(1)

W świetle konkluzji Rady z dnia 12 lutego 2016 r. w sprawie zwalczania finansowania terroryzmu, komunikatu Komisji do Parlamentu Europejskiego i Rady z dnia 2 lutego 2016 r. w sprawie planu działania na rzecz skuteczniejszego zwalczania finansowania terroryzmu, a także dyrektywy Parlamentu Europejskiego i Rady (UE) 2017/541 (2), należy przyjąć wspólne przepisy dotyczące handlu z państwami trzecimi, aby zapewnić skuteczną ochronę przed nielegalnym handlem dobrami kultury oraz przed ich utratą lub zniszczeniem, ochronę dziedzictwa kulturowego ludzkości, a także zapobieganie finansowaniu terroryzmu oraz praniu pieniędzy ze sprzedaży zagrabionych dóbr kultury nabywcom w Unii.

(2)

Wyzysk ludności i eksploatacja terytoriów może prowadzić do nielegalnego handlu dobrami kultury, w szczególności gdy taki nielegalny handel pojawia się w kontekście konfliktów zbrojnych. W związku z tym, w niniejszym rozporządzeniu należy w większym stopniu uwzględnić specyfikę regionalną i lokalną ludności i terytoriów niż wartość rynkową dóbr kultury.

(3)

Dobra kultury są częścią dziedzictwa kulturowego i często mają duże znaczenie kulturalne, artystyczne, historyczne i naukowe. Dziedzictwo kulturowe jest jednym z podstawowych elementów cywilizacji, który ma między innymi wartość symboliczną i tworzy kulturową pamięć ludzkości. Wzbogaca ono życie kulturowe wszystkich ludzi i łączy ich przez wspólną pamięć, wiedzę i rozwój cywilizacji. Z tego względu powinno być chronione przed bezprawnym przywłaszczeniem i grabieżą. Grabież stanowisk archeologicznych zawsze miała miejsce, jednak obecnie osiągnęła skalę przemysłową i wraz z handlem nielegalnie wydobytymi dobrami kultury stanowi poważne przestępstwo, które powoduje znaczące cierpienie tych bezpośrednio lub pośrednio nim dotkniętych. Nielegalny handel dobrami kultury w wielu przypadkach przyczynia się do wymuszonej jednolitości kulturowej lub utraty tożsamości kulturowej, natomiast grabież dóbr kultury przyczynia się między innymi do dezintegracji kultur Dopóki możliwy jest udział w lukratywnym handlu nielegalnie wydobytymi dobrami kultury i korzystanie z niego bez jakiegokolwiek większego ryzyka, takie wydobywanie i taka grabież będą trwać. Z uwagi na wartość ekonomiczną i artystyczną dóbr kultury, na rynku międzynarodowym tworzy się na nie silny popyt. Brak zdecydowanych międzynarodowych środków prawnych oraz nieskuteczne egzekwowanie wszelkich istniejących środków prowadzą do przeniesienia takich dóbr do szarej strefy. Unia powinna odpowiednio zabronić wprowadzania na obszar celny Unii dóbr kultury nielegalnie wywożonych z państw trzecich, ze szczególnym naciskiem na dobra kultury z państw trzecich dotkniętych konfliktem zbrojnym, w szczególności gdy takie dobra kultury zostały nielegalnie sprzedane przez terrorystów lub inne organizacje przestępcze. Chociaż ten ogólny zakaz nie powinien pociągać za sobą systematycznych kontroli, państwa członkowskie powinny móc interweniować po otrzymaniu informacji dotyczących podejrzanych ładunków oraz podejmować wszelkie odpowiednie środki w celu przejęcia nielegalnie wywiezionych dóbr kultury.

(4)

Ze względu na różne przepisy stosowane w państwach członkowskich w odniesieniu do przywozu dóbr kultury na obszar celny Unii, należy podjąć środki, w szczególności w celu zapewnienia, aby przywóz niektórych dóbr kultury podlegał jednolitym kontrolom w momencie ich wprowadzania na obszar celny Unii, na podstawie istniejących procesów, procedur i narzędzi administracyjnych mających na celu osiągnięcie jednolitego wykonania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 952/2013 (3).

(5)

Ochrona dóbr kultury uznanych za narodowe dobra kultury państw członkowskich jest już objęta zakresem rozporządzenia Rady (WE) nr 116/2009 (4) i dyrektywy Parlamentu Europejskiego i Rady 2014/60/UE (5). W związku z tym niniejsze rozporządzenie nie ma zastosowania do dóbr kultury, które powstały lub zostały odkryte na obszarze celnym Unii. Wspólne przepisy wprowadzone niniejszym rozporządzeniem powinny obejmować odprawę celną dóbr kultury spoza Unii wprowadzanych na obszar celny Unii. Do celów niniejszego rozporządzenia właściwym obszarem celnym powinien być obszar celny Unii w momencie przywozu.

(6)

Środki kontroli, które mają być wprowadzone w odniesieniu do wolnych obszarów celnych i tzw. „wolnych portów”, powinny mieć jak najszerszy zakres pod względem danych procedur celnych, aby zapobiec obchodzeniu niniejszego rozporządzenia poprzez korzystanie z tych wolnych obszarów celnych, które potencjalnie mogą być wykorzystywane do dalszego rozprzestrzeniania się nielegalnego handlu. Te środki kontroli powinny zatem dotyczyć nie tylko dóbr kultury dopuszczanych do obrotu, ale również dóbr kultury objętych specjalną procedurą celną. Jednakże zakres nie powinien wykraczać poza cel, jakim jest zapobieganie wprowadzaniu na obszar celny Unii nielegalnie wywiezionych dóbr kultury. W związku z tym systematyczne środki kontroli powinny obejmować dopuszczenie do obrotu i niektóre specjalne procedury celne, którymi mogą być obejmowane towary wprowadzane na obszar celny Unii, lecz z wyłączeniem tranzytu.

(7)

W wielu państwach trzecich oraz w większości państw członkowskich znane są definicje stosowane w konwencji Unesco dotyczącej środków zmierzających do zakazu i zapobiegania nielegalnemu przywozowi, wywozowi i przenoszeniu własności dóbr kultury, podpisanej w Paryżu w dniu 14 listopada 1970 r. (zwanej dalej „konwencją Unesco z 1970 r.”), których stroną jest znacząca liczba państw członkowskich, oraz w Konwencji UNIDROIT dotyczącej skradzionych lub nielegalnie wywiezionych dóbr kultury, podpisanej w Rzymie w dniu 24 czerwca 1995 r. Z tego powodu definicje użyte w niniejszym rozporządzeniu oparte są na tych definicjach.

(8)

Legalność wywozu dóbr kultury powinna być badana przede wszystkim w oparciu o przepisy ustawowe i wykonawcze kraju, w którym te dobra kultury powstały lub zostały odkryte. Aby jednak nie utrudniać nadmiernie legalnego handlu należy zamiast tego, w niektórych przypadkach, zezwolić w drodze wyjątku osobie, która zamierza dokonać przywozu dóbr kultury na obszar celny Unii, na wykazanie, że zostały one legalnie wywiezione z innego państwa trzeciego, w którym znajdowały się przed ich wysyłką do Unii. Ten wyjątek powinien mieć zastosowanie w przypadku gdy nie można wiarygodnie ustalić, w którym kraju dobra kultury powstały lub zostały odkryte, lub jeżeli wywóz danych dóbr kultury miał miejsce przed wejściem w życie konwencji Unesco z 1970 r., tj. przed dniem 24 kwietnia 1972 r. Aby zapobiec obchodzeniu niniejszego rozporządzenia poprzez wysyłanie nielegalnie wywożonych dóbr kultury do innego państwa trzeciego przed ich przywozem do Unii, wyjątki powinny mieć zastosowanie w przypadku gdy dobra kultury znajdowały się w państwie trzecim przez okres dłuższy niż pięć lat do celów innych niż do użytku tymczasowego, tranzytu, powrotnego wywozu lub przeładunku. W przypadku gdy warunki te są spełnione w odniesieniu do więcej niż jednego kraju, za właściwy uznaje się ostatni z tych krajów przed wprowadzeniem dóbr kultury na obszar celny Unii.

(9)

Art. 5 konwencji Unesco z 1970 r. wzywa Państwa Strony do ustanowienia jednej lub większej liczby krajowych służb odpowiedzialnych za ochronę dóbr kultury przed nielegalnym przywozem, wywozem i przenoszeniem własności. Takie służby krajowe powinny dysponować wykwalifikowanym personelem w liczbie wystarczającej do zapewnienia tej ochrony zgodnie z tą konwencją, a także powinny umożliwić niezbędną aktywną współpracę między właściwymi organami państw członkowskich będących Stronami tej konwencji w dziedzinie bezpieczeństwa oraz w ramach walki z nielegalnym przywozem dóbr kultury, zwłaszcza z obszarów dotkniętych konfliktem zbrojnym.

(10)

Aby nie utrudniać niewspółmiernie handlu dobrami kultury przez zewnętrzne granice Unii, niniejsze rozporządzenie powinno mieć zastosowanie wyłącznie do dóbr kultury powyżej określonej granicy wieku, która jest ustanowiona niniejszym rozporządzeniem. Właściwe wydaje się także ustalenie progu finansowego, aby wyłączyć ze stosowania warunków i procedur dotyczących przywozu na obszar celny Unii dobra kultury o niższej wartości. Progi te zapewnią, aby środki przewidziane w niniejszym rozporządzeniu koncentrowały się na tych dobrach kultury, w przypadku których istnieje największe prawdopodobieństwo, że mogą paść łupem grabieżców na obszarach dotkniętych konfliktem, nie wyłączając innych dóbr, których kontrola jest niezbędna do zapewnienia ochrony dziedzictwa kulturowego.

(11)

Nielegalny handel zagrabionymi dobrami kultury został uznany, w ramach ponadnarodowej oceny ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu mającego wpływ na rynek wewnętrzny, za możliwe źródło finansowania terroryzmu i prania pieniędzy.

(12)

Z uwagi na fakt, że niektóre kategorie dóbr kultury, mianowicie obiekty archeologiczne i elementy zabytków, są szczególnie narażone na grabież i zniszczenie, wydaje się niezbędne wprowadzenie systemu wzmożonej kontroli przed uzyskaniem pozwolenia na ich wprowadzenie na obszar celny Unii. W takim systemie powinien istnieć wymóg przedstawienia pozwolenia na przywóz wydanego przez właściwy organ państwa członkowskiego Unii przed dopuszczeniem takich dóbr kultury do obrotu w Unii lub objęciem ich specjalną procedurą celną inną niż tranzyt. Osoby, które starają się uzyskać takie pozwolenie, powinny być w stanie udowodnić legalny wywóz z kraju, w którym te dobra kultury powstały lub zostały odkryte, za pomocą odpowiednich dokumentów i dowodów, takich jak świadectwa wywozowe, tytuły własności, faktury, umowy sprzedaży, dokumenty ubezpieczeniowe, dokumenty przewozowe i ekspertyzy. Na podstawie kompletnych i dokładnie wypełnionych wniosków właściwe organy państw członkowskich powinny bez zbędnej zwłoki podjąć decyzję w sprawie wydania pozwolenia. Wszystkie pozwolenia na przywóz powinny być przechowywane w systemie elektronicznym.

(13)

Ikona stanowi każde przedstawienie postaci istotnej w danej religii lub wydarzenia religijnego. Może być tworzona różnymi środkami i w różnych rozmiarach, w formie monumentalnej lub przenośnej. W przypadkach gdy ikona była niegdyś integralną częścią, przykładowo, wnętrza kościoła, klasztoru, kaplicy, samodzielnie lub jako część wyposażenia architektonicznego, na przykład ikonostasu lub ekspozycji na specjalnych podstawach, stanowi ona niezwykle istotną i nieodłączną część kultu religijnego i życia liturgicznego i powinna być uznawana za integralną część zabytku religijnego, który został rozczłonkowany. Nawet w przypadkach gdy nie wiadomo do którego konkretnego zabytku ikona należała, ale istnieje dowód, że stanowiła kiedyś integralną część zabytku, w szczególności gdy obecne są znaki lub elementy wskazujące, że była kiedyś częścią ikonostasu lub była eksponowana na specjalnych podstawach, ikona powinna być nadal objęta kategorią „elementy zabytków artystycznych lub historycznych, lub stanowisk archeologicznych, które zostały rozczłonkowane” wymienionych w załączniku.

(14)

Z uwagi na szczególny charakter dóbr kultury, niezwykle istotna jest rola organów celnych, które powinny mieć możliwość, w razie konieczności, żądania dodatkowych informacji od zgłaszającego oraz dokonywania fizycznej kontroli dóbr kultury.

(15)

W odniesieniu do kategorii dóbr kultury, których przywóz nie wymaga pozwolenia na przywóz, osoby, które zamierzają przywieźć takie dobra na obszar celny Unii, powinny, w drodze oświadczenia, poświadczyć i przyjąć na siebie odpowiedzialność za ich legalny wywóz z państwa trzeciego oraz powinny przedstawić wystarczające informacje na temat tych dóbr kultury, umożliwiające ich identyfikację przez organy celne. W celu ułatwienia procedury oraz ze względu na pewność prawa informacje na temat dóbr kultury powinny być przekazywane przy użyciu zestandaryzowanego dokumentu. Do opisu dóbr kultury mógłby być stosowany Object ID standard, zalecany przez Unesco. Posiadacz dóbr powinien rejestrować te informacje w systemie elektronicznym, w celu ułatwienia identyfikacji przez organy celne, umożliwienia analizy ryzyka i ukierunkowanych kontroli, a także aby zapewnienia możliwości śledzenia dóbr kultury po ich wprowadzeniu na rynek wewnętrzny.

(16)

W kontekście środowiska Single Window w obszarze celnym, Komisja powinna być odpowiedzialna za ustanowienie scentralizowanego systemu elektronicznego składania wniosków o pozwolenia na przywóz oraz oświadczeń importerów, a także przechowywania i wymiany informacji między organami państw członkowskich, w szczególności w odniesieniu do oświadczeń importerów i pozwoleń na przywóz.

(17)

Przetwarzanie danych w ramach niniejszego rozporządzenia powinno móc obejmować także dane osobowe i powinno być prowadzone zgodnie z prawem Unii. Państwa członkowskie i Komisja powinny przetwarzać dane osobowe jedynie do celów niniejszego rozporządzenia lub w należycie uzasadnionych okolicznościach do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania sankcji karnych, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego oraz zapobiegania takim zagrożeniom. Wszelkie gromadzenie, ujawnianie, przekazywanie, komunikowanie oraz inne przetwarzanie danych osobowych w ramach niniejszego rozporządzenia powinno podlegać wymogom rozporządzeń Parlamentu Europejskiego i Rady (UE) 2016/679 (6) oraz (UE) 2018/1725 (7). Przetwarzanie danych osobowych do celów niniejszego rozporządzenia powinno odbywać się również zgodnie z prawami do poszanowania życia prywatnego i rodzinnego uznanymi w art. 8 Konwencji Rady Europy o ochronie praw człowieka i podstawowych wolności, a także zgodnie z prawem do poszanowania życia prywatnego i rodzinnego oraz prawem do ochrony danych osobowych, uznanymi, odpowiednio, w art. 7 i 8 Karty praw podstawowych Unii Europejskiej.

(18)

Dobra kultury, które nie powstały ani nie zostały odkryte na obszarze celnym Unii, ale które zostały wywiezione jako towary unijne, nie powinny być objęte wymogiem przedstawienia pozwolenia na przywóz lub oświadczenia importera, gdy są wwożone na ten obszar jako towary powracające w rozumieniu rozporządzenia (UE) nr 952/2013.

(19)

Odprawa czasowa dóbr kultury do celów edukacyjnych, naukowych, konserwacji, restauracji, wystawienniczych, digitalizacji, przedstawień artystycznych, badań prowadzonych przez instytucje naukowe lub do współpracy pomiędzy muzeami lub podobnymi instytucjami również nie powinna podlegać wymogowi przedstawienia pozwolenia na przywóz lub oświadczenia importera.

(20)

Składowanie dóbr kultury pochodzących z krajów dotkniętych konfliktami zbrojnymi lub klęskami żywiołowymi, w wyłącznym celu zapewnienia ich bezpiecznego przechowywania i ochrony przez organ publiczny lub pod nadzorem takiego organu nie powinno podlegać wymogowi przedstawienia pozwolenia na przywóz lub oświadczenia importera.

(21)

W celu ułatwienia prezentacji dóbr kultury na komercyjnych targach sztuki, pozwolenie na przywóz nie powinno być konieczne w przypadku gdy dobra kultury są przywożone w ramach odprawy czasowej, w rozumieniu art. 250 rozporządzenia (UE) nr 952/2013, oraz gdy zamiast pozwolenia na przywóz przedstawiono oświadczenie importera. Jednakże przedstawienie pozwolenia na przywóz powinno być wymagane w przypadku gdy takie dobra kultury mają pozostać w Unii po targach sztuki.

(22)

W celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia, należy powierzyć Komisji uprawnienia wykonawcze do przyjmowania szczegółowych zasad dotyczących: dóbr kultury, które są towarami powracającymi, lub odprawy czasowej dóbr kultury na obszarze celnym Unii oraz ich bezpiecznego przechowywania, wzorów wniosków o pozwolenia na przywóz oraz formularzy pozwolenia na przywóz, wzorów oświadczeń importera i dokumentów towarzyszących, a także dalszych przepisów proceduralnych w odniesieniu do ich składania i rozpatrywania. Komisji należy także powierzyć uprawnienia wykonawcze do podejmowania działań w celu utworzenia elektronicznego systemu składania wniosków o pozwolenia na przywóz oraz oświadczeń importerów, a także przechowywania i wymiany informacji między państwami członkowskimi. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 (8).

(23)

W celu zapewnienia skutecznej koordynacji oraz unikania powielania wysiłków podczas organizacji szkoleń, budowania zdolności oraz prowadzenia kampanii informacyjnych, a także zlecania odpowiednich badań oraz opracowywania norm, Komisja i państwa członkowskie powinny, w stosownych przypadkach, współpracować z organizacjami i organami międzynarodowymi, takimi jak Unesco, Interpol, Europol, Światowa Organizacja Celna, Międzynarodowy Ośrodek Studiów nad Ochroną i Restauracją Dóbr Kultury oraz Międzynarodowa Rada Muzeów (ICOM).

(24)

Odnośne informacje na temat przepływów handlowych dóbr kultury powinny być gromadzone w formie elektronicznej i wymieniane między państwami członkowskimi i Komisją, aby wspierać skuteczne wykonywanie niniejszego rozporządzenia oraz zapewnić podstawę jego przyszłej oceny. W interesie przejrzystości i kontroli publicznej jak najwięcej informacji powinno być podawane do wiadomości publicznej. Przepływów handlowych dóbr kultury nie można skutecznie monitorować jedynie na podstawie ich wartości lub masy. Istotne jest elektroniczne gromadzenie informacji dotyczących liczby zgłaszanych przedmiotów. Ponieważ w Nomenklaturze scalonej nie określono żadnej uzupełniającej jednostki miary dla dóbr kultury, konieczne jest nałożenie wymogu zgłaszania liczby przedmiotów.

(25)

Strategia UE i plan działania w zakresie zarządzania ryzykiem celnym mają na celu między innymi wzmocnienie zdolności organów celnych w zakresie reagowania na ryzyko w dziedzinie dóbr kultury. Należy wykorzystywać ramy wspólnego zarządzania ryzykiem określone w rozporządzeniu (UE) nr 952/2013, a organy celne powinny wymieniać między sobą odpowiednie informacje o ryzyku.

(26)

W celu skorzystania z wiedzy fachowej organizacji i organów międzynarodowych działających w sferze kultury oraz ich doświadczenia związanego z nielegalnym handlem dobrami kultury, zalecenia i wytyczne wydawane przez te organizacje i organy powinny być uwzględniane w ramach wspólnego zarządzania ryzykiem przy określaniu ryzyka związanego z dobrami kultury. W szczególności czerwone listy publikowane przez ICOM powinny służyć jako wytyczne do identyfikacji tych państw trzecich, których dziedzictwo jest najbardziej zagrożone oraz wywożonych z nich obiektów, które mogłyby częściej stawać się przedmiotem nielegalnego handlu.

(27)

Konieczne jest przygotowanie kampanii informacyjnych skierowanych do nabywców dóbr kultury, dotyczących ryzyka nielegalnego handlu oraz wspieranie podmiotów działających na rynku w zakresie zrozumienia i stosowania przez nie niniejszego rozporządzenia. Państwa członkowskie powinny angażować w rozpowszechnianie tych informacji odpowiednie krajowe punkty kontaktowe oraz inne służby informacyjne.

(28)

Komisja powinna zapewnić, aby mikroprzedsiębiorstwa oraz małe i średnie przedsiębiorstwa (zwane dalej „MŚP”) korzystały z odpowiedniej pomocy technicznej oraz powinna ułatwiać dostarczanie im informacji w celu skutecznego wykonywania niniejszego rozporządzenia. MŚP z siedzibą w Unii, które dokonują przywozu dóbr kultury, powinny zatem korzystać z obecnych i przyszłych programów Unii mających na celu wspieranie konkurencyjności małych i średnich przedsiębiorstw.

(29)

Aby zachęcić do przestrzegania przepisów oraz zniechęcać do ich obchodzenia, państwa członkowskie powinny wprowadzić skuteczne, proporcjonalne i odstraszające sankcje w przypadku nieprzestrzegania przepisów niniejszego rozporządzenia oraz przekazać informacje o tych sankcjach Komisji. Sankcje wprowadzane przez państwa członkowskie w przypadku naruszeń niniejszego rozporządzenia powinny mieć równoważny skutek odstraszający w całej Unii.

(30)

Państwa członkowskie powinny zapewnić, aby organy celne i właściwe organy uzgadniały środki podejmowane na mocy art. 198 rozporządzenia (UE) nr 952/2013. Szczegóły dotyczące tych środków powinny podlegać prawu krajowemu.

(31)

Komisja powinna niezwłocznie przyjąć przepisy wykonawcze do niniejszego rozporządzenia, w szczególności przepisy dotyczące zestandaryzowanych formularzy elektronicznych, z których należy korzystać przy składaniu wniosku o pozwolenie na przywóz lub przygotowywaniu oświadczenie importera, a także jak najszybciej ustanowić system elektroniczny. Stosowanie przepisów dotyczących pozwoleń na przywóz i oświadczeń importerów należy odpowiednio odroczyć.

(32)

Zgodnie z zasadą proporcjonalności, konieczne i stosowne jest przyjęcie przepisów dotyczących wprowadzania oraz warunków i procedur przywozu dóbr kultury na obszar celny Unii, aby osiągnąć podstawowe cele niniejszego rozporządzenia. Niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tych celów, zgodnie z art. 5 ust. 4 Traktatu o Unii Europejskiej,

(1)

Sieci i systemy informatyczne oraz sieci i usługi łączności elektronicznej odgrywają kluczową rolę w społeczeństwie i stały się podstawą wzrostu gospodarczego. Technologie informacyjno-komunikacyjne (ICT) stanowią podstawę złożonych systemów wspierających codzienne działania społeczne, zapewniają funkcjonowanie naszej gospodarki w kluczowych sektorach, takich jak opieka zdrowotna, energetyka, finanse i transport, a zwłaszcza wspomagają funkcjonowanie rynku wewnętrznego.

(2)

Korzystanie z sieci i systemów informatycznych przez obywateli, organizacje i przedsiębiorstwa w całej Unii jest obecnie bardzo rozpowszechnione. Cyfryzacja i sieć połączeń stają się podstawowymi cechami coraz większej liczby produktów i usług, a wraz z nastaniem internetu rzeczy w następnym dziesięcioleciu spodziewana jest instalacja wyjątkowo dużej liczby połączonych urządzeń cyfrowych w całej Unii. Coraz więcej urządzeń jest połączonych z internetem, jednak w ich projektowaniu w niewystarczającym stopniu uwzględnia się zabezpieczenia i odporność, co prowadzi do nieefektywnego cyberbezpieczeństwa. W tym kontekście ograniczone stosowanie certyfikacji prowadzi do niewystarczającej wiedzy użytkowników indywidualnych, instytucjonalnych i użytkowników biznesowych o właściwościach produktów ICT, usług ICT i procesów ICT w zakresie cyberbezpieczeństwa, co podważa zaufanie do rozwiązań cyfrowych. Sieci i systemy informatyczne mają możliwość wspierania wszystkich aspektów naszego życia i napędzania wzrostu gospodarczego w Unii. Stanowią one podstawowy element potrzebny do osiągnięcia jednolitego rynku cyfrowego.

(3)

Rosnąca cyfryzacja i sieć połączeń zwiększają ryzyka w cyberprzestrzeni, zwiększając tym samym podatność ogółu społeczeństwa na cyberzagrożenia i potęgując niebezpieczeństwo dla osób, w tym osób bardziej na nie podatnych, takich jak dzieci. W celu ograniczenia tych ryzyk należy podjąć wszystkie niezbędne działania na rzecz poprawy cyberbezpieczeństwa w Unii, aby lepiej chronić przed cyberzagrożeniami sieci i systemy informatyczne, sieci łączności oraz produkty, usługi i urządzenia cyfrowe używane przez obywateli, organizacje i przedsiębiorstwa – od małych i średnich przedsiębiorstw (MŚP), zgodnie z definicją zawartą w zaleceniu Komisji 2003/361/WE (4), aż po operatorów infrastruktury krytycznej.

(4)

Udostępniając odpowiednie informacje ogółowi społeczeństwa, Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA), ustanowiona rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 526/2013 (UE) (5), przyczynia się do rozwijania sektora cyberbezpieczeństwa w Unii, zwłaszcza MŚP i przedsiębiorstw typu start-up. ENISA powinna dążyć do ściślejszej współpracy z uniwersytetami i ośrodkami badawczymi, by przyczyniać się do zmniejszenia zależności od produktów i usług z dziedziny cyberbezpieczeństwa spoza terytorium Unii i do wzmocnienia łańcuchów dostaw wewnątrz Unii.

(5)

Cyberataki nasilają się, a połączona gospodarka i społeczeństwo, które jest bardziej podatne na cyberzagrożenia i ataki, wymagają silniejszej ochrony. Tymczasem jednak, mimo że cyberataki mają często charakter transgraniczny, kompetencje i reakcje polityczne organów odpowiedzialnych za cyberbezpieczeństwo i organów ścigania mają w głównej mierze charakter krajowy. Incydenty na dużą skalę mogą zakłócać świadczenie usług kluczowych w całej Unii. Taka sytuacja wymaga skutecznego i skoordynowanego reagowania oraz zarządzania kryzysowego na poziomie unijnym, w oparciu o specjalne rozwiązania polityczne oraz szerzej zakrojone instrumenty europejskiej solidarności i wzajemnej pomocy. Ponadto regularna ocena stanu cyberbezpieczeństwa i odporności w Unii, oparta na wiarygodnych danych unijnych, jak również systematyczne prognozowanie przyszłych zmian, wyzwań i zagrożeń na poziomie unijnym i ogólnoświatowym mają duże znaczenie dla decydentów politycznych, przemysłu oraz użytkowników.

(6)

Wobec narastających wyzwań w zakresie cyberbezpieczeństwa, w obliczu których stoi Unia, potrzebny jest kompleksowy zestaw środków, które byłyby oparte na wcześniejszych działaniach unijnych i sprzyjały osiąganiu wzajemnie wspierających się celów. Cele te obejmują dodatkowe zwiększenie potencjału i gotowości do reagowania państw członkowskich i przedsiębiorstw oraz poprawę współpracy, wymiany informacji i koordynacji pomiędzy państwami członkowskimi oraz instytucjami, organami i jednostkami organizacyjnymi Unii. Ponadto z uwagi na ponadgraniczny charakter cyberzagrożeń konieczne jest zwiększenie na poziomie Unii tych zdolności, które mogłyby uzupełniać działania państw członkowskich, zwłaszcza w przypadkach transgranicznych incydentów i kryzysów na dużą skalę, biorąc pod uwagę znaczenie utrzymania i dalszego ulepszania krajowych zdolności do reagowania na cyberzagrożenia niezależnie od ich skali.

(7)

Potrzebne są również dodatkowe wysiłki na rzecz podnoszenia wiedzy obywateli, organizacji i przedsiębiorstw na temat cyberbezpieczeństwa. Ponadto, z uwagi na fakt, że incydenty osłabiają zaufanie do dostawców usług cyfrowych i do samego jednolitego rynku cyfrowego, zwłaszcza wśród konsumentów, zaufanie to należy zwiększać przez oferowanie w sposób przejrzysty informacji o poziomie bezpieczeństwa produktów ICT, usług ICT i procesów ICT, podkreślają że nawet wysoki poziom certyfikacji cyberbezpieczeństwa nie może zagwarantować, że produkt ICT, usługa ICT lub proces ICT jest całkowicie bezpieczny. Wzrost zaufania może ułatwiać certyfikacja na poziomie unijnym, ustanawiająca wspólne wymogi cyberbezpieczeństwa i kryteria oceny na wszystkich krajowych rynkach i we wszystkich sektorach krajowych.

(8)

Cyberbezpieczeństwo to nie tylko kwestia związana z technologią, ale kwestia, w przypadku której równie ważne są ludzkie zachowania. Dlatego też należy usilnie propagować „cyberhigienę”, czyli proste, rutynowe czynności, których wdrożenie i regularne wykonywanie przez obywateli, organizacje i przedsiębiorstwa minimalizuje ich narażenie na ryzyka związane z cyberzagrożeniami.

(9)

W celu wzmocnienia unijnych struktur cyberbezpieczeństwa, ważne jest by utrzymywać i rozwijać zdolności państw członkowskich do kompleksowego reagowania na cyberzagrożenia, w tym na incydenty transgraniczne.

(10)

Przedsiębiorstwa oraz indywidualni konsumenci powinni posiadać dokładne informacje dotyczące poziomu uzasadnienia zaufania, na jakim certyfikowane zostało bezpieczeństwo ich produktów ICT, usług ICT i procesów ICT. Jednocześnie żaden produkt ICT ani usługa ICT nie jest całkowicie bezpieczny, a podstawowe zasady cyberhigieny muszą być propagowane i traktowane priorytetowo. Mając na uwadze rosnącą dostępność urządzeń z kategorii internetu rzeczy, istnieje szereg dobrowolnych środków, które sektor prywatny może podejmować, by wzmacniać zaufanie do bezpieczeństwa produktów ICT, usług ICT i procesów ICT.

(11)

Współczesne produkty i systemy ICT często korzystają ze stworzonych przez strony trzecie technologii i komponentów lub funkcjonują w oparciu o nie; są to na przykład moduły oprogramowania, biblioteki lub interfejsy programowania aplikacji. Wykorzystywanie tych elementów, określane mianem „zależności”, może stwarzać dodatkowe ryzyka w cyberprzestrzeni, ponieważ podatności zidentyfikowane w komponentach pochodzących od stron trzecich mogą również wpływać na bezpieczeństwo produktów ICT, usług ICT i procesów ICT. W wielu przypadkach identyfikowanie i dokumentowanie tych zależności pozwala użytkownikom końcowym produktów ICT, usług ICT i procesów ICT usprawnić ich działania w zakresie zarządzania ryzykiem w cyberprzestrzeni, na przykład poprzez poprawę stosowanych przez użytkowników procedur zarządzania i procedur zaradczych w przypadku podatności wpływających na cyberbezpieczeństwo.

(12)

Organizacje, wytwórców lub dostawców uczestniczących w projektowaniu i rozwijaniu produktów ICT, usług ICT lub procesów ICT należy zachęcać do stosowania środków na najwcześniejszych etapach projektowania i rozwijania w celu ochrony bezpieczeństwa tych produktów, usług i procesów w możliwie najwyższym stopniu, zakładając wystąpienie cyberataków, przygotowując się na ich skutki i minimalizując je („uwzględnianie bezpieczeństwa na etapie projektowania”). Bezpieczeństwo powinno być zapewnione w całym cyklu życia produktu ICT, usługi ICT lub procesu ICT poprzez takie procesy projektowania i rozwijania, które nieustannie ewoluują, by ograniczać ryzyko szkody w przypadku ich złośliwego wykorzystywania.

(13)

Przedsiębiorstwa, organizacje i sektor publiczny powinny tak konfigurować projektowane przez siebie produkty ICT, usługi ICT i procesy ICT, by zapewniać wyższy poziom bezpieczeństwa, który powinien umożliwić pierwszemu użytkownikowi otrzymanie domyślnej konfiguracji o najwyższym możliwym poziomie ustawień bezpieczeństwa („bezpieczeństwo domyślne”), zmniejszającej tym samym obciążenie użytkowników w zakresie konieczności odpowiedniej konfiguracji produktu ICT, usługi ICT lub procesu ICT. Bezpieczeństwo domyślne nie powinno wymagać od użytkownika dokonywania zaawansowanej konfiguracji, ani specjalistycznej wiedzy technicznej czy nieintuicyjnego postępowania; powinno działać prosto i poprawnie, tam gdzie zostało wdrożone. Jeżeli, w poszczególnych przypadkach, analiza ryzyka i użyteczności wykaże, że domyślne wprowadzenie tego typu ustawień nie jest możliwe, użytkownikom należy sugerować wybór najbezpieczniejszych ustawień.

(14)

Rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 460/2004 (6) ustanowiono ENISA, aby przyczynić się do realizacji celów w zakresie zapewnienia wysokiego i efektywnego poziomu bezpieczeństwa sieci i informacji w Unii oraz rozwijania kultury bezpieczeństwa sieci i informacji na rzecz obywateli, konsumentów, przedsiębiorstw oraz administracji publicznej. Rozporządzeniem (WE) nr 1007/2008 Parlamentu Europejskiego i Rady (7) przedłużono mandat ENISA do marca 2012 r. Rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 580/2011 (8) dodatkowo przedłużono mandat ENISA do dnia 13 września 2013 r. Rozporządzeniem (UE) nr 526/2013 przedłużono mandat ENISA do dnia 19 czerwca 2020 r.

(15)

Unia podjęła już istotne kroki w celu zapewnienia cyberbezpieczeństwa i zwiększenia zaufania do technologii cyfrowych. W roku 2013 przyjęto strategię Unii Europejskiej w zakresie cyberbezpieczeństwa, która wskazuje reakcję polityczną Unii na cyberzagrożenia i ryzyka w cyberprzestrzeni. W ramach starań, aby lepiej chronić obywateli w internecie, w 2016 r. przyjęty został pierwszy akt ustawodawczy Unii w dziedzinie cyberbezpieczeństwa w formie dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 (9).W dyrektywie (UE) 2016/1148 wprowadzono wymogi dotyczące zdolności krajowych w dziedzinie cyberbezpieczeństwa, ustanowiono pierwsze mechanizmy zacieśniania strategicznej i operacyjnej współpracy państw członkowskich oraz wprowadzono obowiązki dotyczące środków bezpieczeństwa i zgłaszania incydentów w istotnych dla gospodarki i społeczeństwa sektorach, takich jak energetyka, transport, zaopatrzenie w wodę pitną i jej dystrybucja, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, infrastruktura cyfrowa, jak też w odniesieniu do dostawców kluczowych usług cyfrowych (wyszukiwarek, usług przetwarzania w chmurze i targu internetowego).

Kluczową rolę we wspieraniu wdrażania tej dyrektywy wyznaczono agencji ENISA. Skuteczna walka z cyberprzestępczością stanowi ponadto jeden z ważnych priorytetów Europejskiej agendy bezpieczeństwa, przyczyniając się tym samym do realizacji ogólnego celu, jakim jest osiągnięcie wysokiego poziomu cyberbezpieczeństwa. Inne akty prawne, takie jak rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (10) i dyrektywy Parlamentu Europejskiego i Rady 2002/58/WE (11) i (UE) 2018/1972 (12), również przyczyniają się do wysokiego poziomu cyberbezpieczeństwa na jednolitym rynku cyfrowym.

(16)

Od czasu przyjęcia strategii Unii Europejskiej w zakresie cyberbezpieczeństwa w 2013 r. oraz ostatniej zmiany mandatu ENISA znacznie zmienił się ogólny kontekst polityczny, ponieważ otoczenie globalne stało się bardziej niepewne i mniej bezpieczne. W tych warunkach i w kontekście pozytywnego rozwoju roli ENISA jako punktu odniesienia w zakresie doradztwa i wiedzy fachowej oraz jako podmiotu ułatwiającego współpracę i budowane zdolności, a także w ramach nowej unijnej polityki w zakresie cyberbezpieczeństwa konieczne jest dokonanie przeglądu mandatu ENISA, aby określić jej rolę w zmienionym ekosystemie cyberbezpieczeństwa i zapewnić jej skuteczny wkład w reakcję Unii na wyzwania w dziedzinie cyberbezpieczeństwa wynikające z radykalnie zmienionego profilu cyberzagrożeń, w odniesieniu do którego, jak uznano w ocenie, której poddano ENISA, obecny mandat nie jest wystarczający.

(17)

ENISA ustanowiona niniejszym rozporządzeniem powinna być następcą ENISA ustanowionej rozporządzeniem (UE) nr 526/2013. ENISA powinna wykonywać zadania powierzone jej na mocy niniejszego rozporządzenia oraz innych aktów prawnych Unii w dziedzinie cyberbezpieczeństwa poprzez, między innymi, zapewnianie wiedzy fachowej i doradztwa oraz działanie w charakterze unijnego centrum informacji i wiedzy. Powinna ona propagować wymianę najlepszych praktyk pomiędzy państwami członkowskimi i interesariuszami z sektora prywatnego, przedstawiać Komisji i państwom członkowskim sugestie dotyczące polityki, działać jako punkt odniesienia dla unijnych sektorowych inicjatyw odnoszących się do kwestii cyberbezpieczeństwa oraz wspierać współpracę operacyjną zarówno pomiędzy państwami członkowskimi, jak i pomiędzy państwami członkowskimi a instytucjami, organami i jednostkami organizacyjnymi Unii.

(18)

W decyzji 2004/97/WE, Euratom przyjętej za wspólnym porozumieniem między przedstawicielami państw członkowskich podczas spotkania na szczeblu szefów państw lub rządów (13) przedstawiciele państw członkowskich zdecydowali, że ENISA będzie miała siedzibę w Grecji, w mieście, które wskaże rząd grecki. Państwo członkowskie przyjmujące ENISA powinno zapewnić możliwie najlepsze warunki dla sprawnego i skutecznego działania ENISA. Właściwa lokalizacja ENISA ma zasadnicze znaczenie dla prawidłowego i skutecznego wykonywania przez ENISA zadań, a także naboru i zatrzymania członków personelu oraz zwiększenia efektywności sieci współpracy, zapewniając między innymi odpowiednie połączenia transportowe i infrastrukturę dla małżonków i dzieci towarzyszących pracownikom ENISA. Umowa pomiędzy ENISA a przyjmującym państwem członkowskim, zawarta po uzyskaniu zgody Zarządu ENISA, powinna zawierać niezbędne uzgodnienia w tym zakresie.

(19)

Ze względu na narastające ryzyka w cyberprzestrzeni i wyzwania w zakresie cyberbezpieczeństwa, z jakimi boryka się Unia, należy zwiększyć przydzielone ENISA zasoby finansowe i ludzkie, aby odzwierciedlić jej rozszerzoną rolę i zadania oraz jej kluczową pozycję w ekosystemie organizacji chroniących unijny ekosystem cyfrowy, pozwalając ENISA na skuteczne wykonywanie zadań powierzonych jej w niniejszym rozporządzeniu.

(20)

ENISA powinna rozwijać i utrzymywać wysoki poziom wiedzy fachowej oraz pełnić rolę punktu odniesienia służącego budowie zaufania i wiarygodności na jednolitym rynku z racji swojej niezależności, jakości oferowanego doradztwa, jakości rozpowszechnianych informacji, przejrzystości jej procedur, przejrzystości jej metod działania, a także staranności w realizacji swoich zadań. ENISA powinna aktywnie wspierać działania krajowe i powinna proaktywnie włączać się w działania unijne, a jednocześnie wykonywać swoje zadania w pełnej współpracy z instytucjami, organami i jednostkami organizacyjnymi Unii oraz z państwami członkowskimi, unikając powielania działań i propagując synergie. Ponadto ENISA powinna bazować na wkładzie i współpracy ze strony sektora prywatnego, jak również innych odpowiednich interesariuszy. Zakres zadań powinien określać sposób, w jaki ENISA ma osiągnąć swoje cele, pozwalając jej jednocześnie na elastyczne działanie.

(21)

Aby móc zapewnić odpowiednie wsparcie na rzecz współpracy operacyjnej pomiędzy państwami członkowskimi, ENISA powinna dodatkowo wzmocnić swoje zdolności techniczne i zdolności w zakresie zasobów ludzkich oraz umiejętności. Agencja powinna zwiększać swoje know-how i zdolności. ENISA i państwa członkowskie mogłyby na zasadzie dobrowolności tworzyć programy oddelegowywania ekspertów krajowych do ENISA, tworzenia baz ekspertów i wymiany członków personelu.

(22)

ENISA powinna wspomagać Komisję poprzez doradztwo, opinie i analizy w odniesieniu do wszystkich kwestii unijnych związanych z opracowywaniem, aktualizacjami i przeglądami polityki i prawa w dziedzinie cyberbezpieczeństwa, a także kwestii sektorowych w celu zwiększenia roli unijnych polityk i przepisów dotyczących cyberbezpieczeństwa i umożliwienia spójności we wdrażaniu tych polityk i przepisów na poziomie krajowym. ENISA powinna pełnić rolę punktu odniesienia w zakresie doradztwa i wiedzy fachowej na rzecz unijnych sektorowych inicjatyw w dziedzinie polityki i prawa, dotyczących kwestii związanych z cyberbezpieczeństwem. ENISA powinna regularnie informować Parlament Europejski o swoich działaniach.

(23)

Publiczny rdzeń otwartego internetu, a mianowicie jego główne protokoły i infrastruktura będące dobrem publicznym, zapewniają zasadniczą funkcjonalność internetu jako całości i stanowią podstawę jego normalnego funkcjonowania. ENISA powinna wspierać bezpieczeństwo publicznego rdzenia otwartego internetu i stabilność jego funkcjonowania, w tym m.in. kluczowe protokoły (zwłaszcza DNS, BGP i IPv6), funkcjonowanie systemu nazw domen (jak funkcjonowanie wszystkich domen najwyższego poziomu) i funkcjonowanie strefy rdzennej.

(24)

Podstawowym zadaniem ENISA jest wspieranie spójnego wprowadzania odpowiednich ram prawnych, a w szczególności skutecznego wdrożenia dyrektywy (UE) 2016/1148 i innych stosownych instrumentów prawnych zawierających aspekty dotyczące cyberbezpieczeństwa, co ma kluczowe znaczenie dla zwiększenia cyberodporności. W obliczu szybko ewoluującego profilu cyberzagrożeń jasne jest, że państwa członkowskie muszą mieć wsparcie w postaci bardziej kompleksowego, przekrojowego pod względem politycznym podejścia do budowania cyberodporności.

(25)

ENISA powinna wspierać państwa członkowskie oraz instytucje organy i jednostki organizacyjne Unii w ich staraniach na rzecz budowy i umocnienia zdolności i gotowości do zapobiegania cyberzagrożeniom i incydentom, wykrywania ich i reagowania na nie oraz w odniesieniu do bezpieczeństwa sieci i systemów informatycznych. ENISA powinna w szczególności wspierać rozwój i wzmocnienie krajowych i unijnych zespołów reagowania na incydenty bezpieczeństwa komputerowego (zwanych dalej „zespołami CSIRT”) przewidzianych w dyrektywie (UE) 2016/1148 z myślą o osiągnięciu wysokiego wspólnego poziomu ich zaawansowania w Unii. Prowadzone przez ENISA działania związane ze zdolnościami operacyjnymi państw członkowskich powinny aktywnie wspierać działania podejmowane przez państwa członkowskie w celu wypełniania ich obowiązków wynikających z dyrektywy (UE) 2016/1148, a zatem nie powinny takich działań zastępować.

(26)

ENISA powinna również pomagać w opracowaniu i aktualizacji strategii w zakresie bezpieczeństwa sieci i systemów informatycznych na poziomie Unii i – na wniosek – na poziomie państw członkowskich, w szczególności w odniesieniu do cyberbezpieczeństwa, oraz powinna propagować upowszechnianie takich strategii i monitorować postępy w ich realizacji. ENISA powinna również przyczyniać się do zaspokajania potrzeb w zakresie szkoleń i materiałów szkoleniowych, w tym potrzeb organów publicznych, oraz, w stosownych przypadkach, zaspokajać w znacznym stopniu potrzeby szkoleniowe instruktorów, w oparciu o ramy kompetencji cyfrowych dla obywateli, mając na celu pomaganie państwom członkowskim oraz instytucjom, organom i jednostkom organizacyjnym Unii w rozwoju ich własnych zdolności szkoleniowych.

(27)

ENISA powinna wspierać państwa członkowskie w dziedzinie podnoszenia wiedzy na temat cyberbezpieczeństwa i edukacji w tym zakresie poprzez ułatwianie ściślejszej koordynacji i wymiany najlepszych praktyk pomiędzy państwami członkowskimi. Takie wsparcie mogłoby polegać na rozwoju sieci krajowych punktów kontaktowych ds. edukacji i na rozwoju platformy szkoleniowej w zakresie cyberbezpieczeństwa. Sieć krajowych punktów kontaktowych ds. edukacji mogłaby funkcjonować w ramach Sieci Krajowych Urzędników Łącznikowych i stanowić punkt wyjścia do przyszłej koordynacji działań pomiędzy państwami członkowskimi.

(28)

ENISA powinna wspierać grupę współpracy utworzoną dyrektywą (UE) 2016/1148 w wykonywaniu jej zadań, w szczególności poprzez zapewnianie wiedzy fachowej i doradztwa oraz ułatwianie wymiany najlepszych praktyk, między innymi w odniesieniu do identyfikowania przez państwa członkowskie operatorów usług kluczowych, a także w odniesieniu do transgranicznych zależności, pod względem ryzyk i incydentów.

(29)

Z myślą o pobudzaniu współpracy pomiędzy sektorem publicznym a prywatnym oraz w ramach sektora prywatnego, szczególnie w celu wspierania ochrony infrastruktury krytycznej, ENISA powinna wspierać wymianę informacji w ramach samych sektorów i pomiędzy sektorami, szczególnie w przypadku sektorów wymienionych w załączniku II do dyrektywy (UE) 2016/1148, poprzez zapewnianie najlepszych praktyk i porad w zakresie dostępnych narzędzi i procedur oraz porad na temat rozwiązywania kwestii regulacyjnych związanych z wymianą informacji, na przykład dzięki ułatwianiu ustanawiania sektorowych ośrodków wymiany i analizy informacji.

(30)

Zważywszy na fakt, że stale rośnie potencjalny negatywny wpływ podatności w produktach ICT, usługach ICT i procesach ICT, identyfikowanie i eliminowanie tych podatności odgrywa ważną rolę w zmniejszaniu ogólnego ryzyka w cyberprzestrzeni. Dowiedziono, że współpraca pomiędzy organizacjami, wytwórcami lub dostawcami produktów ICT, usług ICT i procesów ICT, w których mogą występować podatności, a członkami społeczności badawczej w obszarze cyberbezpieczeństwa i rządami identyfikującymi podatności w istotny sposób zwiększa wskaźniki wykrywania i eliminowania podatności produktów ICT, usług ICT i procesów ICT. Skoordynowane ujawnianie podatności oznacza ustrukturyzowany proces współpracy, w ramach którego podatności zgłaszane są właścicielowi systemu informacyjnego, co pozwala organizacji na zdiagnozowanie i wyeliminowanie podatności zanim szczegółowe informacje dotyczące podatności zostaną ujawnione stronom trzecim lub podane do wiadomości publicznej. Proces ten przewiduje również koordynację działań pomiędzy identyfikującym podatności a daną organizacją w zakresie podania do wiadomości publicznej informacji o tych podatnościach. Polityki skoordynowanego ujawniania podatności mogą odgrywać ważną rolę w wysiłkach państw członkowskich na rzecz zwiększania cyberbezpieczeństwa.

(31)

ENISA powinna gromadzić i analizować dobrowolnie udostępniane raporty krajowe przekazywane przez zespoły CSIRT i międzyinstytucjonalny zespół reagowania na incydenty komputerowe w instytucjach, organach i agencjach Unii ustanowiony porozumieniem między Parlamentem Europejskim, Radą Europejską, Radą Unii Europejskiej, Komisją Europejską, Trybunałem Sprawiedliwości Unii Europejskiej, Europejskim Bankiem Centralnym, Europejskim Trybunałem Obrachunkowym, Europejską Służbą Działań Zewnętrznych, Europejskim Komitetem Ekonomiczno-Społecznym, Europejskim Komitetem Regionów i Europejskim Bankiem Inwestycyjnym w sprawie organizacji i funkcjonowania zespołu reagowania na incydenty komputerowe w instytucjach, organach i agencjach UE (CERT-UE) (14), by przyczyniać się do ustanawiania wspólnych procedur, języka i terminologii do celów wymiany informacji. W tym kontekście ENISA powinna angażować sektor prywatny w ramach dyrektywy (UE) 2016/1148, w której określono podstawy dobrowolnej wymiany informacji technicznych na poziomie operacyjnym w ramach utworzonej tą dyrektywą sieci zespołów reagowania na incydenty bezpieczeństwa komputerowego (zwanej dalej „siecią CSIRT”).

(32)

ENISA powinna wnosić wkład w reagowanie na poziomie Unii w przypadku transgranicznych incydentów i kryzysów na dużą skalę związanych z cyberbezpieczeństwem. Zadanie to powinno być wykonywane zgodnie z mandatem ENISA na podstawie niniejszego rozporządzenia i podejściem uzgodnionym przez państwa członkowskie w kontekście zalecenia Komisji (UE) 2017/1584 (15) i konkluzji Rady z dnia 26 czerwca 2018 r. w sprawie skoordynowanego reagowania na szczeblu unijnym na cyberincydenty i cyberkryzysy na dużą skalę. Zadanie to mogłoby obejmować gromadzenie odpowiednich informacji i działanie w charakterze pośrednika ułatwiającego współpracę sieci CSIRT i środowiska technicznego, jak również pomiędzy decydentami odpowiedzialnymi za zarządzanie kryzysowe. ENISA powinna ponadto wspierać współpracę operacyjną pomiędzy państwami członkowskimi, jeżeli zwróci się o to jedno państwo członkowskie lub większa ich liczba – w ramach postępowania – od strony technicznej – w przypadku incydentów, ułatwianie odpowiedniej wymiany rozwiązań technicznych pomiędzy państwami członkowskimi oraz oferowanie wkładu w komunikację społeczną. ENISA powinna wspierać współpracę operacyjną testując ustalenia dotyczące takiej współpracy poprzez przeprowadzanie regularnych ćwiczeń w dziedzinie cyberbezpieczeństwa.

(33)

Wspierając współpracę operacyjną, ENISA powinna korzystać z dostępnej technicznej i operacyjnej wiedzy fachowej CERT-UE w ramach współpracy strukturalnej. Taka współpraca strukturalna mogłaby bazować na wiedzy fachowej ENISA. W stosownych przypadkach należy poczynić specjalne ustalenia pomiędzy oboma podmiotami, aby określić sposób praktycznej realizacji takiej współpracy i uniknąć powielania działań.

(34)

Wykonując swoje zadania polegające na wspieraniu współpracy operacyjnej w ramach sieci CSIRT ENISA powinna być w stanie zapewniać wsparcie na wniosek państw członkowskich, na przykład oferując doradztwo dotyczące sposobów zwiększenia ich zdolności w zakresie zapobiegania incydentom, ich wykrywania oraz reagowania na nie, ułatwiając techniczne postępowanie w przypadku incydentów mających istotny wpływ lub zapewniając analizę cyberzagrożeń i incydentów. ENISA powinna ułatwiać techniczne postępowanie w przypadku incydentów mających istotny wpływ, szczególnie poprzez wspieranie dobrowolnego dzielenia się rozwiązaniami technicznymi pomiędzy państwami członkowskimi lub opracowywanie zbiorczych informacji technicznych, na przykład na temat rozwiązań technicznych udostępnionych dobrowolnie przez państwa członkowskie. W zaleceniu (UE) 2017/1584 zaleca się, aby państwa członkowskie współpracowały w dobrej wierze i bez zbędnej zwłoki wymieniały pomiędzy sobą i z ENISA informacje o incydentach i kryzysach na dużą skalę związanych z cyberbezpieczeństwem. Takie informacje pomogłyby dodatkowo ENISA w wykonywaniu jej zadań polegających na wspieraniu współpracy operacyjnej.

(35)

Jako element regularnej współpracy na poziomie technicznym służącej wzmocnieniu unijnej orientacji sytuacyjnej ENISA, w ścisłej współpracy z państwami członkowskimi, powinna przygotowywać regularny pogłębiony raport techniczny o stanie cyberbezpieczeństwa w UE dotyczący incydentów i cyberzagrożeń, oparty o publicznie dostępne informacje, własną analizę oraz sprawozdania przekazane przez zespoły CSIRT państw członkowskich lub krajowe pojedyncze punkty kontaktowe ds. bezpieczeństwa sieci i systemów informatycznych (zwane dalej „pojedynczymi punktami kontaktowymi”) przewidziane w dyrektywie (UE) 2016/1148, w obu przypadkach przekazywane na zasadzie dobrowolności, przez Europejskie Centrum ds. Walki z Cyberprzestępczością (EC3) przy Europolu, CERT-UE oraz – w stosownych przypadkach – Centrum Analiz Wywiadowczych Unii Europejskiej (EU INTCEN) Europejskiej Służby Działań Zewnętrznych. Raport ten należy udostępniać Radzie, Komisji, Wysokiemu Przedstawicielowi Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa oraz sieci CSIRT.

(36)

Wsparcie ENISA udzielane – na wniosek zainteresowanych państw członkowskich – w przypadku technicznych postępowań wyjaśniających ex post dotyczących incydentów mających istotny wpływ powinno koncentrować się na zapobieganiu przyszłym incydentom. Zainteresowane państwa członkowskie powinny dostarczyć niezbędnych informacji i pomocy, by umożliwić ENISA skuteczne wsparcie technicznego postępowania wyjaśniającego ex post.

(37)

Państwa członkowskie mogą zachęcać przedsiębiorstwa, których dotyczy dany incydent, do współpracy, polegającej na dostarczeniu ENISA niezbędnych informacji i pomocy, bez uszczerbku dla ich prawa do ochrony szczególnie chronionych informacji handlowych oraz informacji istotnych dla bezpieczeństwa publicznego.

(38)

Aby lepiej rozumieć wyzwania w dziedzinie cyberbezpieczeństwa i z myślą o zapewnianiu strategicznego długoterminowego doradztwa państwom członkowskim oraz instytucjom, organom i jednostkom organizacyjnym Unii, konieczne jest, aby ENISA analizowała bieżące i pojawiające się ryzyka w cyberprzestrzeni. W tym celu ENISA powinna, we współpracy z państwami członkowskimi oraz – w stosownych przypadkach – z urzędami statystycznymi i innymi podmiotami, gromadzić odpowiednie dostępne publicznie lub dobrowolnie udostępniane informacje, przeprowadzać analizy powstających technologii oraz zapewniać oceny tematyczne dotyczące spodziewanego wpływu społecznego, prawnego, gospodarczego i regulacyjnego wywieranego przez innowacje technologiczne na bezpieczeństwo sieci i informacji, a w szczególności na cyberbezpieczeństwo. ENISA powinna ponadto – poprzez przeprowadzanie analiz cyberzagrożeń, podatności i incydentów – wspierać państwa członkowskie oraz instytucje, organy i jednostki organizacyjne Unii w identyfikowaniu pojawiających się ryzyk w cyberprzestrzeni i zapobieganiu incydentom.

(39)

W celu wzmocnienia odporności Unii ENISA powinna rozwinąć wiedzę specjalistyczną w dziedzinie cyberbezpieczeństwa infrastruktur, w szczególności w celu wsparcia sektorów wymienionych w załączniku II do dyrektywy (UE) 2016/1148 oraz infrastruktur wykorzystywanych przez dostawców usług cyfrowych wymienionych w załączniku III do tej dyrektywy, zapewniając doradztwo, wydając wytyczne i wymieniając najlepsze praktyki. Z myślą o zapewnieniu łatwiejszego dostępu do bardziej usystematyzowanych informacji na temat ryzyk w cyberprzestrzeni i ewentualnych środków zaradczych ENISA powinna stworzyć i utrzymywać unijny „węzeł informacyjny” – portal stanowiący punkt kompleksowej obsługi zapewniający ogółowi społeczeństwa informacje na temat cyberbezpieczeństwa pochodzące od unijnych i krajowych instytucji, organów i jednostek organizacyjnych. Łatwiejszy dostęp do lepiej uporządkowanych informacji na temat ryzyk w cyberprzestrzeni i ewentualnych środków zaradczych mógłby również pomóc państwom członkowskim wzmocnić ich zdolności i dostosować ich praktyki, a zatem poprawić ich ogólną odporność na cyberataki.

(40)

ENISA powinna działać na rzecz podnoszenia wiedzy ogółu społeczeństwa na temat ryzyk w cyberprzestrzeni – włączając w to ogólnounijną kampanię informacyjną poprzez propagowanie edukacji i zapewniać obywatelom, organizacjom i przedsiębiorstwom porady w zakresie dobrych praktyk dla użytkowników indywidualnych. ENISA powinna również przyczyniać się do propagowania najlepszych praktyk i rozwiązań, w tym w zakresie cyberhigieny i umiejętności cyfrowych, na poziomie i obywateli, organizacji i przedsiębiorstw poprzez gromadzenie i analizowanie publicznie dostępnych informacji dotyczących istotnych incydentów oraz poprzez sporządzanie i publikowanie raportów i porad dla obywateli, organizacji i przedsiębiorstw oraz poprawy ogólnego poziomu ich gotowości i odporności. ENISA powinna również dążyć do zapewnienia konsumentom odpowiednich informacji na temat obowiązujących programów certyfikacji, na przykład poprzez zapewnianie wytycznych i zaleceń. ENISA powinna ponadto organizować, zgodnie z Planem działania w dziedzinie edukacji cyfrowej ustanowionym w komunikacie Komisji z dnia 17 stycznia 2018 r. i we współpracy z państwami członkowskimi oraz instytucjami, organami i jednostkami organizacyjnymi Unii, regularne działania informacyjne i publiczne kampanie edukacyjne skierowane do użytkowników końcowych w celu propagowania bezpieczniejszych zachowań osób w internecie i umiejętności cyfrowych, podnoszenia wiedzy o potencjalnych cyberzagrożeniach, w tym o działalności przestępczej w internecie, takiej jak ataki phishingowe, botnety oraz oszustwa finansowe i bankowe, incydenty fałszerstwa danych, oraz w celu propagowania podstawowego doradztwa w kwestii wielopoziomowego uwierzytelniania, poprawek, szyfrowania, anonimizacji oraz ochrony danych.

(41)

ENISA powinna odgrywać centralną rolę w podnoszeniu wiedzy użytkowników końcowych na temat bezpieczeństwa urządzeń i bezpiecznego korzystania z usług oraz powinna propagować uwzględnianie bezpieczeństwa i ochrony prywatności już na etapie projektowania na poziomie Unii. W tym celu ENISA powinna wykorzystać dostępne najlepsze praktyki i doświadczenie, szczególnie najlepsze praktyki i doświadczenie instytucji akademickich i ekspertów w obszarze bezpieczeństwa informatycznego.

(42)

W celu wspierania przedsiębiorstw działających w sektorze cyberbezpieczeństwa, jak również użytkowników rozwiązań w zakresie cyberbezpieczeństwa, ENISA powinna stworzyć i utrzymywać „centrum monitorowania rynku” poprzez przeprowadzanie regularnych analiz i upowszechnianie informacji o głównych tendencjach na rynku cyberbezpieczeństwa, zarówno po stronie popytu, jak i podaży.

(43)

ENISA powinna przyczyniać się do wysiłków Unii na rzecz współpracy z organizacjami międzynarodowymi oraz w ramach odpowiednich ram współpracy międzynarodowej w dziedzinie cyberbezpieczeństwa. ENISA powinna w szczególności przyczyniać się, w stosownych przypadkach, do współpracy z takimi organizacjami jak OECD, OBWE i NATO. Współpraca taka mogłaby obejmować wspólne ćwiczenia w dziedzinie cyberbezpieczeństwa i wspólną koordynację reagowania na incydenty. Te działania odbywają się przy pełnym poszanowaniu zasad pluralizmu, wzajemności i autonomii decyzyjnej Unii, bez uszczerbku dla szczególnego charakteru polityki bezpieczeństwa i obrony poszczególnych państw członkowskich.

(44)

Dla zapewnienia pełnej realizacji jej celów ENISA powinna współpracować z odpowiednimi organami nadzorczymi Unii i z innymi właściwymi organami w Unii, instytucjami, organami i jednostkami organizacyjnymi Unii, w tym z CERT-UE, EC3, Europejską Agencją Obrony (EDA), Europejskim Organem Nadzoru Globalnego Systemu Nawigacji Satelitarnej (Agencją Europejskiego GNSS), Organem Europejskich Regulatorów Łączności Elektronicznej (BEREC), Europejską Agencją ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w przestrzeni wolności, bezpieczeństwa i sprawiedliwości (eu-LISA), Europejskim Bankiem Centralnym (EBC), Europejskim Urzędem Nadzoru Bankowego (EUNB), Europejską Radą Ochrony Danych, Agencją Unii Europejskiej ds. Współpracy Organów Regulacji Energetyki (ACER), Europejską Agencją Bezpieczeństwa Lotniczego (EASA) i każdą inną agencją Unii zaangażowaną w kwestie cyberbezpieczeństwa. ENISA powinna również współpracować z organami zajmującymi się ochroną danych, aby wymieniać know-how i najlepsze praktyki oraz powinna zapewniać doradztwo dotyczące tych kwestii cyberbezpieczeństwa, które mogą mieć wpływ na ich pracę. Przedstawiciele krajowych i unijnych organów ścigania oraz ochrony danych powinni być uprawnieni do udziału w Grupie Doradczej ENISA. Współpracując z organami ścigania w kwestiach z zakresu bezpieczeństwa sieci i informacji, które mogłyby mieć wpływ na ich pracę, ENISA powinna respektować istniejące kanały informacji i ustanowione sieci.

(45)

Partnerstwo może być nawiązane z instytucjami akademickimi podejmującymi inicjatywy badawcze w odpowiednich dziedzinach, a także powinny istnieć odpowiednie kanały, dzięki którym informacje będą mogły przekazywać organizacje konsumenckie i inne organizacje, które powinny być uwzględniane.

(46)

ENISA, w roli sekretariatu sieci CSIRT, powinna wspierać zespoły CSIRT państw członkowskich i CERT-UE we współpracy operacyjnej w związku ze wszystkimi odpowiednimi zadaniami sieci CSIRT, o których mowa w dyrektywie (UE) 2016/1148. ENISA powinna ponadto propagować i wspierać współpracę pomiędzy odpowiednimi zespołami CSIRT w przypadku incydentów, ataków lub zakłóceń dotyczących sieci lub infrastruktury zarządzanej lub chronionej przez zespoły CSIRT i angażujących lub mających możliwość angażowania co najmniej dwóch zespołów CSIRT, z należytym uwzględnieniem standardowych procedur operacyjnych sieci CSIRT.

(47)

W celu zwiększenia gotowości Unii do reagowania na incydenty ENISA powinna organizować regularnie ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie unijnym oraz, na wniosek, wspierać państwa członkowskie oraz instytucje, organy i jednostki organizacyjne Unii przy organizacji takich ćwiczeń. Kompleksowe ćwiczenia na dużą skalę, obejmujące elementy techniczne, operacyjne lub strategiczne, powinny być organizowane raz na dwa lata. Ponadto ENISA powinna móc organizować regularnie ćwiczenia o mniej kompleksowym charakterze z myślą o realizacji tego samego celu, zwiększenia gotowości Unii do reagowania na incydenty.

(48)

ENISA powinna dalej rozwijać i utrzymywać swoją wiedzę fachową w dziedzinie certyfikacji cyberbezpieczeństwa w celu wspierania polityki Unii w tej dziedzinie. ENISA powinna korzystać z istniejących najlepszych praktyk i powinna propagować wprowadzenie w Unii certyfikacji cyberbezpieczeństwa, w tym poprzez przyczynianie się do utworzenia i utrzymywania ram certyfikacji cyberbezpieczeństwa na poziomie unijnym (europejskich ram certyfikacji cyberbezpieczeństwa), z myślą o zwiększeniu przejrzystości w zakresie zaufania do cyberbezpieczeństwa produktów ICT, usług ICT i procesów ICT, zwiększając w ten sposób zaufanie do wewnętrznego rynku cyfrowego i jego konkurencyjność.

(49)

Skuteczna polityka cyberbezpieczeństwa powinna opierać się na dobrze opracowanych metodach szacowania ryzyka, zarówno w sektorze publicznym, jak i prywatnym. Metody szacowania ryzyka są używane na różnych poziomach, bez wspólnej praktyki dotyczącej sposobu ich skutecznego stosowania. Propagowanie i rozwój najlepszych praktyk w zakresie szacowania ryzyka oraz interoperacyjnych rozwiązań w zakresie zarządzania ryzykiem w organizacjach sektora publicznego i sektora prywatnego zwiększy poziom cyberbezpieczeństwa w Unii. W tym celu ENISA powinna wspierać współpracę pomiędzy interesariuszami na poziomie Unii oraz ułatwiać im tworzenie i wprowadzanie europejskich i międzynarodowych norm dotyczących zarządzania ryzykiem oraz norm dotyczących mierzalnego bezpieczeństwa produktów, systemów, sieci i usług elektronicznych, które wraz z oprogramowaniem współtworzą sieci i systemy informatyczne.

(50)

ENISA powinna zachęcać państwa członkowskie, wytwórców lub dostawców produktów ICT, usług ICT lub procesów ICT do podnoszenia ich ogólnych norm bezpieczeństwa, tak aby wszyscy użytkownicy internetu mogli podejmować kroki niezbędne do zapewnienia sobie własnego cyberbezpieczeństwa oraz powinna do tego zachęcać. Wytwórcy i dostawcy produktów ICT, usług ICT lub procesów ICT powinni w szczególności dostarczać wszelkie niezbędne aktualizacje i powinni wzywać do przekazania, wycofywać z obrotu lub przebudowywać produkty ICT, usługi ICT lub procesy ICT niespełniające norm cyberbezpieczeństwa, natomiast importerzy i dystrybutorzy powinni upewnić się, czy produkty ICT, usługi ICT i procesy ICT, które wprowadzają do obrotu w Unii, są zgodne z mającymi zastosowanie wymogami oraz czy nie stanowią ryzyka dla unijnych konsumentów.

(51)

We współpracy z właściwymi organami ENISA powinna móc rozpowszechniać informacje dotyczące poziomu cyberbezpieczeństwa produktów ICT, usług ICT i procesów ICT oferowanych na rynku wewnętrznym oraz powinna wydawać ostrzeżenia skierowane do wytwórców i dostawców produktów ICT, usług ICT lub procesów ICT, żądając od nich poprawy bezpieczeństwa ich produktów ICT, usług ICT i procesów ICT, w tym cyberbezpieczeństwa.

(52)

ENISA powinna w pełni uwzględniać bieżącą działalność w zakresie badań naukowych, rozwoju i oceny technologii, w szczególności działalność prowadzoną w ramach różnych unijnych inicjatyw badawczych, w celu doradzania instytucjom, organom i jednostkom organizacyjnym Unii, a także – w stosownych przypadkach i na ich wniosek – państwom członkowskim w kwestii potrzeb i priorytetów badawczych w dziedzinie cyberbezpieczeństwa. W celu określenia potrzeb i priorytetów badawczych ENISA powinna również prowadzić konsultacje z odpowiednimi grupami użytkowników. Konkretniej, mogłaby zostać nawiązana współpraca z Europejską Radą ds. Badań Naukowych, Europejskim Instytutem Innowacji i Technologii i z Instytutem Unii Europejskiej Studiów nad Bezpieczeństwem.

(53)

W toku przygotowywania europejskich programów certyfikacji cyberbezpieczeństwa ENISA powinna przeprowadzać regularne konsultacje z organizacjami normalizacyjnymi, w szczególności z europejskimi organizacjami normalizacyjnymi.

(54)

Cyberzagrożenia mają charakter globalny. Istnieje potrzeba zacieśnienia współpracy międzynarodowej w celu poprawy norm cyberbezpieczeństwa, w tym potrzeba zdefiniowania wspólnych norm zachowania, przyjęcia kodeksu postępowania, stosowania norm międzynarodowych i wymiany informacji, w celu propagowania sprawniejszej współpracy międzynarodowej w odpowiedzi na kwestie bezpieczeństwa sieci i informacji oraz propagowania wspólnego globalnego podejścia do tych kwestii. W tym celu ENISA powinna wspierać dalsze zaangażowanie Unii oraz współpracę z państwami trzecimi i organizacjami międzynarodowymi, udostępniając, w stosownych przypadkach, właściwym instytucjom, organom i jednostkom organizacyjnym Unii niezbędną wiedzę fachową i analizy.

(55)

ENISA powinna być w stanie odpowiadać na wnioski ad hoc o doradztwo i pomoc ze strony państw członkowskich oraz instytucji, organów i jednostek organizacyjnych Unii w kwestiach wchodzących w zakres mandatu ENISA.

(56)

Uznaje się za rozsądne i zalecane, by wdrożyć określone zasady dotyczące zarządzania ENISA, aby spełnić wymogi Wspólnego oświadczenia i Wspólnego podejścia, które zostały uzgodnione w ramach międzyinstytucjonalnej grupy roboczej ds. agencji zdecentralizowanych UE w lipcu 2012 r., a których celem jest usprawnienie działań agencji zdecentralizowanych i zwiększenie ich skuteczności. Zalecenia zawarte we Wspólnym oświadczeniu i Wspólnym podejściu powinny zostać również uwzględnione, odpowiednio, w programach prac ENISA, ocenach ENISA, a także w sprawozdawczości prowadzonej przez ENISA i jej praktyce administracyjnej.

(57)

Zarząd składający się z przedstawicieli państw członkowskich i Komisji powinien ustalić ogólny kierunek działalności ENISA oraz zapewniać, aby wykonywała ona swoje zadania zgodnie z niniejszym rozporządzeniem. Zarząd powinien posiadać uprawnienia niezbędne do uchwalania budżetu, kontroli wykonania budżetu, przyjmowania stosownych przepisów finansowych, ustalania przejrzystych procedur pracy w zakresie podejmowania decyzji przez ENISA, przyjmowania jednolitego dokumentu programowego ENISA, uchwalania jej regulaminu wewnętrznego, powoływania Dyrektora Wykonawczego oraz podejmowania decyzji o przedłużeniu kadencji Dyrektora Wykonawczego lub jej zakończeniu.

(58)

Aby ENISA mogła prawidłowo i skutecznie funkcjonować, Komisja i państwa członkowskie powinny zapewnić, aby osoby powoływane na członków Zarządu posiadały odpowiednią zawodową wiedzę fachową i doświadczenie. Komisja i państwa członkowskie powinny również dołożyć starań, aby ograniczyć rotację swoich przedstawicieli w Zarządzie, tak aby zapewnić ciągłość jego pracy.

(59)

Sprawne funkcjonowanie ENISA wymaga, aby Dyrektor Wykonawczy był powoływany w oparciu o względy merytoryczne oraz udokumentowane umiejętności administracyjne i zarządcze, a także kompetencje i doświadczenie w zakresie cyberbezpieczeństwa. Obowiązki Dyrektora Wykonawczego powinny być wykonywane w sposób całkowicie niezależny. Dyrektor Wykonawczy powinien opracowywać propozycję rocznego programu prac ENISA, po uprzednim zasięgnięciu opinii Komisji, oraz powinien podejmować wszelkie czynności niezbędne do zapewnienia prawidłowego wykonania tego programu prac. Dyrektor Wykonawczy powinien przygotowywać przedkładane Zarządowi sprawozdanie roczne, obejmujące informacje na temat wykonania rocznego programu prac ENISA, sporządzać projekt preliminarza dochodów i wydatków ENISA oraz wykonywać budżet. Dyrektor Wykonawczy powinien mieć ponadto możliwość ustanawiania grup roboczych ad hoc w celu zajęcia się określonymi kwestiami, w szczególności kwestiami o charakterze naukowym, technicznym, prawnym lub społeczno-gospodarczym. Ustanowienie grupy roboczej ad hoc uznaje się za niezbędne zwłaszcza w przypadku przygotowań dotyczących konkretnej propozycji dotyczącej europejskiego programu certyfikacji cyberbezpieczeństwa (zwanej dalej „propozycją programu”). Dyrektor Wykonawczy powinien zapewnić, aby członkowie grup roboczych ad hoc byli wybierani według najbardziej rygorystycznych kryteriów dotyczących wiedzy fachowej mając na celu zapewnienie równowagi płci i zrównoważonej reprezentacji – w zależności od specyfiki rozpatrywanych kwestii – przedstawicieli administracji publicznej państw członkowskich, instytucji, organów i jednostek organizacyjnych Unii oraz sektora prywatnego, w tym przemysłu, użytkowników oraz ekspertów akademickich w dziedzinie bezpieczeństwa sieci i informacji.

(60)

Rada Wykonawcza powinna przyczyniać się do skutecznego funkcjonowania Zarządu. W ramach swoich prac przygotowawczych dotyczących decyzji Zarządu Rada Wykonawcza powinna szczegółowo badać odpowiednie informacje, analizować dostępne warianty oraz oferować doradztwo i rozwiązania w celu przygotowania decyzji Zarządu.

(61)

ENISA powinna posiadać organ doradczy w postaci Grupy Doradczej ENISA w celu zapewnienia ciągłego dialogu z sektorem prywatnym, organizacjami konsumenckimi i innymi odpowiednimi interesariuszami. Grupa Doradcza ENISA, ustanowiona przez Zarząd na wniosek Dyrektora Wykonawczego, powinna skupiać się na kwestiach istotnych dla interesariuszy i powinna zwracać na nie uwagę ENISA. Grupa Doradcza ENISA powinna być konsultowana zwłaszcza w odniesieniu do projektu rocznego programu prac ENISA. Skład Grupy Doradczej ENISA oraz powierzone jej zadania powinny zapewniać wystarczającą reprezentację interesariuszy w pracach ENISA.

(62)

W celu wsparcia ENISA i Komisji w ułatwianiu konsultacji z odpowiednimi interesariuszami należy ustanowić Grupę Interesariuszy ds. Certyfikacji Cyberbezpieczeństwa. Grupa Interesariuszy ds. Certyfikacji Cyberbezpieczeństwa powinna składać się z członków reprezentujących w zrównoważony sposób przemysł, zarówno po stronie popytu, jak i podaży produktów ICT i usług ICT, w tym szczególnie przedstawicieli MŚP, dostawców usług cyfrowych, europejskich i międzynarodowych organów normalizacyjnych, krajowych jednostek akredytujących, organów nadzorczych ds. ochrony danych i jednostek oceniających zgodność zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 765/2008 (16) oraz przedstawicieli środowiska akademickiego, a także organizacji konsumenckich.

(63)

ENISA powinna posiadać przepisy dotyczące zapobiegania konfliktom interesów i zarządzania nimi. ENISA powinna również stosować odpowiednie przepisy unijne dotyczące publicznego dostępu do dokumentów zawarte w rozporządzeniu (WE) nr 1049/2001 Parlamentu Europejskiego i Rady (17). Przetwarzanie danych osobowych przez ENISA powinno podlegać rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2018/1725 (18). ENISA powinna przestrzegać przepisów mających zastosowanie do instytucji, organów i jednostek organizacyjnych Unii oraz przepisów krajowych dotyczących postępowania z informacjami, zwłaszcza ze szczególnie chronionymi informacjami jawnymi i informacjami niejawnymi Unii Europejskiej (EUCI).

(64)

W celu zagwarantowania pełnej autonomii i niezależności ENISA oraz umożliwienia jej wykonywania dodatkowych zadań, w tym również nieprzewidzianych zadań w sytuacjach nadzwyczajnych, należy przyznać ENISA wystarczający i niezależny budżet, którego dochody pochodziłyby przede wszystkim z wkładu Unii oraz z wkładów państw trzecich uczestniczących w pracach ENISA. Właściwy budżet ma zasadnicze znaczenie dla zapewnienia ENISA wystarczających zdolności do realizacji swoich wszystkich coraz liczniejszych zadań i do osiągnięcia swoich celów. Większość personelu ENISA powinna pracować bezpośrednio przy operacyjnym wykonywaniu mandatu ENISA. Przyjmujące państwo członkowskie oraz każde inne państwo członkowskie powinno mieć możliwość dobrowolnego wnoszenia wkładu na rzecz budżetu ENISA. Procedura budżetowa Unii powinna nadal mieć zastosowanie do wszelkich dotacji pochodzących z budżetu ogólnego Unii. Ponadto Trybunał Obrachunkowy powinien przeprowadzać kontrolę sprawozdań finansowych ENISA w celu zapewnienia przejrzystości i odpowiedzialności.

(65)

Certyfikacja cyberbezpieczeństwa odgrywa ważną rolę, jeżeli chodzi o zwiększanie zaufania do produktów ICT, usług ICT i procesów ICT oraz ich bezpieczeństwa. Jednolity rynek cyfrowy, a w szczególności gospodarka oparta na danych i internet rzeczy, mogą się prawidłowo rozwijać jedynie w atmosferze ogólnego publicznego zaufania, że takie produkty, usługi i procesy zapewniają konkretny poziom cyberbezpieczeństwa. Połączone z siecią i zautomatyzowane pojazdy, elektroniczne wyroby medyczne, systemy sterowania automatyki przemysłowej oraz inteligentne sieci stanowią tylko niektóre przykłady sektorów, w których certyfikacja jest już szeroko stosowana lub najprawdopodobniej będzie stosowana w najbliższej przyszłości. Sektory regulowane dyrektywą (UE) 2016/1148 są również sektorami, w których certyfikacja cyberbezpieczeństwa ma decydujące znaczenie.

(66)

W komunikacie z roku 2016 „Wzmacnianie europejskiego systemu odporności cybernetycznej oraz wspieranie konkurencyjnego i innowacyjnego sektora bezpieczeństwa cybernetycznego” Komisja przedstawiła potrzebę wysokojakościowych, dostępnych cenowo i interoperacyjnych produktów i rozwiązań w dziedzinie cyberbezpieczeństwa. Podaż produktów ICT, usług ICT i procesów ICT na jednolitym rynku nadal charakteryzuje się dużym rozdrobnieniem pod względem geograficznym. Jest to spowodowane tym, że branża cyberbezpieczeństwa w Europie rozwijała się głównie w oparciu o krajowe zamówienia rządowe. Do luk mających wpływ na jednolity rynek w dziedzinie cyberbezpieczeństwa należy ponadto między innymi brak interoperacyjnych rozwiązań (norm technicznych), praktyk i ogólnounijnych mechanizmów certyfikacji. Sprawia to, że przedsiębiorstwa europejskie mają trudności w konkurowaniu na poziomie krajowym, unijnym i globalnym. Sytuacja ta ogranicza również wybór opłacalnych i nadających się do użytku technologii z dziedziny cyberbezpieczeństwa, do których mają dostęp jednostki i przedsiębiorstwa. Podobnie w komunikacie z roku 2017 w sprawie śródokresowego przeglądu realizacji strategii jednolitego rynku cyfrowego „Połączony jednolity rynek cyfrowy dla wszystkich” Komisja podkreśliła zapotrzebowanie na bezpieczne podłączone do sieci produkty i systemy oraz wskazała, że ustanowienie europejskich ram bezpieczeństwa ICT określających zasady certyfikacji bezpieczeństwa ICT w Unii mogłoby zarówno podtrzymać zaufanie do internetu, jak i przeciwdziałać obecnemu rozdrobnieniu rynku wewnętrznego.

(67)

Obecnie certyfikacja cyberbezpieczeństwa produktów ICT, usług ICT i procesów ICT jest stosowana jedynie w ograniczonym stopniu. Tam, gdzie się ją stosuje, istnieje ona głównie na poziomie państw członkowskich lub w ramach programów inicjowanych przez przemysł. W związku z powyższym certyfikat wydany przez dany krajowy organ ds. certyfikacji cyberbezpieczeństwa nie jest zasadniczo uznawany w innych państwach członkowskich. Przedsiębiorstwa muszą zatem certyfikować swoje produkty ICT, usługi ICT i procesy ICT w poszczególnych państwach członkowskich, w których działają, na przykład z myślą o uczestniczeniu w krajowych postępowaniach o udzielenie zamówień publicznych, co tym samym powoduje zwiększenie kosztów dla tych przedsiębiorstw. Ponadto w sytuacji gdy powstają nowe programy, najwyraźniej brak jest spójnego i całościowego podejścia do horyzontalnych kwestii cyberbezpieczeństwa, na przykład w dziedzinie internetu rzeczy. Istniejące programy mają istotne niedociągnięcia i różnią się pod względem zakresu objętych nimi produktów, poziomów uzasadnienia zaufania, kryteriów merytorycznych i faktycznego stosowania, utrudniając działanie mechanizmów wzajemnego uznawania w Unii.

(68)

Poczyniono pewne starania w celu zapewnienia wzajemnego uznawania certyfikatów w Unii. Działania te były jednak tylko częściowo skuteczne. Najważniejszym przykładem w tym zakresie jest Umowa o wzajemnym uznawaniu przyjęta przez Grupę Wyższych Urzędników ds. Bezpieczeństwa Systemów Informatycznych (SOG-IS). Mimo że stanowi ona najważniejszy wzór współpracy i wzajemnego uznawania w dziedzinie certyfikacji bezpieczeństwa, do SOG-IS należą jedynie niektóre państwa członkowskie. Ogranicza to skuteczność przyjętej przez SOG-IS umowy o wzajemnym uznawaniu z punktu widzenia rynku wewnętrznego.

(69)

Konieczne jest zatem przyjęcie wspólnego podejścia i ustanowienie europejskich ram certyfikacji cyberbezpieczeństwa, określających główne wymogi horyzontalne dotyczące europejskich programów certyfikacji cyberbezpieczeństwa, które mają zostać opracowane, oraz umożliwiających uznawanie i posługiwanie się we wszystkich państwach członkowskich europejskimi certyfikatami cyberbezpieczeństwa i unijnymi deklaracjami zgodności odnoszącymi się do produktów ICT, usług ICT lub procesów ICT. Należy przy tym wykorzystać istniejące programy krajowe i międzynarodowe, a także systemy wzajemnego uznawania, w szczególności SOG-IS, oraz umożliwić płynne przejście od programów istniejących w obecnych ramach do programów podlegających nowym europejskim ramom certyfikacji cyberbezpieczeństwa. Te europejskie ramy certyfikacji cyberbezpieczeństwa powinny mieć dwojaki cel. Po pierwsze powinny one pomóc w zwiększeniu zaufania do produktów ICT, usług ICT i procesów ICT, które uzyskały certyfikację na podstawie europejskich programów certyfikacji cyberbezpieczeństwa. Po drugie powinny one pomagać uniknąć mnożenia się sprzecznych lub nakładających się wzajemnie krajowych programów certyfikacji cyberbezpieczeństwa i ograniczać dzięki temu koszty ponoszone przez przedsiębiorstwa działające na jednolitym rynku cyfrowym. Europejskie programy certyfikacji cyberbezpieczeństwa powinny mieć charakter niedyskryminujący i opierać się na normach europejskich lub międzynarodowych, o ile normy te nie są nieskuteczne lub nieodpowiednie do realizacji uzasadnionych celów Unii w tym zakresie.

(70)

Europejskie ramy certyfikacji cyberbezpieczeństwa należy ustanowić w sposób ujednolicony we wszystkich państwach członkowskich, aby zapobiec praktykom poszukiwania krajów, w których najłatwiej uzyskać certyfikat, z uwagi na różnice w poziomach wymagań w różnych państwach członkowskich.

(71)

Europejskie programy certyfikacji cyberbezpieczeństwa powinny opierać się o istniejące już na poziomie międzynarodowym i krajowym elementy oraz, w razie potrzeby, na specyfikacjach technicznych tworzonych przez fora i konsorcja, z uwzględnieniem wniosków w zakresie istniejących mocnych stron oraz oceniając i korygując słabości.

(72)

Elastyczne rozwiązania w zakresie cyberbezpieczeństwa są konieczne, aby przemysł był w stanie przewidywać cyberzagrożenia, dlatego też każdy program certyfikacji powinien być tworzony w taki sposób, aby unikać ryzyka jego szybkiej dezaktualizacji.

(73)

Komisja powinna być uprawniona do przyjmowania europejskich programów certyfikacji cyberbezpieczeństwa dla określonych grup produktów ICT, usług ICT i procesów ICT. Programy te powinny być wprowadzane i nadzorowane przez krajowe organy ds. certyfikacji cyberbezpieczeństwa, a certyfikaty wydawane w ramach tych programów powinny być ważne i uznawane w całej Unii. Programy certyfikacji prowadzone przez przemysł lub inne organizacje prywatne nie powinny być objęte zakresem stosowania niniejszego rozporządzenia. Organy zarządzające takimi programami powinny jednak mieć możliwość wystąpienia do Komisji z wnioskiem o rozważenie zatwierdzenie takich programów jako europejskiego programu certyfikacji cyberbezpieczeństwa.

(74)

Przepisy niniejszego rozporządzenia powinny pozostawać bez uszczerbku dla prawa Unii ustanawiającego szczegółowe zasady certyfikacji produktów ICT, usług ICT i procesów ICT. W szczególności w rozporządzeniu (UE) 2016/679 wprowadzono przepisy dotyczące ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych mających świadczyć o zgodności operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające z tym rozporządzeniem. Takie mechanizmy certyfikacji oraz znaki jakości i oznaczenia w zakresie ochrony danych powinny umożliwiać osobom, których dane dotyczą, szybką ocenę poziomu ochrony danych zapewnianego przez odnośne produkty ICT, usługi ICT i procesy ICT. Niniejsze rozporządzenie pozostaje bez uszczerbku dla certyfikacji operacji przetwarzania danych zgodnie z rozporządzeniem (UE) 2016/679, także wówczas, gdy takie operacje są elementami produktów ICT, usług ICT i procesów ICT.

(75)

Celem europejskich programów certyfikacji cyberbezpieczeństwa powinno być zapewnienie, by produkty ICT, usługi ICT i procesy ICT certyfikowane zgodnie z takimi programami spełniały określone wymogi w celu ochrony dostępności, autentyczności, integralności i poufności przechowywanych, przekazywanych lub przetwarzanych danych lub powiązanych funkcji bądź usług oferowanych lub dostępnych za pośrednictwem tych produktów, usług i procesów w trakcie ich całego cyklu życia. Nie jest możliwe szczegółowe określenie wymogów cyberbezpieczeństwa odnoszących się do wszystkich produktów ICT, usług ICT i procesów ICT w niniejszym rozporządzeniu. Produkty ICT, usługi ICT i procesy ICT oraz potrzeby w zakresie cyberbezpieczeństwa powiązane z tymi produktami, usługami i procesami są tak zróżnicowane, że opracowanie ogólnych wymogów cyberbezpieczeństwa obowiązujących dla wszystkich przypadków jest bardzo trudne. Konieczne jest zatem przyjęcie szerokiego i ogólnego pojęcia cyberbezpieczeństwa do celów certyfikacji, który powinien zostać uzupełniony zestawem szczegółowych celów cyberbezpieczeństwa, uwzględnianych przy projektowaniu europejskich programów certyfikacji cyberbezpieczeństwa. Metody osiągania tych celów w przypadku określonych produktów ICT, usług ICT i procesów ICT należy następnie doprecyzować na poziomie poszczególnych programów certyfikacji przyjmowanych przez Komisję, na przykład poprzez odesłanie do norm lub specyfikacji technicznych, w przypadku gdy nie istnieją odpowiednie normy.

(76)

Specyfikacje techniczne wykorzystywane w europejskich programach certyfikacji cyberbezpieczeństwa powinny respektować wymogi ustanowione w załączniku II do rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1025/2012 (19). W należycie uzasadnionych przypadkach pewne odstępstwa od tych wymogów mogą jednak zostać uznane za konieczne, w przypadku gdy te specyfikacje techniczne mają zostać wykorzystane w europejskim programie certyfikacji cyberbezpieczeństwa o poziomie uzasadnienia zaufania „wysoki”. Uzasadnienie takich odstępstw powinno być podane od wiadomości publicznej.

(77)

Ocena zgodności to procedura, w której ocenia się, czy zostały spełnione konkretne wymogi dotyczące produktu ICT, usługi ICT lub procesu ICT. Procedurę tę przeprowadza niezależna strona trzecia, która nie jest wytwórcą ani dostawcą poddawanych ocenie produktów ICT, usług ICT lub procesów ICT. Europejski certyfikat cyberbezpieczeństwa powinien być wydany po tym, jak produkt ICT, usługa ICT lub proces ICT przejdzie pomyślną ocenę. Europejski certyfikat cyberbezpieczeństwa należy uznać za potwierdzenie, że dana ocena została przeprowadzona prawidłowo. W zależności od poziomu uzasadnienia zaufania europejski program certyfikacji cyberbezpieczeństwa powinien określać, czy europejski certyfikat cyberbezpieczeństwa wydaje podmiot prywatny czy publiczny. Ocena zgodności i certyfikacja same w sobie nie stanowią gwarancji cyberbezpieczeństwa certyfikowanych produkty ICT, usług ICT i procesów ICT. Stanowią one raczej procedury i metodykę techniczną w celu potwierdzenia, że produkty ICT, usługi ICT i procesy ICT zostały przetestowane i że spełniają one określone wymogi cyberbezpieczeństwa ustanowione gdzie indziej, na przykład w normach technicznych.

(78)

Dokonywany przez użytkowników europejskich certyfikatów cyberbezpieczeństwa wybór odpowiedniej certyfikacji i powiązanych wymogów bezpieczeństwa powinien być oparty na analizie ryzyk związanych ze stosowaniem danego produktu ICT, usługi ICT lub procesu ICT. Poziom uzasadnienia zaufania powinien zatem być proporcjonalny do poziomu ryzyka związanego z przewidzianym stosowaniem produktu ICT, usługi ICT lub procesu ICT.

(79)

Europejskie programy certyfikacji cyberbezpieczeństwa mogą przewidywać, że ocenę zgodności przeprowadza się na wyłączną odpowiedzialność wytwórcy lub dostawcy produktów ICT, usług ICT lub procesów ICT (zwaną dalej „oceną zgodności przez stronę pierwszą”). W takich przypadkach powinno wystarczyć, by wytwórca lub dostawca produktów ICT, usług ICT lub procesów ICT przeprowadził we własnym zakresie wszystkie kontrole w celu zapewnienia że produkty ICT, usługi ICT lub procesy ICT są zgodne z europejskim programem certyfikacji cyberbezpieczeństwa. Ocena zgodności przez stronę pierwszą powinna być uznawana za odpowiednią dla produktów ICT, usług ICT lub procesów ICT o niewielkiej złożoności, które stwarzają niewielkie ryzyko dla użytkowników, jak np. proste projekty i mechanizmy produkcji. Ponadto ocena zgodności przez stronę pierwszą powinna być dozwolona w odniesieniu do produktów ICT, usług ICT lub procesów ICT, wyłącznie w przypadku gdy odpowiadają one poziomowi uzasadnienia zaufania „podstawowy”.

(80)

Europejskie programy certyfikacji cyberbezpieczeństwa mogłyby zezwalać zarówno na ocenę zgodności przez stronę pierwszą, jak i certyfikację produktów ICT, usług ICT lub procesów ICT. W takim przypadku program powinien przewidywać jasne i zrozumiałe dla konsumentów lub innych użytkowników środki rozróżniania pomiędzy produktami ICT, usługami ICT lub procesami ICT, w odniesieniu do których wytwórca lub dostawca produktów ICT, usług ICT lub procesów ICT ponosi odpowiedzialność za ocenę, a produktami ICT, usługami ICT lub procesami ICT, które certyfikuje strona trzecia.

(81)

Wytwórca lub dostawca produktów ICT, usług ICT lub procesów ICT, który przeprowadza ocenę zgodności przez stronę pierwszą powinien móc wydać i podpisać unijną deklarację zgodności jako element procedury oceny zgodności. Unijna deklaracja zgodności to dokument, w którym stwierdza się, że określony produkt ICT, usługa ICT lub proces ICT są zgodne z wymogami europejskiego programu certyfikacji cyberbezpieczeństwa. Wydając i podpisując unijną deklarację zgodności, wytwórca lub dostawca produktów ICT, usług ICT lub procesów ICT przyjmują odpowiedzialność za zgodność produktu ICT, usługi ICT lub procesu ICT z prawnymi wymogami europejskiego programu certyfikacji cyberbezpieczeństwa. Kopia unijnej deklaracji zgodności powinna być przedkładana krajowemu organowi ds. certyfikacji cyberbezpieczeństwa i ENISA.

(82)

Wytwórcy lub dostawcy produktów ICT, usług ICT lub procesów ICT powinni – przez okres przewidziany w odpowiednim europejskim programie certyfikacji cyberbezpieczeństwa – udostępniać właściwemu krajowemu organowi ds. certyfikacji cyberbezpieczeństwa unijną deklarację zgodności, dokumentację techniczną oraz wszelkie inne istotne informacje związane ze zgodnością produktów ICT, usług ICT lub procesów ICT z europejskim programem certyfikacji cyberbezpieczeństwa. Dokumentacja techniczna powinna określać wymogi mające zastosowanie w ramach programu i powinna ona obejmować – w stopniu, w jakim ma to znaczenie dla oceny zgodności przez stronę pierwszą – projekt, wytwarzanie i działanie produktu ICT, usługi ICT lub procesu ICT. Dokumentacja techniczna powinna być opracowana tak, by umożliwiała ocenę tego, czy produkt ICT lub usługa ICT są zgodne z wymogami mającymi zastosowanie w ramach tego programu.

(83)

W zarządzaniu europejskimi ramami certyfikacji cyberbezpieczeństwa uwzględnia się udział państw członkowskich, a także odpowiedni udział interesariuszy oraz określa się rolę Komisji w trakcie planowania, proponowania, przedkładania wniosków, przygotowywania, przyjmowania i przeglądu europejskich programów certyfikacji cyberbezpieczeństwa.

(84)

Komisja powinna przygotować – przy wsparciu Europejskiej Grupy ds. Certyfikacji Cyberbezpieczeństwa (ECCG) i Grupy Interesariuszy ds. Certyfikacji Cyberbezpieczeństwa i po przeprowadzeniu otwartych i szeroko zakrojonych konsultacji – unijny kroczący program prac na rzecz europejskich programów certyfikacji cyberbezpieczeństwa i powinna opublikować go w formie niewiążącego instrumentu. Unijny kroczący program prac powinien być dokumentem strategicznym pozwalającym przemysłowi, organom krajowym i organom normalizacyjnym na, w szczególności, przygotowanie się z wyprzedzeniem do przyszłych europejskich programów certyfikacji cyberbezpieczeństwa. Unijny kroczący program prac powinien zawierać wieloletnie zestawienie wniosków dotyczących propozycji programów, które Komisja zamierza przedłożyć ENISA w celu przygotowania na podstawie określonych przesłanek. Komisja powinna uwzględnić ten unijny kroczący program prac, przygotowując swój kroczący plan działań na rzecz normalizacji ICT oraz wnioski dotyczące normalizacji kierowane do europejskich organizacji normalizacyjnych. Z uwagi na szybkie wprowadzanie i rozpowszechnianie nowych technologii, pojawianie się nieznanych wcześniej ryzyk w cyberprzestrzeni oraz zmiany w otoczeniu prawnym lub rynkowym Komisja lub ECCG powinny być uprawnione do zwracania się do ENISA o przygotowanie propozycji programów, które nie zostały ujęte w unijnym kroczącym programie prac. W takich przypadkach Komisja i ECCG powinny również ocenić konieczność takiego wniosku, uwzględniając ogólne cele niniejszego rozporządzenia i potrzebę zapewnienia ciągłość w zakresie planów ENISA i wykorzystania zasobów.

Po otrzymaniu takiego wniosku ENISA powinna przygotowywać, bez zbędnej zwłoki, propozycję programu dla określonych produktów ICT, usług ICT lub procesów ICT. Komisja powinna ocenić pozytywne i negatywne skutki swojego wniosku dla danego rynku, szczególnie skutki dla MŚP, dla innowacji, dla barier wejścia na ten rynek i dla kosztów dla użytkowników końcowych. Komisja, w oparciu o propozycję programu przygotowaną przez ENISA, powinna być uprawniona do przyjęcia w drodze aktów wykonawczych europejskiego programu certyfikacji cyberbezpieczeństwa. Ze względu na cel ogólny oraz cele bezpieczeństwa określone w niniejszym rozporządzeniu europejskie programy certyfikacji cyberbezpieczeństwa przyjęte przez Komisję powinny zawierać minimalny zbiór elementów dotyczących przedmiotu, zakresu i funkcjonowania poszczególnych programów. Elementy te to, między innymi, zakres i przedmiot certyfikacji cyberbezpieczeństwa, w tym kategorie objętych nią produktów ICT, usług ICT i procesów ICT, dokładne wyszczególnienie wymogów cyberbezpieczeństwa, na przykład poprzez odesłanie do norm lub specyfikacji technicznych, szczegółowe kryteria oceny i metody oceny, jak również docelowy poziom uzasadnienia zaufania („podstawowy”, „istotny” lub „wysoki”), a w stosownych przypadkach poziomy oceny. ENISA powinna móc odrzucić wniosek złożony przez ECCG. Takie decyzje powinien podejmować Zarząd; powinny one być należycie uzasadnione.

(85)

ENISA powinna prowadzić stronę internetową zawierającą informacje na temat europejskich programów certyfikacji cyberbezpieczeństwa i popularyzującą te programy, która powinna między innymi zawierać wnioski o przygotowanie propozycji programu oraz informacje zwrotne otrzymane w wyniku konsultacji przeprowadzonych przez ENISA w fazie przygotowawczej. Strona ta powinna również zawierać informacje na temat europejskich certyfikatów cyberbezpieczeństwa i unijnych deklaracji zgodności wydanych na mocy niniejszego rozporządzenia, w tym informacje dotyczące cofnięcia i wygaśnięcia takich europejskich certyfikatów cyberbezpieczeństwa i unijnych deklaracji zgodności. Strona internetowa powinna również podawać informacje o krajowych programach certyfikacji cyberbezpieczeństwa, które zostały zastąpione europejskim programem certyfikacji cyberbezpieczeństwa.

(86)

Poziom uzasadnienia zaufania europejskiego programu certyfikacji stanowi podstawę dla pewności, że produkt ICT, usługa ICT lub proces ICT spełniają wymogi bezpieczeństwa danego europejskiego programu certyfikacji cyberbezpieczeństwa. By zapewnić spójność europejskich ram certyfikacji cyberbezpieczeństwa, poszczególne europejskie programy certyfikacji cyberbezpieczeństwa powinny móc wskazywać poziomy uzasadnienia zaufania dla wydawanych na ich podstawie europejskich certyfikatów cyberbezpieczeństwa i unijnych deklaracji zgodności. Każdy europejski certyfikat cyberbezpieczeństwa mógłby wskazywać jeden z poziomów uzasadnienia zaufania: „podstawowy”, „istotny” lub „wysoki”, natomiast unijne deklaracje zgodności mogłoby jedynie wskazywać poziom uzasadnienia zaufania „podstawowy”. Poziomy uzasadnienia zaufania zapewniałyby odpowiadającą im rygorystyczność i wnikliwość oceny produktu ICT, usługi ICT lub procesu ICT oraz byłyby określane przez odesłanie do powiązanych z nimi specyfikacji technicznych, norm i procedur, w tym kontroli technicznych, których celem jest zapobieganie incydentom lub łagodzenie ich skutków. Poszczególne poziomy uzasadnienia zaufania powinny być jednolite w różnych sektorach, w których stosuje się certyfikację.

(87)

Europejski program certyfikacji cyberbezpieczeństwa może przewidywać kilka poziomów oceny w zależności od tego, jak rygorystyczna i wnikliwa jest zastosowana metodyka oceny. Poziomy oceny powinny odpowiadać poziomom uzasadnienia zaufania i być powiązane z odpowiednim zestawem komponentów uzasadnienia zaufania. Dla wszystkich poziomów uzasadnienia zaufania, produkt ICT, usługa ICT lub proces ICT powinny zawierać określone funkcje zabezpieczeń określone przez dany program, które mogą obejmować: ustawienia fabryczne w konfiguracji bezpieczeństwa, podpisany kod, mechanizmy bezpiecznej aktualizacji i chroniące przed programami wykorzystującymi błędy w oprogramowaniu (exploit), pełna ochrona pamięci stosu (stack) lub sterty (heap). Funkcje te powinny zostać zaprogramowane i być utrzymywane przy wykorzystaniu metod rozwoju zorientowanych na bezpieczeństwo i odpowiednich narzędzi w celu zapewnienia, aby skuteczne mechanizmy w odniesieniu do oprogramowania, jak i sprzętu zostały wdrożone w sposób niezawodny.

(88)

W przypadku poziomu uzasadnienia zaufania „podstawowy” ocena powinna być dokonywana na podstawie przynajmniej następujących komponentów uzasadnienia zaufania: ocena powinna obejmować przynajmniej przegląd dokumentacji technicznej produktu ICT, usługi ICT lub procesu ICT, przeprowadzany przez jednostkę oceniającą zgodność. W przypadku gdy certyfikacja obejmuje procesy ICT, przeglądowi technicznemu powinny również podlegać procesy wykorzystywane na etapie projektowania, tworzenia i utrzymania produktu ICT lub usługi ICT. Jeśli europejski program certyfikacji cyberbezpieczeństwa przewiduje ocenę zgodności przez stronę pierwszą, wystarczy, że wytwórca lub dostawca produktu ICT, usługi ICT lub procesu ICT przeprowadzili ocenę zgodności przez stronę pierwszą dotyczącą zgodności produktu ICT, usługi ICT lub procesu ICT z danym programem certyfikacji.

(89)

W przypadku poziomu uzasadnienia zaufania „istotny” ocena – oprócz wymogów dotyczących poziomu uzasadnienia zaufania „podstawowy” – powinna obejmować przynajmniej weryfikację zgodności funkcjonalności bezpieczeństwa produktu ICT, usługi ICT lub procesu ICT z ich dokumentacją techniczną.

(90)

W przypadku poziomu uzasadnienia zaufania „wysoki” ocena – oprócz wymogów dotyczących poziomu uzasadnienia zaufania „istotny” – powinna obejmować przynajmniej testy skuteczności, w których ocenia się odporność funkcjonalności bezpieczeństwa produktu ICT, usługi ICT lub procesu ICT na zaawansowane cyberataki dokonywane przez osoby o wysokich umiejętnościach i dysponujące znacznymi zasobami.

(91)

Korzystanie z europejskiej certyfikacji cyberbezpieczeństwa i unijnych deklaracji zgodności powinno pozostać dobrowolne, chyba że prawo Unii lub prawo państwa członkowskiego przyjęte zgodnie z prawem Unii stanowią inaczej. W przypadku braku zharmonizowanego prawa Unii państwa członkowskie mogą zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2015/1535 (20) przyjąć krajowe przepisy techniczne przewidujące obowiązkową certyfikację w ramach europejskiego programu certyfikacji cyberbezpieczeństwa. Państwa członkowskie korzystają również z europejskiej certyfikacji cyberbezpieczeństwa w kontekście zamówień publicznych oraz dyrektywy Dyrektywa Parlamentu Europejskiego i Rady 2014/24/UE (21).

(92)

W niektórych obszarach, by zwiększyć poziom cyberbezpieczeństwa w Unii, może być w przyszłości konieczne – w odniesieniu do określonych produktów ICT, usług ICT procesów ICT– nałożenie określonych wymogów cyberbezpieczeństwa i uczynienie ich certyfikacji obowiązkową. Komisja powinna monitorować na bieżąco wpływ przyjętych europejskich programów certyfikacji cyberbezpieczeństwa na dostępność bezpiecznych produktów ICT, usług ICT lub procesów ICT na rynku wewnętrznym oraz powinna na bieżąco oceniać skalę wykorzystania programów certyfikacji przez wytwórców lub dostawców produktów ICT, usług ICT lub procesów ICT w Unii. Skuteczność europejskich programów certyfikacji cyberbezpieczeństwa i decyzja o uczynieniu określonych programów obowiązkowymi powinny być rozważane w świetle przepisów Unii dotyczących cyberbezpieczeństwa, w szczególności dyrektywy (UE) 2016/1148, z uwzględnieniem bezpieczeństwa sieci i systemów informacyjnych wykorzystywanych przez operatorów usług kluczowych.

(93)

Europejskie certyfikaty cyberbezpieczeństwa i unijne deklaracje zgodności powinny pomóc użytkownikom końcowym w dokonywaniu świadomego wyboru. Dlatego też produktom ICT, usługom ICT i procesom ICT, które uzyskały certyfikację lub w przypadku których wydana została unijne deklaracja zgodności, powinny towarzyszyć ustrukturyzowane informacje dostosowane do zakładanego poziomu wiedzy technicznej przewidywanych użytkowników końcowych. Wszystkie takie informacje powinny być dostępne on-line, a w stosownych przypadkach – w postaci fizycznej. Użytkownik końcowy powinien mieć dostęp do informacji dotyczących numeru referencyjnego programu certyfikacji, poziomu uzasadnienia zaufania, opisu ryzyk w cyberprzestrzeni powiązanych z produktem ICT, usługą ICT lub procesem ICT oraz organu lub podmiotu wydającego lub powinien mieć możliwość uzyskania kopii europejskiego certyfikatu cyberbezpieczeństwa. Ponadto użytkownik końcowy powinien zostać poinformowany o polityce wytwórcy lub dostawcy produktów ICT, usług ICT lub procesów ICT dotyczącej zapewniania wsparcia z zakresu cyberbezpieczeństwa, a mianowicie o tym, jak długo użytkownik końcowy może liczyć na otrzymywanie aktualizacji lub łat w zakresie cyberbezpieczeństwa. W stosownych przypadkach należy zapewnić: porady w zakresie działań lub ustawień, które użytkownik końcowy może zastosować, by utrzymać lub zwiększyć poziom cyberbezpieczeństwa produktu ICT lub usługi ICT oraz dane kontaktowe pojedynczego punktu kontaktowego, do którego można zgłaszać przypadki cyberataków i otrzymywać od niego wsparcie (oprócz automatycznego zgłaszania). Informacje te powinny być regularnie aktualizowane i udostępnione na stronie internetowej zawierającej informacje na temat europejskich programów certyfikacji cyberbezpieczeństwa.

(94)

Z myślą o osiągnięciu celów niniejszego rozporządzenia i uniknięciu rozdrobnienia rynku wewnętrznego krajowe programy lub procedury certyfikacji cyberbezpieczeństwa dotyczące produktów ICT, usług ICT lub procesów ICT objętych europejskim programem certyfikacji cyberbezpieczeństwa powinny utracić skuteczność z dniem ustalonym przez Komisję w drodze aktów wykonawczych. Państwa członkowskie nie powinny ponadto wprowadzać nowych krajowych programów certyfikacji cyberbezpieczeństwa dotyczących produktów ICT, usług ICT lub procesów ICT objętych już istniejącym europejskim programem certyfikacji cyberbezpieczeństwa. Niemniej państwa członkowskie powinny mieć możliwość przyjmowania lub utrzymywania krajowych programów certyfikacji cyberbezpieczeństwa do celów bezpieczeństwa narodowego. Państwa członkowskie powinny informować Komisję oraz ECCG o wszelkich zamiarach dotyczących ustanowienia nowych krajowych programów certyfikacji cyberbezpieczeństwa. Komisja i ECCG powinny ocenić wpływ nowych krajowych programów certyfikacji cyberbezpieczeństwa na prawidłowe funkcjonowanie rynku wewnętrznego, mając na uwadze interes strategiczny, by zamiast krajowego programu certyfikacji wnioskować o wprowadzenie europejskiego programu certyfikacji cyberbezpieczeństwa.

(95)

Celem europejskich programów certyfikacji cyberbezpieczeństwa jest pomoc w harmonizacji praktyk w zakresie cyberbezpieczeństwa w Unii. Konieczne jest, aby przyczyniały się one do zwiększenia poziomu cyberbezpieczeństwa w Unii. Przy opracowywaniu europejskich programów cyberbezpieczeństwa należy uwzględnić i umożliwić rozwój innowacji w dziedzinie cyberbezpieczeństwa.

(96)

Europejskie programy certyfikacji cyberbezpieczeństwa powinny uwzględniać aktualne metody rozwoju oprogramowania i sprzętu, a w szczególności wpływ częstych aktualizacji oprogramowania lub oprogramowania układowego na poszczególne europejskie certyfikaty cyberbezpieczeństwa. Europejskie programy certyfikacji cyberbezpieczeństwa powinny określać warunki, w przypadku których aktualizacja może powodować potrzebę ponownej certyfikacji produktu ICT, usługi ICT lub procesu ICT lub potrzebę ograniczenia zakresu danego europejskiego certyfikatu cyberbezpieczeństwa, uwzględniając wszelkie ewentualne negatywne skutki aktualizacji dla zgodności z wymogami bezpieczeństwa tego certyfikatu.

(97)

Po przyjęciu europejskiego programu certyfikacji cyberbezpieczeństwa wytwórcy lub dostawcy produktów ICT, usług ICT lub procesów ICT powinni móc składać wnioski o certyfikację swoich produktów ICT lub usług ICT do wybranej jednostki oceniającej zgodność na terytorium całej Unii. Jednostki oceniające zgodność powinny być akredytowane przez krajową jednostkę akredytującą, jeśli spełniają określone szczegółowe wymogi ustanowione w niniejszym rozporządzeniu. Akredytacji powinno się udzielać na maksymalny okres pięciu lat; powinna być ona odnawialna na tych samych warunkach, o ile jednostka oceniająca zgodność nadal spełnia wymogi. Krajowe jednostki akredytujące powinny ograniczyć, zawiesić lub cofnąć akredytację danej jednostki oceniającej zgodność, jeżeli warunki akredytacji nie są lub przestały być spełniane, lub też w przypadku gdy jednostka oceniająca zgodność narusza niniejsze rozporządzenie.

(98)

Obecność w przepisach krajowych odesłań do norm krajowych, które przestały być skuteczne ze względu na wejście w życie europejskiego programu certyfikacji cyberbezpieczeństwa, może powodować dezorientację. Dlatego też państwa członkowskie powinny uwzględnić przyjęcie danego europejskiego programu certyfikacji cyberbezpieczeństwa w swoich przepisach krajowych.

(99)

W celu wypracowania równoważnych norm w całej Unii, ułatwienia wzajemnego uznawania i propagowania powszechnej akceptacji europejskich certyfikatów cyberbezpieczeństwa i unijnych deklaracji zgodności konieczne jest ustanowienie systemu wzajemnego przeglądu pomiędzy krajowymi organami ds. certyfikacji cyberbezpieczeństwa. Wzajemny przegląd powinien obejmować procedury nadzoru w odniesieniu do zgodności produktów ICT, usług ICT i procesów ICT z europejskimi certyfikatami cyberbezpieczeństwa, procedury monitorowania przestrzegania obowiązków przez wytwórców lub dostawców produktów ICT, usług ICT i procesów ICT, którzy dokonują oceny zgodności przez stronę pierwszą, procedury monitorowania jednostek oceniających zgodność, a także adekwatność wiedzy fachowej personelu organów wydających certyfikaty o poziomie uzasadnienia zaufania „wysoki”. Komisja powinna mieć możliwość ustanowienia, w drodze aktów wykonawczych, planu wzajemnego przeglądu obejmującego co najmniej 5 lat, jak również określenia kryteriów i metod funkcjonowania systemu wzajemnego przeglądu.

(100)

Bez uszczerbku dla ogólnego systemu wzajemnego przeglądu, który ma zostać wprowadzony dla wszystkich krajowych organów ds. certyfikacji cyberbezpieczeństwa w ramach dotyczących europejskich ram certyfikacji cyberbezpieczeństwa, niektóre europejskie programy certyfikacji cyberbezpieczeństwa mogą obejmować mechanizm wzajemnej oceny dla organów, które w ramach tych programów wydają dla produktów ICT, usług ICT i procesów ICT europejskie certyfikaty cyberbezpieczeństwa o poziomie uzasadnienia zaufania „wysoki”. ECCG powinna wspierać wdrażanie takich mechanizmów wzajemnej oceny. Wzajemna ocena powinna w szczególności oceniać, czy dane organy wykonują swoje obowiązki w zharmonizowany sposób i może zawierać mechanizmy odwoławcze. Wyniki wzajemnych ocen powinny być podawane od wiadomości publicznej. Dane organy mogą przyjmować odpowiednie środki w celu dostosowania odpowiednio swoich praktyk i wiedzy fachowej.

(101)

Państwa członkowskie powinny wyznaczyć krajowy organ ds. certyfikacji cyberbezpieczeństwa lub większą liczbę takich organów, odpowiedzialne za nadzorowanie wykonywania obowiązków wynikających z niniejszego rozporządzenia. Krajowy organ ds. certyfikacji cyberbezpieczeństwa może być organem istniejącym lub nowo wyznaczonym. Państwo członkowskie powinno także mieć możliwość wyznaczenia, po uzgodnieniu z innym państwem członkowskim, krajowego organu lub krajowych organów ds. certyfikacji cyberbezpieczeństwa na terytorium tego innego państwa członkowskiego.

(102)

Krajowe organy cyberbezpieczeństwa powinny w szczególności: monitorować i egzekwować wypełnianie przez mających siedzibę na ich terytorium wytwórców lub dostawców produktów ICT, usług ICT lub procesów ICT obowiązków związanych z unijną deklaracją zgodności; wspierać, poprzez udostępnianie wiedzy fachowej i odpowiednich informacji, krajowe jednostki akredytujące w monitorowaniu i nadzorowaniu działalności jednostek oceniających zgodność; zezwalać jednostkom oceniającym zgodność na wykonywanie ich zadań pod warunkiem spełnienia przez nie dodatkowych wymogów przewidzianych w danym europejskim programie certyfikacji cyberbezpieczeństwa; oraz monitorować zmiany zachodzące w dziedzinie certyfikacji cyberbezpieczeństwa. Krajowe organy ds. certyfikacji cyberbezpieczeństwa powinny również rozpatrywać skargi wnoszone przez osoby fizyczne lub prawne w związku z europejskimi certyfikatami cyberbezpieczeństwa, wydanymi przez te organy lub w związku z europejskimi certyfikatami cyberbezpieczeństwa wydanymi przez jednostki oceniające zgodność, w przypadku gdy takie certyfikaty wskazują poziom uzasadnienia zaufania „wysoki”, powinny badać w odpowiednim zakresie przedmiot skarg oraz powinny informować skarżących w stosownym terminie o postępach i wynikach badania. Ponadto krajowe organy ds. certyfikacji cyberbezpieczeństwa powinny współpracować z innymi krajowymi organami ds. certyfikacji cyberbezpieczeństwa lub innymi organami publicznymi, również poprzez wymianę informacji na temat ewentualnej niezgodności produktów ICT, usług ICT lub procesów ICT z wymogami niniejszego rozporządzenia lub z określonymi europejskimi programami certyfikacji cyberbezpieczeństwa. Komisja powinna ułatwiać wymianę informacji przez udostępnienie ogólnego elektronicznego systemu wspierającego wymianę informacji, na przykład systemu informacyjnego i komunikacyjnego do celów nadzoru rynku (ICSMS) i wspólnotowego systemu szybkiej informacji (RAPEX) dla produktów innych niż spożywcze, które to systemy są już wykorzystywane przez organy nadzoru rynku zgodnie z rozporządzeniem (WE) nr 765/2008.

(103)

Z myślą o zapewnieniu spójnego stosowania europejskich ram certyfikacji cyberbezpieczeństwa należy ustanowić ECCG, w której skład wchodzić powinni przedstawiciele krajowych organów ds. certyfikacji cyberbezpieczeństwa lub innych odpowiednich organów krajowych. Głównymi zadaniami ECCG powinny być doradzanie i pomaganie Komisji w pracach nad zapewnieniem spójnego wprowadzania i stosowania europejskich ram certyfikacji cyberbezpieczeństwa, pomoc ENISA i ścisła z nią współpraca przy przygotowywaniu propozycji programów certyfikacji cyberbezpieczeństwa, zwracanie się do ENISA, w należycie uzasadnionych przypadkach, o przygotowanie propozycji programu, wydawanie skierowanych do ENISA opinii na temat propozycji programów oraz przyjmowanie opinii skierowanych do Komisji dotyczących utrzymania i przeglądu istniejących europejskich programów certyfikacji cyberbezpieczeństwa. ECCG powinna ułatwiać wymianę dobrych praktyk i wiedzy fachowej pomiędzy różnymi krajowymi organami ds. certyfikacji cyberbezpieczeństwa, które są odpowiedzialne za udzielanie zezwoleń jednostkom oceniającym zgodność i wydawanie europejskich certyfikatów cyberbezpieczeństwa.

(104)

W celu podnoszenia wiedzy na temat przyszłych europejskich programów certyfikacji cyberbezpieczeństwa oraz ułatwienia ich akceptacji Komisja może wydawać ogólne lub sektorowe wytyczne dotyczące cyberbezpieczeństwa, na przykład na temat dobrych praktyk w zakresie cyberbezpieczeństwa lub odpowiedzialnego zachowania w zakresie cyberbezpieczeństwa, podkreślające pozytywne skutki stosowania certyfikowanych produktów ICT, usług ICT i procesów ICT.

(105)

W celu dalszego ułatwiania handlu, dostrzegając, że łańcuchy dostaw w dziedzinie ICT mają charakter globalny, Unia może zgodnie z art. 218 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) zawierać umowy o wzajemnym uznawaniu dotyczące europejskich certyfikatów cyberbezpieczeństwa. Komisja, uwzględniając opinię agencji ENISA i Europejskiej Grupy ds. Certyfikacji Cyberbezpieczeństwa, może zalecić rozpoczęcie stosownych negocjacji. Każdy europejski program certyfikacji cyberbezpieczeństwa powinien przewidywać szczegółowe warunki dotyczące takich umów o wzajemnym uznawaniu z państwami trzecimi.

(106)

W celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia, należy powierzyć Komisji uprawnienia wykonawcze. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 (22).

(107)

Należy stosować procedurę sprawdzającą w celu: przyjęcia aktów wykonawczych dotyczących europejskich programów certyfikacji cyberbezpieczeństwa dla produktów ICT, usług ICT lub procesów ICT, przyjęcia aktów wykonawczych dotyczących zasad prowadzenia przez ENISA postępowań wyjaśniających, w celu przyjęcia aktów wykonawczych dotyczących planu wzajemnego przeglądu krajowych organów ds. certyfikacji cyberbezpieczeństwa, a także przyjęcia aktów wykonawczych dotyczących okoliczności, formatów i procedur notyfikowania Komisji przez krajowe organy ds. certyfikacji cyberbezpieczeństwa akredytowanych jednostek oceniających zgodność.

(108)

Działalność ENISA powinna być przedmiotem regularnej i niezależnej oceny. Ocena ta powinna dotyczyć realizacji przez ENISA jej celów, jej metod pracy i zasadności jej zadań, a zwłaszcza jej zadań w zakresie współpracy operacyjnej na poziomie Unii. Taka ocena powinna również dotyczyć wpływu, skuteczności i efektywności europejskich ram certyfikacji cyberbezpieczeństwa. W przypadku przeglądu Komisja powinna ocenić, w jaki sposób można wzmocnić pełnioną przez ENISA rolę punktu odniesienia w zakresie doradztwa i wiedzy fachowej, a także powinna ocenić możliwość pełnienia przez ENISA roli we wspieraniu oceniania pochodzących z państw trzecich produktów ICT, usług ICT i procesów ICT wchodzących na unijny rynek, które nie są zgodne z przepisami Unii.

(109)

Ponieważ cele niniejszego rozporządzenia nie mogą zostać osiągnięte w sposób wystarczający przez państwa członkowskie, natomiast ze względu na jego rozmiary i skutki możliwe jest lepsze ich osiągnięcie na poziomie Unii, może ona podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej (TUE). Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tych celów.

(110)

Należy uchylić rozporządzenie (UE) nr 526/2013,

(1)

Celem niniejszej dyrektywy jest przyczynienie się do właściwego funkcjonowania rynku wewnętrznego w drodze zbliżenia przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich w odniesieniu do wymogów dostępności niektórych produktów i usług, w szczególności poprzez wyeliminowanie i zapobieganie powstawaniu barier dla swobodnego przepływu niektórych dostępnych produktów i usług, które wynikają z rozbieżnych wymogów dostępności w poszczególnych państwach członkowskich. Zwiększyłoby to podaż na rynku wewnętrznym dostępnych produktów i usług, a także poprawiło dostępność stosownych informacji.

(2)

Popyt na dostępne produkty i usługi jest wysoki, a przewiduje się, że liczba osób z niepełnosprawnościami znacznie wzrośnie. Środowisko, w którym produkty i usługi są bardziej dostępne, umożliwia większe włączenie społeczne i ułatwia osobom z niepełnosprawnościami prowadzenie niezależnego życia. W tym kontekście należy pamiętać, że w Unii niepełnosprawność częściej występuje wśród kobiet niż mężczyzn.

(3)

Niniejsza dyrektywa definiuje osoby z niepełnosprawnościami zgodnie z Konwencją ONZ o prawach osób niepełnosprawnych przyjętą w dniu 13 grudnia 2006 r. (zwaną dalej „Konwencją”), której Unia jest stroną od dnia 21 stycznia 2011 r. i którą ratyfikowały wszystkie państwa członkowskie. Konwencja stwierdza, że „do »osób niepełnosprawnych« zalicza się te osoby, które mają długotrwale naruszoną sprawność fizyczną, psychiczną, intelektualną lub w zakresie zmysłów co może, w oddziaływaniu z różnymi barierami, utrudniać im pełny i skuteczny udział w życiu społecznym na zasadzie równości z innymi osobami”. Niniejsza dyrektywa promuje pełny i skuteczny udział w życiu społecznym na równych prawach poprzez poprawę dostępu do powszechnie używanych produktów i usług, które z uwagi na swój pierwotny projekt lub późniejsze dostosowanie zaspokajają szczególne potrzeby osób z niepełnosprawnościami.

(4)

Niniejsza dyrektywa przyniesie korzyść również innym osobom, które doświadczają ograniczeń funkcjonalnych, takim jak osoby starsze, kobiety w ciąży czy osoby podróżujące z bagażem. Pojęcie „osób z ograniczeniami funkcjonalnymi”, o których mowa w niniejszej dyrektywie, obejmuje osoby, które mają naruszoną sprawność fizyczną, psychiczną, intelektualną lub w zakresie zmysłów, osoby, które doświadczają naruszenia sprawności wynikającego z wieku lub z innych przyczyn związanych z niepełną sprawnością fizyczną, w sposób trwały lub czasowy, które to naruszenia sprawności mogą, w oddziaływaniu z różnymi barierami, zmniejszać dostęp takich osób do produktów i usług, co z kolei prowadzi do sytuacji wymagającej dostosowań tych produktów i usług do szczególnych potrzeb takich osób.

(5)

Rozbieżności pomiędzy przepisami prawnymi i środkami administracyjnymi państw członkowskich w zakresie dostępności produktów i usług dla osób z niepełnosprawnościami stwarzają bariery dla swobodnego przepływu produktów i usług oraz zakłócają skuteczną konkurencję na rynku wewnętrznym. W przypadku niektórych produktów i usług rozbieżności te prawdopodobnie będą się pogłębiać w Unii w związku z wejściem w życie Konwencji. Bariery te mają szczególny wpływ na podmioty gospodarcze, w szczególności na małe i średnie przedsiębiorstwa (MŚP).

(6)

Z uwagi na różnice pomiędzy krajowymi wymogami dostępności indywidualni przedsiębiorcy, MŚP i mikroprzedsiębiorstwa w szczególności zniechęcani są do podejmowania przedsięwzięć biznesowych poza swoim rynkiem krajowym. Ustanowione przez państwa członkowskie krajowe, a nawet regionalne czy lokalne wymogi dostępności różnią się obecnie zarówno pod względem zakresu, jak i poziomu szczegółowości. Te różnice wywierają negatywny wpływ na konkurencyjność i wzrost gospodarczy ze względu na dodatkowe koszty ponoszone w związku z tworzeniem i wprowadzaniem na każdy rynek krajowy dostępnych produktów i usług.

(7)

Konsumenci dostępnych produktów i usług oraz technologii wspomagających muszą płacić wysokie ceny ze względu na ograniczoną konkurencję wśród dostawców. Rozdrobnienie regulacji krajowych ogranicza ewentualne korzyści pochodzące z wymiany z partnerami krajowymi i międzynarodowymi doświadczeń w kwestii reagowania na zmiany społeczne i technologiczne.

(8)

Zbliżenie środków krajowych na poziomie Unii jest zatem niezbędne dla prawidłowego funkcjonowania rynku wewnętrznego, aby położyć kres rozdrobnieniu rynku dostępnych produktów i usług, uzyskać korzyści skali, ułatwić handel transgraniczny i transgraniczną mobilność, a także pomóc podmiotom gospodarczym w koncentrowaniu zasobów na innowacjach, zamiast wykorzystywania ich na wydatki wynikające z rozdrobnienia przepisów w Unii.

(9)

Korzyści wynikające z harmonizacji wymogów dotyczących dostępności na rynku wewnętrznym zostały potwierdzone poprzez stosowanie dyrektywy Parlamentu Europejskiego i Rady 2014/33/UE (3) w odniesieniu do dźwigów oraz rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 661/2009 (4) w dziedzinie transportu.

(10)

W załączonej do Traktatu z Amsterdamu deklaracji nr 22 w sprawie osób niepełnosprawnych przyjętej na konferencji przedstawicieli rządów państw członkowskich zawarto uzgodnienie, że przy opracowywaniu środków na mocy art. 114 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) instytucje Unii mają brać pod uwagę potrzeby osób z niepełnosprawnościami.

(11)

Ogólnym celem komunikatu Komisji z dnia 6 maja 2015 r. pt. „Strategia jednolitego rynku cyfrowego dla Europy” jest uzyskanie z połączonego jednolitego rynku cyfrowego trwałych korzyści ekonomicznych i społecznych, co ułatwi handel i będzie wspierać zatrudnienie w Unii. Unijni konsumenci wciąż nie mogą w pełni korzystać z niższych cen i z większego wyboru, które może zapewnić jednolity rynek, ponieważ transakcje transgraniczne on-line nadal są bardzo ograniczone. Fragmentacja ogranicza też popyt na transgraniczne transakcje handlu elektronicznego. Potrzebne są również wspólne działania, aby osobom z niepełnosprawnościami zapewnić pełny dostęp do treści elektronicznych, usług łączności elektronicznej i audiowizualnych usług medialnych. Należy zatem zharmonizować wymogi dostępności na całym jednolitym rynku cyfrowym oraz zapewnić, by wszyscy obywatele Unii, bez względu na stopień sprawności, mogli czerpać z niego korzyści.

(12)

Ponieważ Unia została stroną Konwencji, postanowienia Konwencji stały się integralną częścią porządku prawnego Unii i są wiążące dla instytucji Unii i dla państw członkowskich.

(13)

Konwencja zobowiązuje swoje strony do wprowadzenia odpowiednich środków w celu zapewnienia osobom z niepełnosprawnościami, na równi z innymi, dostępu do środowiska fizycznego, środków transportu, informacji i komunikacji, w tym technologii i systemów informacyjno-komunikacyjnych, a także do innych urządzeń i usług, powszechnie dostępnych lub powszechnie zapewnianych, zarówno na obszarach miejskich, jak i wiejskich. Komitet ONZ ds. praw osób z niepełnosprawnościami wskazał na potrzebę stworzenia ram prawnych z konkretnymi, wykonalnymi i określonymi w czasie poziomami odniesienia w celu monitorowania stopniowego tworzenia warunków dostępności.

(14)

Konwencja wzywa swoje strony do podejmowania lub wspierania badań naukowych i rozwoju nowych technologii odpowiednich dla osób z niepełnosprawnościami, w tym technologii informacyjno-komunikacyjnych, przyrządów ułatwiających poruszanie się, urządzeń i technologii wspomagających, a także do wspierania podaży i wykorzystywania takich nowych technologii. Konwencja apeluje także o priorytetowe traktowanie technologii przystępnych cenowo.

(15)

Wejście w życie Konwencji w porządkach prawnych państw członkowskich oznacza potrzebę przyjęcia dodatkowych przepisów krajowych dotyczących dostępności produktów i usług. Przy braku działań ze strony Unii przepisy te mogłyby doprowadzić do dalszego zwiększenia rozbieżności w przepisach ustawowych, wykonawczych i administracyjnych państw członkowskich.

(16)

Konieczne jest zatem ułatwienie wdrażania Konwencji w Unii poprzez ustanowienie wspólnych unijnych przepisów. Niniejsza dyrektywa wspiera również działania państw członkowskich mające na celu zharmonizowaną realizację ich krajowych zobowiązań, jak również wynikających z Konwencji obowiązków dotyczących dostępności.

(17)

W komunikacie Komisji z dnia 15 listopada 2010 r. pt. „Europejska strategia w sprawie niepełnosprawności 2010–2020: Odnowione zobowiązanie do budowania Europy bez barier” wskazano zgodnie z Konwencją dostępność jako jeden z ośmiu obszarów działań, stwierdzono, że stanowi ona jeden z podstawowych warunków uczestnictwa w życiu społecznym, oraz postawiono za cel zapewnienie dostępności produktów i usług.

(18)

Produkty i usługi objęte zakresem stosowania niniejszej dyrektywy wskazano na podstawie badania przeprowadzonego w trakcie przygotowywania oceny skutków; badanie to pozwoliło zidentyfikować produkty i usługi, które są istotne dla osób z niepełnosprawnościami oraz w odniesieniu do których państwa członkowskie przyjęły lub mogą przyjąć rozbieżne krajowe wymogi dostępności, co zakłócałoby funkcjonowanie rynku wewnętrznego.

(19)

Aby zapewnić dostępność usług, które są objęte zakresem stosowania niniejszej dyrektywy, wykorzystane do świadczenia takich usług produkty, z którymi konsument wchodzi w interakcję, również powinny spełniać odpowiednie wymogi dostępności określone w niniejszej dyrektywie.

(20)

Nawet jeżeli usługa lub część usługi jest świadczona przez podwykonawcę, nie powinno to ograniczać dostępności tej usługi, a usługodawcy powinni wywiązywać się z obowiązków wynikających z niniejszej dyrektywy. Usługodawcy powinni także zapewnić właściwe i ustawiczne szkolenie swoich pracowników w celu zapewnienia, by wiedzieli oni, jak korzystać z dostępnych produktów i usług. Szkolenie to powinno obejmować kwestie, takie jak udzielanie informacji i porad oraz reklamę.

(21)

Wymogi dostępności należy wprowadzić w sposób jak najmniej uciążliwy dla podmiotów gospodarczych i państw członkowskich.

(22)

Istnieje potrzeba określenia wymogów dostępności dotyczących wprowadzania na rynek produktów i usług, które objęte są zakresem stosowania niniejszej dyrektywy, tak aby zapewnić ich swobodny przepływ na rynku wewnętrznym.

(23)

Niniejsza dyrektywa powinna wprowadzić obowiązek stosowania funkcjonalnych wymogów dostępności, które powinny być wyrażane jako ogólne cele. Te wymogi powinny być wystarczająco precyzyjne, aby stwarzać prawnie wiążące zobowiązania, i wystarczająco szczegółowe, aby umożliwić ocenę zgodności w celu zapewnienia właściwego funkcjonowania wewnętrznego rynku produktów i usług objętych niniejszą dyrektywą, a także powinny pozostawiać pewien stopień elastyczności, by umożliwiać innowacje.

(24)

Niniejsza dyrektywa zawiera szereg kryteriów funkcjonalnych dotyczących sposobów działania produktów i usług. Kryteriów tych nie należy uważać za ogólną alternatywę dla wymogów dostępności określonych w niniejszej dyrektywie, lecz powinny one być stosowane wyłącznie w szczególnych okolicznościach. Te kryteria powinny mieć zastosowanie do określonych funkcji lub cech produktów lub usług, tak aby stały się dostępne, w przypadkach gdy wymogi dostępności wynikające z niniejszej dyrektywy nie obejmują jednej lub kilku określonych funkcji lub cech. Ponadto, w sytuacji gdy jeden z wymogów dostępności zawiera konkretne wymogi techniczne, a dany produkt lub dana usługa obejmuje alternatywne rozwiązanie techniczne dla tych wymogów technicznych, to alternatywne rozwiązanie techniczne nadal powinno spełniać odnośne wymogi dostępności i powinno zapewniać równoważną lub większą dostępność poprzez zastosowanie odpowiednich kryteriów funkcjonalnych.

(25)

Niniejsza dyrektywa powinna obejmować systemy sprzętu komputerowego ogólnego przeznaczenia. Aby systemy te funkcjonowały w sposób dostępny, ich systemy operacyjne również powinny być dostępne dla takich osób. Takie systemy sprzętu komputerowego cechują się wielofunkcyjnym charakterem oraz zdolnością do wykonywania, z odpowiednim oprogramowaniem, najczęstszych zadań informatycznych na żądanie konsumentów, i są przeznaczone do obsługi przez konsumentów. Przykładami takich systemów sprzętu komputerowego są komputery osobiste, w tym komputery stacjonarne, laptopy, smartfony i tablety. Specjalistyczne komputery wbudowane w produkty elektroniki użytkowej nie są systemami sprzętu komputerowego ogólnego przeznaczenia. Niniejsza dyrektywa nie powinna obejmować, w poszczególnych przypadkach, pojedynczych komponentów mających specyficzne funkcje, takich jak płyta główna lub układ pamięci, które są wykorzystywane lub mogą być wykorzystywane w ramach takiego systemu.

(26)

Niniejsza dyrektywa powinna również obejmować terminale płatnicze – w tym zarówno urządzenia, jak i oprogramowanie – i niektóre interaktywne terminale samoobsługowe, w tym zarówno urządzenia, jak i oprogramowanie, przeznaczone do świadczenia usług objętych zakresem stosowania niniejszej dyrektywy – np. bankomaty, automaty biletowe wydające fizyczne bilety zapewniające dostęp do usług, takie jak automaty wydające bilety komunikacyjne, urządzenia wydające bilety kolejkowe w placówkach bankowych, urządzenia do odprawy samoobsługowej i interaktywne terminale samoobsługowe udzielające informacji, w tym interaktywne ekrany informacyjne.

(27)

Z zakresu stosowania niniejszej dyrektywy powinny jednak zostać wyłączone niektóre interaktywne terminale samoobsługowe udzielające informacji, instalowane jako zintegrowane części pojazdów, statków powietrznych, statków wodnych lub taboru kolejowego, ponieważ terminale te są częścią tych pojazdów, statków powietrznych, statków wodnych lub taboru kolejowego, które nie są objęte niniejszą dyrektywą.

(28)

Niniejsza dyrektywa powinna również obejmować usługi łączności elektronicznej, w tym zgłoszenia alarmowe w rozumieniu dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972 (5). Obecnie w celu zapewnienia dostępu osobom z niepełnosprawnościami państwa członkowskie stosują różnorodne środki, które nie są zharmonizowane w obrębie rynku wewnętrznego. Zapewnienie, aby te same wymogi dostępności miały zastosowanie w całej Unii, prowadzić będzie do osiągnięcia przez podmioty gospodarcze działające w więcej niż jednym państwie członkowskim korzyści skali oraz ułatwi skuteczny dostęp osobom z niepełnosprawnościami zarówno przebywającym w swoich państwach członkowskich, jak i podróżującym po innych państwach członkowskich. Aby usługi łączności elektronicznej, w tym zgłoszenia alarmowe, były dostępne, usługodawcy oprócz głosu powinni zapewniać usługi tekstu w czasie rzeczywistym i – gdy oferują wideo – pełnej konwersacji wideo i tekstowej, zapewniając synchronizację wszystkich tych środków łączności. Poza wymogami niniejszej dyrektywy, zgodnie z dyrektywą (UE) 2018/1972, państwa członkowskie powinny być w stanie wskazać podmiot świadczący usługi przekazu, z których to usług mogłyby korzystać osoby z niepełnosprawnościami.

(29)

Niniejsza dyrektywa harmonizuje wymogi dostępności w odniesieniu do usług łączności elektronicznej oraz do związanych z nimi produktów oraz jest uzupełnieniem dyrektywy (UE) 2018/1972, która ustanawia wymogi dotyczące równorzędnego dostępu i wyboru dla użytkowników końcowych z niepełnosprawnościami. Dyrektywa (UE) 2018/1972 ustanawia także – w ramach ogólnych obowiązków dotyczących usług – wymogi w zakresie przystępności cenowej dostępu do internetu i komunikacji głosowej oraz przystępności cenowej i dostępności związanych z nimi urządzeń końcowych oraz specjalnych urządzeń i usług dla konsumentów z niepełnosprawnościami.

(30)

Niniejsza dyrektywa powinna także obejmować konsumenckie urządzenia końcowe mające interaktywne zdolności obliczeniowe przewidziane do wykorzystywania głównie przy uzyskiwaniu dostępu do usług łączności elektronicznej. Na potrzeby niniejszej dyrektywy należy uznać, że urządzenia te obejmującą urządzenia wykorzystywane jako część struktury zapewniającej dostęp do usług łączności elektronicznej, takie jak router lub modem.

(31)

Na potrzeby niniejszej dyrektywy dostęp do audiowizualnych usług medialnych powinien oznaczać, że istnieje dostęp do treści audiowizualnych i mechanizmów, które umożliwiają użytkownikom z niepełnosprawnościami korzystanie z potrzebnych im technologii wspomagających. Usługi umożliwiające dostęp do audiowizualnych usług medialnych mogą obejmować strony internetowe, aplikacje internetowe, aplikacje oparte na urządzeniach typu set-top box, aplikacje do pobrania, usługi oparte na urządzeniach mobilnych, w tym aplikacje mobilne oraz powiązane odtwarzacze multimedialne, jak również usługi w zakresie telewizji hybrydowej. Dostępność audiowizualnych usług medialnych uregulowana jest dyrektywą Parlamentu Europejskiego i Rady 2010/13/UE (6), z wyjątkiem dostępności elektronicznych przewodników po programach, które są objęte definicją usług umożliwiających dostęp do audiowizualnych usług medialnych, do których zastosowanie ma niniejsza dyrektywa.

(32)

W kontekście usług lotniczego, autobusowego, kolejowego i wodnego transportu pasażerskiego niniejsza dyrektywa powinna obejmować między innymi udzielanie informacji o usługach transportowych, w tym informacji o podróży udzielanych w czasie rzeczywistym za pośrednictwem stron internetowych, usług opartych na urządzeniach mobilnych, interaktywnych ekranów informacyjnych i interaktywnych terminali samoobsługowych, które to informacje są potrzebne do podróżowania pasażerom z niepełnosprawnościami. Informacje te mogłyby obejmować informacje o oferowanych przez danego usługodawcę produktach i usługach transportu pasażerskiego, informacje udzielane przed podróżą, informacje udzielane w trakcie podróży i informacje o odwołaniu danej usługi lub o opóźnieniu rozpoczęcia podróży. Inne elementy informacji mogłyby również obejmować informacje o cenach i promocjach.

(33)

Niniejsza dyrektywa powinna również obejmować strony internetowe, usługi oparte na urządzeniach mobilnych, w tym aplikacje mobilne opracowane lub udostępnione przez operatorów usług transportu pasażerskiego w ramach zakresu stosowania niniejszej dyrektywy lub z ich inicjatywy, usługi elektronicznej sprzedaży biletów, bilety elektroniczne oraz interaktywne terminale samoobsługowe.

(34)

Określenie zakresu stosowania niniejszej dyrektywy w odniesieniu do usług lotniczego, autobusowego, kolejowego i wodnego transportu pasażerskiego powinno być oparte na obowiązujących sektorowych przepisach dotyczących praw pasażerów. W przypadku gdy niniejsza dyrektywa nie ma zastosowania do niektórych rodzajów usług transportowych, państwa członkowskie powinny zachęcać usługodawców do stosowania odpowiednich wymogów dostępności wynikających z niniejszej dyrektywy.

(35)

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/2102 (7) nakłada już na organy sektora publicznego świadczące usługi transportowe, w tym przewozy miejskie i podmiejskie oraz przewozy regionalne, obowiązek zapewnienia dostępności swoich stron internetowych. Niniejsza dyrektywa zawiera odstępstwa dla mikroprzedsiębiorstw świadczących usługi, w tym przewozy miejskie i podmiejskie oraz przewozy regionalne. Niniejsza dyrektywa wprowadza też obowiązki w zakresie zapewnienia, by strony internetowe, poprzez które prowadzony jest handel elektroniczny, były dostępne. Ponieważ niniejsza dyrektywa zawiera obowiązek dla znacznej większości prywatnych podmiotów świadczących usługi transportowe do zapewnienia dostępności swoich stron internetowych przy sprzedaży biletów w internecie, wprowadzenie w niniejszej dyrektywie dalszych wymogów co do stron internetowych podmiotów świadczących przewozy miejskie i podmiejskie oraz przewozy regionalne nie jest konieczne.

(36)

Niektóre elementy wymogów dostępności, w szczególności wymogi dotyczące udzielania informacji określone w niniejszej dyrektywie, są już objęte obowiązującymi unijnymi aktami prawnymi w dziedzinie przewozów pasażerskich. Obejmuje to elementy rozporządzeń Parlamentu Europejskiego i Rady (WE) nr 261/2004 (8), (WE) nr 1107/2006 (9), (WE) nr 1371/2007 (10), (UE) nr 1177/2010 (11) oraz (UE) nr 181/2011 (12). Obejmuje to także odpowiednie akty prawne przyjęte na podstawie dyrektywy Parlamentu Europejskiego i Rady 2008/57/WE (13). Z uwagi na potrzebę zapewnienia spójności regulacyjnej wymogi dostępności określone w tych rozporządzeniach oraz te akty prawne powinny mieć zastosowanie nadal bez zmian. Niemniej jednak wynikające z niniejszej dyrektywy wymogi dodatkowe będą stanowić uzupełnienie wymogów już obowiązujących, poprawiając funkcjonowanie rynku wewnętrznego w dziedzinie transportu i przynosząc korzyści osobom z niepełnosprawnościami.

(37)

Niektóre elementy usług transportowych nie powinny zostać objęte niniejszą dyrektywą, gdy są świadczone poza terytorium państw członkowskich, nawet jeżeli dana usługa została skierowana na rynek unijny. W odniesieniu do tych elementów podmiot świadczący usługi transportu pasażerskiego powinien być zobowiązany wyłącznie do zapewnienia, aby wymogi określone w niniejszej dyrektywie zostały spełnione w odniesieniu do tej części usługi, która jest oferowana na terytorium Unii. W przypadku transportu lotniczego unijni przewoźnicy lotniczy powinni jednak zapewnić, aby odpowiednie wymogi określone w niniejszej dyrektywie zostały również spełnione w odniesieniu do lotów rozpoczynających się w porcie lotniczym znajdującym się w państwie trzecim i kończących się w porcie lotniczym znajdującym się na terytorium jednego z państw członkowskich. Ponadto wszyscy przewoźnicy lotniczy, w tym przewoźnicy niezarejestrowani w Unii, powinni zapewniać, aby odpowiednie wymogi określone w niniejszej dyrektywie zostały spełnione w przypadkach, w których loty rozpoczynają się na terytorium Unii i kończą na terytorium państwa trzeciego.

(38)

Władze miejskie należy zachęcać, by w swoich planach zrównoważonej mobilności miejskiej uwzględniały pozbawioną barier dostępność do miejskich usług transportowych, a także by regularnie publikowały wykazy najlepszych praktyk w zakresie pozbawionej barier dostępności miejskiego transportu publicznego i miejskiej mobilności.

(39)

Prawo Unii obowiązujące w zakresie usług bankowych i finansowych ma na celu ochronę i informowanie konsumentów tych usług w całej Unii, ale nie obejmuje wymogów dostępności. Aby osoby z niepełnosprawnościami miały możliwość korzystania z tych usług w całej Unii, w tym, w stosownych przypadkach, poprzez strony internetowe i usługi oparte na urządzeniach mobilnych, w tym aplikacje mobilne, aby mogły podejmować świadome decyzje i były pewne, że są odpowiednio chronione na równi z innymi konsumentami, a także aby zapewnić usługodawcom równe szanse, niniejsza dyrektywa powinna ustanowić wspólne wymogi dostępności dla niektórych usług bankowych i finansowych świadczonych konsumentom.

(40)

Odpowiednie wymogi dostępności powinny również mieć zastosowanie do metod identyfikacji, podpisu elektronicznego i usług płatniczych, ponieważ są to elementy niezbędne do zawarcia transakcji w bankowości detalicznej.

(41)

Pliki zawierające książki elektroniczne tworzone są przy użyciu elektronicznego kodowania komputerowego, które umożliwia rozpowszechnianie i przeglądanie utworów intelektualnych najczęściej przybierających formę tekstową i graficzną. Stopień precyzji tego kodowania rozstrzyga o dostępności plików zawierających książki elektroniczne, w szczególności w odniesieniu do kwalifikacji poszczególnych zasadniczych elementów dzieła i znormalizowanego opisu jego struktury. Interoperacyjność w kontekście dostępności powinna pomóc zoptymalizować kompatybilność tych plików z aplikacjami klienckimi i z obecnymi oraz przyszłymi technologiami wspomagającymi. Szczególne cechy specyficznych publikacji, takich jak komiksy, książki dla dzieci i książki o sztuce, powinny być analizowane pod kątem wszystkich mających zastosowanie wymogów dostępności. Rozbieżne wymogi dostępności w poszczególnych państwach członkowskich mogą utrudniać wydawcom i innym podmiotom gospodarczym korzystanie z zalet rynku wewnętrznego, mogą prowadzić do problemów w zakresie interoperacyjności czytników książek elektronicznych oraz mogą ograniczać dostęp klientów z niepełnosprawnościami do produktów i usług. W kontekście książek elektronicznych pojęcie usługodawcy może obejmować wydawców i inne podmioty gospodarcze uczestniczące w ich dystrybucji.

Uznaje się, że osoby z niepełnosprawnościami nadal napotykają przeszkody, które utrudniają dostęp do treści chronionych przez prawo autorskie i prawa pokrewne, jak i że podjęto już pewne środki w celu zaradzenia tej sytuacji – na przykład poprzez przyjęcie dyrektywy Parlamentu Europejskiego i Rady (UE) 2017/1564 (14) oraz rozporządzenia Parlamentu Europejskiego i Rady (UE) 2017/1563 (15) – oraz uznaje się, że w przyszłości możliwe jest podjęcie dalszych środków unijnych w tym zakresie.

(42)

Niniejsza dyrektywa definiuje usługi handlu elektronicznego jako usługę na odległość za pośrednictwem stron internetowych i usług opartych na urządzeniach mobilnych, świadczoną drogą elektroniczną i na indywidualne żądanie konsumenta w celu zawarcia umowy konsumenckiej. Na potrzeby tej definicji określenie „na odległość” oznacza, że usługa świadczona jest bez równoczesnej obecności stron; „drogą elektroniczną” oznacza, że usługa jest wysyłana i odbierana w miejscu przeznaczenia za pomocą sprzętu elektronicznego do przetwarzania (z uwzględnieniem kompresji cyfrowej) oraz przechowywania danych, i jest całkowicie przesyłana, kierowana i otrzymywana za pomocą kabla, fal radiowych, środków optycznych lub innych środków elektromagnetycznych; „na indywidualne żądanie konsumenta” oznacza, że usługa świadczona jest na indywidualne żądanie. Zważywszy na rosnące znaczenie usług handlu elektronicznego i ich wysoki stan zaawansowania technologicznego, istotne jest zharmonizowanie wymogów ich dostępności.

(43)

Wynikające z niniejszej dyrektywy wymogi dostępności usług handlu elektronicznego powinny mieć zastosowanie do internetowej sprzedaży wszelkich produktów lub usług i powinny w związku z tym mieć zastosowanie również do sprzedaży produktów lub usług, które same są objęte zakresem stosowania niniejszej dyrektywy.

(44)

Środki dotyczące dostępności odbioru zgłoszeń alarmowych powinny być przyjmowane bez uszczerbku dla organizacji służb ratunkowych i nie powinny one wywierać wpływu na tę organizację, która pozostaje w wyłącznej kompetencji państw członkowskich.

(45)

Zgodnie z dyrektywą (UE) 2018/1972 państwa członkowskie mają zapewnić, by użytkownicy końcowi z niepełnosprawnościami mieli dostęp do służb ratunkowych za pośrednictwem zgłoszeń alarmowych na równi z innymi użytkownikami końcowymi zgodnie z prawem Unii harmonizującym wymogi dostępności produktów i usług. Komisja oraz krajowe organy regulacyjne oraz inne właściwe organy mają przyjąć odpowiednie środki w celu zapewnienia, aby użytkownicy końcowi z niepełnosprawnościami, gdy podróżują do innego państwa członkowskiego, mogli mieć dostęp do służb ratunkowych na równi z pozostałymi użytkownikami końcowymi, w miarę możliwości bez wcześniejszej rejestracji. Środki te dążą do zapewnienia interoperacyjności między państwami członkowskimi i mają być w jak największym stopniu oparte na europejskich normach lub specyfikacjach określonych zgodnie z art. 39 dyrektywy (UE) 2018/1972. Takie środki nie uniemożliwiają państwom członkowskim przyjmowania dodatkowych wymogów służących osiągnięciu celów określonych w tej dyrektywie. W ramach alternatywy do spełnienia określonych w niniejszej dyrektywie wymogów dostępności w odniesieniu do skierowanych do użytkowników z niepełnosprawnościami usług odbioru zgłoszeń alarmowych państwa członkowskie powinny mieć możliwość wskazania będącego stroną trzecią podmiotu świadczącego usługi przekazu, z których to usług mogłyby korzystać osoby z niepełnosprawnościami w celu komunikowania się z publicznym punktem przyjmowania zgłoszeń, dopóki te publiczne punkty przyjmowania zgłoszeń nie będą w stanie wykorzystywać – do zapewnienia dostępności odbioru zgłoszeń alarmowych – usług łączności elektronicznej poprzez protokoły internetowe. W żadnym przypadku obowiązków wynikających z niniejszej dyrektywy nie należy rozumieć jako ograniczających ani łagodzących jakiekolwiek obowiązki na rzecz użytkowników końcowych z niepełnosprawnościami, w tym równoważne obowiązki dotyczące dostępu do usług łączności elektronicznej i do służb ratunkowych, a także obowiązki dotyczące dostępności określone w dyrektywie (UE) 2018/1972.

(46)

Dyrektywa (UE) 2016/2102 określa wymogi dostępności dla stron internetowych i aplikacji mobilnych instytucji sektora publicznego oraz inne powiązane aspekty, w szczególności wymogi odnoszące się do zgodności z przepisami przedmiotowych stron internetowych i aplikacji mobilnych. Niemniej jednak dyrektywa ta zawiera szczegółowy wykaz wyjątków. Podobne wyjątki są odpowiednie w przypadku niniejszej dyrektywy. Niektóre rodzaje działalności, które odbywają się poprzez strony internetowe i aplikacje mobilne instytucji sektora publicznego, takie jak usługi transportu pasażerskiego czy usługi handlu elektronicznego, które są objęte zakresem stosowania niniejszej dyrektywy, powinny ponadto spełniać mające zastosowanie wymogi dostępności określone w niniejszej dyrektywie, tak aby zapewnić osobom z niepełnosprawnościami dostęp do internetowej sprzedaży produktów i usług, niezależnie od tego, czy sprzedawca jest publicznym czy prywatnym podmiotem gospodarczym. Wymogi dostępności określone w niniejszej dyrektywie powinny być dostosowane do wymogów dyrektywy (UE) 2016/2102 pomimo różnic dotyczących np. monitorowania, sprawozdawczości i egzekwowania przepisów.

(47)

Cztery zasady dostępności stron internetowych i aplikacji mobilnych, do których odwołuje się dyrektywa (UE) 2016/2102 to: postrzegalność – która oznacza, że informacje i elementy interfejsu użytkownika muszą być przedstawiane użytkownikom w sposób, który potrafią oni odebrać; funkcjonalność – która oznacza, że elementy interfejsu użytkownika i nawigacja muszą być funkcjonalne; zrozumiałość – która oznacza, że informacje i obsługa interfejsu użytkownika muszą być zrozumiałe; oraz integralność – która oznacza, że treści muszą być wystarczająco integralne, by mogły być skutecznie interpretowane przez różnego rodzaju aplikacje klienckie, w tym technologie wspomagające. Zasady te są też istotne dla niniejszej dyrektywy.

(48)

Państwa członkowskie powinny przyjąć wszelkie odpowiednie środki w celu zapewnienia, aby – w przypadku gdy produkty i usługi objęte niniejszą dyrektywą są zgodne z odpowiednimi wymogami dostępności – ich swobodny przepływ w Unii nie był utrudniony z powodów związanych z wymogami dostępności.

(49)

W niektórych sytuacjach wspólne wymogi dostępności do środowiska zbudowanego ułatwiłyby swobodny przepływ powiązanych usług oraz osób z niepełnosprawnościami. Dlatego też niniejsza dyrektywa powinna dać państwom członkowskim możliwość uwzględnienia środowiska zbudowanego wykorzystywanego do świadczenia usług objętych zakresem stosowania niniejszej dyrektywy, co zapewni spełnienie wymogów dostępności określonych w załączniku III.

(50)

Dostępność powinna zostać osiągnięta poprzez systematyczne usuwanie barier i zapobieganie ich powstawaniu, w miarę możliwości poprzez zastosowanie podejścia „projektowania uniwersalnego”, co przyczyni się do zapewnienia osobom z niepełnosprawnościami dostępu do produktów i usług na równi z innymi. Jak wynika z Konwencji, podejście to „oznacza projektowanie produktów, środowiska, programów i usług, w taki sposób, by były użyteczne dla wszystkich, w możliwie największym stopniu, bez potrzeby adaptacji lub specjalistycznego projektowania”. Zgodnie z Konwencją projektowanie uniwersalne „nie wyklucza pomocy technicznych dla szczególnych grup osób niepełnosprawnych, jeżeli jest to potrzebne”. Ponadto dostępność nie powinna wykluczać dokonywania racjonalnych usprawnień, gdy wymaga tego prawo Unii lub prawo krajowe. Dostępność i projektowanie uniwersalne należy interpretować zgodnie z Komentarzem ogólnym nr 2(2014) - art. 9: Dostępność, sporządzonym przez Komitet ds. Praw Osób z Niepełnosprawnościami.

(51)

Produkty i usługi objęte zakresem stosowania niniejszej dyrektywy nie zostają automatycznie objęte zakresem stosowania dyrektywy Rady 93/42/EWG (16). Jednakże zakresem stosowania tej dyrektywy mogłyby być objęte niektóre technologie wspomagające będące wyrobami medycznymi.

(52)

Większość miejsc pracy w UE powstaje w MŚP i w mikroprzedsiębiorstwach. Przedsiębiorstwa takie mają kluczowe znaczenie dla przyszłego wzrostu gospodarczego, jednak bardzo często napotykają na przeszkody i utrudnienia przy opracowywaniu swoich produktów lub usług, zwłaszcza w kontekście transgranicznym. Konieczne jest zatem ułatwienie działalności MŚP i mikroprzedsiębiorstw poprzez harmonizację krajowych przepisów w zakresie dostępności przy jednoczesnym zachowaniu koniecznych gwarancji.

(53)

Aby mikroprzedsiębiorstwa i MŚP mogły korzystać z niniejszej dyrektywy, muszą faktycznie spełniać wymogi zalecenia Komisji 2003/361/WE (17) i stosownego orzecznictwa, mające na celu zapobieganie obchodzeniu tych przepisów.

(54)

Aby zapewnić spójność prawa Unii niniejsza dyrektywa powinna być oparta na decyzji Parlamentu Europejskiego i Rady nr 768/2008/WE (18), ponieważ dotyczy produktów już objętych innymi aktami unijnymi, a jednocześnie powinna uwzględnić szczególne cechy wymogów dostępności określonych w niniejszej dyrektywie.

(55)

Wszystkie podmioty gospodarcze objęte zakresem stosowania niniejszej dyrektywy i uczestniczące w łańcuchu dostaw i dystrybucji powinny zapewnić, by na rynku udostępniane były wyłącznie produkty zgodne z niniejszą dyrektywą. Ta sama zasada powinna mieć zastosowanie do podmiotów gospodarczych świadczących usługi. Konieczne jest określenie wyraźnego i proporcjonalnego podziału obowiązków stosownie do ról odgrywanych przez poszczególne podmioty gospodarcze w procesie dostaw i dystrybucji.

(56)

Podmioty gospodarcze powinny być odpowiedzialne za zgodność produktów i usług, stosownie do roli odgrywanej przez nie w łańcuchu dostaw, tak aby zapewnić wysoki poziom ochrony dostępności, a także zagwarantować uczciwą konkurencję na rynku unijnym.

(57)

Obowiązki określone w niniejszej dyrektywie powinny mieć zastosowanie w takim samym stopniu do podmiotów gospodarczych w sektorze publicznym i do podmiotów gospodarczych w sektorze prywatnym.

(58)

Zważywszy na fakt, że producent posiada szczegółową wiedzę o procesie projektowania i produkcji, jest on najbardziej kompetentny do przeprowadzenia kompletnej oceny zgodności. Mimo że odpowiedzialność za zgodność produktów spoczywa na producencie, organy nadzoru rynku powinny odgrywać kluczową rolę w sprawdzaniu, czy produkty udostępniane w Unii są produkowane zgodnie z prawem Unii.

(59)

Importerzy i dystrybutorzy powinni być zaangażowani w zadania związane z nadzorem rynku, realizowane przez organy krajowe, oraz brać aktywny udział w wykonywaniu tych zadań poprzez przedstawianie właściwym organom wszystkich koniecznych informacji dotyczących danego produktu.

(60)

Importerzy powinni zapewniać, by wprowadzane na rynek Unii produkty z państw trzecich były zgodne z niniejszą dyrektywą, a w szczególności zapewniać, aby były one poddawane przez producentów odpowiednim procedurom oceny.

(61)

Wprowadzając produkt do obrotu, importerzy powinni umieścić na nim swoją nazwę, zarejestrowaną nazwę handlową lub zarejestrowany znak towarowy i swoje adresy kontaktowe.

(62)

Dystrybutorzy powinni zapewnić, aby wykonywane przez nich czynności, którym poddawany jest produkt, nie miały negatywnego wpływu na jego zgodność z wymogami dostępności określonymi w niniejszej dyrektywie.

(63)

Podmiot gospodarczy wprowadzający produkt do obrotu pod własną nazwą lub znakiem towarowym lub modyfikujący produkt już znajdujący się w obrocie w sposób, który może wpłynąć na zgodność produktu z mającymi zastosowanie wymogami, powinien być uznany za producenta i przejąć jego obowiązki z tego tytułu.

(64)

Ze względu na zasadę proporcjonalności wymogi dostępności powinny mieć zastosowanie jedynie w zakresie, w jakim nie stanowią nieproporcjonalnego obciążenia dla danego podmiotu gospodarczego lub w zakresie, w którym nie wymagają znaczących zmian w produktach i usługach w związku z niniejszą dyrektywą. Niemniej jednak należy ustanowić mechanizmy kontroli w celu weryfikowania, czy dany podmiot jest uprawniony do odstępstwa od stosowania wymogów dostępności.

(65)

Niniejsza dyrektywa powinna opierać się na zasadzie „najpierw myśl na małą skalę” i uwzględniać obciążenia administracyjne, z którymi borykają się MŚP. Zamiast ustanawiać ogólne wyjątki i odstępstwa dla podmiotów gospodarczych powinna ona zawierać proste zasady w zakresie oceny zgodności i klauzule ochronne dla tych przedsiębiorstw. W związku z tym przy ustanawianiu zasad doboru i wdrażania najodpowiedniejszych procedur oceny zgodności należy uwzględnić sytuację MŚP, a obowiązki przeprowadzania oceny zgodności z wymogami dostępności należy ograniczyć w takim zakresie, by nie stanowiły one nieproporcjonalnego obciążenia dla MŚP. Ponadto organy nadzoru rynku powinny działać w sposób proporcjonalny do rozmiaru przedsiębiorstw oraz do produkcji w małych seriach lub produkcji nieseryjnej, bez tworzenia zbędnych utrudnień dla MŚP i bez szkody dla ochrony interesu publicznego.

(66)

W wyjątkowych przypadkach, gdy zgodność z wymogami dostępności określonymi w niniejszej dyrektywie wiązałaby się z nieproporcjonalnym obciążeniem dla podmiotów gospodarczych, należy wymagać od tych podmiotów, by przestrzegały ich jedynie w zakresie, w jakim wymogi te nie stanowią nieproporcjonalnego obciążenia. W takich odpowiednio uzasadnionych przypadkach podmiot gospodarczy nie miałby racjonalnej możliwości pełnego stosowania jednego lub większej liczby wymogów dostępności określonych w niniejszej dyrektywie. Podmiot gospodarczy powinien jednak zapewnić, by dana usługa lub dany produkt, objęte zakresem stosowania niniejszej dyrektywy, były jak najbardziej dostępne, stosując te wymogi w takim zakresie, w jakim nie stanowią one nieproporcjonalnego obciążenia. Te wymogi dostępności, które nie zostały przez podmiot gospodarczy uznane za stanowiące nieproporcjonalne obciążenie, powinny być stosowane w pełni. Wyjątki od obowiązku przestrzegania jednego lub więcej wymogów dostępności wynikające z nieproporcjonalnego obciążenia związanego ze stosowaniem tych wymogów nie powinny wykraczać poza to, co jest ściśle konieczne do ograniczenia tego obciążenia w odniesieniu do danego produktu lub danej usługi w konkretnym przypadku. Środki, które stanowiłyby nieproporcjonalne obciążenie, należy rozumieć jako środki, które – zgodnie z kryteriami określonymi w niniejszej dyrektywie – nakładałyby na podmiot gospodarczy dodatkowe nadmierne obciążenie organizacyjne lub finansowe, przy uwzględnieniu prawdopodobnych związanych z nimi korzyści dla osób z niepełnosprawnościami. Należy ustalić oparte na tych rozważaniach kryteria, aby zarówno podmiotom gospodarczym, jak i właściwym organom umożliwić systematyczne porównywanie poszczególnych sytuacji i ocenę, czy występuje nieproporcjonalne obciążenie. Dokonując oceny zakresu, w jakim wymogi dostępności nie mogą zostać spełnione ze względu na wiążące się z nimi nieproporcjonalne obciążenie, należy uwzględniać wyłącznie uzasadnione przyczyny. Za uzasadnione przyczyny nie należy uznawać braku priorytetowego traktowania, braku czasu ani braku wiedzy.

(67)

Ogólnej oceny nieproporcjonalnego obciążenia należy dokonywać stosując kryteria określone w załączniku VI. Ocena nieproporcjonalnego obciążenia powinna zostać przez podmiot gospodarczy udokumentowana z uwzględnieniem odpowiednich kryteriów. Usługodawcy powinni ponownie przeprowadzać ocenę nieproporcjonalnego obciążenia nie rzadziej niż co pięć lat.

(68)

Dany podmiot gospodarczy powinien poinformować odpowiednie organy, że zastosował przepisy niniejszej dyrektywy dotyczące zasadniczej zmiany lub nieproporcjonalnego obciążenia. Wyłącznie na wniosek właściwych organów podmioty gospodarcze powinny przedstawić kopię oceny wyjaśniającej, dlaczego ich produkt lub usługa nie są w pełni dostępne, i wykazującą istnienie nieproporcjonalnego obciążenia lub zasadniczej zmiany, lub obu tych powodów.

(69)

Jeśli na podstawie wymaganej oceny usługodawca stwierdzi, że obowiązek zapewnienia, by wszystkie terminale samoobsługowe wykorzystywane do celów świadczenia usług objętych niniejszą dyrektywą spełniały wymogi dostępności określone w niniejszej dyrektywie, stanowiłby nieproporcjonalne obciążenie, usługodawca powinien w dalszym ciągu stosować te wymogi w zakresie, w jakim nie powodują one dla niego takiego nieproporcjonalnego obciążenia. Usługodawcy powinni zatem ocenić, w jakim zakresie ograniczony stopień dostępności wszystkich terminali samoobsługowych lub ograniczona liczba terminali samoobsługowych w pełni spełniających kryteria dostępności umożliwiają im uniknięcie nieproporcjonalnego obciążenia, które w innym przypadku byłoby na nich nałożone, i powinni być zobowiązani do spełniania określonych w niniejszej dyrektywie wymogów dostępności tylko w tym zakresie.

(70)

Mikroprzedsiębiorstwa wyróżniają się spośród wszystkich innych przedsiębiorstw swoimi ograniczonymi zasobami ludzkimi, niewielkim rocznym obrotem lub niewielkim bilansem rocznym. W przypadku mikroprzedsiębiorstw obciążenie związane ze spełnieniem wymogów dostępności pochłania zatem, ogólnie rzecz biorąc, większą część zasobów finansowych i ludzkich niż w przypadku innych przedsiębiorstw i istnieje większe prawdopodobieństwo, że będzie to stanowić nieproporcjonalną część ich kosztów. Znaczny udział kosztów ponoszonych przez mikroprzedsiębiorstwa wiąże się z uzupełnianiem lub prowadzeniem dokumentacji i rejestrów potwierdzających, że przestrzegają one poszczególnych wymogów określonych w prawie Unii. Wszystkie podmioty gospodarcze objęte zakresem stosowania niniejszej dyrektywy powinny móc oceniać proporcjonalność obciążenia, jakim jest dla nich spełnienie wymogów dostępności określonych w niniejszej dyrektywie, i powinny spełniać te wymogi wyłącznie w zakresie, w jakim obciążenie to nie jest nieproporcjonalne, jednak wymaganie takiej oceny od mikroprzedsiębiorstw świadczących usługi samo w sobie stanowi nieproporcjonalne obciążenie. Wymogi i obowiązki określone w niniejszej dyrektywie nie powinny zatem mieć zastosowania do mikroprzedsiębiorstw świadczących usługi objęte zakresem stosowania niniejszej dyrektywy.

(71)

W odniesieniu do mikroprzedsiębiorstw mających do czynienia z produktami objętymi zakresem stosowania niniejszej dyrektywy wymogi i obowiązki określone w niniejszej dyrektywie powinny być złagodzone, tak by ograniczyć obciążenie administracyjne.

(72)

Mimo że niektóre mikroprzedsiębiorstwa są zwolnione z obowiązków przewidzianych w niniejszej dyrektywie, wszystkie mikroprzedsiębiorstwa powinny być zachęcane do produkowania, przywozu lub dystrybucji produktów oraz świadczenia usług, które spełniają wymogi dostępności określone w niniejszej dyrektywie, tak by zwiększyć ich konkurencyjność oraz ich potencjał wzrostu na rynku wewnętrznym. Dlatego też państwa członkowskie powinny zapewnić mikroprzedsiębiorstwom wytyczne i narzędzia, aby ułatwić stosowanie krajowych środków transponujących niniejszą dyrektywę.

(73)

Wszystkie podmioty gospodarcze powinny przy udostępnianiu na rynku lub wprowadzaniu produktów do obrotu lub świadczeniu usług na rynku postępować odpowiedzialnie i w pełnej zgodności z mającymi zastosowanie wymogami prawnymi.

(74)

W celu ułatwienia oceny zgodności z mającymi zastosowanie wymogami dostępności należy przewidzieć domniemanie zgodności produktów i usług zgodnych z dobrowolnymi normami zharmonizowanymi przyjmowanymi zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 1025/2012 (19), w celu sporządzenia szczegółowych specyfikacji technicznych związanych z tymi wymogami. Komisja opublikowała już szereg skierowanych do europejskich organizacji normalizacyjnych wniosków o normalizację w dziedzinie dostępności, takich jak zlecenia normalizacji M/376, M/473 i M/420, które byłyby istotne dla przygotowania norm zharmonizowanych.

(75)

Rozporządzenie (UE) nr 1025/2012 ustanawia procedurę formalnych zastrzeżeń do norm zharmonizowanych uznanych za niespełniające wymogów określonych w niniejszej dyrektywie.

(76)

Europejskie normy powinny być oparte na zasadach rynkowych, uwzględniać interes publiczny, a także cele polityki jasno określone we wnioskach o opracowanie norm zharmonizowanych kierowanych przez Komisję do jednej lub kilku europejskich organizacji normalizacyjnych, a także powinny opierać się na konsensusie. W przypadku braku norm zharmonizowanych lub gdy jest to konieczne do celów harmonizacji rynku wewnętrznego Komisja powinna mieć możliwość przyjmowania w niektórych przypadkach aktów wykonawczych ustanawiających specyfikacje techniczne dotyczące określonych w niniejszej dyrektywie wymogów dostępności. Do specyfikacji technicznych należy odwoływać się wyłącznie w takich przypadkach. Komisja powinna mieć możliwość przyjmowania specyfikacji technicznych, na przykład jeżeli proces normalizacji jest zablokowany z powodu braku konsensusu pomiędzy interesariuszami lub występują nieuzasadnione opóźnienia w ustanawianiu normy zharmonizowanej, przykładowo z powodu nieosiągnięcia wymaganej jakości. Komisja powinna przewidzieć wystarczająco dużo czasu między przyjęciem skierowanego do jednej lub kilku europejskich organizacji normalizacyjnych wniosku o opracowanie norm zharmonizowanych a przyjęciem specyfikacji technicznej związanej z tym samym wymogiem dostępności. Komisja nie powinna mieć możliwości przyjęcia specyfikacji technicznej, jeżeli uprzednio nie podjęła próby objęcia wymogów dostępności europejskim systemem normalizacji, chyba że może wykazać, iż specyfikacje techniczne spełniają wymagania określone w załączniku II do rozporządzenia (UE) nr 1025/2012.

(77)

W celu ustanowienia norm zharmonizowanych i specyfikacji technicznych, które najskuteczniej spełniają określone w niniejszej dyrektywie wymogi dostępności produktów i usług, Komisja powinna w miarę możliwości angażować w ten proces europejskie organizacje patronackie reprezentujące osoby z niepełnosprawnościami oraz wszystkich pozostałych interesariuszy.

(78)

Aby zapewnić skuteczny dostęp do informacji do celów nadzoru rynku, informacje niezbędne do zadeklarowania zgodności ze wszystkimi mającymi zastosowanie aktami prawnymi Unii powinny zostać udostępnione w pojedynczej deklaracji zgodności UE. W celu zmniejszenia obciążenia administracyjnego podmiotów gospodarczych, podmioty te powinny mieć możliwość uwzględnienia wszystkich odpowiednich poszczególnych deklaracji zgodności w jednej unijnej deklaracji zgodności.

(79)

Aby umożliwić ocenę zgodności produktów, w niniejszej dyrektywie powinna być przewidziana wewnętrzna kontrola produkcji (moduł A), określona w załączniku II do decyzji nr 768/2008/WE, ponieważ daje ona podmiotom gospodarczym możliwość wykazania że, a właściwym organom zapewnienia, aby produkty udostępniane na rynku spełniały wymogi dostępności, nie nakładając jednocześnie nieuzasadnionego obciążenia.

(80)

Prowadząc nadzór rynku produktów i sprawdzając zgodność usług, organy powinny również kontrolować, czy oceny zgodności, w tym, w stosownych przypadkach, ocena dotycząca zasadniczej zmiany lub nieproporcjonalnego obciążenia zostały przeprowadzone prawidłowo. Wykonując swoje zadania, organy te powinny również współpracować z osobami z niepełnosprawnościami i organizacjami, które reprezentują takie osoby i ich interesy.

(81)

W przypadku usług informacje niezbędne do oceny zgodności z wymogami dostępności określonymi w niniejszej dyrektywie powinny zostać zawarte w ogólnych warunkach lub w równoważnym dokumencie, bez uszczerbku dla dyrektywy Parlamentu Europejskiego i Rady 2011/83/UE (20).

(82)

Oznakowanie CE, wskazujące na zgodność produktu z określonymi w niniejszej dyrektywie wymogami dostępności, jest widoczną konsekwencją całego procesu obejmującego ocenę zgodności w szerokim znaczeniu. Niniejsza dyrektywa powinna być zgodna z ogólnymi zasadami regulującymi oznakowanie CE, określonymi w rozporządzeniu Parlamentu Europejskiego i Rady (WE) nr 765/2008 (21) ustanawiającym wymagania w zakresie akredytacji i nadzoru rynku odnoszące się do warunków wprowadzania produktów do obrotu. Oprócz sporządzenia deklaracji zgodności UE producent powinien w sposób racjonalny pod względem kosztów informować konsumentów o spełnianiu wymogów dostępności przez swoje produkty.

(83)

Zgodnie z rozporządzeniem (WE) nr 765/2008 przez umieszczenie na produkcie oznakowania CE producent deklaruje zgodność danego produktu z wszystkimi mającymi zastosowanie wymogami dostępności, biorąc tym samym na siebie pełną odpowiedzialność za tę zgodność.

(84)

Zgodnie z decyzją nr 768/2008/WE państwa członkowskie są odpowiedzialne za zapewnienie dla produktów na swoim terytorium zdecydowanego i skutecznego nadzoru rynku i powinny przyznać organom nadzoru rynku wystarczające uprawnienia i środki.

(85)

Państwa członkowskie powinny sprawdzać zgodność usług z obowiązkami określonymi w niniejszej dyrektywie i rozpatrywać skargi oraz zapoznawać się ze sprawozdaniami opisującymi przypadki niezgodności w celu zapewnienia działań naprawczych.

(86)

W stosownych przypadkach Komisja mogłaby przyjąć w porozumieniu z interesariuszami niewiążące wytyczne, aby wspierać koordynację między organami nadzoru rynku a organami odpowiedzialnymi za sprawdzanie zgodności usług. Komisja i państwa członkowskie powinny móc ustanowić inicjatywy w celu dzielenia zasobów i wiedzy fachowej organów.

(87)

Państwa członkowskie powinny zapewnić, aby organy nadzoru rynku i organy odpowiedzialne za sprawdzanie zgodności usług kontrolowały spełnianie przez podmioty gospodarcze kryteriów określonych w załączniku VI, zgodnie z rozdziałami VIII i IX. Do wypełniania przewidzianych w niniejszej dyrektywie obowiązków organów nadzoru rynku lub organów odpowiedzialnych za kontrolę zgodności usług państwa członkowskie powinny móc wyznaczyć wyspecjalizowany organ. Państwa członkowskie powinny móc zdecydować, że kompetencje takiego wyspecjalizowanego organu powinny ograniczać się do zakresu stosowania niniejszej dyrektywy lub niektórych jej części, bez uszczerbku dla zobowiązań państw członkowskich wynikających z rozporządzenia (WE) nr 765/2008.

(88)

Należy ustanowić procedurę ochronną, która powinna mieć zastosowanie w przypadku braku między państwami członkowskimi zgody co do środków wprowadzanych przez jedno z nich, w ramach której to procedury zainteresowane strony będą informowane o środkach, które mają zostać wprowadzone w odniesieniu do dostępności produktów niespełniających wymogów dostępności określonych w niniejszej dyrektywie. Procedura ochronna powinna umożliwiać organom nadzoru rynku podejmowanie w odniesieniu do takich produktów – we współpracy z odpowiednimi podmiotami gospodarczymi – działań na wcześniejszym etapie.

(89)

W przypadku gdy państwa członkowskie i Komisja osiągną porozumienie co do zasadności określonego środka wprowadzonego przez dane państwo członkowskie, dalsze zaangażowanie Komisji nie powinno być wymagane z wyjątkiem przypadków, w których niezgodność można przypisać niedociągnięciom w normach zharmonizowanych lub specyfikacjach technicznych.

(90)

Dyrektywy Parlamentu Europejskiego i Rady 2014/24/UE (22) i 2014/25/UE (23) w sprawie zamówień publicznych, określające procedury udzielania zamówień publicznych i konkursów odnośnie do niektórych dostaw (produktów), usług i robót budowlanych, stanowią, że w przypadku wszystkich zamówień, które przeznaczone są do użytku osób fizycznych – zarówno ogółu społeczeństwa, jak i pracowników instytucji zamawiającej lub podmiotu zamawiającego – przedmiotowe specyfikacje techniczne sporządza się, z wyjątkiem przypadków należycie uzasadnionych, w taki sposób, aby uwzględnić kryteria dostępności dla osób niepełnosprawnych lub projektowanie dla wszystkich użytkowników. Co więcej, dyrektywy te wymagają, by w przypadku gdy obowiązkowe wymogi w zakresie dostępności są przyjmowane w formie aktu prawnego Unii, specyfikacje techniczne określano – jeżeli chodzi o kryteria dostępności dla osób z niepełnosprawnościami lub projektowanie dla wszystkich – przez odesłanie do tego aktu. Niniejsza dyrektywa powinna ustanowić obowiązkowe wymogi dostępności produktów i usług, które są nią objęte. Wymogi dostępności określone w niniejszej dyrektywie nie są wiążące w odniesieniu do produktów i usług nieobjętych jej zakresem stosowania. Niemniej jednak stosowanie tych wymogów dostępności w celu wywiązania się z odpowiednich obowiązków określonych w aktach Unii innych niż niniejsza dyrektywa ułatwiłoby tworzenie warunków dostępności i przyczyniłoby się do pewności prawa oraz do zbliżenia wymogów dostępności w obrębie Unii. Organom nie należy uniemożliwiać ustanawiania wymogów dostępności wykraczających poza wymogi dostępności określone w załączniku I do niniejszej dyrektywy.

(91)

Niniejsza dyrektywa nie powinna zmieniać obowiązkowego lub dobrowolnego charakteru przepisów dotyczących dostępności przewidzianych innymi aktami Unii.

(92)

Niniejsza dyrektywa powinna mieć zastosowanie wyłącznie do procedur zamówień, w przypadku których zaproszenie zostało wysłane lub – gdy nie przewiduje się zaproszeń – w przypadku których instytucja zamawiająca lub podmiot zamawiający rozpoczęli procedurę udzielania zamówienia po dacie rozpoczęcia stosowania niniejszej dyrektywy.

(93)

Aby zapewnić odpowiednie stosowanie niniejszej dyrektywy, należy przekazać Komisji uprawnienia do przyjmowania zgodnie z art. 290 TFUE aktów w celu: sprecyzowania wymogów dostępności, które ze względu na swój charakter nie mogą przynieść zamierzonego skutku, o ile nie zostaną sprecyzowane w wiążących aktach prawnych Unii; zmiany okresu, w którym podmiot gospodarczy musi mieć możliwość zidentyfikowania innego podmiotu gospodarczego, który dostarczył mu produkt lub któremu on dostarczył produkt; oraz dalszego sprecyzowania odpowiednich kryteriów, które powinny być brane pod uwagę przez podmiot gospodarczy do oceny, czy spełnienie wymogów dostępności stanowiłoby nieproporcjonalne obciążenie. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa (24). W szczególności, aby zapewnić udział na równych zasadach Parlamentu Europejskiego i Rady w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.

(94)

W celu zapewnienia jednolitych warunków wykonywania niniejszej dyrektywy należy powierzyć Komisji uprawnienia wykonawcze w odniesieniu do ustanowienia specyfikacji technicznych. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 (25).

(95)

Państwa członkowskie powinny zapewnić istnienie właściwych i skutecznych środków służących zapewnieniu zgodności z niniejszą dyrektywą i w związku z tym powinny ustanowić odpowiednie mechanizmy kontroli, takie jak kontrola a posteriori przez organy nadzoru rynku, w celu sprawdzenia, czy zwolnienie ze stosowania wymogów dostępności jest uzasadnione. Podczas rozpatrywania skarg dotyczących dostępności państwa członkowskie powinny przestrzegać ogólnej zasady dobrej administracji, a w szczególności obowiązku zapewnienia przez urzędników, by decyzja w każdej sprawie zapadała w rozsądnym terminie.

(96)

W celu ułatwienia jednolitego wykonania niniejszej dyrektywy Komisja powinna ustanowić grupę roboczą składającą się z odpowiednich organów i interesariuszy, tak by usprawnić wymianę informacji i najlepszych praktyk oraz zapewnić doradztwo. Należy rozwijać współpracę między organami i odpowiednimi interesariuszami, w tym z osobami z niepełnosprawnościami i organizacjami reprezentującymi takie osoby, między innymi w celu zwiększenia spójności w stosowaniu niniejszej dyrektywy w odniesieniu do wymogów dostępności oraz monitorowania wdrażania jej przepisów dotyczących zasadniczych zmian i nieproporcjonalnego obciążenia.

(97)

Biorąc pod uwagę obowiązujące ramy prawne dotyczące środków odwoławczych w obszarach objętych zakresem stosowania dyrektyw 2014/24/UE i 2014/25/UE, przepisy niniejszej dyrektywy dotyczące egzekwowania przepisów i dotyczące sankcji nie powinny mieć zastosowania do procedur udzielania zamówień podlegających obowiązkom przewidzianym w niniejszej dyrektywie. Wyłączenie takie pozostaje bez uszczerbku dla wynikających z Traktatów obowiązków podejmowania przez państwa członkowskie wszelkich środków niezbędnych do zagwarantowania stosowania i skuteczności prawa Unii.

(98)

Sankcje powinny być odpowiednie do charakteru naruszeń, jak i do okoliczności, tak by nie stały się alternatywą dla spełnienia przez podmioty gospodarcze obowiązku zapewnienia dostępności ich produktów lub usług.

(99)

Państwa członkowskie powinny zapewnić, by zgodnie z obowiązującymi przepisami prawa Unii istniała możliwość skorzystania z alternatywnych mechanizmów rozstrzygania sporów w celu rozstrzygnięcia każdego domniemanego przypadku niezgodności z niniejszą dyrektywą, zanim wszczęte zostanie postępowanie przed sądem lub właściwym organem administracyjnym.

(100)

Zgodnie ze wspólną deklaracją polityczną państw członkowskich i Komisji z dnia 28 września 2011 r. dotyczącą dokumentów wyjaśniających (26) państwa członkowskie zobowiązały się do zapewnienia, w uzasadnionych przypadkach, by powiadomieniu o środkach transpozycji towarzyszył co najmniej jeden dokument wyjaśniający związki między elementami dyrektywy a odpowiadającymi im częściami krajowych instrumentów transpozycyjnych. W odniesieniu do niniejszej dyrektywy prawodawca uznaje, że przekazanie takich dokumentów jest uzasadnione.

(101)

W celu zapewnienia usługodawcom wystarczającego czasu na dostosowanie się do wymogów określonych w niniejszej dyrektywie niezbędne jest wprowadzenie okresu przejściowego wynoszącego pięć lat od daty rozpoczęcia stosowania niniejszej dyrektywy, w którym to okresie produkty wykorzystywane do świadczenia usług wprowadzone do obrotu przed tą datą nie będą musiały spełniać wymogów dostępności określonych w niniejszej dyrektywie, chyba że zostaną one zastąpione przez usługodawców w okresie przejściowym. Biorąc pod uwagę koszt i długi cykl życia terminali samoobsługowych, należy przewidzieć możliwość, by – o ile są one wykorzystywane do świadczenia usług – można je było wykorzystywać do końca okresu ich użyteczności, o ile nie zostaną one w tym okresie zastąpione, ale nie dłużej niż przez 20 lat.

(102)

Wymogi dostępności określone w niniejszej dyrektywie powinny mieć zastosowanie do produktów wprowadzanych do obrotu i usług świadczonych po dacie rozpoczęcia stosowania krajowych środków transponujących niniejszą dyrektywę, w tym także do produktów używanych i z drugiej ręki importowanych z państwa trzeciego i wprowadzanych do obrotu po tej dacie.

(103)

Niniejsza dyrektywa nie narusza praw podstawowych i jest zgodna z zasadami uznanymi w szczególności w Karcie praw podstawowych Unii Europejskiej (zwanej dalej „Kartą”). W szczególności niniejsza dyrektywa ma na celu zapewnienie pełnego przestrzegania prawa osób z niepełnosprawnościami do korzystania ze środków mających zapewnić im niezależność, integrację społeczną i zawodową oraz udział w życiu społeczności; ma ona również na celu zachęcenie do stosowania art. 21, 25 i 26 Karty.

(104)

Z racji tego, że cel niniejszej dyrektywy, jakim jest wyeliminowanie barier dla swobodnego przepływu niektórych dostępnych produktów i usług w celu przyczynienia się do właściwego funkcjonowania rynku wewnętrznego, nie może zostać osiągnięty w wystarczający sposób przez państwa członkowskie, ponieważ wymaga harmonizacji różnych przepisów istniejących obecnie w ich systemach prawnych, ale przez określenie wspólnych wymogów dostępności i zasad funkcjonowania rynku wewnętrznego cel ten można lepiej osiągnąć na poziomie unijnym, Unia może przyjąć środki zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsza dyrektywa nie wykracza poza to, co jest konieczne do osiągnięcia tego celu,