan te passen, is het nodig te voorzien in een overgangsperiode van vijf jaar na de datum van toepassing van deze richtlijn, waarin voor dienstverlening gebruikte producten die vóór die datum in de handel zijn gebracht, niet hoeven te voldoen aan de toegankelijkheidsvoorschriften van deze richtlijn, tenzij deze producten tijdens de overgangsperiode door de dienstverleners worden vervangen. Gezien de kostprijs en de lange levensduur van zelfbedieningsterminals moet worden geregeld dat, wanneer dergelijke terminals bij de dienstverlening worden gebruikt, zij tot het einde van hun economische levensduur, doch niet langer dan 20 jaar, mogen worden gebruikt, mits zij in deze periode niet vervangen worden.

(102)

De toegankelijkheidsvoorschriften van deze richtlijn dienen van toepassing te zijn op producten die in de handel worden gebracht en diensten die worden verleend na de datum waarop de nationale maatregelen tot omzetting van deze richtlijn van toepassing worden, met inbegrip van uit een derde land ingevoerde gebruikte en tweedehandsproducten die na die datum in de handel worden gebracht.

(103)

Deze richtlijn is in overeenstemming met de grondrechten en neemt de beginselen in acht die met name in het Handvest van de grondrechten van de Europese Unie („het Handvest”) worden erkend. Met deze richtlijn wordt meer bepaald gestreefd naar volledige eerbiediging van het recht van personen met een handicap om hun voordeel te doen met de maatregelen die bedoeld zijn om hun zelfstandigheid en hun integratie in de samenleving en het beroepsleven en hun deelname aan het gemeenschapsleven te waarborgen, alsmede naar een consequentere toepassing van de artikelen 21, 25 en 26 van het Handvest.

(104)

Daar de doelstelling van deze richtlijn - te weten het wegnemen van belemmeringen voor het vrije verkeer van bepaalde toegankelijke producten en diensten om bij te dragen tot het goede functioneren van de interne markt - niet voldoende door de lidstaten kan worden verwezenlijkt omdat dit de harmonisatie van verschillende voorschriften uit hun respectieve rechtsstelsels vereist, maar beter op het niveau van de Unie kan worden verwezenlijkt door gemeenschappelijke toegankelijkheidsvoorschriften en regels voor het functioneren van de interne markt vast te stellen, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze richtlijn niet verder dan nodig is om deze doelstelling te verwezenlijken,

HEBBEN DE VOLGENDE RICHTLIJN VASTGESTELD:

HOOFDSTUK 1

Algemene bepalingen

Artikel 1

Onderwerp

Deze richtlijn strekt ertoe een bijdrage te leveren tot het goed functioneren van de interne markt middels onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten inzake de toegankelijkheidsvoorschriften voor bepaalde producten en diensten, in het bijzonder door het wegwerken en voorkomen van belemmeringen voor het vrije verkeer van onder deze richtlijn vallende producten en diensten ten gevolge van uiteenlopende toegankelijkheidsvoorschriften in de lidstaten.

Artikel 2

Toepassingsgebied

1.   Deze richtlijn is van toepassing op de volgende producten die na 28 juni 2025 in de handel worden gebracht:

a)

gewone computerapparatuur voor consumenten en besturingssystemen voor die apparatuur;

b)

de volgende zelfbedieningsterminals:

i)

betaalterminals;

ii)

de volgende zelfbedieningsterminals die worden gebruikt voor het verlenen van onder deze richtlijn vallende diensten:

geldautomaten;

ticketautomaten;

incheckautomaten;

interactieve informatieverstrekkende zelfbedieningsterminals, met uitzondering van terminals die als geïntegreerde delen van voertuigen, luchtvaartuigen, schepen, of rollend materieel zijn geïnstalleerd;

c)

eindapparatuur voor gebruik door consumenten, met interactieve computerfuncties, die gebruikt wordt voor elektronischecommunicatiediensten;

d)

eindapparatuur voor gebruik door consumenten, met interactieve computerfuncties voor toegang tot audiovisuele mediadiensten; en

e)

e-lezers.

2.   Onverminderd artikel 32 is deze richtlijn van toepassing op de volgende diensten die na 28 juni 2025 aan consumenten worden verleend:

a)

elektronischecommunicatiediensten, met uitzondering van transmissiediensten die voor de levering van machine-to-machinediensten worden gebruikt;

b)

diensten die toegang verlenen tot audiovisuele mediadiensten;

c)

navolgende elementen van personenvervoer per vliegtuig, bus, trein en over water, met uitzondering van stedelijke, en voorstedelijke en regionale vervoersdiensten, waarvoor uitsluitend de elementen onder v) van toepassing zijn:

i)

websites;

ii)

op basis van mobiele apparaten, onder meer via mobiele applicaties, geleverde diensten;

iii)

elektronische tickets en elektronische ticketingdiensten;

iv)

het verstrekken van informatie over vervoersdiensten, waaronder realtime-reisinformatie; dit wordt, wat informatieschermen betreft, beperkt tot interactieve schermen die zich op het grondgebied van de Unie bevinden, en

v)

interactieve zelfbedieningsterminals op het grondgebied van de Unie, uitgezonderd terminals die als geïntegreerde onderdelen zijn geïnstalleerd in voertuigen, luchtvaartuigen, schepen en rollend materieel die voor het aanbieden van een of meer onderdelen van deze diensten voor personenvervoer worden gebruikt;

d)

bankdiensten voor consumenten;

e)

e-boeken en specifieke software daarvoor, en

f)

e-handelsdiensten.

3.   Deze richtlijn is van toepassing op het beantwoorden van noodcommunicatie via het gemeenschappelijk Europees noodnummer „112”.

4.   Deze richtlijn is niet van toepassing op de volgende inhoud van websites en mobiele toepassingen:

a)

vooraf opgenomen, op tijd gebaseerde media die gepubliceerd zijn vóór 28 juni 2025;

b)

kantoorbestandsformats die gepubliceerd zijn vóór 28 juni 2025;

c)

onlinekaarten en -karteringsdiensten, indien essentiële informatie op een toegankelijke, digitale wijze wordt verstrekt in het geval van voor navigatie bestemde kaarten;

d)

van derden afkomstige inhoud die niet door de betrokken marktdeelnemer wordt gefinancierd of ontwikkeld en waarover deze geen zeggenschap heeft;

e)

inhoud van websites en toepassingen op basis van mobiele apparaten die kunnen worden aangemerkt als archieven, wat betekent dat zij enkel inhoud bevatten die niet wordt bijgewerkt of aangepast na 28 juni 2025.

5.   Deze richtlijn laat Richtlijn (EU) 2017/1564 en Verordening (EU) 2017/1563 onverlet.

Artikel 3

Definities

Voor de toepassing van deze richtlijn wordt verstaan onder:

1.

„personen met een handicap”: personen met langdurige fysieke, mentale, intellectuele of zintuiglijke beperkingen die in hun interactie te kampen hebben met diverse drempels die hen kunnen beletten volledig, effectief en op voet van gelijkheid met anderen in de samenleving te participeren;

2.

„product”: door middel van een productieproces vervaardigde stof, preparaat of goed, uitgezonderd levensmiddelen, diervoeder, levende planten en dieren, producten van menselijke oorsprong en rechtstreeks met hun toekomstige reproductie verband houdende producten van planten en dieren;

3.

„dienst”: dienst als omschreven in artikel 4, punt 1, van Richtlijn 2006/123/EG van het Europees Parlement en de Raad (27);

4.

„dienstverlener”: natuurlijke of rechtspersoon die een dienst verleent op de markt van de Unie of aanbiedt consumenten in de Unie een dienst te verlenen;

5.

„audiovisuele mediadiensten”: in artikel 1, lid 1, punt a), van Richtlijn 2010/13/EU omschreven diensten;

6.

„tot audiovisuele mediadiensten toegang verschaffende diensten”: door middel van elektronischecommunicatienetwerken uitgezonden diensten die gebruikt worden om kennis te nemen van audiovisuele mediadiensten, ze te kiezen, er informatie over te ontvangen en ze te bekijken, alsmede alle beschikbaar gemaakte functies, zoals ondertiteling voor doven en slechthorenden, audiodescriptie, gesproken ondertiteling en vertolking in gebarentaal, die resulteren uit het toepassen van maatregelen voor het toegankelijk maken van die diensten in de zin van artikel 7 van Richtlijn 2010/13/EU; en omvat elektronische programmagidsen (EPG’s);

7.

„eindapparatuur voor gebruik door consumenten, met interactieve computerfuncties, voor toegang tot audiovisuele mediadiensten”: elke soort apparatuur met als voornaamste functie het verlenen van toegang tot audiovisuele mediadiensten;

8.

„elektronischecommunicatiedienst”: dienst voor elektronische communicatie in de zin van artikel 2, punt 4, van Richtlijn (EU) 2018/1972;

9.

„diensten voor totale conversatie”: diensten voor totale conversatie in de zin van artikel 2, punt 35, van Richtlijn (EU) 2018/1972;

10.

„alarmcentrale” of „PSAP” (Public Safety Answering Point): alarmcentrale of PSAP in de zin van artikel 2, punt 36, van Richtlijn (EU) 2018/1972;

11.

„meest geschikte alarmcentrale”: meest geschikte alarmcentrale in de zin van artikel 2, punt 37, van Richtlijn (EU) 2018/1972;

12.

„noodcommunicatie”: noodcommunicatie in de zin van artikel 2, punt 38, van Richtlijn (EU) 2018/1972;

13.

„noodhulpdienst”: noodhulpdienst in de zin van artikel 2, punt 39, van Richtlijn (EU) 2018/1972;

14.

„realtimetekst”: vorm van schriftelijke conversatie tussen twee punten of in meerpuntenconferenties, waarbij de ingevoerde tekst op zodanige wijze wordt verzonden dat het bericht door de gebruiker wordt ervaren als doorlopend en letter voor letter tot stand komend;

15.

„op de markt aanbieden”: het in het kader van een handelsactiviteit, al dan niet tegen betaling, verstrekken van een product met het oog op distributie, consumptie of gebruik op de markt van de Unie;

16.

„in de handel brengen”: het voor het eerst in de Unie op de markt aanbieden van een product;

17.

„fabrikant”: natuurlijke of rechtspersoon die een product fabriceert of laat ontwerpen of fabriceren en dat product onder zijn benaming of merk in de handel brengt;

18.

„gemachtigde”: in de Unie gevestigde natuurlijke of rechtspersoon die schriftelijk door een fabrikant is gemachtigd om namens hem specifieke taken te verrichten;

19.

„importeur”: in de Unie gevestigde natuurlijke of rechtspersoon die een product uit een derde land in de Unie in de handel brengt;

20.

„distributeur”: natuurlijke of rechtspersoon in de toeleveringsketen, uitgezonderd de fabrikant of de importeur, die een product op de markt aanbiedt;

21.

„marktdeelnemer”: fabrikant, gemachtigde, importeur, distributeur of dienstverlener;

22.

„consument”: natuurlijke persoon die het desbetreffende product koopt of de desbetreffende dienst afneemt voor andere doeleinden dan zijn handels-, bedrijfs-, ambachts- of beroepsactiviteit;

23.

„micro-onderneming”: onderneming met minder dan 10 werknemers en een jaaromzet of een jaarlijks balanstotaal van ten hoogste 2 miljoen EUR;

24.

„kleine en middelgrote ondernemingen”: categorie van ondernemingen met minder dan 250 werknemers en met een jaaromzet van ten hoogste 50 miljoen EUR of een jaarlijks balanstotaal van ten hoogste 43 miljoen EUR, micro-ondernemingen niet inbegrepen;

25.

„geharmoniseerde norm”: geharmoniseerde norm als omschreven in artikel 2, punt 1, onder c), van Verordening (EU) nr. 1025/2012;

26.

„technische specificatie”: een technische specificatie als omschreven in artikel 2, punt 4, van Verordening (EU) nr. 1025/2012, ter nakoming van de op een product of dienst van toepassing zijnde toegankelijkheidsvoorschriften;

27.

„uit de handel nemen”: maatregel om te voorkomen dat een product in de toeleveringsketen op de markt wordt aangeboden;

28.

„bankdiensten voor consumenten”: het aan consumenten verlenen van de volgende bankdiensten of financiële diensten:

a)

kredietovereenkomsten die vallen onder Richtlijn 2008/48/EG van het Europees Parlement en de Raad (28) of Richtlijn 2014/17/EU van het Europees Parlement en de Raad (29);

b)

diensten als omschreven in bijlage I, deel A, punten 1, 2, 4 en 5, en deel B, punten 1, 2, 4 en 5, van Richtlijn 2014/65/EU van het Europees Parlement en de Raad (30);

c)

betalingsdiensten als omschreven in artikel 4, punt 3, van Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad (31);

d)

diensten verband houdende met betaalrekeningen als omschreven in artikel 2, punt 6, van Richtlijn 2014/92/EU van het Europees Parlement en de Raad (32); en

e)

elektronisch geld als omschreven in artikel 2, punt 2, van Richtlijn 2009/110/EG van het Europees Parlement en de Raad (33);

29.

„betaalterminal”: apparaat met als voornaamste functie het verrichten van betalingen met gebruik van betaalinstrumenten als omschreven in artikel 4, punt 14, van Richtlijn (EU) 2015/2366 op een fysiek verkooppunt, doch niet in een virtuele omgeving;

30.

„e-handelsdiensten”: diensten die worden verleend op afstand, via websites en diensten op basis van mobiele apparaten, langs elektronische weg en op individueel verzoek van een consument met het oog op het sluiten van een consumentenovereenkomst;

31.

„diensten voor personenvervoer per vliegtuig”: commerciële luchtdiensten voor passagiers in de zin van artikel 2, punt l), van Verordening (EG) nr. 1107/2006, met vertrek van, doorreis via of aankomst op een luchthaven, indien deze luchthaven op het grondgebied van een lidstaat is gelegen, met inbegrip van vluchten vanaf een luchthaven in een derde land naar een luchthaven op het grondgebied van een lidstaat ingeval de diensten door in de Unie gevestigde luchtvaartmaatschappijen worden verricht;

32.

„diensten voor personenvervoer per bus”: onder artikel 2, leden 1 en 2, van Verordening (EU) nr. 181/2011 vallende diensten;

33.

„diensten voor personenvervoer per spoor”: alle diensten voor treinreizigers als bedoeld in artikel 2, lid 1, van Verordening (EG) nr. 1371/2007, met uitzondering van de in artikel 2, lid 2, van die verordening bedoelde diensten;

34.

„diensten voor personenvervoer over water”: onder artikel 2, lid 1, van Verordening (EU) nr. 1177/2010 vallende passagiersdiensten, met uitzondering van de onder artikel 2, lid 2, van genoemde verordening vallende diensten;

35.

„stedelijke en voorstedelijke vervoersdiensten”: stedelijke en voorstedelijke vervoersdiensten als omschreven in artikel 3, punt 6, van Richtlijn 2012/34/EU van het Europees Parlement en de Raad (34); voor de toepassing van onderhavige richtlijn omvat het echter enkel de volgende vervoerswijzen: trein, bus en touringcar, metro, tram en trolleybus;

36.

„regionale vervoersdiensten”: regionale vervoersdiensten als omschreven in artikel 3, punt 7, van Richtlijn 2012/34/EU; voor de toepassing van onderhavige richtlijn omvat het echter enkel de volgende vervoerswijzen: trein, bus en touringcar, metro, tram en trolleybus;

37.

„hulptechnologie”: onderdelen, uitrusting, diensten- of productsystemen, met inbegrip van software waarmee de functionele mogelijkheden van personen met een handicap of andere beperkingen worden verhoogd, in stand gehouden, vervangen of verbeterd, of waarmee stoornissen, beperkingen of participatiebeperkingen worden verlicht of gecompenseerd;

38.

„besturingssysteem”: software die onder meer zorgt voor de verbinding met perifere apparatuur, taken plant, opslagruimte toekent en de gebruiker een standaardinterface aanbiedt wanneer geen toepassingsprogramma actief is, met inbegrip van een grafische gebruikersinterface, ongeacht of deze software integraal deel uitmaakt van gewone computerapparatuur voor consumenten, dan wel voor dergelijke apparatuur bestemde autonome software is, met uitzondering evenwel van de software voor het laden van een besturingssysteem, basis-input/output-systemen of andere firmware die nodig is voor het opstarten of het installeren van het besturingssysteem;

39.

„gewone computerapparatuur voor consumenten”: de combinatie van apparatuur waaruit een volledige computer bestaat, gekenmerkt door multifunctionaliteit en het vermogen om met de juiste software de meest voorkomende, door consumenten gevraagde computertaken uit te voeren, en bedoeld voor gebruik door consumenten, met inbegrip van personal computers, in het bijzonder desktops, notebooks, smartphones en tablets;

40.

„interactieve computerfuncties”: functionaliteiten ter ondersteuning van de interactie tussen mens en apparaat, die de verwerking en transmissie van gegevens, stem of video of iedere combinatie daarvan mogelijk maken;

41.

„e-boek en bijbehorende software”: dienst voor het ter beschikking stellen van digitale bestanden met een elektronische versie van een boek, die kunnen worden geopend, doorgebladerd, gelezen en gebruikt, alsmede van de software, daaronder begrepen diensten op basis van mobiele apparaten, waaronder mobiele applicaties, die nodig is om deze bestanden te openen, te doorbladeren, te lezen en te gebruiken, met uitzondering van software die valt onder de definitie van punt 42;

42.

„e-lezer”: speciaal toestel, met apparatuur en software, om e-boekbestanden te openen, te doorbladeren, te lezen en te gebruiken;

43.

„elektronische tickets”: systeem waarmee een vervoersbewijs in de vorm van één of meerdere reistickets, een abonnement of reissaldo elektronisch wordt opgeladen op een fysiek vervoersbewijs of ander hulpmiddel, in plaats van op een papieren ticket te worden afgedrukt;

44.

„elektronische ticketingdiensten”: systeem waarmee tickets voor personenvervoer worden aangekocht, ook online, door middel van een apparaat met interactieve computerfuncties, en dat die tickets in elektronische vorm aan de koper ter beschikking stelt, zodat deze op papier kunnen worden afgedrukt of tijdens de reis op een mobiel apparaat met interactieve computerfuncties kunnen worden getoond.

HOOFDSTUK II

Toegankelijkheidsvoorschriften en vrij verkeer

Artikel 4

Toegankelijkheidsvoorschriften

1.   De lidstaten zien erop toe, overeenkomstig de leden 2, 3 en 5 van dit artikel en onder voorbehoud van artikel 14, dat marktdeelnemers uitsluitend producten in de handel brengen en uitsluitend diensten verlenen die voldoen aan de toegankelijkheidsvoorschriften in bijlage I.

2.   Alle producten voldoen aan de toegankelijkheidsvoorschriften in afdeling I van bijlage I.

Alle producten, met uitzondering van zelfbedieningsterminals, voldoen aan de toegankelijkheidsvoorschriften in afdeling II van bijlage I.

3.   Onverminderd lid 5 van dit artikel voldoen alle diensten, met uitzondering van de stedelijke en voorstedelijke vervoersdiensten en regionale vervoersdiensten, aan de toegankelijkheidsvoorschriften in afdeling III van bijlage I.

Onverminderd lid 5 van dit artikel voldoen alle diensten aan de toegankelijkheidsvoorschriften in afdeling IV van bijlage I.

4.   De lidstaten kunnen, gelet op binnenlandse omstandigheden, bepalen dat de bebouwde omgeving die door klanten van onder deze richtlijn vallende diensten wordt gebruikt, moet voldoen aan de toegankelijkheidsvoorschriften van bijlage III teneinde het gebruik van deze diensten door personen met een handicap zo veel mogelijk te bevorderen.

5.   Micro-ondernemingen die diensten aanbieden, worden vrijgesteld van de in lid 3 van dit artikel bedoelde toegankelijkheidsvoorschriften en van elke verplichting in verband met de naleving van die voorschriften.

6.   De lidstaten geven micro-ondernemingen de nodige richtsnoeren en instrumenten om de toepassing van de nationale maatregelen ter omzetting van deze richtlijn te faciliteren. De lidstaten ontwikkelen die instrumenten in samenspraak met relevante belanghebbenden.

7.   De lidstaten kunnen de marktdeelnemers in kennis stellen van de in bijlage II vervatte indicatieve voorbeelden van de wijze waarop ertoe kan worden bijgedragen dat aan de toegankelijkheidsvoorschriften in bijlage I kan worden voldaan.

8.   De lidstaten zien erop toe dat bij het beantwoorden van noodcommunicatie via het gemeenschappelijk Europees noodnummer „112” door de meest geschikte alarmcentrale, wordt voldaan aan de specifieke toegankelijkheidsvoorschriften van bijlage I, afdeling V, op de wijze die het meest geschikt is voor de nationale organisatie van noodhulpdiensten.

9.   De Commissie is bevoegd overeenkomstig artikel 26 gedelegeerde handelingen vast te stellen tot aanvulling van bijlage I, houdende nadere uitwerking van de toegankelijkheidsvoorschriften die gezien hun aard het beoogde effect slechts kunnen sorteren indien zij verder worden uitgewerkt in bindende rechtshandelingen van de Unie, zoals voorschriften met betrekking tot interoperabiliteit.

Artikel 5

Bestaande Uniewetgeving op het gebied van personenvervoer

Diensten die voldoen aan de voorschriften voor de verstrekking van toegankelijke informatie en van informatie over toegankelijkheid in de zin van de Verordeningen (EG) nr. 261/2004, (EG) nr. 1107/2006, (EG) nr. 1371/2007, (EU) nr. 1177/2010 en (EU) nr. 181/2011, alsmede van de desbetreffende handelingen die zijn vastgesteld op basis van Richtlijn 2008/57/EG, worden geacht aan de overeenkomstige voorschriften van deze richtlijn te voldoen. Wanneer deze richtlijn ten opzichte van voornoemde verordeningen en handelingen aanvullende voorschriften bevat, zijn de aanvullende voorschriften geheel van toepassing.

Artikel 6

Vrij verkeer

De lidstaten werpen geen met toegankelijkheidsvoorschriften verband houdende belemmeringen op voor het op hun grondgebied in de handel brengen van producten of verlenen van diensten die aan deze richtlijn voldoen.

HOOFDSTUK III

Verplichtingen van marktdeelnemers die zich met producten bezighouden

Artikel 7

Verplichtingen van fabrikanten

1.   Fabrikanten waarborgen bij het in de handel brengen van hun producten dat deze zijn ontworpen en vervaardigd overeenkomstig de toepasselijke toegankelijkheidsvoorschriften van deze richtlijn.

2.   Fabrikanten stellen de technische documentatie op overeenkomstig bijlage IV en voeren de conformiteitsbeoordeling uit — of laten deze uitvoeren — volgens de in die bijlage vermelde procedure.

Indien via die procedure is aangetoond dat het product aan de toepasselijke toegankelijkheidsvoorschriften voldoet, stellen de fabrikanten een EU-conformiteitsverklaring op en brengen zij de CE-markering aan.

3.   Fabrikanten bewaren de technische documentatie en de EU-conformiteitsverklaring gedurende vijf jaar na het in de handel brengen van het product.

4.   Fabrikanten zorgen ervoor dat zij over procedures beschikken om een continue conformiteit van hun serieproductie met deze richtlijn te waarborgen. Er wordt naar behoren rekening gehouden met veranderingen in het ontwerp of de kenmerken van het product en met wijzigingen in de geharmoniseerde normen, of technische specificaties, waarnaar in de conformiteitsverklaring van het product wordt verwezen.

5.   Fabrikanten zorgen ervoor dat op hun producten een type-, partij- of serienummer, dan wel een ander identificatiemiddel is aangebracht, of wanneer dit door de omvang of aard van het product niet mogelijk is, dat de vereiste informatie op de verpakking of in een bij het product gevoegd document is vermeld.

6.   Fabrikanten vermelden hun naam, geregistreerde handelsnaam of hun geregistreerd merk en het contactadres op het product, of wanneer dit niet mogelijk is, op de verpakking of in een bij het product gevoegd document. Het adres geeft één centraal punt aan waar contact kan worden opgenomen met de fabrikant. De contactgegevens worden gesteld in een voor eindgebruikers en markttoezichtautoriteiten gemakkelijk te begrijpen taal.

7.   De fabrikanten zien erop toe dat het product vergezeld gaat van instructies en informatie aangaande de veiligheid, opgesteld in een door de betrokken lidstaat bepaalde taal die consumenten en andere eindgebruikers gemakkelijk kunnen begrijpen. Die instructies en informatie, evenals eventuele etikettering, zijn duidelijk en begrijpelijk.

8.   Fabrikanten die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht product niet aan deze richtlijn voldoet, treffen onmiddellijk de nodige corrigerende maatregelen om het product conform te maken of zo nodig uit de handel te nemen. Voorts brengen fabrikanten, indien het product niet aan de toegankelijkheidsvoorschriften van deze richtlijn voldoet, de bevoegde nationale autoriteiten van de lidstaten waar zij het product op de markt hebben aangeboden hiervan onmiddellijk op de hoogte, waarbij zij in het bijzonder de aard van de non-conformiteit en alle getroffen corrigerende maatregelen uitvoerig beschrijven. In dergelijke gevallen houden fabrikanten een register bij van de producten die niet aan de toepasselijke toegankelijkheidsvoorschriften voldoen en van de desbetreffende klachten.

9.   Fabrikanten verstrekken een bevoegde nationale autoriteit op haar met redenen omkleed verzoek alle benodigde informatie en documentatie ter staving van de conformiteit van het product, in een taal die deze autoriteit gemakkelijk kan begrijpen. Zij verlenen op verzoek van deze autoriteit medewerking aan alle maatregelen die worden getroffen om de non-conformiteit met de toepasselijke toegankelijkheidsvoorschriften van door hen in de handel gebrachte producten weg te nemen, met name door de producten in overeenstemming met die voorschriften te brengen.

Artikel 8

Gemachtigden

1.   Een fabrikant kan via een schriftelijk mandaat een gemachtigde aanstellen.

De verplichtingen uit hoofde van artikel 7, lid 1, en de opstelling van technische documentatie vallen niet onder het mandaat van de gemachtigde.

2.   Een gemachtigde voert de taken uit die vermeld zijn in het mandaat dat hij van de fabrikant heeft ontvangen. De gemachtigde mag uit hoofde van het mandaat ten minste de volgende taken verrichten:

a)

gedurende vijf jaar de EU-conformiteitsverklaring en de technische documentatie ter beschikking van de markttoezichtautoriteiten houden;

b)

een bevoegde nationale autoriteit, op haar met redenen omkleed verzoek daartoe, alle benodigde informatie en documentatie verstrekken ter staving van de conformiteit van het product;

c)

op verzoek van de bevoegde nationale autoriteiten meewerken aan alle maatregelen die getroffen worden om de non-conformiteit met de toepasselijke toegankelijkheidsvoorschriften van onder hun mandaat vallende producten weg te nemen.

Artikel 9

Verplichtingen van importeurs

1.   Importeurs brengen alleen conforme producten in de handel.

2.   Alvorens een product in de handel te brengen, zien importeurs erop toe dat de fabrikant de in bijlage IV vermelde procedure voor conformiteitsbeoordeling heeft uitgevoerd. Zij zorgen ervoor dat de fabrikant de in die bijlage vereiste technische documentatie heeft opgesteld, dat het product is voorzien van de CE-markering, dat het vergezeld gaat van de vereiste documenten en dat de fabrikant heeft voldaan aan de voorschriften in artikel 7, leden 5 en 6.

3.   Indien een importeur van oordeel is, of redenen heeft om aan te nemen, dat een product niet aan de toepasselijke toegankelijkheidsvoorschriften van deze richtlijn voldoet, brengt de importeur het product pas in de handel nadat het conform is gemaakt. Voorts brengt de importeur, indien het product niet aan de toepasselijke toegankelijkheidsvoorschriften voldoet, de fabrikant en de markttoezichtautoriteiten hiervan op de hoogte.

4.   Importeurs vermelden hun naam, geregistreerde handelsnaam of geregistreerd merk, alsmede hun contactadres op het product, of wanneer dit niet mogelijk is, op de verpakking of in een bij het product gevoegd document. De contactgegevens worden gesteld in een voor eindgebruikers en markttoezichtautoriteiten gemakkelijk te begrijpen taal.

5.   Importeurs zien erop toe dat het product vergezeld gaat van instructies en veiligheidsinformatie in een door de betrokken lidstaat bepaalde taal die consumenten en andere eindgebruikers gemakkelijk kunnen begrijpen.

6.   Importeurs zorgen gedurende de periode dat zij voor het product verantwoordelijk zijn voor zodanige opslag- en vervoersomstandigheden dat de conformiteit van het product met de toepasselijke toegankelijkheidsvoorschriften, niet in gevaar komt.

7.   Importeurs houden gedurende vijf jaar een kopie van de EU-conformiteitsverklaring ter beschikking van de markttoezichtautoriteiten en zorgen ervoor dat de technische documentatie op verzoek aan die autoriteiten verstrekt kan worden.

8.   Importeurs die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht product niet aan deze richtlijn voldoet, treffen onmiddellijk de nodige corrigerende maatregelen om het product conform te maken of, zo nodig uit de handel te nemen. Voorts brengen importeurs, indien het product niet aan de toepasselijke toegankelijkheidsvoorschriften voldoet, de bevoegde nationale autoriteiten van de lidstaten waar zij het product op de markt hebben aangeboden hiervan onmiddellijk op de hoogte, waarbij zij in het bijzonder de aard van de non-conformiteit en alle getroffen corrigerende maatregelen uitvoerig beschrijven. In dergelijke gevallen houden importeurs een register bij van de producten die niet aan de toepasselijke toegankelijkheidsvoorschriften voldoen en van de desbetreffende klachten.

9.   Importeurs verstrekken een bevoegde nationale autoriteit op haar met redenen omkleed verzoek alle benodigde informatie en documentatie ter staving van de conformiteit van het product, in een taal die deze autoriteit gemakkelijk kan begrijpen. Zij verlenen op verzoek van deze autoriteit medewerking aan alle maatregelen die worden getroffen om de non-conformiteit met de toepasselijke toegankelijkheidsvoorschriften van door hen in de handel gebrachte producten weg te nemen.

Artikel 10

Verplichtingen van distributeurs

1.   Distributeurs die een product op de markt aanbieden, betrachten de nodige zorgvuldigheid in verband met de voorschriften van deze richtlijn.

2.   Voordat zij een product op de markt aanbieden, vergewissen distributeurs zich ervan dat de vereiste CE-markering op het product is aangebracht, dat het product vergezeld gaat van de vereiste documenten en van instructies en veiligheidsinformatie, in een taal die gemakkelijk te begrijpen is voor consumenten en andere eindgebruikers in de lidstaat waar het product op de markt wordt aangeboden, en dat de fabrikant en de importeur aan de voorschriften van artikel 7, leden 5 en 6, respectievelijk artikel 9, lid 4, hebben voldaan.

3.   Indien een distributeur van oordeel is of redenen heeft om aan te nemen dat een product niet conform is met de toepasselijke toegankelijkheidsvoorschriften van deze richtlijn, biedt de distributeur het product pas op de markt aan nadat het conform is gemaakt. Voorts brengt de distributeur, indien het product niet aan de toepasselijke toegankelijkheidsvoorschriften voldoet, de fabrikant of de importeur en de markttoezichtautoriteiten hiervan op de hoogte.

4.   Distributeurs zorgen gedurende de periode dat zij voor het product verantwoordelijk zijn, voor zodanige opslag- en vervoersomstandigheden dat de conformiteit van het product met de toepasselijke toegankelijkheidsvoorschriften niet in gevaar komt.

5.   Distributeurs die van mening zijn of redenen hebben om aan te nemen dat een door hen op de markt aangeboden product niet aan deze richtlijn voldoet, zien erop toe dat de nodige corrigerende maatregelen worden getroffen om het product conform te maken of zo nodig uit de handel te nemen. Voorts brengen distributeurs, indien het product niet aan de toepasselijke toegankelijkheidsvoorschriften voldoet, de bevoegde nationale autoriteiten van de lidstaten waar zij het product op de markt hebben aangeboden hiervan onmiddellijk op de hoogte, waarbij zij in het bijzonder de aard van de non-conformiteit en alle getroffen corrigerende maatregelen uitvoerig beschrijven.

6.   Distributeurs verstrekken een bevoegde nationale autoriteit op haar met redenen omkleed verzoek alle benodigde informatie en documentatie ter staving van de conformiteit van het product. Op verzoek van deze autoriteit verlenen zij medewerking aan alle maatregelen die worden getroffen om de non-conformiteit met de toepasselijke toegankelijkheidsvoorschriften van de door hen op de markt aangeboden producten weg te nemen.

Artikel 11

Gevallen waarin de verplichtingen van fabrikanten van toepassing zijn op importeurs en distributeurs

Een importeur of distributeur wordt voor de toepassing van deze richtlijn als fabrikant beschouwd en moet aan de in artikel 7 vermelde verplichtingen van de fabrikant voldoen, wanneer hij een product onder zijn eigen naam of merk in de handel brengt of een reeds in de handel gebracht product zodanig wijzigt dat de conformiteit met de voorschriften van deze richtlijn in het gedrang kan komen.

Artikel 12

Identificatie van marktdeelnemers die zich met producten bezighouden

1.   In de artikelen 7 tot en met 10 bedoelde marktdeelnemers delen, op verzoek, de markttoezichtautoriteiten het volgende mede:

a)

welke andere marktdeelnemers hun een product hebben geleverd;

b)

aan welke andere marktdeelnemers zij een product hebben geleverd.

2.   In de artikelen 7 tot en met 10 bedoelde marktdeelnemers moeten tot vijf jaar nadat het product aan hen is geleverd en tot vijf jaar nadat zij het product hebben geleverd, de in het eerste lid van dit artikel bedoelde informatie kunnen verstrekken.

3.   De Commissie is bevoegd overeenkomstig artikel 26 gedelegeerde handelingen vast te stellen tot wijziging van deze richtlijn, ter wijziging van de in lid 2 van dit artikel voor specifieke producten bedoelde termijn. Deze gewijzigde termijn bedraagt meer dan vijf jaar en staat in verhouding tot de economische levensduur van het product in kwestie.

HOOFDSTUK IV

Verplichtingen van dienstverleners

Artikel 13

Verplichtingen van dienstverleners

1.   Dienstverleners zorgen ervoor dat zij hun diensten ontwerpen en verlenen in overeenstemming met de toegankelijkheidsvoorschriften van deze richtlijn.

2.   Dienstverleners stellen overeenkomstig bijlage V de vereiste informatie op en leggen uit op welke manier de diensten aan de toepasselijke toegankelijkheidsvoorschriften voldoen. De informatie wordt het publiek schriftelijk en mondeling ter beschikking gesteld, mede op een manier die toegankelijk is voor personen met een handicap. Dienstverleners bewaren die informatie zolang de dienst in werking is.

3.   Onverminderd artikel 32 zorgen dienstverleners ervoor dat er procedures worden toegepast die garanderen dat de dienstverlening in overeenstemming met de toepasselijke toegankelijkheidsvoorschriften blijft. Dienstverleners houden op gepaste wijze rekening met veranderingen in de dienstverlening, veranderingen in de toepasselijke toegankelijkheidsvoorschriften en veranderingen in de geharmoniseerde normen of in technische specificaties op basis waarvan wordt verklaard dat een dienst aan de toegankelijkheidsvoorschriften voldoet.

4.   Indien de dienst hiermee niet in overeenstemming is, treffen dienstverleners onmiddellijk de nodige corrigerende maatregelen om de dienst in overeenstemming met de toepasselijke toegankelijkheidsvoorschriften te brengen. Voorts brengen dienstverleners, indien de dienst niet aan de toepasselijke toegankelijkheidsvoorschriften voldoet, de bevoegde nationale autoriteiten van de lidstaten waar de dienst wordt verleend hiervan onmiddellijk op de hoogte, waarbij zij in het bijzonder de aard van de non-conformiteit en alle getroffen corrigerende maatregelen uitvoerig beschrijven.

5.   Dienstverleners verstrekken een bevoegde nationale autoriteit op haar met redenen omkleed verzoek alle benodigde informatie en documentatie ter staving van de conformiteit van de dienst met de toepasselijke toegankelijkheidsvoorschriften. Zij verlenen op verzoek van deze autoriteit medewerking aan alle maatregelen die worden getroffen om de conformiteit met die voorschriften te waarborgen.

HOOFDSTUK V

Fundamentele wijziging van producten of diensten en onevenredige last voor marktdeelnemers

Artikel 14

Fundamentele wijziging en onevenredige last

1.   De in artikel 4 genoemde toegankelijkheidsvoorschriften zijn uitsluitend van toepassing voor zover de naleving ervan:

a)

geen ingrijpende wijziging van een product of dienst vereist, resulterend in een fundamentele wijziging van de wezenlijke aard ervan, en

b)

geen onevenredige last voor de betrokken marktdeelnemers oplevert.

2.   Marktdeelnemers voeren een beoordeling uit om te kunnen bepalen of het naleven van de in artikel 4 bedoelde toegankelijkheidsvoorschriften tot een fundamentele wijziging leidt of, overeenkomstig de desbetreffende criteria in bijlage VI, een onevenredige last als bedoeld in lid 1 van dit artikel oplevert.

3.   Marktdeelnemers documenteren de in lid 2 genoemde beoordeling. Marktdeelnemers bewaren alle relevante resultaten gedurende een periode van vijf jaar nadat, naargelang van het geval, een product voor het laatst op de markt is aangeboden of een dienst voor het laatst op de markt is verleend. De marktdeelnemers verstrekken, naargelang van het geval, aan de markttoezichtautoriteiten of aan de voor het controleren van de conformiteit van diensten verantwoordelijke autoriteiten, op hun verzoek, een exemplaar van de in lid 2 genoemde beoordeling.

4.   In afwijking van lid 3 zijn micro-ondernemingen die zich met producten bezighouden, uitgezonderd van het voorschrift hun beoordeling te documenteren. Indien echter markttoezichtautoriteiten daarom vragen, verstrekken micro-ondernemingen die zich met producten bezighouden, en die ervoor gekozen hebben een beroep op lid 1 te doen, hun de voor de in lid 2 bedoelde beoordeling relevante feiten.

5.   Dienstverleners die een beroep doen op lid 1, onder b), vernieuwen voor elke categorie of soort dienst hun beoordeling van de onevenredige last:

a)

naar aanleiding van wijziging van de aangeboden dienst; of

b)

op verzoek van de voor het controleren van de conformiteit van diensten verantwoordelijke autoriteiten, en

c)

in ieder geval, ten minste om de vijf jaar.

6.   Indien een marktdeelnemer uit andere bronnen dan zijn eigen middelen financiering ontvangt ter verbetering van de toegankelijkheid, ongeacht of het om publieke of particuliere financiering gaat, kan hij geen beroep doen op lid 1, onder b).

7.   De Commissie is bevoegd overeenkomstig artikel 26 gedelegeerde handelingen vast te stellen ter aanvulling van bijlage VI met een nadere uitwerking van de relevante criteria waarmee de marktdeelnemer bij het uitvoeren van de in lid 2 van dit artikel genoemde beoordeling rekening moet houden. De Commissie houdt hierbij niet alleen rekening met de potentiële voordelen voor personen met een handicap, maar ook met die voor personen met functionele beperkingen.

De Commissie stelt waar nodig de eerste van die gedelegeerde handelingen uiterlijk op 28 juni 2020 vast. Deze eerste gedelegeerde handeling wordt ten vroegste van toepassing op 28 juni 2025.

8.   Marktdeelnemers die voor een specifiek product of specifieke dienst een beroep doen op lid 1, verstrekken informatie daartoe aan de bevoegde markttoezichtautoriteiten of voor het controleren van de conformiteit van diensten verantwoordelijke autoriteiten van de lidstaat waar het product in kwestie in de handel wordt gebracht of de dienst in kwestie wordt verleend.

De eerste alinea is niet van toepassing op micro-ondernemingen.

HOOFDSTUK VI

Geharmoniseerde normen en technische specificaties van producten en diensten

Artikel 15

Vermoeden van conformiteit

1.   Producten en diensten die voldoen aan geharmoniseerde normen of delen daarvan waarvan de referenties in het Publicatieblad van de Europese Unie zijn bekendgemaakt, worden geacht in overeenstemming te zijn met de toegankelijkheidsvoorschriften van deze richtlijn voor zover deze normen of delen daarvan die voorschriften bestrijken.

2.   De Commissie verzoekt overeenkomstig artikel 10 van Verordening (EU) nr. 1025/2012 een of meer Europese normalisatieorganisaties om geharmoniseerde normen op te stellen voor de in bijlage I bedoelde producttoegankelijkheidsvoorschriften. De Commissie dient uiterlijk op 28 juni 2021 voor het eerst een dergelijk ontwerpverzoek in bij het betreffende comité.

3.   De Commissie kan uitvoeringshandelingen vaststellen waarin technische specificaties worden vastgelegd die aan toegankelijkheidsvoorschriften van deze richtlijn voldoen, mits aan navolgende voorwaarden is voldaan:

a)

in het Publicatieblad van de Europese Unie is geen referentie naar geharmoniseerde normen conform Verordening (EU) nr. 1025/2012 bekendgemaakt, en

b)

hetzij

i)

de Commissie heeft een of meer Europese normalisatieorganisaties verzocht een geharmoniseerde norm op te stellen en de normalisatieprocedure loopt buitensporige vertraging op, of geen van de Europese normalisatieorganisaties heeft het verzoek ingewilligd; hetzij

ii)

de Commissie kan aantonen dat een technische specificatie voldoet aan de voorschriften van bijlage II van Verordening (EU) nr. 1025/2012, met uitzondering van het voorschrift dat de technische specificaties ontwikkeld moeten zijn door een non-profitorganisatie.

Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 27, lid 2, bedoelde onderzoeksprocedure.

4.   Producten en diensten die in overeenstemming zijn met de technische specificaties of delen daarvan, worden geacht in overeenstemming te zijn met de toegankelijkheidsvoorschriften van deze richtlijn, voor zover deze technische specificaties of delen daarvan die voorschriften bestrijken.

HOOFDSTUK VII

Conformiteit van producten en CE-markering

Artikel 16

EU-conformiteitsverklaring van producten

1.   De EU-conformiteitsverklaring bevat een vermelding dat is aangetoond dat wordt voldaan aan de toepasselijke toegankelijkheidsvoorschriften. Wanneer bij wijze van uitzondering gebruik is gemaakt van artikel 14, wordt in de EU-conformiteitsverklaring vermeld op welke toegankelijkheidsvoorschriften die uitzondering betrekking heeft.

2.   De structuur van de EU-conformiteitsverklaring komt overeen met het model in bijlage III bij Besluit nr. 768/2008/EG. De verklaring bevat de elementen die zijn vastgelegd in bijlage IV bij deze richtlijn en wordt voortdurend actueel gehouden. Bij de eisen aan de technische documentatie wordt vermeden dat micro-ondernemingen en kleine en middelgrote ondernemingen zware lasten te dragen krijgen. De EU-conformiteitsverklaring wordt vertaald in de taal of talen die worden voorgeschreven door de lidstaat waar het product in de handel wordt gebracht of op de markt wordt aangeboden.

3.   Indien voor een product uit hoofde van meer dan één handeling van de Unie een EU-conformiteitsverklaring vereist is, wordt er één EU-conformiteitsverklaring met betrekking tot al die handelingen van de Unie opgesteld. In die verklaring wordt aangegeven om welke handelingen het gaat, en staan de publicatiegegevens vermeld.

4.   Met het opstellen van de EU-conformiteitsverklaring neemt de fabrikant de verantwoordelijkheid op zich voor de conformiteit van het product met de voorschriften van deze richtlijn.

Artikel 17

Algemene beginselen van de CE-markering van producten

De CE-markering is onderworpen aan de algemene beginselen krachtens artikel 30 van Verordening (EG) nr. 765/2008.

Artikel 18

Voorschriften en voorwaarden voor het aanbrengen van de CE-markering

1.   De CE-markering wordt zichtbaar, leesbaar en onuitwisbaar op het product of op het gegevensplaatje aangebracht. Wanneer dit gezien de aard van het product niet mogelijk of niet gerechtvaardigd is, wordt de markering aangebracht op de verpakking en de begeleidende documenten.

2.   De CE-markering wordt aangebracht voordat het product in de handel wordt gebracht.

3.   De lidstaten bouwen voort op bestaande mechanismen om te zorgen voor een juiste toepassing van de voorschriften voor de CE-markering en treffen passende maatregelen in geval van oneigenlijk gebruik van die markering.

HOOFDSTUK VIII

Markttoezicht op producten en vrijwaringsprocedure van de Unie

Artikel 19

Markttoezicht op producten

1.   Artikel 15, lid 3, de artikelen 16 tot en met 19, artikel 21, de artikelen 23 tot en met 28 en artikel 29, leden 2 en 3, van Verordening (EG) nr. 765/2008 zijn van toepassing op producten.

2.   Wanneer de marktdeelnemer zich heeft gebaseerd op artikel 14 van deze richtlijn, doen de betrokken markttoezichtautoriteiten bij het uitoefenen van markttoezicht op producten het volgende:

a)

zij gaan na of de marktdeelnemer de in artikel 14 bedoelde beoordeling heeft uitgevoerd;

b)

zij analyseren deze beoordeling en de resultaten ervan, en gaan onder meer na of de criteria van bijlage VI juist zijn toegepast, en

c)

zij controleren of aan de toepasselijke toegankelijkheidsvoorschriften wordt voldaan.

3.   De lidstaten zorgen ervoor dat de informatie die de markttoezichtautoriteiten hebben verzameld met betrekking tot de naleving door marktdeelnemers van de toepasselijke, toegankelijkheidsvoorschriften van deze richtlijn en de in artikel 14 bedoelde beoordeling op verzoek in een toegankelijk format aan de consumenten ter beschikking wordt gesteld, tenzij die informatie niet kan worden verstrekt om redenen van vertrouwelijkheid, zoals bedoeld in artikel 19, lid 5, van Verordening (EG) nr. 765/2008.

Artikel 20

Procedure op nationaal niveau voor producten die niet voldoen aan de toepasselijke toegankelijkheidsvoorschriften

1.   Indien de markttoezichtautoriteiten van een lidstaat voldoende reden hebben om aan te nemen dat een onder deze richtlijn vallend product niet aan de toepasselijke toegankelijkheidsvoorschriften voldoet, voeren zij in het licht van alle in deze richtlijn vastgestelde voorschriften een beoordeling van het betrokken product uit. De betrokken marktdeelnemers verlenen de markttoezichtautoriteiten daartoe volledige medewerking.

Indien de markttoezichtautoriteiten bij de in de eerste alinea bedoelde beoordeling vaststellen dat het product niet aan de in deze richtlijn vastgestelde voorschriften voldoet, gelasten zij de betrokken marktdeelnemer onverwijld passende corrigerende maatregelen te treffen om het product binnen een door hen vast te stellen redelijke termijn die evenredig is met de aard van de non-conformiteit, in overeenstemming met deze voorschriften te brengen.

Uitsluitend indien de betrokken marktdeelnemer heeft verzuimd om binnen de in de tweede alinea bedoelde termijn adequate corrigerende maatregelen te treffen, schrijven de markttoezichtautoriteiten voor dat hij het product binnen een redelijke extra termijn uit de handel neemt.

Artikel 21 van Verordening (EG) nr. 765/2008 is van toepassing op de in de tweede en derde alinea van dit lid genoemde maatregelen.

2.   Indien de markttoezichtautoriteiten van mening zijn dat de non-conformiteit niet beperkt is tot hun nationale grondgebied, brengen zij de Commissie en de andere lidstaten op de hoogte van de resultaten van de beoordeling en van de maatregelen die zij van de marktdeelnemer hebben verlangd.

3.   De marktdeelnemer zorgt ervoor dat alle betrokken producten die hij in de Unie op de markt heeft aangeboden aan alle passende corrigerende maatregelen worden onderworpen.

4.   Indien de betrokken marktdeelnemer niet binnen de in lid 1, derde alinea, bedoelde termijn adequate corrigerende maatregelen treft, treffen de markttoezichtautoriteiten alle passende voorlopige maatregelen om het op hun nationale markten aanbieden van het product te verbieden of te beperken, of om het product daar uit de handel te nemen.

De markttoezichtautoriteiten brengen de Commissie en de andere lidstaten onverwijld van deze maatregelen op de hoogte.

5.   De in lid 4, tweede alinea, bedoelde informatie omvat alle bekende informatie, met name de gegevens die nodig zijn om het non-conforme product te identificeren en om de oorsprong van het product, de aard van de beweerde non-conformiteit en de toegankelijkheidsvoorschriften waar het product niet aan voldoet, de aard en de duur van de nationale maatregelen vast te stellen, evenals de argumenten die door de betrokken marktdeelnemer zijn aangevoerd. De markttoezichtautoriteiten vermelden met name of de non-conformiteit te wijten is aan:

a)

het niet voldoen van het product aan de toepasselijke toegankelijkheidsvoorschriften; of

b)

tekortkomingen in de in artikel 15 bedoelde geharmoniseerde normen of technische specificaties die een vermoeden van conformiteit rechtvaardigen.

6.   Andere lidstaten dan die welke de procedure krachtens dit artikel heeft ingeleid, brengen de Commissie en de overige lidstaten onverwijld op de hoogte van eventuele door hen getroffen maatregelen, van eventuele aanvullende informatie over de non-conformiteit van het betrokken product waarover zij beschikken, en — indien zij het niet eens zijn met de ter kennis gebrachte nationale maatregel — van hun bezwaren.

7.   Wanneer een lidstaat of de Commissie binnen drie maanden na ontvangst van de in lid 4, tweede alinea, bedoelde informatie geen bezwaar tegen een voorlopige maatregel van een lidstaat heeft aangetekend, wordt die maatregel geacht gerechtvaardigd te zijn.

8.   De lidstaten zorgen ervoor dat ten aanzien van het betrokken product onverwijld passende beperkende maatregelen worden getroffen, zoals het uit de handel nemen van het product.

Artikel 21

Vrijwaringsprocedure van de Unie

1.   Indien er na voltooiing van de procedure van artikel 20, leden 3 en 4, bezwaren tegen een maatregel van een lidstaat worden ingebracht, of de Commissie redelijke aanwijzingen heeft dat een nationale maatregel in strijd is met het Unierecht, treedt de Commissie onverwijld in overleg met de lidstaten en de betrokken marktdeelnemer(s) en voert zij een evaluatie van de nationale maatregel uit. Aan de hand van die evaluatie besluit de Commissie of de nationale maatregel al dan niet gerechtvaardigd is.

De Commissie richt haar besluit tot alle lidstaten en brengt de lidstaten en de betrokken marktdeelnemer(s) daarvan onmiddellijk op de hoogte.

2.   Indien de in lid 1 bedoelde nationale maatregel gerechtvaardigd wordt geacht, treffen alle lidstaten de nodige maatregelen om het non-conforme product uit de handel te nemen en stellen zij de Commissie daarvan in kennis. Indien de nationale maatregel niet gerechtvaardigd wordt geacht, trekt de betrokken lidstaat de maatregel in.

3.   Indien de in lid 1 van dit artikel bedoelde nationale maatregel gerechtvaardigd wordt geacht en de non-conformiteit van het product wordt toegeschreven aan tekortkomingen in de geharmoniseerde normen zoals bedoeld in artikel 20, lid 5, onder b), past de Commissie de procedure van artikel 11 van Verordening (EU) nr. 1025/2012 toe.

4.   Indien de in lid 1 van dit artikel bedoelde nationale maatregel gerechtvaardigd wordt geacht en de non-conformiteit van het product wordt toegeschreven aan tekortkomingen in de technische specificaties zoals bedoeld in artikel 20, lid 5, onder b), stelt de Commissie onverwijld uitvoeringshandelingen tot wijziging of intrekking van de betrokken technische specificatie vast. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 27, lid 2, bedoelde onderzoeksprocedure.

Artikel 22

Formele non-conformiteit

1.   Onverminderd artikel 20 verlangt een lidstaat, wanneer hij een van de volgende feiten vaststelt, van de betrokken marktdeelnemer dat deze een einde aan de non-conformiteit maakt:

a)

de CE-markering is in strijd met artikel 30 van Verordening (EG) nr. 765/2008 of artikel 18 van deze richtlijn aangebracht;

b)

de CE-markering is niet aangebracht;

c)

er is geen EU-conformiteitsverklaring opgesteld;

d)

de EU-conformiteitsverklaring is niet correct opgesteld;

e)

de technische documentatie is niet beschikbaar of onvolledig;

f)

de in artikel 7, lid 6, of artikel 9, lid 4, bedoelde gegevens ontbreken, zijn onjuist of zijn onvolledig;

g)

er wordt niet voldaan aan een ander administratief voorschrift van artikel 7 of artikel 9.

2.   Indien de in lid 1 bedoelde non-conformiteit voortduurt, treft de betrokken lidstaat alle passende maatregelen om het op de markt aanbieden van het product te beperken of te verbieden, of om ervoor te zorgen dat het product uit de handel wordt genomen.

HOOFDSTUK IX

Conformiteit van diensten

Artikel 23

Conformiteit van diensten

1.   De lidstaten zorgen voor de vaststelling, uitvoering en periodieke actualisering van geschikte procedures om:

a)

conformiteit van de diensten met de voorschriften van deze richtlijn, met inbegrip van de in artikel 14 bedoelde beoordeling waarvoor artikel 19, lid 2, van overeenkomstige toepassing is, te controleren;

b)

actie te ondernemen naar aanleiding van klachten of meldingen over kwesties in verband met diensten die niet in overeenstemming zijn met de toegankelijkheidsvoorschriften van deze richtlijn;

c)

te controleren of de marktdeelnemer de nodige corrigerende maatregelen heeft getroffen.

2.   De lidstaten wijzen de autoriteiten aan die verantwoordelijk zijn voor de uitvoering van de in lid 1 bedoelde procedures met betrekking tot de conformiteit van diensten.

De lidstaten zien erop toe dat het publiek op de hoogte is van het bestaan, de verantwoordelijkheden, de identiteit, en de werkzaamheden en besluiten van de in de eerste alinea bedoelde autoriteiten. Deze autoriteiten stellen die informatie op verzoek in toegankelijke formats beschikbaar.

HOOFDSTUK X

Toegankelijkheidsvoorschriften in andere handelingen van de Unie

Artikel 24

Toegankelijkheid krachtens andere handelingen van de Unie

1.   Voor de in artikel 2 van deze richtlijn bedoelde producten en diensten vormen de in bijlage I daarbij vermelde toegankelijkheidsvoorschriften verplichte toegankelijkheidsvoorschriften in de zin van artikel 42, lid 1, van Richtlijn 2014/24/EU en van artikel 60, lid 1, van Richtlijn 2014/25/EU.

2.   Producten en diensten waarvan de kenmerken, onderdelen en functies aan de overeenkomstig afdeling VI van bijlage I vastgestelde toegankelijkheidsvoorschriften in bijlage I van deze richtlijn voldoen, worden voor wat deze kenmerken, onderdelen en functies betreft geacht te voldoen aan de desbetreffende verplichtingen inzake toegankelijkheid krachtens andere Uniehandelingen dan deze richtlijn, tenzij in die andere handelingen anders wordt bepaald.

Artikel 25

Geharmoniseerde normen en technische specificaties voor andere handelingen van de Unie

Conformiteit met geharmoniseerde normen en technische specificaties, of delen daarvan, die zijn vastgesteld overeenkomstig artikel 15, leiden tot een vermoeden van overeenstemming met artikel 24 voor zover deze normen en technische specificaties of delen daarvan aan de toegankelijkheidsvoorschriften van deze richtlijn voldoen.

HOOFDSTUK XI

Gedelegeerde handelingen, uitvoeringsbevoegdheden en slotbepalingen

Artikel 26

Uitoefening van de bevoegdheidsdelegatie

1.   De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2.   De in artikel 4, lid 9, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor onbepaalde tijd met ingang van 27 juni 2019.

De in artikel 12, lid 3, en artikel 14, lid 7, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor een termijn van vijf jaar met ingang van 27 juni 2019. De Commissie stelt uiterlijk negen maanden voor het einde van de termijn van vijf jaar een verslag over de bevoegdheidsdelegatie op. De bevoegdheidsdelegatie wordt stilzwijgend met termijnen van dezelfde duur verlengd, tenzij het Europees Parlement of de Raad zich uiterlijk drie maanden voor het einde van elke termijn tegen deze verlenging verzet.

3.   Het Europees Parlement of de Raad kan de in artikel 4, lid 9, artikel 12, lid 3, en artikel 14, lid 7, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4.   Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

5.   Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

6.   Een overeenkomstig artikel 4, lid 9, artikel 12, lid 3, en artikel 14, lid 7, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en aan de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.

Artikel 27

Comitéprocedure

1.   De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.   Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 28

Werkgroep

De Commissie richt een werkgroep op bestaande uit vertegenwoordigers van de markttoezichtautoriteiten en van autoriteiten die verantwoordelijk zijn voor de conformiteit van diensten alsmede uit belanghebbenden, daaronder begrepen vertegenwoordigers van belangenorganisaties van personen met een handicap.

De werkgroep heeft tot taak:

a)

de uitwisseling van informatie en beste praktijken tussen de autoriteiten en de relevante belanghebbenden te bevorderen;

b)

de samenwerking tussen autoriteiten en relevante belanghebbenden te bevorderen wat betreft de uitvoering van deze richtlijn, met het oog op een meer samenhangende toepassing van de toegankelijkheidsvoorschriften van deze richtlijn en de nauwgezette monitoring van de uitvoering van artikel 14, en

c)

advies te verstrekken, met name aan de Commissie, in het bijzonder over de uitvoering van de artikelen 4 en 14.

Artikel 29

Handhaving

1.   De lidstaten zorgen ervoor dat er passende en doeltreffende middelen beschikbaar zijn om te waarborgen dat de bepalingen van deze richtlijn worden nageleefd.

2.   De in lid 1 bedoelde middelen omvatten:

a)

bepalingen waarbij een consument zich krachtens nationaal recht tot de rechter of de bevoegde administratieve instanties kan wenden om te bewerkstelligen dat de nationale bepalingen waarin deze richtlijn is omgezet, worden nageleefd;

b)

bepalingen waarbij overheidsorganen of particuliere verenigingen, organisaties of andere juridische entiteiten die er een legitiem belang bij hebben dat deze richtlijn wordt nageleefd, krachtens nationaal recht namens of ter ondersteuning van de eiser en met diens toestemming, bij de rechter of de bevoegde administratieve instanties gerechtelijke of administratieve procedures kunnen aanspannen die voor de handhaving van de verplichtingen krachtens deze richtlijn beschikbaar zijn.

3.   Dit artikel is niet van toepassing op aanbestedingsprocedures die onder Richtlijn 2014/24/EU of Richtlijn 2014/25/EU vallen.

Artikel 30

Sancties

1.   De lidstaten stellen de regels vast inzake de sancties die van toepassing zijn op inbreuken op de krachtens deze richtlijn vastgestelde nationale bepalingen en treffen alle nodige maatregelen opdat zij worden toegepast.

2.   De aldus vastgestelde sancties moeten doeltreffend, evenredig en afschrikkend zijn. Deze sancties gaan in geval van niet-naleving door de marktdeelnemer tevens gepaard met doeltreffende herstelmaatregelen.

3.   De lidstaten stellen de Commissie onverwijld in kennis van deze regels en maatregelen alsmede van alle eventuele latere wijzigingen ervan.

4.   Bij de sancties moet rekening worden gehouden met de mate van niet-naleving, die mede gebaseerd is op de ernst en het aantal betrokken non-conforme producten of diensten alsmede op het aantal getroffen personen.

5.   Dit artikel is niet van toepassing op aanbestedingsprocedures die onder Richtlijn 2014/24/EU of Richtlijn 2014/25/EU vallen.

Artikel 31

Omzetting

1.   De lidstaten stellen de nodige wettelijke en bestuursrechtelijke bepalingen vast om aan deze richtlijn te voldoen en maken deze uiterlijk op 28 juni 2022 bekend. Zij delen de Commissie de tekst van die bepalingen onverwijld mede.

2.   Zij passen deze bepalingen vanaf 28 juni 2025 toe.

3.   De lidstaten kunnen in afwijking van lid 2 van dit artikel de verplichtingen krachtens artikel 4, lid 8, uiterlijk met ingang van 28 juni 2027 toepassen.

4.   Wanneer de lidstaten die bepalingen vaststellen, wordt in die bepalingen zelf of bij de officiële bekendmaking ervan naar deze richtlijn verwezen. De regels voor de verwijzing worden vastgesteld door de lidstaten.

5.   De lidstaten delen de Commissie de tekst van de belangrijkste bepalingen van intern recht mee die zij op het onder deze richtlijn vallende gebied vaststellen.

6.   Lidstaten die gebruikmaken van de in artikel 4, lid 4, geboden mogelijkheid, delen de Commissie de tekst van de belangrijkste bepalingen van intern recht mee die zij vaststellen om dat doel te verwezenlijken en brengen aan de Commissie verslag uit over de voortgang bij de uitvoering ervan.

Artikel 32

Overgangsmaatregelen

1.   Onverminderd lid 2 van dit artikel, voorzien de lidstaten in een overgangsperiode die afloopt op 28 juni 2030 waarin dienstverleners hun diensten mogen blijven verlenen met gebruikmaking van de producten die zij voor deze datum al rechtmatig gebruikten bij het verlenen van vergelijkbare diensten.

Dienstverleningscontracten die gesloten zijn vóór 28 juni 2025 kunnen ongewijzigd blijven doorlopen totdat zij verstrijken, evenwel uiterlijk tot vijf jaar na die datum.

2.   De lidstaten kunnen bepalen dat zelfbedieningsterminals die dienstverleners vóór 28 juni 2025 rechtmatig gebruikten voor het verlenen van diensten, tot het eind van hun economische levensduur maar niet langer dan 20 jaar na hun ingebruikname gebruikt mogen worden bij het leveren van vergelijkbare diensten.

Artikel 33

Verslag en evaluatie

1.   Uiterlijk op 28 juni 2030, en vervolgens om de vijf jaar, legt de Commissie een verslag over de toepassing van deze richtlijn voor aan het Europees Parlement, aan de Raad, aan het Europees Economisch en Sociaal Comité en aan het Comité van de Regio’s.

2.   In de verslagen wordt, uit het oogpunt van de sociale, economische en technologische ontwikkelingen, onder meer aandacht besteed aan de ontwikkelingen op het gebied van de toegankelijkheid van producten en diensten, mogelijke technologische lock-in of belemmeringen voor innovatie en de effecten van deze richtlijn op marktdeelnemers en op personen met een handicap. In de verslagen wordt voor zover mogelijk tevens beoordeeld of de uiteenlopende toegankelijkheidsvoorschriften voor de bebouwde omgeving van diensten voor personenvervoer, bankdiensten voor consumenten en klantenservicebalies in winkels van aanbieders van elektronischecommunicatiediensten mede dankzij de toepassing van artikel 4, lid 4, onderling zijn aangepast, met het oog op geleidelijke onderlinge aanpassing daarvan aan de toegankelijkheidsvoorschriften in bijlage III.

In de verslagen wordt tevens beoordeeld of de toepassing van deze richtlijn, met name van de vrijwillige bepalingen daarvan, heeft bijgedragen tot onderlinge aanpassing van toegankelijkheidsvoorschriften voor de bebouwde omgeving in de gedaante van werken krachtens Richtlijn 2014/23/EU van het Europees Parlement en de Raad (35), Richtlijn 2014/24/EU en Richtlijn 2014/25/EU.

Voorts wordt in de verslagen ingegaan op de gevolgen van de toepassing van artikel 14 van deze richtlijn voor het functioneren van de interne markt, indien beschikbaar onder meer op basis van informatie die ontvangen is overeenkomstig artikel 14, lid 8, en daarnaast op de vrijstellingen voor micro-ondernemingen. In de verslagen wordt aangegeven of de doelstellingen van deze richtlijn zijn gerealiseerd en of het dienstig zou zijn om nieuwe producten en diensten op te nemen, of om bepaalde producten of diensten van het toepassingsgebied van de richtlijn uit te sluiten. Daarnaast wordt, indien mogelijk, met het oog op eventuele herziening van deze richtlijn in kaart gebracht welke mogelijkheden tot lastenverlichting er zijn.

De Commissie stelt zo nodig passende maatregelen voor, met inbegrip van eventuele maatregelen van wetgevende aard.

3.   De lidstaten verstrekken de Commissie tijdig alle informatie die de Commissie voor het opstellen van deze verslagen nodig heeft.

4.   De Commissie houdt in haar verslagen rekening met de standpunten van de economisch belanghebbenden en van betrokken niet-gouvernementele organisaties, waaronder organisaties van personen met een handicap.

Artikel 34

Deze richtlijn treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Artikel 35

Deze richtlijn is gericht tot de lidstaten.

Gedaan te Straatsburg, 17 april 2019.

Voor het Europees Parlement Voor de Raad

De voorzitter

A. TAJANI

For the Council

De voorzitter

G. CIAMBA


(1)  PB C 303 van 19.8.2016, blz. 103.

(2)  Standpunt van het Europees Parlement van 13 maart 2019 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 9 april 2019.

(3)  Richtlijn 2014/33/EU van het Europees Parlement en de Raad van 26 februari 2014 betreffende de harmonisatie van de wetgevingen van de lidstaten inzake liften en veiligheidscomponenten voor liften (PB L 96 van 29.3.2014, blz. 251).

(4)  Verordening (EG) nr. 661/2009 van het Europees Parlement en de Raad van 13 juli 2009 betreffende typegoedkeuringsvoorschriften voor de algemene veiligheid van motorvoertuigen, aanhangwagens daarvan en daarvoor bestemde systemen, onderdelen en technische eenheden (PB L 200 van 31.7.2009, blz. 1).

(5)  Richtlijn (EU) 2018/1972 van het Europees Parlement en de Raad van 11 december 2018 tot vaststelling van het Europees wetboek voor elektronische communicatie (PB L 321 van 17.12.2018, blz. 36).

(6)  Richtlijn 2010/13/EU van het Europees Parlement en de Raad van 10 maart 2010 betreffende de coördinatie van bepaalde wettelijke en bestuursrechtelijke bepalingen in de lidstaten inzake het aanbieden van audiovisuele mediadiensten (PB L 95 van 15.4.2010, blz. 1).

(7)  Richtlijn (EU) 2016/2102 van het Europees Parlement en de Raad van 26 oktober 2016 inzake de toegankelijkheid van de websites en mobiele applicaties van overheidsinstanties (PB L 327 van 2.12.2016, blz. 1).

(8)  Verordening (EG) nr. 261/2004 van het Europees Parlement en de Raad van 11 februari 2004 tot vaststelling van gemeenschappelijke regels inzake compensatie en bijstand aan luchtreizigers bij instapweigering en annulering of langdurige vertraging van vluchten en tot intrekking van Verordening (EEG) nr. 295/91 (PB L 46 van 17.2.2004, blz. 1).

(9)  Verordening (EG) nr. 1107/2006 van het Europees Parlement en de Raad van 5 juli 2006 inzake de rechten van gehandicapten en personen met beperkte mobiliteit die per luchtvervoer reizen (PB L 204 van 26.7.2006, blz. 1).

(10)  Verordening (EG) nr. 1371/2007 van het Europees Parlement en de Raad van 23 oktober 2007 betreffende de rechten en verplichtingen van reizigers in het treinverkeer (PB L 315 van 3.12.2007, blz. 14).

(11)  Verordening (EU) nr. 1177/2010 van het Europees Parlement en de Raad van 24 november 2010 betreffende de rechten van passagiers die over zee of binnenwateren reizen en houdende wijziging van Verordening (EG) nr. 2006/2004 (PB L 334 van 17.12.2010, blz. 1).

(12)  Verordening (EU) nr. 181/2011 van het Europees Parlement en de Raad van 16 februari 2011 betreffende de rechten van autobus- en touringcarpassagiers en tot wijziging van Verordening (EG) nr. 2006/2004 (PB L 55 van 28.2.2011, blz. 1).

(13)  Richtlijn 2008/57/EG van het Europees Parlement en de Raad van 17 juni 2008 betreffende de interoperabiliteit van het spoorwegsysteem in de Gemeenschap (PB L 191 van 18.7.2008, blz. 1).

(14)  Richtlijn (EU) 2017/1564 van het Europees Parlement en de Raad van 13 september 2017 inzake bepaalde toegestane vormen van gebruik van bepaalde werken en ander materiaal die door het auteursrecht en naburige rechten beschermd zijn ten behoeve van personen die blind zijn, visueel gehandicapt of anderszins een leeshandicap hebben, en tot wijziging van Richtlijn 2001/29/EG betreffende de harmonisatie van bepaalde aspecten van het auteursrecht en de naburige rechten in de informatiemaatschappij (PB L 242 van 20.9.2017, blz. 6).

(15)  Verordening (EU) 2017/1563 van het Europees Parlement en de Raad van 13 september 2017 inzake de grensoverschrijdende uitwisseling tussen de Unie en derde landen van exemplaren in toegankelijke vorm van bepaalde werken en ander materiaal die door het auteursrecht en naburige rechten beschermd zijn ten behoeve van personen die blind zijn, visueel gehandicapt of anderszins een leeshandicap hebben (PB L 242 van 20.9.2017, blz. 1).

(16)  Richtlijn 93/42/EEG van de Raad van 14 juni 1993 betreffende medische hulpmiddelen (PB L 169 van 12.7.1993, blz. 1).

(17)  Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (PB L 124 van 20.5.2003, blz. 36).

(18)  Besluit nr. 768/2008/EG van het Europees Parlement en de Raad van 9 juli 2008 betreffende een gemeenschappelijk kader voor het verhandelen van producten en tot intrekking van Besluit 93/465/EEG van de Raad (PB L 218 van 13.8.2008, blz. 82).

(19)  Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het Europees Parlement en de Raad (PB L 316 van 14.11.2012, blz. 12).

(20)  Richtlijn 2011/83/EU van het Europees Parlement en de Raad van 25 oktober 2011 betreffende consumentenrechten, tot wijziging van Richtlijn 93/13/EEG van de Raad en van Richtlijn 1999/44/EG van het Europees Parlement en de Raad en tot intrekking van Richtlijn 85/577/EEG en van Richtlijn 97/7/EG van het Europees Parlement en de Raad (PB L 304 van 22.11.2011, blz. 64).

(21)  Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93 (PB L 218 van 13.8.2008, blz. 30).

(22)  Richtlijn 2014/24/EU van het Europees Parlement en de Raad van 26 februari 2014 betreffende het plaatsen van overheidsopdrachten en tot intrekking van Richtlijn 2004/18/EG (PB L 94 van 28.3.2014, blz. 65).

(23)  Richtlijn 2014/25/EU van het Europees Parlement en de Raad van 26 februari 2014 betreffende het plaatsen van opdrachten in de sectoren water- en energievoorziening, vervoer en postdiensten en houdende intrekking van Richtlijn 2004/17/EG (PB L 94 van 28.3.2014, blz. 243).

(24)  PB L 123 van 12.5.2016, blz. 1.

(25)  Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

(26)  PB C 369 van 17.12.2011, blz. 14.

(27)  Richtlijn 2006/123/EG van het Europees Parlement en de Raad van 12 december 2006 betreffende diensten op de interne markt (PB L 376 van 27.12.2006, blz. 36).

(28)  Richtlijn 2008/48/EG van het Europees Parlement en de Raad van 23 april 2008 inzake kredietovereenkomsten voor consumenten en tot intrekking van Richtlijn 87/102/EEG van de Raad (PB L 133 van 22.5.2008, blz. 66).

(29)  Richtlijn 2014/17/ЕU van het Europees Parlement en de Raad van 4 februari 2014 inzake kredietovereenkomsten voor consumenten met betrekking tot voor bewoning bestemde onroerende goederen en tot wijziging van de Richtlijnen 2008/48/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 (PB L 60 van 28.2.2014, blz. 34).

(30)  Richtlijn 2014/65/EU van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten voor financiële instrumenten en tot wijziging van Richtlijn 2002/92/EG en Richtlijn 2011/61/EU (PB L 173 van 12.6.2014, blz. 349).

(31)  Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (PB L 337 van 23.12.2015, blz. 35).

(32)  Richtlijn 2014/92/EU van het Europees Parlement en de Raad van 23 juli 2014 betreffende de vergelijkbaarheid van de in verband met betaalrekeningen aangerekende vergoedingen, het overstappen naar een andere betaalrekening en de toegang tot betaalrekeningen met basisfuncties (PB L 257 van 28.8.2014, blz. 214).

(33)  Richtlijn 2009/110/EG van het Europees Parlement en de Raad van 16 september 2009 betreffende de toegang tot, de uitoefening van en het prudentieel toezicht op de werkzaamheden van instellingen voor elektronisch geld, tot wijziging van de Richtlijnen 2005/60/EG en 2006/48/EG en tot intrekking van Richtlijn 2000/46/EG (PB L 267 van 10.10.2009, blz. 7).

(34)  Richtlijn 2012/34/EU van het Europees Parlement en de Raad van 21 november 2012 tot instelling van één Europese spoorwegruimte (PB L 343 van 14.12.2012, blz. 32).

(35)  Richtlijn 2014/23/EU van het Europees Parlement en de Raad van 26 februari 2014 betreffende het plaatsen van concessieovereenkomsten (PB L 94 van 28.3.2014, blz. 1).


BIJLAGE I

TOEGANKELIJKHEIDSVOORSCHRIFTEN VOOR PRODUCTEN EN DIENSTEN

Afdeling I

Algemene toegankelijkheidsvoorschriften voor alle producten die overeenkomstig artikel 2, lid 1, onder deze richtlijn vallen

Producten moeten zodanig worden ontworpen en geproduceerd dat zij het te verwachten gebruik door personen met een handicap zo veel mogelijk bevorderen, en moeten vergezeld gaan, waar mogelijk in of op het product, van toegankelijke informatie over de manier waarop zij werken en over hun toegankelijkheidsfuncties.

1.

Voorschriften betreffende informatieverstrekking

a)

De informatie over het gebruik van het product die op het product zelf is aangebracht (etiketten, instructies en waarschuwingen) wordt:

i)

beschikbaar gesteld via meer dan één zintuiglijk kanaal;

ii)

gepresenteerd op een begrijpelijke manier;

iii)

gepresenteerd op een voor de gebruikers waarneembare manier;

iv)

gepresenteerd met gebruikmaking van lettertypes in geschikte grootte en vorm, rekening houdend met de te verwachten gebruiksomstandigheden, alsmede met gebruikmaking van voldoende contrast en een aanpasbare letter-, regel- en alinea-afstand.

b)

De instructies voor het gebruik van een product, indien die niet op het product zelf zijn aangebracht maar die worden aangeboden bij het gebruik van het product of op een andere wijze zoals via een website, onder meer ten aanzien van de toegankelijkheidsfuncties van het product, hoe ze geactiveerd worden en de interoperabiliteit ervan met hulpvoorzieningen, zijn bij het in de handel brengen openbaar toegankelijk, en worden:

i)

beschikbaar gesteld via meer dan één zintuiglijk kanaal;

ii)

gepresenteerd op een begrijpelijke manier;

iii)

gepresenteerd op een voor de gebruikers waarneembare manier;

iv)

gepresenteerd met gebruikmaking van lettertypes in geschikte grootte en vorm, rekening houdend met de te verwachten gebruiksomstandigheden, alsmede met gebruikmaking van voldoende contrast en een aanpasbare letter-, regel- en alinea-afstand;

v)

wat de inhoud betreft, weergegeven in tekstformats die in alternatieve hulpformats kunnen worden omgezet, zodat zij op verschillende manieren en via meer dan één zintuiglijk kanaal kunnen worden aangeboden;

vi)

vergezeld van een alternatieve weergave van niet-tekstuele inhoud;

vii)

vergezeld van een beschrijving van de gebruikersinterface van het product (gebruik, bediening en terugkoppeling, invoer en uitvoer), die wordt verstrekt overeenkomstig punt 2; in de beschrijving wordt voor elk punt in punt 2 aangegeven of het product al dan niet van deze functies voorzien is;

viii)

vergezeld van een beschrijving van de functionaliteit van het product zijnde het resultaat van functies die gericht zijn op de behoeften van personen met een handicap, overeenkomstig punt 2; in de beschrijving wordt voor elk punt in punt 2 aangegeven of het product al dan niet van deze functies voorzien is;

ix)

vergezeld van een beschrijving van de software- en apparatuurinterface voor aansluiting van het product op hulpapparaten; de beschrijving omvat een lijst van dergelijke tegelijkertijd met het product geteste hulpapparaten.

2.

Ontwerp van de gebruikersinterface en van de functionaliteit:

Het product, met inbegrip van zijn gebruikersinterface, bevat kenmerken, elementen en functies waardoor personen met een handicap toegang hebben tot het product, en het product kunnen waarnemen, bedienen, begrijpen en controleren, doordat wordt gezorgd voor het volgende:

a)

bij een product dat zorgt voor communicatie (waaronder communicatie tussen personen), bediening, informatie, controle en oriëntatie, zijn deze functies via meer dan één zintuiglijk kanaal mogelijk; daartoe behoort het aanbieden van alternatieven voor zien, horen, spraak en tactiele elementen;

b)

bij een product met een spraakfunctie zijn alternatieven voor spraak en steminvoer aanwezig voor communicatie, bediening, controle en oriëntatie;

c)

bij een product dat gebruik maakt van visuele elementen zijn de functies flexibele vergroting, helderheid en contrast aanwezig voor communicatie, informatie en bediening, en er is interoperabiliteit met de programma’s en hulpapparaten voor navigatie door de interface;

d)

bij een product dat voor het overbrengen van informatie, het weergeven van een handeling, het vragen om een reactie of het identificeren van elementen gebruik maakt van kleur is er een alternatief voor kleur voorhanden;

e)

bij een product dat voor het overbrengen van informatie, het weergeven van een handeling, het vragen om een reactie of het identificeren van elementen gebruik maakt van auditieve signalen is er een alternatief voor auditieve signalen voorhanden;

f)

bij een product dat gebruik maakt van visuele elementen zijn er flexibele manieren voorhanden zijn om de helderheid van het beeld te verbeteren;

g)

bij een product dat gebruik maakt van auditieve elementen zijn er functies voor volume- en snelheidsregeling door de gebruiker voorhanden, evenals verbeterde audiofuncties, zoals vermindering van geluidsinterferentie van producten in de nabijheid en functies voor een helder geluid;

h)

bij een product met manuele bediening en controle zijn er alternatieven voor sequentiële controle en alternatieven voor fijnmotorische controle voorhanden, waarbij wordt vermeden dat voor het gebruik simultane controle nodig is, en wordt gebruikgemaakt van via tast te onderscheiden onderdelen;

i)

het product heeft geen bedieningswijzen waarbij grote reikwijdte en veel kracht nodig zijn;

j)

het product kan niet tot aanvallen van fotosensitieve epilepsie leiden;

k)

het product beschermt de privacy van de gebruiker bij het gebruik van de toegankelijkheidsfuncties;

l)

het product biedt een alternatief voor biometrische identificatie en controle;

m)

de functionaliteit van het product is consistent en het biedt voldoende en flexibele interactietijd;

n)

het product is voorzien van software en apparatuur voor aansluiting van het product op hulptechnologieën;

o)

het product beantwoordt aan de volgende sectorspecifieke voorschriften:

i)

zelfbedieningsterminals:

zijn voorzien van technologie voor het omzetten van tekst in spraak;

kunnen worden beluisterd met een eigen koptelefoon;

geven via meer dan één zintuiglijk kanaal een waarschuwing af indien de gebruiker binnen een gegeven tijd reageren moet;

bieden de mogelijkheid de tijd waarin voorzien wordt te verlengen;

bieden voldoende contrast en zijn voorzien van toetsen en bedieningen die via tast te onderscheiden zijn;

kunnen zonder inschakeling van een toegankelijkheidsfunctie gebruikt worden door gebruikers die de functie nodig hebben om de terminal aan te zetten;

zijn, indien het product audiosignalen of hoorbare signalen verspreidt, compatibel met in de Unie beschikbare hulpapparaten en technologieën, met inbegrip van gehoortechnologieën als gehoorapparaten, luisterspoelen, cochleaire implantaten en apparatuur voor ondersteund horen;

ii)

e-lezers zijn voorzien van technologie voor het omzetten van tekst in spraak;

iii)

eindapparatuur voor gebruik door consumenten, met interactieve computerfuncties, voor gebruik voor elektronischecommunicatiediensten:

beschikt, indien voorzien van stem- en tekstfuncties, over verwerking van realtimetekst en ondersteunt hifi-audio;

beschikt, indien voorzien van videofuncties naast of in combinatie met stem- en tekstfuncties, over verwerking van totale conversatie met gesynchroniseerde stem, realtimetekst en video met een resolutie die communicatie via gebarentaal mogelijk maakt;

beschikt over doeltreffende draadloze koppeling met gehoortechnologieën;

vermijdt interferentie met hulpapparaten;

iv)

eindapparatuur voor gebruik door consumenten, met interactieve computerfuncties, voor toegang tot audiovisuele mediadiensten maakt voor personen met een handicap de door de verlener van de audiovisuele mediadienst verstrekte toegankelijkheidscomponenten beschikbaar wat betreft toegang, keuze, controle en personalisering door gebruikers en wat betreft transmissie naar hulpapparaten.

3.

Ondersteunende diensten:

voor zover beschikbaar verstrekken ondersteunende diensten (helpdesks, callcenters, technische ondersteuning, bemiddelingsdiensten, opleidingsdiensten) via toegankelijke communicatiemethoden informatie over de toegankelijkheid van het product en de compatibiliteit ervan met hulptechnologieën.

Afdeling II

Toegankelijkheidsvoorschriften in verband met producten in artikel 2, lid 1, met uitzondering van de zelfbedieningsterminals bedoeld in artikel 2, lid 1, onder b)

Naast de in afdeling I vermelde voorschriften, worden de verpakking en de instructies van de onder deze afdeling vallende producten toegankelijk gemaakt om het te verwachten gebruik van de producten door personen met een handicap zo veel mogelijk te bevorderen. Dit houdt in:

a)

de verpakking van het product, met inbegrip van de daarin verstrekte informatie (bijvoorbeeld over openen, sluiten, gebruiken, verwijderen), en eventueel verstrekte informatie over de toegankelijkheidskenmerken van het product, wordt toegankelijk gemaakt; en deze toegankelijke informatie wordt, indien mogelijk, op de verpakking verstrekt;

b)

de instructies voor installatie en onderhoud, opslag en verwijdering van het product, die niet op het product zelf staan maar met andere middelen, zoals een website, beschikbaar worden gemaakt, moeten op het moment van het in de handel brengen van het product openbaar beschikbaar zijn en voldoen aan de volgende voorschriften:

i)

zij zijn beschikbaar via meer dan één zintuiglijk kanaal;

ii)

zij worden op een begrijpelijke manier gepresenteerd;

iii)

zij worden op een voor de gebruikers waarneembare manier gepresenteerd;

iv)

zij worden gepresenteerd met gebruikmaking van een lettertype in geschikte grootte en vorm, rekening houdend met de te verwachten gebruiksomstandigheden, en met gebruikmaking van voldoende contrast, alsmede van een aanpasbare letter-, regel- en alinea-afstand;

v)

wat betreft de inhoud, worden de instructies aangeboden in tekstformats die in alternatieve hulpformats kunnen worden omgezet, zodat ze op verschillende manieren en via meer dan één zintuiglijk kanaal kunnen worden aangeboden, en

vi)

bij de instructies met niet-tekstuele inhoud wordt een alternatieve weergave van die inhoud gevoegd.

Afdeling III

Algemene toegankelijkheidsvoorschriften voor alle diensten die overeenkomstig artikel 2, lid 2, onder deze richtlijn vallen

Om het te verwachten gebruik van de diensten door personen met een handicap zo veel mogelijk te bevorderen, wordt bij het verlenen van diensten gezorgd voor het volgende:

a)

de producten die bij het verlenen van diensten worden gebruikt, zijn toegankelijk in overeenstemming met afdeling I en, waar van toepassing, afdeling II van deze bijlage;

b)

er wordt informatie verstrekt over het functioneren van de dienst en, wanneer bij het verlenen van de dienst producten worden gebruikt, over de link naar die producten, alsmede informatie over de toegankelijkheidskenmerken en interoperabiliteit van deze producten met hulpapparaten en voorzieningen, en wel als volgt:

i)

de informatie wordt via meer dan één zintuiglijk kanaal aangeboden;

ii)

de informatie wordt op een begrijpelijke manier gepresenteerd;

iii)

de informatie wordt op een voor de gebruikers waarneembare manier gepresenteerd;

iv)

de informatie wordt, wat de inhoud betreft, beschikbaar gesteld in tekstformats die in alternatieve hulpformats kunnen worden omgezet, zodat zij door de gebruikers op verschillende manieren en via meer dan één zintuiglijk kanaal kunnen worden weergegeven;

v)

de informatie wordt gepresenteerd met gebruikmaking van een lettertype in geschikte grootte en vorm, rekening houdend met de te verwachten gebruiksomstandigheden, en met gebruikmaking van voldoende contrast, alsmede van een aanpasbare letter-, regel- en alinea-afstand;

vi)

niet-tekstuele inhoud wordt aangevuld met een alternatieve weergave van die inhoud, en

vii)

er wordt elektronische informatie verstrekt die nodig is om de dienst op een consistente en geschikte manier te kunnen leveren, en wel door deze informatie waarneembaar, bedienbaar, begrijpelijk en robuust te maken;

c)

websites, inclusief de daaraan gerelateerde onlinetoepassingen, en diensten op mobiele apparatuur, inclusief mobiele toepassingen, worden toegankelijk gemaakt op een consistente en geschikte manier, door ze waarneembaar, bedienbaar, begrijpelijk en robuust te maken;

d)

ondersteunende diensten (helpdesks, callcenters, technische ondersteuning, bemiddelingsdiensten en opleidingsdiensten), die, voor zover beschikbaar, via toegankelijke communicatiemethoden informatie verstrekken over de toegankelijkheid van de dienst en de compatibiliteit ervan met hulptechnologieën.

Afdeling IV

Aanvullende toegankelijkheidsvoorschriften voor specifieke diensten

Om het te verwachten gebruik van de diensten door personen met een handicap zo veel mogelijk te bevorderen, wordt bij het verlenen van diensten gezorgd voor het opnemen van functies, werkwijzen, beleid, procedures en veranderingen in de uitvoering van de dienst die gericht zijn op de behoeften van personen met een handicap, en op interoperabiliteit met hulptechnologieën:

a)

elektronischecommunicatiediensten, met inbegrip van de vormen van noodcommunicatie bedoeld in artikel 109, lid 2, van Richtlijn (EU) 2018/1972:

i)

door aanbieding van realtimetekst naast gesproken communicatie;

ii)

door aanbieding van totale conversatie wanneer naast gesproken communicatie ook video wordt verstrekt;

iii)

door ervoor te zorgen dat noodcommunicatie op basis van stem, tekst (met inbegrip van realtimetekst) is gesynchroniseerd en dat deze indien er video wordt geleverd tevens gesynchroniseerd is met het oog op totale conversatie alsmede door de aanbieders van elektronischecommunicatiediensten wordt doorgestuurd naar de meest geschikte alarmcentrale;

b)

tot audiovisuele mediadiensten toegang verschaffende diensten:

i)

door elektronische programmagidsen (EPG’s) te leveren die voor de gebruikers waarneembaar, bedienbaar, begrijpelijk en robuust zijn, en informatie verstrekken over de beschikbaarheid van toegankelijkheid;

ii)

door zorg te dragen voor volledige transmissie van de toegankelijkheidscomponenten (toegangsdiensten) van audiovisuele mediadiensten, zoals ondertiteling voor doven en slechthorenden, audiodescriptie, gesproken ondertiteling en vertolking in gebarentaal, met passende kwaliteit voor accurate weergave, met synchronisatie van geluid en video, en met mogelijkheid tot weergave- en gebruikscontrole voor de gebruiker;

c)

diensten voor personenvervoer per vliegtuig, bus, trein en over water, met uitzondering van stads- en voorstadsvervoersdiensten en regionale vervoersdiensten:

i)

door zorg te dragen voor informatieverstrekking over de toegankelijkheid van voertuigen, de omringende infrastructuur en de bebouwde omgeving en over assistentie voor personen met een handicap;

ii)

door zorg te dragen voor informatieverstrekking over slimme ticketingsystemen (elektronische reservering, boeken van tickets enz.), voor realtime-reisinformatie (dienstregelingen, informatie over verkeersstoringen, verbindingsdiensten, aansluiting op andere vervoermiddelen enz.), alsmede voor aanvullende dienstinformatie (bijvoorbeeld personele inzet op stations, liften die buiten werking zijn of diensten die tijdelijk niet beschikbaar zijn);

d)

stedelijke en voorstedelijke vervoersdiensten en regionale vervoersdiensten door ervoor zorgen dat de zelfbedieningsterminals die bij het verlenen van de dienst worden gebruikt, toegankelijk zijn in overeenstemming met afdeling I van deze bijlage;

e)

bankdiensten voor consumenten:

i)

door te zorgen voor identificatiemethoden, elektronische ondertekening, beveiliging en betalingsdiensten die waarneembaar, bedienbaar, begrijpelijk en robuust zijn;

ii)

door ervoor te zorgen dat de informatie begrijpelijk is, namelijk maximaal van de moeilijkheidsgraad B2 (hoger middenniveau) van het gemeenschappelijk Europees referentiekader voor talen van de Raad van Europa.

f)

e-boeken:

i)

door ervoor te zorgen dat, wanneer een e-boek naast tekst ook audio bevat, de tekst en audio gesynchroniseerd zijn;

ii)

door ervoor te zorgen dat de digitale bestanden van het e-boek niet beletten dat hulptechnologie naar behoren functioneert;

iii)

door te zorgen voor toegang tot de inhoud, voor de navigatie door de inhoud en de lay-out (met inbegrip van de dynamische lay-out) van het bestand, alsmede voor structuur, flexibiliteit en keuze voor de weergave van de inhoud;

iv)

door alternatieve weergave van de inhoud mogelijk te maken en zorg te dragen voor interoperabiliteit met een veelheid aan hulptechnologieën, op een manier die waarneembaar, begrijpelijk, bedienbaar en robuust is;

v)

door ze vindbaar te maken via metadata-informatie over hun toegankelijkheidsfuncties;

vi)

door ervoor te zorgen dat maatregelen van digitaal rechtenbeheer geen toegankelijkheidsfuncties blokkeren;

g)

voor e-handelsdiensten:

i)

door te zorgen voor informatie over de toegankelijkheid van de te koop aangeboden producten en diensten wanneer deze informatie door de verantwoordelijke marktdeelnemer wordt verstrekt;

ii)

door te zorgen voor de toegankelijkheid van de functies voor identificatie, beveiliging en betaling wanneer deze als onderdeel van een dienst en niet van een product worden geleverd, door deze informatie waarneembaar, bedienbaar, begrijpelijk en robuust te maken;

iii)

door te zorgen voor identificatiemethoden, elektronische ondertekening en betalingsdiensten die waarneembaar, bedienbaar, begrijpelijk en robuust zijn;

Afdeling V

Specifieke toegankelijkheidsvoorschriften voor het beantwoorden van noodcommunicatie naar het gemeenschappelijk Europees noodnummer „112”, door de meest geschikte alarmcentrale:

Om het te verwachten gebruik van het gemeenschappelijk Europees noodnummer „112” door personen met een handicap zo veel mogelijk te bevorderen, wordt bij het beantwoorden van noodcommunicatie daarnaar door de meest geschikte alarmcentrale, gezorgd voor het opnemen van functies, werkwijzen, beleid, procedures en veranderingen die gericht zijn op de behoeften van personen met een handicap.

Noodcommunicatie naar het gemeenschappelijk Europees noodnummer „112” worden passend beantwoord op de voor de nationale organisatie van noodhulpdiensten meest geschikte wijze en door de meest geschikte alarmcentrale, met gebruikmaking van hetzelfde communicatiemiddel als waarmee de noodcommunicatie ontvangen is, dat wil zeggen met gebruikmaking van gesynchroniseerde stem en tekst (met inbegrip van realtimetekst) en indien er video wordt geleverd met gesynchroniseerde stem, tekst (met inbegrip van realtimetekst) en video voor totale conversatie.

Afdeling VI

Toegankelijkheidsvoorschriften voor kenmerken, onderdelen en functies van producten en diensten overeenkomstig artikel 24, lid 2

Voor het vermoeden dat voldaan is aan de relevante verplichtingen krachtens andere Uniehandelingen ten aanzien van kenmerken, onderdelen of functies van producten en diensten is het volgende vereist:

1.

Producten:

a)

de toegankelijkheid van de informatie ten aanzien van hoe een product werkt en welke toegankelijkheidsfuncties het bezit, beantwoordt aan de overeenkomstige elementen in afdeling I, punt 1, van deze bijlage, te weten via op het product zelf aangebrachte informatie over het gebruik van het product en via niet op het product aangebrachte instructies voor het gebruik van het product, maar die beschikbaar worden via het gebruik van het product of op een andere manier, bijvoorbeeld via een website.

b)

de toegankelijkheid van kenmerken, elementen en functies van de gebruikersinterface en het functionaliteitsontwerp van producten beantwoordt aan de overeenkomstige toegankelijkheidsvoorschriften in afdeling I, punt 2, van deze bijlage.

c)

de toegankelijkheid van de verpakking, met inbegrip van de daarin verstrekte informatie en instructies voor installatie, onderhoud, opslag en verwijdering van het product, die niet op het product zelf staan maar op een andere manier beschikbaar worden gesteld, bijvoorbeeld via een website, doch zelfbedieningsterminals uitgezonderd, beantwoordt aan de overeenkomstige toegankelijkheidsvoorschriften in afdeling II van deze bijlage.

2.

Diensten:

 

de toegankelijkheid van de kenmerken, onderdelen en functies van diensten beantwoordt aan de overeenkomstige toegankelijkheidsvoorschriften voor die kenmerken, onderdelen en functies beschreven in de afdelingen over diensten van deze bijlage.

Afdeling VII

Functioneleprestatie-eisen

Teneinde het te verwachten gebruik door personen met een handicap zo veel mogelijk te bevorderen en ingeval de in de afdelingen I tot en met VI van deze bijlage vermelde toegankelijkheidsvoorschriften geen betrekking op één of meer functies van het ontwerp en de productie van producten of de verlening van diensten hebben, worden die functies of middelen via conformiteit met de desbetreffende functioneleprestatie-eisen toegankelijk gemaakt.

Deze functioneleprestatie-eisen mogen uitsluitend als alternatief voor één of meer specifieke technische voorschriften worden gebruikt indien er in de toegankelijkheidsvoorschriften naar verwezen wordt, en uitsluitend indien bij toepassing van de desbetreffende functioneleprestatie-eisen voldaan wordt aan de toegankelijkheidsvoorschriften en wordt vastgesteld dat bij het te verwachten gebruik door personen met een handicap het ontwerp en de productie van producten en de verlening van diensten tot gelijkwaardige of verhoogde toegankelijkheid leidt.

a)   gebruik zonder zicht:

bij producten of diensten met visuele bedieningswijzen is minstens één bedieningswijze beschikbaar die geen zicht vereist;

b)   gebruik met beperkt zicht:

bij producten of diensten met visuele bedieningswijzen is minstens één bedieningswijze beschikbaar waarmee gebruikers met beperkt zicht het product kunnen bedienen;

c)   gebruik zonder waarneming van kleur:

bij producten of diensten met visuele bedieningswijzen is minstens één bedieningswijze beschikbaar waarvoor de gebruiker geen kleur hoeft te kunnen waarnemen;

d)   gebruik zonder gehoor:

bij producten of diensten met auditieve bedieningswijzen is minstens één bedieningswijze beschikbaar die geen gehoor vereist;

e)   gebruik met beperkt gehoor:

bij producten of diensten met auditieve bedieningswijzen is minstens één bedieningswijze met versterkte audiofuncties beschikbaar waarmee gebruikers met beperkt gehoor het product kunnen bedienen;

f)   gebruik zonder stemvermogen:

bij producten of diensten die steminvoer van gebruikers vereisen, is minstens één bedieningswijze beschikbaar die geen steminvoer vereist. Steminvoer omvat alle met de mond geproduceerde geluiden zoals spraak, fluit- of klikgeluiden;

g)   gebruik met beperkte manueel-motorische of kracht:

bij producten of diensten die manuele handelingen vereisen, is minstens één bedieningswijze beschikbaar waarmee gebruikers het product kunnen gebruiken door middel van alternatieve handelingen die geen fijne motoriek en manuele vaardigheden of gelijktijdige bediening van meer dan één besturingselement vereisen;

h)   gebruik met beperkte reikwijdte:

de bedieningselementen van producten bevinden zich binnen het bereik van alle gebruikers. Bij producten of diensten met manuele bedieningswijzen is minstens één bedieningswijze beschikbaar die met beperkte reikwijdte en met beperkte kracht bediend kan worden;

i)   minimalisering van het risico op het veroorzaken van lichtgevoelige aanvallen:

bij producten met visuele bedieningswijzen zijn geen bedieningswijzen beschikbaar waarvan bekend is dat zij lichtgevoelige aanvallen veroorzaken;

j)   gebruik met beperkt cognitief vermogen:

bij deze producten of diensten is minstens één bedieningswijze beschikbaar met functies die het gebruik ervan eenvoudiger en gebruiksvriendelijker maken;

k)   privacy:

bij producten of diensten die functies ten behoeve van de toegankelijkheid bevatten, is minstens één bedieningswijze beschikbaar die bij het gebruik van deze functies ten behoeve van de toegankelijkheid de privacy van de gebruiker waarborgt.


BIJLAGE II

INDICATIEVE NIET-BINDENDE VOORBEELDEN VAN MOGELIJKE OPLOSSINGEN DIE BIJDRAGEN AAN NALEVING VAN DE TOEGANKELIJKHEIDSVOORSCHRIFTEN IN BIJLAGE I

AFDELING I:

VOORBEELDEN BETREFFENDE ALGEMENE TOEGANKELIJKHEIDSVOORSCHRIFTEN VOOR ALLE PRODUCTEN DIE ONDER DEZE RICHTLIJN VALLEN OVEREENKOMSTIG ARTIKEL 2, LID 1

VOORSCHRIFTEN IN AFDELING I VAN BIJLAGE I

VOORBEELDEN

1.

Informatieverstrekking

a)

i)

Visuele en tactiele informatie of visuele en auditieve informatie aanbieden over de plaats waar een kaart in een zelfbedieningsterminal moet worden ingevoerd, zodat blinden en doven gebruik kunnen maken van de terminal.

ii)

Steeds dezelfde bewoordingen gebruiken, of de informatie een duidelijke en logische structuur geven, zodat personen met een verstandelijke handicap deze beter kunnen begrijpen.

iii)

Zorgen voor een voelbaar reliëfformat of voor een geluid naast een waarschuwende tekst, zodat blinden de waarschuwing kunnen waarnemen.

iv)

Ervoor zorgen dat de tekst kan worden gelezen door personen met een visuele beperking.

b)

i)

Elektronische bestanden ter beschikking stellen die gelezen kunnen worden door computers met schermlezers, zodat blinden de informatie kunnen gebruiken.

ii)

Steeds dezelfde bewoordingen gebruiken, of de informatie een duidelijke en logische structuur geven, zodat personen met een verstandelijke handicap deze beter kunnen begrijpen.

iii)

Instructievideo’s van ondertitels voorzien.

iv)

Ervoor zorgen dat de tekst kan worden gelezen door personen met een visuele beperking.

v)

De tekst afdrukken in braille, zodat een blinde deze kan lezen.

vi)

Een diagram aanvullen met een tekstuele beschrijving van de belangrijkste elementen of de belangrijkste handelingen.

vii)

Geen voorbeeld

viii)

Geen voorbeeld

ix)

Een geldautomaat uitrusten met software en een aansluiting voor een koptelefoon waarmee de tekst op het scherm kan worden beluisterd.

2.

Ontwerp van de gebruikersinterface en de functionaliteit

a)

Stem- en tekstinstructies leveren, of voelbare aanduidingen in het toetsenpaneel verwerken zodat blinden of slechthorenden in interactie met het product kunnen treden.

b)

Zelfbedieningsterminals met gesproken instructies ook uitrusten met instructies in de vorm van bijvoorbeeld tekst of afbeeldingen, zodat ook doven de vereiste handeling kunnen uitvoeren.

c)

Gebruikers de mogelijkheid bieden een tekst te vergroten, in te zoomen op een bepaald pictogram of het contrast te vergroten, zodat personen met een visuele beperking de informatie kunnen waarnemen.

d)

Gebruikers naast de mogelijkheid om via het drukken op een groene of een rode knop om tussen opties te kiezen, tevens op die knoppen te vermelden wat de opties zijn, zodat mensen die kleurenblind zijn hun keuze kunnen maken.

e)

Wanneer een computer een foutsignaal afgeeft tevens een geschreven tekst of een afbeelding weergeven met de fout in kwestie, zodat het doven duidelijk is dat er een fout is opgetreden.

f)

Extra contrast in beelden op de voorgrond mogelijk maken zodat slechtzienden die kunnen zien.

g)

Telefoongebruikers in staat stellen het geluidsvolume te kiezen en de interferentie met gehoorapparaten verminderen, zodat slechthorenden de telefoon kunnen gebruiken.

h)

Knoppen op aanraakschermen groter maken en ver genoeg van elkaar plaatsen zodat personen met trillende handen ze kunnen bedienen.

i)

Ervoor zorgen dat om knoppen te bedienen niet veel kracht nodig is zodat motorisch gehandicapten de knoppen kunnen gebruiken.

j)

Flikkerende beelden vermijden zodat epileptici geen risico lopen.

k)

Het gebruik van koptelefoons mogelijk maken wanneer een geldautomaat gesproken informatie geeft.

l)

Als alternatief voor vingerafdrukherkenning, gebruikers die hun handen niet kunnen gebruiken in staat stellen een wachtwoord kiezen voor het vergrendelen/ontgrendelen van hun telefoon.

m)

Ervoor zorgen dat de software op voorspelbare wijze reageert wanneer een bepaalde handeling wordt uitgevoerd en er voldoende tijd is om een wachtwoord in te voeren, zodat deze gemakkelijk te gebruiken is voor verstandelijk gehandicapten.

n)

Zorgen voor een verbinding met een steeds hernieuwbare brailledisplay, zodat blinden de computer kunnen gebruiken.

o)

Voorbeelden van sectorspecifieke voorschriften

i)

Geen voorbeeld

ii)

Geen voorbeeld

iii)

Eerste streepje

Ervoor zorgen dat een mobiele telefoon toegerust is op tekstgesprekken in realtime, zodat slechthorenden op een interactieve manier informatie kunnen uitwisselen.

iii)

Vierde streepje

Het gelijktijdige gebruik van video in gebarentaal en tekst voor het schrijven van een bericht mogelijk maken, zodat twee doven met elkaar of met een horende kunnen communiceren.

iv)

Ervoor zorgen dat ondertiteling wordt doorgegeven via de decoder voor gebruik door doven.

3.

Ondersteunende diensten: Geen voorbeeld

 

 

AFDELING II:

VOORBEELDEN BETREFFENDE TOEGANKELIJKHEIDSVOORSCHRIFTEN VOOR PRODUCTEN IN ARTIKEL 2, LID 1, MET UITZONDERING VAN DE ZELFBEDIENINGSTERMINALS BEDOELD IN ARTIKEL 2, LID 1, ONDER b)

VOORSCHRIFTEN IN AFDELING II VAN BIJLAGE I

VOORBEELDEN

Verpakking en instructies van producten

a)

Vermelden op de verpakking dat de telefoon toegankelijkheidsfuncties voor personen met een handicap bevat.

b)

i)

Elektronische bestanden ter beschikking stellen die gelezen kunnen worden door computers met schermlezers, zodat blinden de informatie kunnen gebruiken.

ii)

Steeds dezelfde bewoordingen gebruiken, of de informatie een duidelijke en logische structuur geven, zodat personen met een verstandelijke handicap deze beter kunnen begrijpen.

iii)

Zorgen voor een voelbaar reliëfformat of voor een geluid bij een waarschuwende tekst, zodat blinden de waarschuwing ontvangen.

iv)

Ervoor zorgen dat de tekst gelezen kan worden door personen met een visuele beperking.

v)

Tekst afdrukken in braille, zodat een blinde deze kan lezen.

vi)

Een diagram aanvullen met een tekstuele beschrijving van de belangrijkste elementen of de belangrijkste handelingen.

AFDELING III:

VOORBEELDEN BETREFFENDE ALGEMENE TOEGANKELIJKHEIDSVOORSCHRIFTEN VOOR ALLE DIENSTEN DIE ONDER DEZE RICHTLIJN VALLEN OVEREENKOMSTIG ARTIKEL 2, LID 2

VOORSCHRIFTEN IN AFDELING III VAN BIJLAGE I

VOORBEELDEN

De verlening van diensten

a)

Geen voorbeeld

b)

i)

Elektronische bestanden ter beschikking stellen die gelezen kunnen worden door computers met schermlezers, zodat blinden de informatie kunnen gebruiken.

ii)

Steeds dezelfde bewoordingen gebruiken, of de informatie een duidelijke en logische structuur geven, zodat personen met een verstandelijke handicap deze beter kunnen begrijpen.

iii)

Instructievideo’s van ondertitels voorzien.

iv)

Ervoor zorgen dat een blinde een bestand kan gebruiken door het af te drukken in braille.

v)

Ervoor zorgen dat de tekst gelezen kan worden door personen met een visuele beperking.

vi)

Een diagram aanvullen met een tekstuele beschrijving van de belangrijkste elementen of de belangrijkste handelingen.

vii)

Wanneer een dienstverlener een USB-stick verstrekt met informatie over de dienst, ervoor zorgen dat deze informatie toegankelijk is.

c)

Een tekstbeschrijving van afbeeldingen verstrekken, alle functies beschikbaar maken vanaf een toetsenbord, gebruikers voldoende leestijd geven, inhoud op voorspelbare wijze laten verschijnen en functioneren en zorgen voor compatibiliteit met hulptechnologieën, zodat personen met diverse handicaps een website kunnen lezen en er in interactie mee kunnen treden.

d)

Geen voorbeeld

AFDELING IV:

VOORBEELDEN BETREFFENDE AANVULLENDE TOEGANKELIJKHEIDSVOORSCHRIFTEN VOOR SPECIFIEKE DIENSTEN

VOORSCHRIFTEN IN AFDELING IV VAN BIJLAGE I

VOORBEELDEN

Specifieke diensten

a)

i)

Ervoor zorgen dat een slechthorende tekst op een interactieve manier en in real time kan schrijven en ontvangen.

ii)

Ervoor zorgen dat doven onderling in gebarentaal kunnen communiceren.

iii)

Ervoor zorgen dat een slechthorende met een spraakstoornis die ervoor kiest een combinatie van tekst, stem en video te gebruiken, weet dat het bericht via het netwerk wordt verzonden naar een noodhulpdienst.

b)

i)

Ervoor zorgen dat een blinde televisieprogramma’s kan selecteren.

ii)

De mogelijkheid ondersteunen om „toegangsdiensten”, zoals ondertiteling voor doven en slechthorenden, audiodescriptie, gesproken ondertiteling en vertolking in gebarentaal, te selecteren, te personaliseren en te activeren, door een effectieve draadloze koppeling met hoortechnologieën mogelijk te maken of door gebruikersbesturing te bieden om „toegangsdiensten” voor audiovisuele mediadiensten te starten op hetzelfde niveau als de primaire mediabesturing.

c)

i)

Geen voorbeeld

ii)

Geen voorbeeld

d)

Geen voorbeeld

e)

i)

Ervoor zorgen dat de identificatiedialogen op een scherm door schermlezers kunnen worden gelezen, zodat blinden ze kunnen gebruiken.

ii)

Geen voorbeeld

f)

i)

Ervoor zorgen dat iemand met dyslexie de tekst tegelijk kan lezen en beluisteren.

ii)

Gesynchroniseerde tekst en audio of een steeds hernieuwbare omzetting in braille mogelijk maken.

iii)

Ervoor zorgen dat een blinde toegang heeft tot de inhoudsopgave of van hoofdstuk kan veranderen.

iv)

Geen voorbeeld

v)

Ervoor zorgen dat informatie over hun toegankelijkheidsfuncties beschikbaar is in het elektronisch bestand, zodat personen met een handicap geïnformeerd kunnen worden.

vi)

Ervoor zorgen dat het hardop voorlezen van de tekst niet onmogelijk is gemaakt, bijvoorbeeld dat technische beschermingsmaatregelen, informatie over het rechtenbeheer of interoperabiliteitskwesties niet beletten dat de tekst hardop kan worden voorgelezen door de hulpapparatuur, zodat blinde gebruikers het boek kunnen lezen.

g)

i)

Ervoor zorgen dat beschikbare informatie over de toegankelijkheidsfuncties van een product niet wordt gewist.

ii)

De gebruikersinterface van de betalingsdienst via stem beschikbaar stellen, zodat blinden onafhankelijk online aankopen kunnen doen.

iii)

Ervoor zorgen dat de identificatiedialogen op een scherm door schermlezers kunnen worden gelezen, zodat blinden ze kunnen gebruiken.


BIJLAGE III

TOEGANKELIJKHEIDSVOORSCHRIFTEN VOOR DE TOEPASSING VAN ARTIKEL 4, LID 4, BETREFFENDE DE BEBOUWDE OMGEVING WAAR DE ONDER DEZE RICHTLIJN VALLENDE DIENSTEN VERLEEND WORDEN

Teneinde het te verwachten zelfstandige gebruik door personen met een handicap van de bebouwde omgeving waar een dienst onder de verantwoordelijkheid van de dienstverlener wordt verleend, als bedoeld in artikel 4, lid 4, zo veel mogelijk te bevorderen, omvat de toegankelijkheid van ruimten die bedoeld zijn voor openbare toegang onder meer de navolgende aspecten:

a)

het gebruik van bijbehorende buitenruimten en -voorzieningen;

b)

de opritten naar gebouwen;

c)

het gebruik van ingangen;

d)

het gebruik van routes voor horizontale circulatie;

e)

het gebruik van routes voor verticale circulatie;

f)

het gebruik van ruimten door het publiek;

g)

het gebruik van uitrusting en voorzieningen die gebruikt worden voor het verlenen van de dienst;

h)

het gebruik van toiletten en sanitaire voorzieningen;

i)

het gebruik van uitgangen, evacuatieroutes en concepten voor rampenplannen;

j)

communicatie en oriëntatie via meer dan één zintuiglijk kanaal;

k)

het gebruik van voorzieningen en gebouwen voor hun te verwachten gebruik;

l)

bescherming tegen gevaren zowel binnen als buiten.


BIJLAGE IV

PROCEDURES VOOR CONFORMITEITSBEOORDELING — PRODUCTEN

1.   Interne productiecontrole

Met „interne productiecontrole” wordt de conformiteitsbeoordelingsprocedure bedoeld waarbij de fabrikant de verplichtingen in de punten 2, 3 en 4 van deze bijlage nakomt en op eigen verantwoording garandeert en verklaart dat het betrokken product aan de voorschriften van deze richtlijn voldoet.

2.   Technische documentatie

De fabrikant stelt de technische documentatie samen. Aan de hand van deze technische documentatie kan worden beoordeeld of het product voldoet aan de relevante toegankelijkheidsvoorschriften als vermeld in artikel 4 en kan, als de fabrikant zich gebaseerd heeft op artikel 14, worden aangetoond dat de relevante toegankelijkheidsvoorschriften een fundamentele wijziging tot gevolg zouden hebben of een onevenredige last zouden opleggen. De technische documentatie vermeldt uitsluitend de voorschriften die van toepassing zijn en heeft, voor zover relevant voor de beoordeling, betrekking op het ontwerp, de fabricage en de werking van het product.

De technische documentatie bevat, indien van toepassing, ten minste de volgende elementen:

a)

een algemene beschrijving van het product;

b)

een lijst van de geheel of gedeeltelijk toegepaste geharmoniseerde normen en technische specificaties waarvan de referenties in het Publicatieblad van de Europese Unie zijn bekendgemaakt, en indien de geharmoniseerde normen of technische specificaties niet zijn toegepast, een beschrijving van de wijze waarop aan de relevante toegankelijkheidsvoorschriften van artikel 4 is voldaan; bij gedeeltelijk toegepaste geharmoniseerde normen of technische specificaties wordt in de technische documentatie aangegeven welke delen van de norm zijn toegepast.

3.   Fabricage

De fabrikant neemt alle nodige maatregelen opdat de conformiteit van de producten met de in punt 2 van deze bijlage bedoelde technische documentatie en met de toegankelijkheidsvoorschriften van deze richtlijn door het fabricageproces en het toezicht daarop wordt gewaarborgd.

4.   CE-markering en EU-conformiteitsverklaring

4.1.

De fabrikant brengt de in deze richtlijn bedoelde CE-markering aan op elk afzonderlijk product dat aan de toepasselijke voorschriften van deze richtlijn voldoet.

4.2.

De fabrikant stelt een schriftelijke EU-conformiteitsverklaring op voor een model van een product. In de EU-conformiteitsverklaring wordt vermeld om welk product het gaat.

De relevante autoriteiten wordt op verzoek een kopie van de EU-conformiteitsverklaring verstrekt.

5.   Gemachtigde

De in punt 4 vermelde verplichtingen van de fabrikant kunnen namens hem en onder zijn verantwoordelijkheid worden vervuld door zijn gemachtigde, op voorwaarde dat dit in het mandaat is vermeld.


BIJLAGE V

INFORMATIE OVER DIENSTEN DIE AAN TOEGANKELIJKHEIDSVOORSCHRIFTEN VOLDOEN

1.

De dienstverlener neemt in de algemene voorwaarden of een gelijkwaardig document de informatie op waaruit blijkt dat de dienst aan de in artikel 4 vermelde toegankelijkheidsvoorschriften voldoet. Deze informatie omvat een beschrijving van de toepasselijke voorschriften en heeft, voor zover relevant voor de beoordeling, betrekking op het ontwerp en de werking van de dienst. In aanvulling op de voorschriften voor consumenteninformatie volgens Richtlijn 2011/83/EU omvat de informatie, indien van toepassing, de volgende elementen:

a)

een in toegankelijke formats weergegeven algemene beschrijving van de dienst;

b)

de beschrijvingen en toelichtingen die nodig zijn om te begrijpen hoe de dienst werkt;

c)

een beschrijving van de manier waarop de dienst aan de toepasselijke toegankelijkheidsvoorschriften uit bijlage I voldoet.

2.

Om aan punt 1 van deze bijlage te voldoen mag de dienstverlener de geharmoniseerde normen en technische specificaties waarvan de referenties in het Publicatieblad van de Europese Unie zijn bekendgemaakt, geheel of gedeeltelijk toepassen.

3.

De dienstverlener verschaft informatie waaruit blijkt dat de conformiteit van de dienst met punt 1 van deze bijlage en met de toepasselijke voorschriften van deze richtlijn door het dienstverleningsproces en het toezicht daarop wordt gewaarborgd.

BIJLAGE VI

CRITERIA VOOR DE BEOORDELING VAN ONEVENREDIGE LAST

Criteria voor het uitvoeren en documenteren van de beoordeling:

1.

Verhouding van de nettokosten van de naleving van de toegankelijkheidsvoorschriften tot de totale kosten (exploitatie- en investeringsuitgaven) van de vervaardiging, distributie of invoer van het product voor, of het verlenen van de dienst aan, de marktdeelnemers.

Elementen voor de beoordeling van de nettokosten voor de naleving van de toegankelijkheidsvoorschriften:

a)

criteria met betrekking tot eenmalige organisatiekosten die in de beoordeling moeten worden meegenomen: