(1)

Tendo em conta as Conclusões do Conselho de 12 de fevereiro de 2016, sobre a luta contra o financiamento do terrorismo, a Comunicação da Comissão ao Parlamento Europeu e ao Conselho de 2 de fevereiro de 2016, relativa a um Plano de Ação para reforçar a luta contra o financiamento do terrorismo, e a Diretiva (UE) 2017/541 do Parlamento Europeu e do Conselho (2), deverão ser adotadas regras comuns relativas ao comércio com países terceiros a fim de garantir a proteção efetiva contra o comércio ilícito de bens culturais e contra a sua perda ou destruição, a preservação do património cultural da humanidade e a prevenção do financiamento do terrorismo e do branqueamento de capitais através da venda de bens culturais pilhados a compradores na União.

(2)

A exploração de povos e territórios pode conduzir ao comércio ilícito de bens culturais, em particular quando o referido comércio ilícito tem origem em conflitos armados. Neste contexto, o presente regulamento deverá ter em conta as características regionais e locais dos povos e dos territórios e não o valor de mercado dos bens culturais.

(3)

Os bens culturais constituem uma parte do património cultural e são frequentemente de grande importância cultural, artística, histórica e científica. O património cultural constitui um dos elementos fundamentais da civilização tendo, nomeadamente, valor simbólico e fazendo parte da memória cultural da humanidade. Enriquece a vida cultural de todos os povos e une as pessoas através da memória partilhada, do conhecimento e do desenvolvimento da civilização. Por conseguinte, o património cultural deverá ser protegido da apropriação ilícita e da pilhagem. A pilhagem de sítios arqueológicos sempre existiu, mas atingiu agora uma escala industrial e, juntamente com o comércio de bens culturais provenientes de escavações ilegais, é um crime grave que causa um sofrimento significativo àqueles que são direta ou indiretamente afetados. Em muitos casos, o comércio ilícito de bens culturais contribui para uma homogeneização cultural forçada ou a perda forçada de identidade cultural, ao passo que a pilhagem de bens culturais conduz, entre outras consequências, a uma desintegração das culturas. Enquanto for possível exercer um comércio lucrativo de bens culturais provenientes de escavações ilegais e obter um retorno económico sem nenhum risco significativo, essas escavações e pilhagens continuarão. Em razão do valor económico e artístico dos bens culturais, há uma grande procura no mercado internacional. A falta de medidas legislativas fortes no plano internacional e a aplicação ineficaz das medidas vigentes resultam na transferência desses bens para a economia subterrânea. A União deverá, por conseguinte, proibir a introdução no território aduaneiro da União de bens culturais exportados ilicitamente de países terceiros, com especial ênfase nos bens culturais provenientes de países terceiros afetados por conflitos armados, em particular se tais bens culturais tiverem sido comercializados ilicitamente por organizações terroristas ou outras organizações criminosas. Ainda que essa proibição geral não deva implicar controlos sistemáticos, os Estados-Membros deverão poder intervir quando receberem informações relativamente a remessas suspeitas e tomar todas as medidas adequadas para intercetar os bens culturais exportados ilicitamente.

(4)

Tendo em conta as diferentes regras em vigor nos Estados-Membros relativas à importação de bens culturais no território aduaneiro da União, deverão ser tomadas medidas, em especial para assegurar que determinadas importações de bens culturais são objeto de controlos uniformes aquando da sua entrada no território aduaneiro da União, com base nos processos, procedimentos e ferramentas administrativas existentes destinados a alcançar uma aplicação uniforme do Regulamento (UE) n.o 952/2013 do Parlamento Europeu e do Conselho (3).

(5)

A proteção de bens culturais considerados património nacional dos Estados-Membros já é abrangida pelo Regulamento (CE) n.o 116/2009 do Conselho (4) e pela Diretiva 2014/60/UE do Parlamento Europeu e do Conselho (5). Por conseguinte, o presente regulamento não deverá aplicar-se a bens culturais que foram criados ou descobertos no território aduaneiro da União. As regras comuns introduzidas pelo presente regulamento deverão prever o tratamento aduaneiro dos bens culturais de fora da União que entram no território aduaneiro da União. Para efeitos do presente regulamento, o território aduaneiro relevante deverá ser o território aduaneiro da União no momento da importação.

(6)

As medidas de controlo a instaurar relativas às zonas francas e aos chamados «portos francos» deverão ter um âmbito de aplicação tão amplo quanto possível em termos dos regimes aduaneiros em causa para prevenir a evasão ao disposto no presente regulamento através da exploração dessas zonas francas, que têm o potencial para serem usadas para a proliferação contínua do comércio ilícito. Essas medidas de controlo deverão, por conseguinte, não só dizer respeito aos bens culturais introduzidos em livre prática, mas também aos bens culturais sujeitos a um regime aduaneiro especial. No entanto, o âmbito de aplicação não deverá ir além do objetivo de impedir a entrada no território aduaneiro da União de bens culturais exportados ilicitamente. Por conseguinte, embora abranjam a introdução em livre prática e alguns dos regimes aduaneiros especiais aos quais os bens que entram no território aduaneiro da União podem ser sujeitos, as medidas de controlo sistemático deverão excluir o trânsito.

(7)

Muitos países terceiros e a maior parte dos Estados-Membros estão familiarizados com as definições nas utilizadas na Convenção da UNESCO relativa às Medidas a Adotar para Proibir e Impedir a Importação, a Exportação e a Transferência Ilícitas da Propriedade de Bens Culturais, assinada em Paris em 14 de novembro de 1970 («Convenção da UNESCO de 1970»), na qual um número significativo de Estados-Membros são parte, e na Convenção UNIDROIT sobre os Bens Culturais Roubados ou Exportados Ilicitamente, assinada em Roma em 24 de junho de 1995. Por essa razão, as definições utilizadas no presente regulamento baseiam-se nessas outras definições.

(8)

A legalidade das exportações de bens culturais deverá ser principalmente analisada com base nas disposições legislativas e regulamentares do país onde esses bens culturais foram criados ou descobertos. No entanto, para não entravar de forma excessiva o comércio legítimo, quem pretender importar bens culturais para o território aduaneiro da União deverá, em certos casos, ter excecionalmente a possibilidade de demonstrar em vez disso que os bens culturais foram exportados de forma lícita de um país terceiro diferente do país em que se encontravam antes de serem enviados para a União. Tal exceção deverá ser aplicável nos casos em que não for possível determinar de modo fiável o país em que os bens culturais foram criados ou descobertos ou quando a exportação dos bens culturais em questão tiver tido lugar antes de a Convenção da UNESCO de 1970 ter entrado em vigor, a saber, em 24 de abril de 1972. A fim de evitar a evasão ao disposto no presente regulamento mediante o simples envio de bens culturais exportados ilicitamente para outro país terceiro antes de os importar para a União, as referidas exceções deverão ser aplicáveis se os bens culturais tiverem estado localizados num país terceiro durante um período superior a cinco anos para fins diferentes da utilização temporária, do trânsito, da reexportação e do transbordo. Se estas condições forem cumpridas em mais do que um país, o país pertinente deverá ser o último desses países antes da introdução dos bens culturais no território aduaneiro da União.

(9)

O artigo 5.o da Convenção da Unesco de 1970 exorta os Estados que são Partes a criarem um ou mais serviços nacionais para a proteção contra a importação, exportação e transferência da propriedade ilícitas de bens culturais. Tais serviços nacionais deverão ser dotados de pessoal qualificado em número suficiente para assegurar essa proteção em conformidade com a referida Convenção, e deverão possibilitar a necessária colaboração ativa entre as autoridades competentes dos Estados Membros que são Partes nessa Convenção no domínio da segurança e da luta contra a importação ilegal de bens culturais, sobretudo provenientes de zonas afetadas por conflitos armados.

(10)

A fim de não impedir de forma desproporcionada o comércio de bens culturais nas fronteiras externas da União, o presente regulamento deverá aplicar-se apenas aos bens culturais acima de um determinado limite de idade, o qual é estabelecido pelo presente regulamento. Parece também adequado que o presente regulamento estabeleça um limiar financeiro a fim de excluir os bens culturais de baixo valor da aplicação das condições e dos procedimentos de importação para o território aduaneiro da União. Esses limiares assegurarão que as medidas previstas no presente regulamento incidem sobre os bens culturais mais suscetíveis de serem alvo de pilhagem em zonas de conflito, sem excluir outros bens cujo controlo é necessário para garantir a proteção do património cultural.

(11)

O comércio ilícito de bens culturais pilhados foi identificado como uma possível fonte de financiamento do terrorismo e de branqueamento de capitais no contexto da avaliação supranacional dos riscos de branqueamento de capitais e de financiamento do terrorismo que afetam o mercado interno.

(12)

Uma vez que determinadas categorias de bens culturais, a saber, objetos arqueológicos e elementos de monumentos, são particularmente vulneráveis a pilhagem e destruição, afigura-se necessário prever um sistema de maior controlo antes de serem autorizados a entrar no território aduaneiro da União. Um sistema desse tipo deverá exigir a apresentação de uma licença de importação emitida pela autoridade competente de um Estado-Membro antes da introdução em livre prática desses bens culturais na União ou a sua sujeição a um regime aduaneiro especial distinto do trânsito. Quem pretender obter tal licença deverá poder comprovar a exportação lícita a partir do país onde os bens culturais foram criados ou descobertos com os documentos de apoio e elementos de prova adequados, como certificados de exportação, títulos de propriedade, faturas, contratos de venda, documentos de seguros, documentos de transporte e avaliações de peritos. Com base nos pedidos completos e exatos, as autoridades competentes dos Estados-Membros deverão decidir se emitem ou não uma licença sem demora injustificada. Todas as licenças de importação deverão ser armazenadas num sistema eletrónico.

(13)

Um ícone é qualquer representação de uma figura religiosa ou um evento religioso. Pode ser produzido em vários meios e tamanhos, podendo ser monumental ou portátil. Nos casos em que um ícone fez anteriormente parte, por exemplo, do interior de uma igreja, um mosteiro, uma capela, tanto isoladamente como integrado em elementos arquitetónicos, por exemplo os iconóstases ou os suportes para ícones, o ícone é uma parte vital e inseparável do culto divino e da vida litúrgica e deverá ser considerado parte integrante de um monumento religioso que foi desmembrado. Mesmo nos casos em que o monumento específico ao qual o ícone pertencia seja desconhecido, mas em que existam provas de que fazia parte integrante de um monumento, especialmente quando estiverem presentes sinais ou elementos que indiquem que fazia parte de um iconóstase ou de um suporte para ícones, o ícone deverá continuar a ser abrangido pela categoria «elementos de monumentos artísticos ou históricos ou de sítios arqueológicos que foram desmembrados», enumerados no anexo.

(14)

Tendo em conta a natureza específica destes bens culturais, o papel das autoridades aduaneiras é extremamente importante e as referidas autoridades deverão poder, se necessário, exigir informações complementares ao declarante e proceder a uma análise dos bens culturais através da realização de um exame físico.

(15)

Para as categorias de bens culturais cuja importação não exige uma licença de importação, as pessoas que pretendam importá-los para o território aduaneiro da União deverão, por meio de uma declaração, certificar e assumir a responsabilidade pela sua exportação lícita do país terceiro e deverão fornecer informações suficientes para a identificação dos bens culturais em questão pelas autoridades aduaneiras. A fim de facilitar o procedimento, e por razões de segurança jurídica, as informações sobre os bens culturais deverão ser asseguradas através de um documento normalizado. A norma de identificação de objeto, recomendada pela UNESCO, poderá ser utilizada para descrever os bens culturais. O detentor dos bens deverá registar essas informações num sistema eletrónico a fim de facilitar a identificação pelas autoridades aduaneiras, de permitir a análise dos riscos e os controlos específicos e de garantir a rastreabilidade após a entrada dos bens culturais no mercado interno.

(16)

No contexto do ambiente de balcão único da UE para as alfândegas, a Comissão deverá ser responsável por criar um sistema eletrónico centralizado para a apresentação de pedidos de licenças de importação e de declarações do importador, bem como para o armazenamento e o intercâmbio de informações entre as autoridades dos Estados-Membros, em particular no que se refere às declarações do importador e às licenças de importação.

(17)

Deverá ser possível que o tratamento de dados nos termos do presente regulamento também inclua os dados pessoais e esse tratamento deverá ser executado nos termos do direito da União. Os Estados-Membros e a Comissão deverão tratar dados pessoais unicamente para os fins do presente regulamento ou, em circunstâncias devidamente justificadas, para fins de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública. A recolha, divulgação, transmissão, comunicação e outro tratamento de dados pessoais no âmbito do presente regulamento deverão cumprir os requisitos dos Regulamentos (UE) 2016/679 (6) e (UE) 2018/1725 (7) do Parlamento Europeu e do Conselho. O tratamento de dados pessoais para efeitos do presente regulamento deverá também respeitar os direitos ao respeito pela vida privada e familiar, reconhecido no artigo 8.o da Convenção para a Proteção dos Direitos do Homem e das Liberdades Fundamentais do Conselho da Europa, bem como ao respeito pela vida privada e familiar e o direito à proteção dos dados pessoais reconhecidos, respetivamente, pelos artigos 7.o e 8.o da Carta dos Direitos Fundamentais da União Europeia.

(18)

Os bens culturais que não tiverem sido criados nem descobertos no território aduaneiro da União, mas que foram exportados como bens da União, não deverão ser sujeitos à apresentação de uma licença de importação nem de uma declaração do importador se forem reintroduzidos no referido território como mercadorias de retorno na aceção do Regulamento (UE) n.o 952/2013.

(19)

A importação temporária de bens culturais para fins educativos, científicos, de conservação, de restauro, de exposição, de digitalização, de artes do espetáculo, de investigação realizada por instituições académicas ou de cooperação entre museus ou instituições similares também não deverá ser sujeita à apresentação de uma licença de importação ou de uma declaração do importador.

(20)

O armazenamento de bens culturais provenientes de países afetados por conflitos armados ou por uma catástrofe natural com o único objetivo de garantir a sua guarda e preservação por uma autoridade pública, ou sob a sua supervisão, não deverá estar sujeito à apresentação de uma licença de importação ou de uma declaração do importador.

(21)

A fim de facilitar a apresentação de bens culturais em feiras de arte, não deverá ser necessária uma licença de importação se os bens culturais estiverem ao abrigo de importação temporária na aceção do artigo 250.o do Regulamento (UE) n.o 952/2013 e tiver sido apresentada uma declaração do importador em vez da licença de importação. No entanto, a apresentação de uma licença de importação é necessária caso tais bens culturais devam permanecer na União após a feira de arte.

(22)

A fim de assegurar condições uniformes para a execução do presente regulamento, deverão ser atribuídas competências de execução à Comissão para adotar disposições de execução para: os bens culturais que sejam mercadorias de retorno ou a importação temporária de bens culturais no território aduaneiro da União e para a respetiva guarda, os modelos para os pedidos de licenças de importação e formulários de licenças de importação, os modelos das declarações do importador e os respetivos documentos de acompanhamento, e outras regras processuais sobre a sua apresentação e tratamento. Além disso, deverão ser atribuídas competências de execução à Comissão para tomar disposições para a criação de um sistema eletrónico para a apresentação de pedidos de licenças de importação e de declarações do importador, para o armazenamento de informações e o intercâmbio de informações entre os Estados-Membros. Essas competências deverão ser exercidas nos termos do Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho (8).

(23)

A fim de assegurar a coordenação eficaz e evitar a duplicação de esforços sempre que organizem formações, atividades de reforço das capacidades e campanhas de sensibilização, bem como para encomendar a realização de estudos pertinentes e o desenvolvimento de normas, quando necessário, a Comissão e os Estados-Membros deverão cooperar com organizações e organismos internacionais como a UNESCO, a INTERPOL, a EUROPOL, a Organização Mundial das Alfândegas, o Centro Internacional de Estudos para a Conservação e Restauro dos Bens Culturais e o Conselho Internacional dos Museus (CIM).

(24)

As informações pertinentes sobre os fluxos comerciais de bens culturais deverão ser recolhidas e partilhadas pelos Estados-Membros e pela Comissão por via eletrónica, a fim de apoiar a aplicação eficaz do regulamento e constituir a base para a sua avaliação posterior. No interesse da transparência e do controlo público, deverá ser divulgada ao público tanta informação quanto possível. Os fluxos comerciais de bens culturais não podem ser eficazmente controlados apenas pelo seu valor ou peso. É essencial recolher informações por via eletrónica sobre o número de unidades declaradas. Uma vez que não é indicada uma unidade de medida suplementar na Nomenclatura Combinada para os bens culturais, é necessário exigir que o número de unidades seja declarado.

(25)

A estratégia e o plano de ação da UE sobre gestão dos riscos aduaneiros visa, nomeadamente, reforçar as capacidades das autoridades aduaneiras para aumentar a capacidade de resposta a riscos no domínio dos bens culturais. O quadro comum de gestão dos riscos previsto no Regulamento (UE) n.o 952/2013 deverá ser utilizado e as informações pertinentes em termos de riscos deverão ser trocadas entre as autoridades aduaneiras.

(26)

A fim de beneficiar dos conhecimentos das organizações e dos organismos internacionais que trabalham em questões culturais e da sua experiência com o comércio ilícito de bens culturais, deverão ser tomadas em consideração, para identificar os riscos relacionados com os bens culturais no quadro comum de gestão dos riscos, as recomendações e orientações por eles emitidas. Em especial, as Listas Vermelhas publicadas pelo CIM deverão servir de orientação para identificar os países terceiros cujo património está mais em risco e os objetos exportados desses países que serão mais frequentemente objeto de comércio ilícito.

(27)

É necessário criar campanhas de sensibilização dirigidas aos compradores de bens culturais sobre o risco relacionado com o comércio ilícito e ajudar os intervenientes no mercado a compreender e aplicar o presente regulamento. Na divulgação dessas informações os Estados-Membros deverão envolver os pontos de contacto nacionais pertinentes e outros serviços de prestação de informações.

(28)

A Comissão deverá assegurar que as micro, pequenas e médias empresas (PME) beneficiem de assistência técnica e financeira adequada e deverá facilitar a prestação de informações a essas empresas, tendo em vista a aplicação eficaz do presente regulamento. As PME estabelecidas na União que importam bens culturais deverão, por conseguinte, beneficiar dos programas da União atuais e futuros de apoio à competitividade das pequenas e médias empresas.

(29)

A fim de incentivar o cumprimento e de impedir a evasão, os Estados-Membros deverão introduzir sanções efetivas, proporcionadas e dissuasivas em caso de não cumprimento das disposições do presente regulamento e comunicar essas sanções à Comissão. As sanções introduzidas pelos Estados-Membros no que respeita às infrações ao presente regulamento deverão ter um efeito dissuasor equivalente em toda a União.

(30)

Os Estados-Membros deverão assegurar que as autoridades aduaneiras e as autoridades competentes chegam a acordo sobre as medidas previstas nos termos do artigo 198.o do Regulamento (UE) n.o 952/2013. Os pormenores referentes a essas medidas deverão estar sujeitos ao direito nacional.

(31)

A Comissão deverá adotar sem demora as regras de execução do presente regulamento, em especial as relativas aos formulários eletrónicos normalizados adequados a utilizar para pedir uma licença de importação ou preparar uma declaração do importador e deverá criar o sistema eletrónico posteriormente, no mais breve prazo possível. A aplicação das disposições relativas às licenças de importação e às declarações do importador deverá ser diferida em conformidade.

(32)

De acordo com o princípio da proporcionalidade, é necessário e conveniente, para alcançar os objetivos fundamentais do presente regulamento, estabelecer regras para a introdução, e condições e procedimentos para a importação, de bens culturais no território aduaneiro da União. O presente regulamento não excede o necessário para alcançar os objetivos previstos, em cumprimento do artigo 5.o, n.o 4, do Tratado da União Europeia,

(1)

As redes e os sistemas de informação e as redes e os serviços de comunicações eletrónicas desempenham um papel crucial na sociedade e tornaram-se a espinha dorsal do crescimento económico. As tecnologias da informação e comunicação (TIC) estão na base de sistemas complexos que apoiam as atividades sociais quotidianas, asseguram o funcionamento das nossas economias em setores determinantes como a saúde, a energia, as finanças e os transportes e apoiam, em especial, o funcionamento do mercado interno.

(2)

A utilização de redes e sistemas de informação por cidadãos, organizações e empresas da União é agora generalizada. A digitalização e a conectividade estão a tornar-se características centrais num número cada vez maior de produtos e serviços e, com o surgimento da Internet das coisas (IdC), espera-se que um número extremamente elevado de dispositivos digitais conectados seja implantado em toda a União durante a próxima década. Embora haja cada vez mais dispositivos conectados à Internet, a segurança e a resiliência não são suficientemente integradas na conceção, o que conduz a uma insuficiência a nível da cibersegurança. Nesse contexto, a utilização reduzida da certificação conduz à insuficiência da informação ao dispor dos utilizadores, sejam estes particulares, organizações ou empresas, sobre as características de cibersegurança dos produtos, serviços e processos de TIC, o que compromete a confiança nas soluções digitais. As redes e os sistemas de informação têm capacidade para apoiar todos os aspetos das nossas vidas e impulsionar o crescimento económico da União, constituindo a pedra angular da realização do mercado único digital.

(3)

A digitalização e conectividade crescentes acarretam maiores riscos para a cibersegurança, tornando, assim, a sociedade em geral mais vulnerável a ciberameaças e agravando os perigos que as pessoas enfrentam, nomeadamente as pessoas vulneráveis como as crianças. A fim de reduzir esses riscos, têm de ser adotadas todas as medidas necessárias para aumentar a cibersegurança na União de modo a que as redes e os sistemas de informação, as redes de comunicações e os produtos, serviços e dispositivos digitais utilizados pelos cidadãos, organizações e empresas — desde as pequenas e médias empresas (PME) na aceção da Recomendação 2003/361/CE da Comissão (4) aos operadores de infraestruturas críticas — estejam melhor protegidos das ciberameaças.

(4)

Ao disponibilizar ao público as informações relevantes, a Agência da União Europeia para a Segurança das Redes e da Informação (ENISA), criada pelo Regulamento (UE) n.o 526/2013 do Parlamento Europeu e do Conselho (5) contribui para o desenvolvimento da indústria da cibersegurança na União, em especial as PME e as empresas em fase de arranque. A ENISA deverá envidar esforços no sentido de uma cooperação mais estreita com as universidades e os organismos de investigação, a fim de contribuir para reduzir a dependência de produtos e serviços de cibersegurança de fora da União e para reforçar as cadeias de abastecimento no interior da União.

(5)

Os ciberataques aumentam e as economias e sociedades conectadas, mais vulneráveis a ciberameaças e ciberataques, requerem defesas mais robustas. No entanto, apesar de os ciberataques terem amiúde uma natureza transfronteiriça, a competência das autoridades responsáveis pela cibersegurança e pelo controlo da aplicação da lei é predominantemente nacional, bem como as ações por estas adotadas. Os incidentes em grande escala são suscetíveis de perturbar a prestação de serviços essenciais na União. Esta realidade implica uma atuação e gestão de crises efetiva e coordenada a nível da União, com base em políticas específicas e instrumentos mais abrangentes para a solidariedade e a assistência mútua a nível europeu. Além disso, é importante para os decisores políticos, para a indústria e os utilizadores que se proceda a uma avaliação regular da situação em matéria de cibersegurança e de resiliência na União, com base em dados fiáveis da União, bem como a previsões sistemáticas da evolução, dos desafios e das ameaças futuras, tanto a nível da União como a nível mundial.

(6)

Atendendo aos desafios de cibersegurança cada vez maiores que a União enfrenta, afigura-se necessário um conjunto abrangente de medidas que tenha por base ações anteriores da União e que promova objetivos que se reforcem mutuamente. Entre estes contam-se o reforço das capacidades e do grau de preparação dos Estados-Membros e das empresas, bem como melhorar a cooperação, o intercâmbio de informações e a coordenação entre Estados-Membros e instituições, órgãos e organismos da União. Além disso, atendendo à natureza transfronteiriça das ciberameaças, é necessário aumentar a nível da União as capacidades suscetíveis de complementar a ação dos Estados-Membros, designadamente em casos de crises e incidentes transfronteiriços em grande escala, tendo simultaneamente em conta a importância de manter e reforçar as capacidades nacionais de resposta a ciberameaças de qualquer escala.

(7)

São também necessários mais esforços para aumentar a sensibilização dos cidadãos, das organizações e das empresas para as questões da cibersegurança. Além disso, dado que os incidentes comprometem a confiança, nomeadamente dos consumidores, nos prestadores de serviços digitais e no próprio mercado único digital, é necessário continuar a reforçar a confiança mediante a disponibilização de informações de forma transparente sobre o nível de segurança dos produtos, processos e serviços de TIC, realçando que mesmo um nível elevado de certificação da cibersegurança não consegue garantir a total segurança de um produto, serviço ou processo de TIC. O aumento da confiança pode ser mais facilmente alcançado por meio de uma certificação a nível da União que preveja requisitos de cibersegurança e critérios de avaliação comuns nos mercados e setores nacionais.

(8)

A cibersegurança não é só uma questão relacionada com a tecnologia; o comportamento humano é igualmente importante. Por conseguinte, dever-se-á promover ativamente aquilo que se entente por «ciber-higiene», ou seja, medidas simples de rotina que, quando implementadas e aplicadas com regularidade pelos cidadãos, as organizações e as empresas, minimizam a sua exposição aos riscos decorrentes de ciberameaças.

(9)

No intuito de reforçar as estruturas de cibersegurança da União, é importante manter e desenvolver as capacidades dos Estados-Membros para responder de forma exaustiva às ciberameaças, incluindo os incidentes transfronteiriços.

(10)

As empresas e os consumidores particulares deverão dispor de informações exatas sobre o nível de garantia para o qual foi certificada a segurança dos seus produtos, serviços e processos de TIC. Ao mesmo tempo, nenhum produto ou serviço de TIC é totalmente ciberseguro e é necessário promover e dar prioridade a regras básicas de ciber-higiene. Dada a crescente disponibilidade de dispositivos da IdC, há uma gama de medidas voluntárias que o setor privado pode tomar para reforçar a confiança na segurança dos produtos, serviços e processos de TIC.

(11)

Os produtos e sistemas de TIC modernos integram e baseiam-se muitas vezes numa ou em mais tecnologias e componentes de terceiros, tais como módulos ou bibliotecas de programas informáticos ou interfaces de programação de aplicações. Esta situação, que se designa por «dependência», poderá acarretar riscos adicionais para a cibersegurança, uma vez que as vulnerabilidades existentes em componentes de terceiros também poderão afetar a segurança dos produtos, serviços e processos de TIC. Em muitos casos, a identificação e a documentação dessas dependências permite que os utilizadores finais dos produtos, serviços e processos de TIC aperfeiçoem as suas atividades de gestão dos riscos para a cibersegurança, reforçando, por exemplo, a gestão das vulnerabilidades de cibersegurança dos utilizadores, assim como os procedimentos de correção.

(12)

As organizações, os fabricantes ou os prestadores de serviços envolvidos na conceção e no desenvolvimento de produtos, serviços ou processos de TIC deverão ser incentivados a tomar medidas, nas fases iniciais de conceção e desenvolvimento, para proteger a segurança desses produtos, serviços e processos ao nível mais elevado possível, de uma tal forma que se presuma a ocorrência de ciberataques e que se preveja e minimize o seu impacto («segurança desde a conceção»). É necessário garantir a segurança ao longo da vida útil dos produtos, serviços ou processos de TIC, através de processos de conceção e desenvolvimento em evolução constante de modo a reduzir os prejuízos causados por exploração maliciosa.

(13)

As empresas, as organizações e o setor público deverão configurar os produtos, serviços ou processos de TIC por eles concebidos de forma a garantir um nível mais elevado de segurança, o que deverá assegurar que o primeiro utilizador disponha de uma configuração por defeito com definições da mais elevada segurança possível («segurança por defeito»), reduzindo assim o ónus que impende sobre os utilizadores de configurarem os produtos, serviços ou processo de TIC de forma adequada. A segurança por defeito não deverá exigir uma configuração extensa, nem conhecimentos técnicos específicos ou comportamentos não intuitivos da parte do utilizador e deverá permitir um funcionamento fácil e fiável quando implementada. Se, numa base caso a caso, em função de uma análise de risco e da facilidade de utilização, se concluir que uma tal definição por defeito não é viável, os utilizadores deverão ser alertados para optarem pela definição mais segura.

(14)

O Regulamento (CE) n.o 460/2004 do Parlamento Europeu e do Conselho (6) criou a ENISA, a fim de contribuir para a consecução dos objetivos de garantir um nível elevado e eficaz de segurança das redes e da informação na União e de desenvolver uma cultura de segurança das redes e da informação em benefício dos cidadãos, dos consumidores, das empresas e das administrações públicas. O Regulamento (CE) n.o 1007/2008 do Parlamento Europeu e do Conselho (7) prorrogou o mandato da ENISA até março de 2012. O Regulamento (UE) n.o 580/2011 do Parlamento Europeu e do Conselho (8) prorrogou novamente o mandato da Agência até 13 de setembro de 2013. O Regulamento (UE) n.o 526/2013 prorrogou o mandato da ENISA até 19 de junho de 2020.

(15)

A União já tomou medidas importantes para garantir a cibersegurança e reforçar a confiança nas tecnologias digitais. Em 2013, foi adotada a Estratégia da União Europeia para a Cibersegurança, a fim de orientar a resposta política da União às ciberameaças e aos riscos para a cibersegurança. Num esforço para melhor proteger os cidadãos em linha, a União adotou o primeiro ato legislativo no domínio da cibersegurança em 2016: a Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho (9). A Diretiva (UE) 2016/1148 estabeleceu requisitos relativos às capacidades nacionais no domínio da cibersegurança, criou os primeiros mecanismos para reforçar a cooperação estratégica e operacional entre os Estados-Membros e impôs obrigações relativas às medidas de segurança e notificações de incidentes nos setores que são vitais para a economia e a sociedade, tais como a energia, os transportes, o fornecimento e a distribuição de água potável, a banca, as infraestruturas do mercado financeiro, os cuidados de saúde, as infraestruturas digitais, bem como os prestadores de serviços digitais essenciais (motores de busca, serviços de computação em nuvem e mercados em linha).

Foi atribuída à ENISA uma função importante de apoio à execução da referida diretiva. Além disso, a luta eficaz contra a cibercriminalidade constitui uma prioridade importante da Agenda Europeia para a Segurança, o que contribui para o objetivo geral de alcançar um elevado nível de cibersegurança. Há ainda outros atos jurídicos, como o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (10) e as Diretivas 2002/58/CE (11) e (UE) 2018/1972 (12) do Parlamento Europeu e do Conselho, que também contribuem para um elevado nível de cibersegurança no mercado único digital.

(16)

Desde a adoção da Estratégia da União Europeia para a Cibersegurança, de 2013, e da última revisão do mandato da ENISA, o contexto geral de ação política alterou-se significativamente, uma vez que o ambiente mundial se tornou mais incerto e menos seguro. Com este pano de fundo e no contexto da evolução positiva da função da ENISA como ponto de referência em matéria de aconselhamento e conhecimentos especializados e como facilitadora da cooperação e do desenvolvimento de capacidades, assim como no âmbito da nova política de cibersegurança da União, é necessário rever o mandato da ENISA para estabelecer o seu papel no ecossistema alterado de cibersegurança e assegurar que contribua eficazmente para a resposta da União aos desafios de cibersegurança decorrentes do cenário de ciberameaça radicalmente transformado, para o qual, conforme se reconheceu durante a avaliação da própria ENISA, o mandato atual não é suficiente.

(17)

A ENISA criada pelo presente regulamento deverá suceder à ENISA criada pelo Regulamento (UE) n.o 526/2013. A ENISA deverá exercer as atribuições que lhe são conferidas pelo presente regulamento e pelos outros atos jurídicos da União no domínio da cibersegurança, nomeadamente disponibilizando aconselhamento e conhecimentos especializados e funcionando como um centro de informação e de conhecimentos da União. A ENISA deverá promover o intercâmbio de melhores práticas entre os Estados-Membros e as partes interessadas do setor privado, apresentando à Comissão e aos Estados-Membros sugestões de ação política, atuando como um ponto de referência para as iniciativas de política setorial da União no tocante às questões de cibersegurança e promovendo a cooperação operacional entre os Estados-Membros e entre os Estados-Membros e as instituições, órgãos e organismos da União.

(18)

No âmbito da Decisão 2004/97/CE, Euratom, tomada de comum acordo entre os representantes dos Estados-Membros reunidos a nível de Chefes de Estados ou de Governo (13), os representantes dos Estados-Membros decidiram que a ENISA ficaria sediada numa cidade da Grécia, a determinar pelo Governo grego. O Estado-Membro de acolhimento da ENISA deverá assegurar as melhores condições possíveis para o funcionamento normal e eficiente da ENISA. Para poder exercer correta e eficientemente as suas atribuições, recrutar e fixar o seu pessoal e aumentar a eficiência das suas atividades de rede, é indispensável que a ENISA esteja sediada num local adequado que ofereça, nomeadamente, ligações de transporte e serviços adequados aos cônjuges e filhos dos membros do seu pessoal. As disposições necessárias deverão ser estabelecidas num acordo entre a ENISA e o Estado-Membro de acolhimento, celebrado após aprovação do conselho de administração da ENISA.

(19)

Atendendo ao aumento dos riscos e desafios de cibersegurança que a União enfrenta, haverá que aumentar os recursos financeiros e humanos atribuídos à ENISA para refletir o reforço do seu papel e das suas atribuições, bem como a sua posição crucial no sistema das organizações que defendem o ecossistema digital da União, permitindo-lhe exercer com eficácia as atribuições que lhe são conferidas pelo presente regulamento.

(20)

A ENISA deverá desenvolver e manter um elevado nível de conhecimentos especializados e servir de ponto de referência que instaure a confiança no mercado único graças à sua independência, à qualidade do aconselhamento prestado, à qualidade das informações que divulga, à transparência dos seus procedimentos, à transparência dos seus métodos de funcionamento e à sua diligência no exercício das suas atribuições. A ENISA deverá apoiar ativamente os esforços nacionais e contribuir de forma proativa para os esforços da União, exercendo simultaneamente as suas atribuições em plena cooperação com as instituições, os órgãos e os organismos da União e com os Estados-Membros, evitando a duplicação de esforços e promovendo as sinergias. Além disso, a ENISA deverá tirar partido da cooperação com o setor privado e outras partes interessadas e dos seus contributos. Um conjunto de atribuições deverá determinar o modo como a ENISA deverá atingir os seus objetivos, permitindo-lhe ao mesmo tempo flexibilidade de funcionamento.

(21)

A fim de poder prestar um apoio adequado à cooperação operacional entre os Estados-Membros, a ENISA deverá reforçar ainda mais as suas próprias capacidades e competências a nível técnico e humano. A ENISA deverá aumentar os seus conhecimentos especializados e as suas capacidades. A ENISA e os Estados-Membros poderão, a título voluntário, desenvolver programas de destacamento de peritos nacionais para a ENISA, criando grupos de peritos e fomentando o intercâmbio de pessoal.

(22)

A ENISA deverá prestar assistência à Comissão por meio de aconselhamento, da formulação de pareceres e da realização de análises sobre todas as matérias da competência da União relacionadas com a elaboração, atualização e revisão das políticas e da legislação no domínio da cibersegurança e dos respetivos aspetos setoriais específicos, a fim de aumentar a pertinência das políticas e da legislação da União com uma vertente de cibersegurança e de permitir a aplicação coerente dessas políticas e dessa legislação. A ENISA deverá atuar como um ponto de referência de aconselhamento e conhecimentos especializados para iniciativas políticas e legislativas que envolvam questões relacionadas com a cibersegurança. A ENISA deverá informar regularmente o Parlamento Europeu sobre as suas atividades.

(23)

O núcleo público da internet aberta, ou seja, os seus principais protocolos e infraestruturas, que são um bem público mundial, assegura a principal funcionalidade da internet no seu conjunto e serve de base ao seu funcionamento normal. A ENISA deverá apoiar a segurança do núcleo público da internet aberta e a estabilidade do seu funcionamento, incluindo, entre outros, os protocolos essenciais (nomeadamente, DNS, BGP e IPv6), o funcionamento do sistema de nomes de domínio (tal como o funcionamento de todos os domínios de topo) e o funcionamento da zona de raiz.

(24)

A atribuição de base da ENISA é promover a aplicação coerente do regime jurídico aplicável, nomeadamente a execução eficaz da Diretiva (UE) 2016/1148 e de outros instrumentos jurídicos aplicáveis que contenham elementos de cibersegurança, o que é essencial para aumentar a ciber-resiliência. Atendendo à rápida evolução do cenário de ciberameaça, é evidente que os Estados-Membros devem ser apoiados através de uma abordagem mais abrangente e transversal em matéria de ação política para reforçar a ciber-resiliência.

(25)

A ENISA deverá prestar assistência aos Estados-Membros e às instituições, órgãos e organismos da União nos seus esforços para criar e reforçar as capacidades e o grau de preparação para prevenir, detetar e responder a ciberameaças e incidentes de cibersegurança e em relação à segurança das redes e dos sistemas de informação. Concretamente, a ENISA deverá apoiar o desenvolvimento e o reforço da equipa de resposta a incidentes de segurança informática (CSIRT) nacionais e da União, previstas na Diretiva (UE) 2016/1148 a fim de que estas atinjam um elevado nível comum de maturidade na União. As atividades exercidas pela ENISA que se relacionem com as capacidades operacionais dos Estados-Membros deverão apoiar ativamente as medidas por estes adotadas para dar cumprimento às obrigações que lhes incumbem por força da Diretiva (UE) 2016/1148, não devendo, pois, substituí-las.

(26)

A ENISA deverá igualmente prestar assistência no desenvolvimento e na atualização, a nível da União e, a pedido, dos Estados-Membros, de estratégias de segurança das redes e dos sistemas de informação, nomeadamente de cibersegurança, e deverá promover a divulgação dessas estratégias e acompanhar os progressos realizados na sua execução. A ENISA deverá também contribuir para dar resposta às necessidades de formação e de material de formação, inclusive dos organismos públicos, e, se se justificar, em grande medida, para «formar os formadores» com base no Quadro de Competências Digitais para os Cidadãos, no intuito de assistir os Estados-Membros e as instituições, os órgãos e organismos da União no desenvolvimento das suas próprias capacidades de formação.

(27)

A ENISA deverá apoiar os Estados-Membros nos domínios da sensibilização e da educação para a cibersegurança, facilitando o reforço da coordenação e o intercâmbio das melhores práticas entre os Estados-Membros. Esse apoio poderá consistir, nomeadamente, no desenvolvimento de uma rede de pontos de contacto nacionais em matéria de educação e de uma plataforma de formação em matéria de cibersegurança. A rede de pontos de contacto nacionais em matéria de educação poderá funcionar dentro da rede de agentes de ligação nacionais e servir de ponto de partida para a futura coordenação no interior dos Estados-Membros.

(28)

A ENISA deverá assistir o grupo de cooperação criado pela Diretiva (UE) 2016/1148 no exercício das suas atribuições, em especial fornecendo conhecimentos especializados e aconselhamento e facilitando o intercâmbio das melhores práticas, referentes, entre outros, à identificação dos operadores de serviços essenciais pelos Estados-Membros, incluindo quanto a dependências transfronteiriças, no que respeita a riscos e incidentes.

(29)

Com vista a estimular a cooperação entre o setor público e privado e dentro do setor privado, nomeadamente para apoiar a defesa de infraestruturas críticas, a ENISA deverá apoiar a partilha de informações dentro dos diferentes setores e entre eles, em particular setores enumerados no anexo II da Diretiva (UE) 2016/1148, divulgando as melhores práticas e orientações sobre os instrumentos e os procedimentos disponíveis, bem como prestando orientações sobre a forma de abordar questões regulamentares relativas à partilha de informações, designadamente facilitando a criação de centros de partilha e análise de informações a nível setorial.

(30)

Uma vez que aumenta constantemente o potencial impacto negativo das vulnerabilidades dos produtos, serviços e processos de TIC, a deteção e correção dessas vulnerabilidades é importante para reduzir o risco global de cibersegurança. Está demonstrado que a cooperação entre as organizações, os fabricantes de produtos de TIC vulneráveis, os prestadores de serviços de TIC vulneráveis e os fornecedores de processos de TIC vulneráveis e os membros da comunidade de investigação no domínio da cibersegurança, bem como os governos que detetam tais vulnerabilidades contribui significativamente para o aumento das taxas de deteção e de correção das vulnerabilidades em produtos, serviços e processos de TIC. A divulgação coordenada das vulnerabilidades consiste num processo estruturado de cooperação em que as vulnerabilidades são comunicadas ao proprietário do sistema de informação, dando a essa organização a oportunidade de diagnosticar e corrigir as vulnerabilidades antes de serem divulgadas a terceiros ou ao público informações pormenorizadas sobre essas vulnerabilidades. O processo prevê igualmente a coordenação entre a entidade que deteta as vulnerabilidades e a organização, no que diz respeito à publicação dessas vulnerabilidades. A existência de processos de gestão da divulgação coordenada das vulnerabilidades pode desempenhar um papel importante nos esforços dos Estados-Membros para reforçar a cibersegurança.

(31)

A ENISA deverá agregar e analisar relatórios nacionais partilhados a título voluntário das CSIRT e da equipa de resposta a emergências informáticas para as instituições, órgãos e organismos da UE, criada pelo Acordo entre o Parlamento Europeu, o Conselho Europeu, o Conselho da União Europeia, a Comissão Europeia, o Tribunal de Justiça da União Europeia, o Banco Central Europeu, o Tribunal de Contas Europeu, o Serviço Europeu para a Ação Externa, o Comité Económico e Social Europeu, o Comité das Regiões Europeu e o Banco Europeu de Investimento sobre a organização e o funcionamento de uma equipa de resposta a emergências informáticas das instituições, órgãos e organismos da União (CERT-UE) (14) com o objetivo de contribuir para criar procedimentos, linguagem e terminologia comuns para o intercâmbio de informações. Nesse contexto, a ENISA deverá envolver o setor privado, no âmbito da Diretiva (UE) 2016/1148 que estabelece os fundamentos para o intercâmbio voluntário de informações técnicas a nível operacional no âmbito da rede de equipas de resposta a incidentes de segurança informática («rede de CSIRT») criada pela referida diretiva.

(32)

A Agência deverá contribuir para uma resposta a nível da União, em caso de crise e incidentes transfronteiriços em grande escala relacionados com a cibersegurança. Esta atribuição deverá ser exercida de acordo com o mandato da ENISA, nos termos do presente regulamento, e segundo uma abordagem a ser definida pelos Estados-Membros no contexto da Recomendação (UE) 2017/1584 da Comissão (15) e das Conclusões do Conselho de 26 de junho de 2018 sobre a resposta coordenada da União a incidentes e crises de cibersegurança de grande escala. Essa atribuição poderá abranger a recolha de informações relevantes e a atividade de facilitação entre a rede de CSIRT, a comunidade técnica e os decisores políticos responsáveis pela gestão de crises. Além disso, a ENISA deverá apoiar a cooperação operacional entre os Estados-Membros, a pedido de um ou mais Estados-Membros, no tratamento de incidentes de uma perspetiva técnica, através da facilitação do intercâmbio de soluções técnicas pertinentes entre Estados-Membros e de contribuições para a comunicação com o público. A ENISA deverá apoiar a cooperação operacional testando modalidades dessa cooperação por meio de exercícios regulares de cibersegurança.

(33)

Ao prestar apoio à cooperação operacional, a ENISA deverá recorrer aos conhecimentos especializados de natureza técnica e operacional da CERT-UE mediante uma cooperação estruturada. Essa cooperação estruturada poderá basear-se nos conhecimentos especializados da ENISA. Sempre que pertinente, deverão ser acordadas entre as duas organizações as disposições adequadas para definir o modo de pôr em prática essa cooperação e evitar a duplicação de atividades.

(34)

Em consonância com a sua atribuição de prestar apoio à cooperação operacional no âmbito da rede de CSIRT, a ENISA deverá estar apta a prestar apoio aos Estados-Membros, a pedido destes, nomeadamente aconselhando-os sobre a forma de reforçarem as suas capacidades de prevenção, deteção e resposta a incidentes, facilitando o tratamento técnico de incidentes com um impacto significativo ou substancial ou assegurando a análise de ciberameaças e incidentes. A ENISA deverá facilitar o tratamento técnico de incidentes com um impacto significativo ou substancial, em particular, apoiando a partilha voluntária de soluções técnicas entre os Estados-Membros ou produzindo informações técnicas combinadas, designadamente soluções técnicas partilhadas pelos Estados-Membros a título voluntário. A Recomendação (UE) 2017/1584 recomenda que os Estados-Membros cooperem de boa-fé e partilhem entre si e com a ENISA, sem atrasos injustificados, informações sobre incidentes e crises em grande escala relacionados com a cibersegurança. Essas informações deveriam ajudar a ENISA no exercício das suas atribuições de apoio à cooperação operacional.

(35)

Como parte da cooperação regular a nível técnico para apoiar o conhecimento da situação na União, a ENISA deverá, em estreita colaboração com os Estados-Membros, elaborar regularmente um relatório aprofundado sobre a situação técnica da cibersegurança na União quanto a incidentes e ciberameaças, baseando-se em informações publicamente disponíveis, nas suas próprias análises e em relatórios com ela partilhados pelas CSIRT dos Estados-Membros ou pelos pontos de contacto únicos nacionais para a segurança das redes e dos sistemas de informação (a seguir designados «ponto de contacto único») previstos na Diretiva (UE) 2016/1148, ambos numa base voluntária, pelo Centro Europeu da Cibercriminalidade (EC3) da Europol, pela CERT-UE e, se pertinente, pelo Centro de Situação e de Informações da UE (INTCEN) do Serviço Europeu para a Ação Externa. O referido relatório deverá ser disponibilizado ao Conselho, à Comissão, ao Alto Representante da União para os Negócios Estrangeiros e a Política de Segurança e à rede de CSIRT.

(36)

O apoio prestado pela ENISA, a pedido dos Estados-Membros em causa, em inquéritos técnicos ex post a incidentes com impacto significativo ou substancial deverá concentrar-se na prevenção de futuros incidentes. Os Estados-Membros em causa deverão fornecer as informações e a assistência necessárias para que a ENISA possa apoiar eficazmente o inquérito técnico ex post.

(37)

Os Estados-Membros poderão convidar as empresas afetadas pelo incidente a cooperarem mediante o fornecimento das informações e da assistência necessárias à ENISA, sem prejuízo do seu direito de protegerem as informações comercialmente sensíveis e as informações relevantes para a segurança pública.

(38)

Para compreender melhor os desafios no domínio da cibersegurança, e com vista a prestar aconselhamento estratégico de longo prazo aos Estados-Membros e às instituições, aos órgãos e organismos da União, a ENISA necessita de analisar os riscos atuais e emergentes para a cibersegurança. Para o efeito, a ENISA deverá, em cooperação com os Estados-Membros e, se pertinente, com institutos de estatística e outros organismos, recolher informações relevantes publicamente disponíveis ou partilhadas a título voluntário, analisar tecnologias emergentes e fornecer avaliações dos tópicos específicos sobre o possível impacto societal, jurídico, económico e regulamentar das inovações tecnológicas sobre a segurança das redes e da informação, nomeadamente sobre a cibersegurança. Além disso, a ENISA deverá apoiar os Estados-Membros e as instituições, órgãos e organismos da União na identificação dos riscos emergentes para a cibersegurança e na prevenção dos incidentes, mediante a análise das ciberameaças, das vulnerabilidades e dos incidentes.

(39)

A fim de aumentar a resiliência da União, a ENISA deverá desenvolver conhecimentos especializados no domínio da cibersegurança das infraestruturas, designadamente, em apoio dos setores enumerados no anexo II da Diretiva (UE) 2016/1148 e das infraestruturas que são utilizadas pelos prestadores dos serviços digitais enumerados no anexo III da mesma diretiva, prestando aconselhamento, emitindo orientações e procedendo ao intercâmbio das melhores práticas. Com vista a assegurar um acesso mais fácil a informações mais bem estruturadas sobre os riscos para a cibersegurança e as eventuais soluções, a ENISA deverá desenvolver e manter o «polo de informação» da União, um portal único que preste ao público informações sobre cibersegurança provenientes das instituições, dos órgãos e dos organismos da União e nacionais. Facilitar o acesso a informações mais bem estruturadas sobre os riscos para a cibersegurança e as eventuais soluções também pode ajudar os Estados-Membros a reforçar as suas capacidades e alinhar as suas práticas, aumentando, assim, a sua resiliência geral aos ciberataques.

(40)

A ENISA deverá contribuir para a sensibilização do público para os riscos para a cibersegurança, incluindo através de uma campanha de sensibilização a nível da União promovendo a educação, e deverá fornecer orientações destinadas aos cidadãos, às organizações e às empresas sobre as boas práticas para utilizadores individuais. A ENISA deverá também contribuir para promover as melhores práticas e soluções, incluindo a ciber-higiene e a ciberliteracia, a nível dos cidadãos, organizações e empresas, recolhendo e analisando informações publicamente disponíveis relativas a incidentes importantes e coligindo e publicando relatórios e orientações destinados aos cidadãos, às organizações e às empresas, a fim de a melhorar o seu nível geral de preparação e resiliência. A ENISA deverá igualmente procurar prestar aos consumidores informações pertinentes sobre os sistemas de certificação aplicáveis, por exemplo, emitindo orientações e recomendações. Além disso, a ENISA deverá organizar, em conformidade com o Plano de Ação para a Educação Digital criado pela Comunicação da Comissão de 17 de janeiro de 2018, e em cooperação com os Estados-Membros e as instituições, órgãos e organismos da União, ações de sensibilização e campanhas públicas de informação regulares destinadas aos utilizadores finais, a fim de promover comportamentos individuais em linha mais seguros e a literacia digital, de sensibilizar para as potenciais ciberameaças, incluindo atividades criminosas em linha, como os ataques de mistificação da interface (phishing), as redes de computadores infetados (botnets), as fraudes financeiras e bancárias e a falsificação de dados, e de prestar aconselhamento básico, sobre a autenticação multifatores, o patching, a cifragem, a anonimização e a proteção de dados.

(41)

A ENISA deverá desempenhar um papel central na rápida sensibilização dos utilizadores finais para a segurança dos dispositivos e para uma utilização segura dos serviços, e deverá promover, a nível da União, a segurança desde a conceção e a privacidade desde a conceção. Na consecução deste objetivo, a ENISA deverá recorrer às melhores práticas e experiências disponíveis, especialmente de instituições académicas e investigadores no domínio da segurança informática.

(42)

A fim de apoiar as empresas que operam no setor da cibersegurança, bem como os utilizadores de soluções de cibersegurança, a ENISA deverá desenvolver e manter um «observatório do mercado» mediante a realização de análises regulares e a divulgação das principais tendências no mercado da cibersegurança, tanto do lado da procura como da oferta.

(43)

A ENISA deverá contribuir para os esforços da União para cooperar com organizações internacionais, bem como no âmbito de quadros de cooperação internacional relevantes no domínio da cibersegurança. Em particular, a ENISA deverá, quando se justificar, contribuir para a cooperação com organizações como a OCDE, a OSCE e a OTAN. Tal cooperação poderá compreender exercícios conjuntos de cibersegurança e de coordenação da resposta a incidentes. Nesse contexto, haverá que assegurar o pleno respeito dos princípios da inclusividade, da reciprocidade e da autonomia de decisão da União, sem prejuízo do caráter específico da política de segurança e defesa de qualquer dos Estados-Membros.

(44)

A fim de assegurar a plena realização dos seus objetivos, a ENISA deverá estabelecer ligações com as autoridades de supervisão e outras autoridades competentes na União, as instituições, os órgãos e os organismos da União, incluindo a CERT-UE, o EC3, a Agência Europeia de Defesa (AED), a Agência do sistema global de navegação por satélite (Agência do GNSS Europeu), o Organismo de Reguladores Europeus das Comunicações Eletrónicas (ORECE), a Agência Europeia para a Gestão Operacional de Sistemas Informáticos de Grande Escala no Espaço de Liberdade, Segurança e Justiça (eu-LISA), o Banco Central Europeu (BCE), a Autoridade Bancária Europeia (EBA), o Comité Europeu para a Proteção de Dados (CEPD), a Agência de Cooperação dos Reguladores da Energia (ACER), a Agência Europeia para a Segurança da Aviação (AESA) e qualquer outro organismo da União que esteja envolvido na cibersegurança. A ENISA deverá ainda estabelecer ligações com autoridades com responsabilidades no domínio da proteção de dados, a fim de partilhar conhecimentos especializados e melhores práticas e deverá prestar aconselhamento sobre os aspetos da cibersegurança suscetíveis de afetarem o trabalho dessas autoridades. Deverão poder participar no grupo consultivo da ENISA representantes das autoridades nacionais e da União encarregadas do controlo da aplicação da lei e da proteção de dados. Ao estabelecer ligações com as autoridades encarregadas do controlo da aplicação da lei sobre os aspetos de segurança das redes e da informação que possam afetar o seu trabalho, a ENISA deverá respeitar os canais de informação existentes e as redes estabelecidas.

(45)

Poderão ser estabelecidas parcerias com instituições académicas que desenvolvam iniciativas de investigação nos domínios relevantes, e os contributos das associações de consumidores e de outras organizações deverão dispor de canais adequados e ser tomados em consideração.

(46)

A ENISA, ao assegurar o serviço de secretariado da rede de CSIRT, deverá apoiar as CSIRT dos Estados-Membros e a CERT-UE na cooperação operacional no que se refere às atribuições relevantes da rede de CSIRT, referidas na Diretiva (UE) 2016/1148. Além disso, a ENISA deverá promover e apoiar a cooperação entre as CSIRT pertinentes em caso de incidentes, ataques ou perturbações nas redes ou infraestruturas por estas geridas ou protegidas e que impliquem, ou sejam capazes de implicar, pelo menos duas CSIRT, tendo simultaneamente na devida conta os procedimentos operacionais normalizados da rede de CSIRT.

(47)

Com vista a elevar o grau de preparação da União na resposta aos incidentes, a ENISA deverá organizar regularmente exercícios de cibersegurança a nível da União e, a seu pedido, apoiar os Estados-Membros e as instituições, os órgãos e os organismos da União na organização de tais exercícios. De dois em dois anos, deverão ser organizados exercícios abrangentes em grande escala, que incluam elementos técnicos, operacionais ou estratégicos. Além disso, a ENISA deverá poder organizar regularmente exercícios menos abrangentes com o mesmo objetivo de aumentar o grau de preparação da União para dar resposta a incidentes.

(48)

A ENISA deverá ainda desenvolver e manter os seus conhecimentos especializados em matéria de certificação da cibersegurança, com vista a apoiar a política da União neste domínio. A ENISA deverá basear-se nas melhores práticas existentes e promover a adoção da certificação da cibersegurança na União, nomeadamente contribuindo para a criação e manutenção de um enquadramento para a certificação da cibersegurança a nível da União (a seguir designado «enquadramento europeu para a certificação da cibersegurança») com vista a aumentar a transparência no que respeita à garantia da cibersegurança dos produtos, serviços e processos de TIC e, desta forma, reforçar a confiança e a competitividade no mercado interno digital.

(49)

As políticas de cibersegurança eficientes deverão basear-se em métodos bem desenvolvidos de avaliação dos riscos, tanto no setor público quanto no setor privado. Os métodos de avaliação dos riscos são utilizados a diferentes níveis, sem que exista uma prática comum para a sua aplicação eficiente. A promoção e o desenvolvimento de melhores práticas em matéria de avaliação dos riscos e de soluções interoperáveis de gestão de riscos nas organizações dos setores público e privado elevarão o nível de cibersegurança na União. Para esse efeito, a ENISA deverá apoiar a cooperação entre as partes interessadas a nível da União e facilitar os seus esforços no que respeita à criação e à aplicação de normas europeias e internacionais em matéria de gestão dos riscos e de segurança mensurável dos produtos, sistemas, redes e serviços eletrónicos que, juntamente com os suportes lógicos, constituem as redes e os sistemas de informação.

(50)

A ENISA deverá encorajar os Estados-Membros, os fabricantes de produtos de TIC, os prestadores de serviços de TIC e os fornecedores de processos de TIC a reforçarem as suas normas gerais de segurança, para que todos os utilizadores da internet possam tomar as medidas necessárias para assegurar a sua própria cibersegurança e deverão receber incentivos para tal. Concretamente, os fabricantes de produtos de TIC, os prestadores de serviços de TIC e os fornecedores de processos de TIC deverão assegurar as atualizações necessárias e recolher, retirar ou reciclar os produtos e os serviços ou processos de TIC que não cumpram as normas de cibersegurança, enquanto os importadores e distribuidores deverão assegurar que os produtos, os serviços e os processos de TIC que colocam no mercado da União cumpram os requisitos aplicáveis e não comportem riscos para os consumidores da União.

(51)

Em cooperação com as autoridades competentes, a ENISA deverá poder divulgar informações relativas ao nível de cibersegurança dos produtos, serviços e processos de TIC disponibilizados no mercado interno e emitir alertas que visem os fabricantes de produtos de TIC, os prestadores de serviços de TIC e os fornecedores de processos de TIC e solicitar-lhes que reforcem a segurança dos seus produtos, serviços e processos de TIC, incluindo a cibersegurança.

(52)

A ENISA deverá ter plenamente em conta as atividades de investigação, desenvolvimento e avaliação tecnológica em curso, em especial as realizadas pelas diversas iniciativas de investigação da União, a fim de aconselhar as instituições e os órgãos e organismos da União e, se se justificar, os Estados-Membros, a pedido destes, sobre as necessidades e prioridades de investigação no domínio da cibersegurança. A fim de identificar as necessidades e prioridades de investigação, a ENISA deverá igualmente consultar os grupos de utilizadores pertinentes. Mais especificamente, poderá estabelecer-se a cooperação com o Conselho Europeu de Investigação, o Instituto Europeu de Inovação e Tecnologia e o Instituto de Estudos de Segurança da União Europeia.

(53)

A ENISA deverá consultar com regularidade os organismos de normalização, em particular os organismos europeus de normalização, nomeadamente aquando da elaboração dos sistemas europeus de certificação da cibersegurança.

(54)

As ciberameaças constituem um problema mundial. É necessário reforçar a cooperação internacional a fim de aperfeiçoar as normas de cibersegurança, incluindo a necessidade de contar com a definição de normas comuns de comportamento e a adoção de códigos de conduta, a aplicação de normas internacionais e a partilha de informações, promovendo assim uma colaboração internacional mais célere na resposta aos problemas de segurança das redes e da informação, bem como uma abordagem global comum desses problemas. Para esse efeito, a ENISA deverá apoiar um maior envolvimento e cooperação da União com os países terceiros e com as organizações internacionais fornecendo, quando necessário, os conhecimentos especializados e as análises necessárias às instituições, órgãos e organismos competentes da União.

(55)

A ENISA deverá estar apta a responder a pedidos ad hoc de aconselhamento e assistência da parte dos Estados-Membros e das instituições, órgãos e organismos da União sobre matérias abrangidas pelo seu mandato.

(56)

É sensato e recomendável aplicar certos princípios relativos à governação da ENISA a fim de dar cumprimento à Declaração Comum e à Abordagem Comum acordadas em julho de 2012 pelo Grupo de Trabalho Interinstitucional sobre as agências descentralizadas da União, cujo objetivo consiste em racionalizar as atividades das agências descentralizadas e melhorar o seu desempenho. As recomendações constantes da Declaração Comum e da Abordagem Comum deverão também ser refletidas, conforme adequado, nos programas de trabalho, nas avaliações, na elaboração dos relatórios e nas práticas administrativas da ENISA.

(57)

O conselho de administração, composto por representantes dos Estados-Membros e da Comissão, deverá estabelecer a orientação geral das operações da ENISA e garantir que esta exerça as suas atribuições de acordo com o presente regulamento. O conselho de administração deverá ser dotado dos poderes necessários para elaborar o orçamento, verificar a sua execução, aprovar as regras financeiras adequadas, estabelecer procedimentos de trabalho transparentes para o processo decisório da ENISA, aprovar o documento único de programação da ENISA, aprovar o seu próprio regulamento interno, nomear o diretor executivo e decidir da prorrogação ou do termo do mandato deste último.

(58)

Para o funcionamento correto e eficaz da ENISA, a Comissão e os Estados-Membros deverão assegurar que as pessoas nomeadas para o conselho de administração tenham as competências profissionais especializadas e a experiência adequadas. A Comissão e os Estados-Membros deverão também procurar limitar a rotação dos seus representantes no conselho de administração, a fim de assegurar a continuidade do trabalho deste órgão.

(59)

O bom funcionamento da ENISA exige que o seu diretor executivo seja nomeado com base no mérito e em competências administrativas e de gestão documentadas, bem como na competência e experiência relevantes para a cibersegurança. As funções do diretor executivo deverão ser exercidas com total independência. O diretor executivo deverá preparar uma proposta de programa de trabalho anual da ENISA, após consulta à Comissão, e tomar todas as medidas necessárias para garantir a boa execução do programa de trabalho. O diretor executivo deverá preparar um relatório anual que cubra a execução do programa de trabalho anual da ENISA, a apresentar ao conselho de administração, elaborar um projeto de mapa previsional das receitas e despesas da ENISA e executar o orçamento. Além disso, o diretor executivo deverá ter a possibilidade de criar grupos de trabalho ad hoc para questões específicas, designadamente de natureza científica, técnica, legal ou socioeconómica. Em especial no que diz respeito à preparação de um projeto de sistema europeu de certificação da cibersegurança específico (a seguir designado «projeto de sistema»), é considerada necessária a criação de um grupo de trabalho ad hoc. O diretor executivo deverá assegurar que os membros dos grupos de trabalho ad hoc sejam selecionados segundo os mais elevados padrões de especialização, com o objetivo de assegurar o equilíbrio entre os géneros e uma representação equilibrada, em função das questões específicas em causa, entre as administrações públicas dos Estados-Membros, as instituições, os órgãos e organismos da União e o setor privado, incluindo empresas, utilizadores e académicos especializados em segurança das redes e da informação.

(60)

A comissão executiva deverá contribuir para o funcionamento eficaz do conselho de administração. No âmbito do seu trabalho preparatório relacionado com as decisões do conselho de administração, o conselho executivo deverá examinar pormenorizadamente as informações pertinentes, explorar as opções disponíveis e disponibilizar aconselhamento e soluções para preparar as decisões do conselho de administração.

(61)

A ENISA deverá dispor de um grupo consultivo da ENISA, como órgão consultivo, para assegurar o diálogo regular com o setor privado, com as associações de consumidores e com outras partes interessadas. O grupo consultivo da ENISA, criado pelo conselho de administração sob proposta do diretor executivo, deverá concentrar-se em questões pertinentes para as partes interessadas e submetê-las à apreciação da ENISA. Esse grupo consultivo deverá ser consultado particularmente no que diz respeito ao projeto de programa de trabalho anual da ENISA. A composição do grupo consultivo da ENISA e as atribuições que lhe são conferidas deverão assegurar uma representação suficiente das partes interessadas.

(62)

Deverá ser criado o grupo das partes interessadas para a certificação da cibersegurança a fim de ajudar a ENISA e a Comissão a facilitarem a consulta das partes interessadas. Esse grupo deverá ser constituído por membros que representem o setor numa proporção equilibrada, tanto do lado da procura como do lado da oferta de produtos e serviços de TIC, incluindo, em especial, as PME, os prestadores de serviços digitais, os organismos de normalização europeus e internacionais, os organismos nacionais de acreditação, as autoridades de supervisão da proteção de dados, e os organismos de avaliação da conformidade, de acordo com disposto no Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho (16), e o meio académico, bem como as organizações de consumidores.

(63)

A ENISA deverá dispor de regras em matéria de prevenção e gestão de conflitos de interesses. A ENISA deverá igualmente aplicar as disposições relevantes da União sobre o acesso do público a documentos previstas no Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho (17). O tratamento de dados pessoais por parte da ENISA deverá estar sujeito ao disposto no Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (18). A ENISA deverá respeitar as disposições aplicáveis às instituições, órgãos e organismos da União e a legislação nacional relativa ao tratamento de informações, nomeadamente de informações sensíveis não classificadas e de informações classificadas da União Europeia (ICUE).

(64)

A fim de assegurar a plena autonomia e independência da ENISA e de lhe permitir exercer atribuições adicionais, incluindo atribuições de emergência imprevistas, a ENISA deverá ser dotada de um orçamento autónomo suficiente cujas receitas provenham essencialmente de uma contribuição da União e de contribuições dos países terceiros que participem nos trabalhos da ENISA. É fundamental dispor de um orçamento adequado para garantir que a ENISA tenha capacidade suficiente para exercer cabalmente as suas crescentes atribuições e atingir os seus objetivos. A maior parte do pessoal da ENISA deverá estar diretamente implicada na execução operacional do mandato da Agência. O Estado-Membro de acolhimento, e qualquer outro Estado-Membro, deverá poder contribuir voluntariamente para as receitas da ENISA. O procedimento orçamental da União deverá permanecer aplicável no que diz respeito a todas as subvenções imputadas ao orçamento geral da União. Além disso, o Tribunal de Contas deverá proceder à auditoria das contas da ENISA, a fim de assegurar a transparência e a responsabilização.

(65)

A certificação da cibersegurança desempenha um papel importante no aumento da confiança e segurança dos produtos, serviços e processos de TIC. O mercado único digital e, em especial, a economia dos dados e a IdC, apenas pode prosperar se houver uma confiança pública generalizada em que esses produtos, serviços e processos forneçam um determinado nível de cibersegurança. Os automóveis conectados e automatizados, os dispositivos médicos eletrónicos, os sistemas de controlo da automação industrial ou as redes inteligentes são apenas alguns exemplos de setores nos quais a certificação é já amplamente utilizada ou suscetível de o vir a ser no futuro próximo. Os setores regulados pela Diretiva (UE) 2016/1148 são também setores nos quais a certificação da cibersegurança é crucial.

(66)

Na comunicação de 2016 intitulada «Reforçar o sistema de ciber-resiliência da Europa e promover uma indústria de cibersegurança competitiva e inovadora», a Comissão salientou a necessidade de se dispor de produtos e soluções de cibersegurança de elevada qualidade, a preços acessíveis e interoperáveis. O fornecimento de produtos, serviços e processos de TIC no mercado único continua a ser geograficamente muito fragmentado. Esta circunstância deve-se ao facto de a indústria da cibersegurança na Europa se ter desenvolvido essencialmente com base na procura pública nacional. Além disso, a falta de soluções interoperáveis (normas técnicas), de práticas e mecanismos de certificação à escala da União são outras das lacunas que afetam o mercado único no domínio da cibersegurança. Esta situação reduz a capacidade concorrencial das empresas europeias a nível nacional, da União e mundial e a escolha de tecnologias de cibersegurança viáveis e utilizáveis a que os cidadãos e as empresas têm acesso. De igual modo, na Comunicação de 2017 sobre a revisão intercalar relativa à aplicação da Estratégia para o Mercado Único Digital — «Um Mercado Único Digital Conectado para todos», a Comissão salientou a necessidade de dispor de produtos e sistemas conectados seguros e indicou que a criação de um enquadramento europeu de segurança das TIC que defina regras sobre o modo de organizar a certificação da segurança das TIC na União poderia preservar a confiança na internet e resolver a atual fragmentação do mercado interno.

(67)

Atualmente, a certificação da cibersegurança de produtos, serviços e processos de TIC é utilizada apenas de forma limitada. Quando existe, verifica-se na sua maioria a nível do Estado-Membro ou no âmbito de sistemas impulsionados pela indústria. Neste contexto, um certificado emitido por uma autoridade nacional de certificação da cibersegurança não é, em princípio, reconhecido noutros Estados-Membros. Por conseguinte, as empresas poderão ter de certificar os seus produtos, serviços e processos de TIC nos vários Estados-Membros onde operam, nomeadamente com vista a participar em processo nacionais de adjudicação de contratos, o que representa custos suplementares para as empresas. Acresce que, embora estejam a surgir novos sistemas, parece não existir uma abordagem coerente e holística das questões horizontais de cibersegurança, designadamente no domínio da IdC. Os sistemas existentes apresentam insuficiências e diferenças consideráveis em termos de cobertura de produtos, níveis de garantia, critérios substantivos e utilização efetiva, o que impede a existência de mecanismos de reconhecimento mútuo no interior da União.

(68)

Foram já envidados alguns esforços para assegurar o reconhecimento mútuo de certificados na União. Todavia, tais esforços apenas foram parcialmente bem-sucedidos. O exemplo mais importante a este respeito é o acordo de reconhecimento mútuo (ARM) do Grupo de Altos Funcionários para a Segurança dos Sistemas de Informação (SOG-IS). Embora represente o modelo mais importante para cooperação e reconhecimento mútuo no domínio da certificação da segurança, o SOG-IS apenas abrange uma parte dos Estados-Membros. Este facto limitou a eficácia do ARM do SOG-IS do ponto de vista do mercado interno.

(69)

Atendendo ao que precede, afigura-se necessário adotar uma abordagem comum e criar um enquadramento europeu para a certificação da cibersegurança que estabeleça os principais requisitos horizontais para os sistemas europeus de certificação da cibersegurança a desenvolver e que permita que os certificados de cibersegurança europeus e as declarações União de conformidade dos produtos, serviços e processos de TIC sejam reconhecidos e utilizados em todos os Estados-Membros. Para tal, é essencial tomar por base os sistemas nacionais e internacionais, bem como sistemas de reconhecimento mútuo, designadamente o SOG-IS, e permitir uma transição harmoniosa dos sistemas existentes para os sistemas aplicáveis ao abrigo do novo enquadramento europeu para a certificação da cibersegurança. O enquadramento europeu para a certificação da cibersegurança deverá ter uma dupla finalidade: em primeiro lugar, deverá ajudar a aumentar a confiança nos produtos, serviços e processos de TIC que tenham sido certificados ao abrigo dos sistemas europeus de certificação da cibersegurança. Em segundo lugar, deverá ajudar a evitar a multiplicação de sistemas nacionais de certificações da cibersegurança que entrem em conflito ou que se sobreponham e, desta forma, reduzir os custos a cargo das empresas que operam no mercado único digital. Os sistemas europeus de certificação da cibersegurança deverão ser não discriminatórios e basear-se em normas europeias ou internacionais, salvo se tais normas forem ineficazes ou desadequadas para satisfazer os objetivos legítimos da União a este respeito.

(70)

Deverá ser estabelecido um enquadramento europeu para a certificação da cibersegurança de forma homogénea em todos os Estados-Membros para evitar a procura da certificação mais vantajosa («certification shopping») com base na disparidade dos níveis de exigência existentes entre os diferentes Estados-Membros.

(71)

Os sistemas europeus de certificação da cibersegurança deverão assentar no que já existe a nível internacional e nacional e, se necessário, nas especificações técnicas de fóruns e consórcios, colhendo ensinamentos dos atuais pontos fortes e avaliando e corrigindo eventuais pontos fracos.

(72)

São necessárias soluções flexíveis em matéria de cibersegurança para que a indústria se antecipe a ciberameaças, pelo que os sistemas de certificação deverão ser concebidos de forma a evitar o risco de ficarem rapidamente desatualizados.

(73)

Deverão ser conferidos poderes à Comissão para adotar sistemas europeus de certificação da cibersegurança relativamente a grupos específicos de produtos, serviços e processos de TIC. Esses sistemas deverão ser implementados e supervisionados por autoridades nacionais de certificação da cibersegurança e os certificados emitidos ao abrigo desses sistemas deverão ser válidos e reconhecidos em toda a União. Os sistemas de certificação geridos pela indústria ou outras organizações privadas deverão ser excluídos do âmbito de aplicação do presente regulamento. Contudo, os organismos que giram tais sistemas deverão poder propor à Comissão que os considere como base para a aprovação de sistemas europeus de certificação de cibersegurança.

(74)

As disposições do presente regulamento deverão aplicar-se sem prejuízo do direito da União que preveja regras específicas em matéria de certificação de produtos, serviços e processos de TIC. Designadamente, o Regulamento (UE) 2016/679 estabelece disposições para a criação de procedimentos de certificação e de selos e marcas de proteção de dados, para efeitos de comprovação da conformidade com o referido regulamento das operações de tratamento efetuadas pelos responsáveis pelo tratamento e subcontratantes. Tais procedimentos de certificação e selos e marcas de proteção de dados deverão permitir que os titulares dos dados avaliem rapidamente o nível de proteção de dados proporcionado pelos produtos, serviços e processos de TIC em causa. O presente regulamento aplica-se sem prejuízo da certificação das operações de tratamento de dados ao abrigo do Regulamento (UE) 2016/679, nomeadamente quando essas operações estejam integradas em produtos, serviços e processos de TIC.

(75)

Os sistemas europeus de certificação da cibersegurança deverão ter por objetivo garantir que os produtos, serviços e processos de TIC certificados ao seu abrigo cumpram os requisitos especificados a fim de proteger a disponibilidade, autenticidade, integridade e confidencialidade dos dados armazenados, transmitidos ou tratados, ou das funções conexas ou dos serviços oferecidos por esses produtos, processos, serviços ou acessíveis por via deles ao longo do respetivo ciclo de vida. É impossível definir pormenorizadamente no presente regulamento os requisitos de cibersegurança relativos a todos os produtos, serviços e processos de TIC. Os produtos, serviços e processos de TIC e as necessidades de cibersegurança conexas são de tal forma diversos que é muito difícil definir requisitos de cibersegurança globais aplicáveis em todas as circunstâncias. Por conseguinte, é necessário adotar uma noção lata e geral de cibersegurança para efeitos de certificação, que deverá ser complementada por um conjunto de objetivos específicos de cibersegurança que deverão ser tidos em conta durante a conceção dos sistemas europeus de certificação da cibersegurança. As disposições segundo as quais esses objetivos serão alcançados em produtos, serviços e processos de TIC específicos deverão depois ser estabelecidas em pormenor a nível do sistema de certificação individual adotado pela Comissão, nomeadamente mediante referência a normas ou especificações técnicas, se não estiverem disponíveis normas adequadas.

(76)

As especificações técnicas a utilizar nos sistemas europeus de certificação da cibersegurança deverão respeitar os princípios estabelecidos no anexo II do Regulamento (UE) n.o 1025/2012 do Parlamento Europeu e do Conselho (19). Contudo, poderão ser considerados necessários alguns desvios a estes requisitos, em casos devidamente justificados em que essas especificações técnicas devam ser utilizadas num sistema europeu de certificação da cibersegurança correspondente a um nível de garantia «elevado». Deverão ser divulgadas as razões que justificaram tais desvios.

(77)

A avaliação da conformidade é um procedimento que se destina a avaliar se foram cumpridos os requisitos especificados para um determinado produto, serviço ou processo de TIC. Esse procedimento é executado por um terceiro independente, que não é o fabricante do produto TIC, o prestador do serviço de TIC nem o fornecedor do processo TIC alvo da avaliação. O certificado europeu de cibersegurança deverá ser emitido na sequência de uma avaliação bem-sucedida de um determinado produto, serviço ou processo de TIC. O certificado europeu de cibersegurança deverá ser considerado a confirmação de que a avaliação foi efetuada corretamente. Consoante o nível de garantia, o sistema europeu de certificação da cibersegurança deverá indicar se o certificado europeu de cibersegurança deve ser emitido por uma entidade pública ou privada. A avaliação e a certificação da conformidade não podem garantir por si sós que os produtos, serviços e processos de TIC certificados sejam ciberseguros. Consistem antes em procedimentos e metodologias técnicas para atestar que os produtos, serviços e processos de TIC foram ensaiados e que cumprem determinados requisitos de cibersegurança estabelecidos por outros meios, por exemplo, em normas técnicas.

(78)

A escolha da certificação adequada e dos requisitos de segurança conexos pelos utilizadores dos certificados europeus de cibersegurança deverá basear-se numa análise dos riscos associados com a utilização do produto, serviço ou processo de TIC. Por conseguinte, o nível de garantia deverá ser proporcional ao nível do risco associado à utilização prevista do produto, serviço ou processo de TIC.

(79)

Os sistemas europeus de certificação da cibersegurança poderão prever a realização de uma avaliação da conformidade sob a exclusiva responsabilidade do fabricante de produtos de TIC, do prestador de serviços de TIC ou do fornecedor de processos de TIC (a seguir designada «autoavaliação da conformidade»). Nesses casos, deverá bastar que o próprio fabricante dos produtos de TIC, o prestador dos serviços de TIC ou o fornecedor de processos de TIC efetue todos os controlos a fim de garantir que os produtos, serviços ou processos de TIC são conformes com o sistema europeu de certificação de cibersegurança. A autoavaliação da conformidade deverá ser considerada adequado para produtos e serviços de TIC de reduzida complexidade ou processos de TIC que apresentem um risco baixo, tais como uma conceção e um mecanismo de produção simples. Além disso, a autoavaliação da conformidade deverá ser permitida para os produtos, serviços e processos de TIC que correspondam apenas ao nível de garantia «básico».

(80)

Os sistemas europeus de certificação da cibersegurança poderão permitir tanto a autoavaliação da conformidade como as certificações dos produtos, serviços e processos de TIC. Nesse caso, o sistema deverá prever meios claros e compreensíveis para os consumidores ou outros utilizadores poderem distinguir entre os produtos, serviços e processos de TIC que são avaliados sob a responsabilidade do fabricante de produtos de TIC, do prestador de serviços de TIC ou do fornecedor de processos de TIC e os produtos, serviços e processos de TIC que são certificados por terceiros.

(81)

O fabricante de produtos de TIC, o prestador de serviços de TIC ou o fornecedor de processos de TIC que realize uma autoavaliação da conformidade deverá poder emitir e assinar a declaração UE de conformidade no âmbito do procedimento de avaliação da conformidade. A declaração UE de conformidade é o documento que atesta que determinado produto, serviço ou processo de TIC cumpre os requisitos do sistema europeu de certificação da cibersegurança. Ao emitir e assinar a declaração UE de conformidade, o fabricante de produtos de TIC, o prestador de serviços de TIC ou o fornecedor de processos de TIC assume a responsabilidade pela conformidade do produto, serviço ou processo de TIC com os requisitos legais do sistema europeu de certificação da cibersegurança. Deverá ser apresentada à autoridade nacional de certificação da cibersegurança e à ENISA uma cópia da declaração UE de conformidade.

(82)

O fabricante de produtos de TIC, o prestador de serviços de TIC ou o fornecedor de processos de TIC deverá manter à disposição da autoridade nacional de certificação da cibersegurança competente, pelo prazo previsto no sistema europeu de certificação da cibersegurança em causa, a declaração UE de conformidade, a documentação técnica e todas as outras informações relevantes sobre a conformidade dos produtos, serviços ou processos de TIC com um determinado sistema europeu de certificação da cibersegurança. A documentação técnica deverá especificar os requisitos aplicáveis por força do sistema e abranger, na medida em que for relevante para a autoavaliação da conformidade, a conceção, o fabrico e o funcionamento do produto, serviço ou processo de TIC. A documentação técnica deverá ser compilada de modo a permitir avaliar se um produto, um serviço ou um processo de TIC cumpre os requisitos aplicáveis por força desse sistema.

(83)

A governação do enquadramento europeu para a certificação da cibersegurança tem em conta a participação dos Estados-Membros, bem como a participação adequada das partes interessadas e determina o papel da Comissão Europeia em todo o processo de planeamento, apresentação de propostas, apresentação de pedidos, elaboração, adoção e revisão de sistemas europeus de certificação da cibersegurança.

(84)

A Comissão deverá preparar, com o apoio do grupo europeu para a certificação da cibersegurança (GECC) e o grupo das partes interessadas para a certificação da cibersegurança e após uma consulta aberta e alargada, um programa de trabalho evolutivo da União para os sistemas europeus de certificação da cibersegurança e proceder à sua publicação sob a forma de um instrumento não vinculativo. O programa de trabalho evolutivo da União deverá ser um documento estratégico que permita que a indústria, as autoridades nacionais e os organismos de normalização, em particular, se preparem com antecedência para os futuros sistemas europeus de certificação da cibersegurança. O programa de trabalho evolutivo da União deverá incluir um resumo plurianual dos pedidos de projetos de sistemas que a Comissão tenciona apresentar à ENISA para preparação, com base em motivos específicos. A Comissão deverá ter em conta o programa de trabalho evolutivo da União durante a elaboração do seu próprio plano evolutivo para a normalização das TIC e os pedidos de normalização apresentados aos organismos europeus de normalização. Atendendo à rápida introdução e adoção de novas tecnologias, à emergência de riscos para a cibersegurança anteriormente desconhecidos ou à evolução em termos legislativos e de mercado, a Comissão ou o GECC deverão poder pedir à ENISA que elabore projetos de sistemas que não tenham sido incluídos no programa de trabalho evolutivo da União. Nesses casos, a Comissão e o GECC deverão também avaliar a pertinência de tal pedido, tendo para isso em conta as metas e os objetivos globais do presente regulamento e a necessidade de assegurar a continuidade no que diz respeito ao planeamento e à utilização de recursos por parte da ENISA.

Na sequência de tal pedido, a ENISA deverá elaborar sem demora injustificada projetos de sistemas destinados a produtos, serviços ou projetos de TIC específicos. A Comissão deverá avaliar o impacto positivo e negativo do seu pedido no mercado específico em causa, especialmente o impacto nas PME, na inovação, nos obstáculos à entrada nesse mercado e aos custos a cargo dos utilizadores finais. Deverão ser conferidos poderes à Comissão para adotar, com base no projeto de sistema elaborado pela ENISA, o sistema europeu de certificação da cibersegurança por meio de atos de execução. Tendo em conta a finalidade geral e os objetivos de segurança identificados no presente regulamento, os sistemas europeus de certificação da cibersegurança adotados pela Comissão deverão especificar um conjunto mínimo de elementos relativos ao objeto, ao âmbito de aplicação e ao funcionamento do sistema em causa. Os referidos elementos deverão incluir, entre outras coisas, o âmbito de aplicação e o objeto da certificação da cibersegurança, designadamente as categorias de produtos, serviços e processos de TIC abrangidos, a especificação pormenorizada dos requisitos de cibersegurança, por exemplo mediante referência a normas ou especificações técnicas, os critérios específicos de avaliação e os métodos de avaliação, bem como o nível previsto de garantia («básico», «substancial» ou «elevado») e os níveis de avaliação, quando aplicável. A ENISA deverá poder recusar um pedido do GECC. Essas decisões deverão ser adotadas e devidamente justificadas pelo conselho de administração.

(85)

A ENISA deverá manter um sítio Web que disponibilize informações sobre os sistemas europeus de certificação da cibersegurança e para os publicitar, que deverá incluir, nomeadamente, os pedidos de elaboração de um projeto de sistema e as reações recebidas no processo de consulta realizado pela ENISA durante a fase de elaboração. O referido sítio Web deverá igualmente disponibilizar informações sobre os certificados europeus de cibersegurança e as declarações UE de conformidade emitidos nos termos do presente regulamento, incluindo informação sobre a revogação e caducidade de tais certificados e declarações. O sítio Web deverá ainda indicar quais os sistemas nacionais de certificação da cibersegurança que tenham sido substituídos por um sistema europeu de certificação da cibersegurança.

(86)

O nível de garantia dado por um sistema europeu de certificação é a base que permite confiar em que um processo, um produto ou serviço de TIC cumpre os requisitos de segurança de um determinado sistema europeu de certificação da cibersegurança. A fim de assegurar a coerência do enquadramento europeu para a certificação da cibersegurança, um sistema europeu de certificação da cibersegurança deverá poder especificar níveis de garantia para os certificados europeus de cibersegurança e para as declarações UE de conformidade emitidas ao abrigo desse sistema. Cada certificado europeu de cibersegurança poderá corresponder a um dos níveis de garantia — «básico», «substancial» ou «elevado» —, ao passo que a declaração UE de conformidade apenas poderá corresponder ao nível de garantia «básico». Os níveis de garantia deverão corresponder ao rigor e à exaustividade da avaliação do produto, serviço ou processo de TIC e deverão caracterizar-se por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos cujo objetivo consista em reduzir o impacto ou prevenir incidentes. Cada nível de garantia deverá ser coerente entre os diferentes domínios setoriais nos quais é aplicada a certificação.

(87)

Os sistemas europeus de certificação da cibersegurança poderão especificar vários níveis de avaliação em função do rigor e do alcance da metodologia de avaliação utilizada. Os níveis de avaliação deverão corresponder a um dos níveis de garantia e estar associados a uma combinação adequada de componentes de garantia. Para todos os níveis de garantia, o produto, serviço ou processo de TIC deverá conter um conjunto de funcionalidades de segurança, tal como especificadas pelo sistema, que podem incluir: uma configuração inovadora segura, um código de assinatura, atualizações seguras e técnicas de mitigação e proteção completa de memórias empilhadas ou amontoadas (stack ou heap). Essas funcionalidades deverão ser elaboradas e mantidas seguindo abordagens de desenvolvimento centradas na segurança e utilizando as ferramentas conexas, para assegurar que sejam incorporados mecanismos eficazes tanto de programas informáticos como de equipamento informático de forma fiável.

(88)

Para o nível de garantia «básico», a avaliação deverá ser orientada, no mínimo, pelos seguintes componentes de garantia: a avaliação deverá incluir, pelo menos, uma análise da documentação técnica do produto, serviço ou processo de TIC pelo organismo de avaliação da conformidade. Quando a certificação incluir processos de TIC, o processo utilizado para conceber, desenvolver e manter um produto, serviço ou processo de TIC também deverá ser objeto de exame técnico. Nos casos em que um sistema europeu de certificação da cibersegurança preveja uma autoavaliação da conformidade, deverá ser suficiente que o fabricante de produtos de TIC, o prestador de serviços de TIC e o fornecedor de processos de TIC realize uma autoavaliação da conformidade dos produtos, serviços ou processos de TIC com o sistema de certificação.

(89)

Para o nível de garantia «substancial», a avaliação deverá, para além dos requisitos previstos para o nível de garantia «básico», ser orientada, no mínimo, pela verificação da conformidade das funcionalidades de segurança do produto, serviço ou processo de TIC com a respetiva documentação técnica.

(90)

Para o nível de garantia «elevado», a avaliação deverá, para além dos requisitos previstos para o nível de garantia «substancial», ser orientada, no mínimo, por um ensaio de eficiência que avalie a resistência das funcionalidades de segurança do produto, serviço ou processo de TIC a ciberataques elaborados, levados a cabo por pessoas com competências e recursos significativos.

(91)

O recurso à certificação europeia da cibersegurança e a declarações UE de conformidade deverá ser voluntário, salvo disposição em contrário no direito da União ou dos Estados-Membros adotado nos termos do direito da União. Na falta de legislação harmonizada, os Estados-Membros podem adotar regulamentação técnica nacional, que preveja a certificação obrigatória por força de um sistema europeu de certificação da cibersegurança, nos termos da Diretiva (UE) 2015/1535 do Parlamento Europeu e do Conselho (20). Os Estados-Membros podem recorrer também à certificação europeia da cibersegurança no contexto da adjudicação de contratos públicos e da Diretiva 2014/24/UE do Parlamento Europeu e do Conselho (21).

(92)

Em algumas áreas, poderá vir a ser necessário impor determinados requisitos de cibersegurança e tornar obrigatória a respetiva certificação para certos produtos, serviços ou processos de TIC, a fim de elevar o nível de cibersegurança na União. A Comissão deverá acompanhar regularmente o impacto dos sistemas europeus de certificação da cibersegurança adotados sobre a disponibilidade de produtos, serviços e processos de TIC seguros no mercado interno e deverá avaliar regularmente o nível de utilização dos sistemas de certificação pelos fabricantes de produtos TIC, prestadores de serviços de TIC ou fornecedores de processos de TIC da União. A eficiência dos sistemas europeus de certificação da cibersegurança e a necessidade de tornar obrigatórios determinados sistemas específicos deverão ser apreciadas à luz da legislação da União em matéria de cibersegurança, em especial a Diretiva (UE) 2016/1148, tomando em consideração a segurança das redes e dos sistemas de informação utilizados pelos operadores de serviços essenciais.

(93)

Os certificados europeus de cibersegurança e as declarações UE de conformidade deverão ajudar os utilizadores finais a fazerem escolhas informadas. Por conseguinte, os produtos, processos e serviços de TIC que tenham sido certificados ou para os quais tenha sido emitido um certificado UE de conformidade deverão ser acompanhados de informações estruturadas adaptadas ao nível técnico esperado dos utilizadores finais a que se destinam. Todas as informações deverão estar disponíveis em linha e, se adequado, em formato físico. O utilizador final deverá ter acesso às informações relativas ao número de referência do sistema de certificação, ao nível de garantia, à descrição dos riscos para a cibersegurança associados ao produto, serviço ou processo de TIC e à autoridade ou ao organismo emissor, ou deverá poder obter uma cópia do certificado europeu de cibersegurança. Além disso, o utilizador final deverá ser informado da política de apoio à cibersegurança do fabricante do produto de TIC, do fornecedor do serviço de TIC ou do fornecedor do processo de TIC, ou seja, durante quanto tempo o utilizador final pode esperar receber atualizações e correções de cibersegurança. Se for o caso, deverão ser disponibilizadas orientações sobre as medidas que o utilizador final pode tomar ou as definições que pode selecionar para manter ou aumentar a cibersegurança do produto ou serviço de TIC, e informações sobre um ponto de contacto único para comunicar e receber apoio em caso de ciberataque (para além da comunicação automática). Essas informações deverão ser regularmente atualizadas e disponibilizadas num sítio Web que forneça informações sobre os sistemas europeus de certificação da cibersegurança.

(94)

Com vista à consecução dos objetivos do presente regulamento e para evitar a fragmentação do mercado interno, os sistemas ou procedimentos nacionais de certificação da cibersegurança de produtos, serviços e processos de TIC abrangidos por um sistema europeu de certificação da cibersegurança deverão deixar de se aplicar a partir de uma data fixada pela Comissão através de atos de execução. Além disso, os Estados-Membros não deverão criar novos sistemas nacionais de certificação da cibersegurança de produtos, serviços e processos de TIC já abrangidos por um sistema europeu de certificação da cibersegurança existente. No entanto, os Estados-Membros não deverão ser impedidos de criar ou manter sistemas nacionais de certificação da cibersegurança para efeitos de segurança nacional. Os Estados-Membros deverão informar a Comissão e o GECC da intenção de criar novos sistemas nacionais de certificação da cibersegurança. A Comissão e o GECC deverão avaliar o impacto dos novos sistemas nacionais de certificação da cibersegurança sobre o bom funcionamento do mercado interno, ponderando o interesse estratégico de solicitar, em vez disso, um sistema europeu de certificação da cibersegurança.

(95)

Os sistemas europeus de certificação da cibersegurança destinam-se a contribuir para harmonizar as práticas de cibersegurança na União. Esses sistemas devem contribuir para elevar o nível de cibersegurança na União. A conceção de sistemas europeus de certificação de cibersegurança deverá ter em conta e permitir inovações no domínio da cibersegurança.

(96)

Os sistemas europeus de certificação da cibersegurança deverão ter em conta os atuais métodos de desenvolvimento de programas e equipamentos informáticos e, em especial, o impacto das frequentes atualizações dos programas informáticos ou do firmware nos certificados europeus da cibersegurança individuais. Os sistemas europeus de certificação da cibersegurança deverão especificar as condições em que uma atualização pode exigir que determinado produto, serviço ou processo de TIC volte a ser certificado ou que o âmbito de um certificado europeu de cibersegurança seja reduzido, tendo em conta os eventuais efeitos negativos da atualização sobre a conformidade desse certificado com os requisitos de segurança.

(97)

Quando for adotado um sistema europeu de certificação da cibersegurança, os fabricantes de produtos de TIC, os prestadores de serviços de TIC ou os fornecedores de processos de TIC deverão poder apresentar candidaturas para a certificação dos seus produtos, serviços ou processos de TIC a um organismo de avaliação da conformidade da sua escolha, em qualquer ponto da União. Os organismos de avaliação da conformidade deverão ser acreditados por um organismo de acreditação nacional se cumprirem determinados requisitos estabelecidos no presente regulamento. A acreditação deverá ser emitida por um período máximo de cinco anos e deverá ser renovável nas mesmas condições, desde que o organismo de avaliação da conformidade continue a cumprir os requisitos. Os organismos de acreditação nacionais deverão restringir, suspender ou revogar a acreditação de um organismo de avaliação da conformidade se as condições para a acreditação não forem cumpridas ou deixarem de ser cumpridas, ou se o organismo de avaliação da conformidade tomar medidas que constituam infração ao presente regulamento.

(98)

As referências da legislação nacional para normas nacionais que tenham deixado de ser aplicáveis em virtude da entrada em vigor de um sistema europeu de certificação da cibersegurança, podem constituir uma fonte de confusão. Por conseguinte, os Estados-Membros deverão refletir na sua legislação nacional a adoção de um sistema europeu de certificação da cibersegurança.

(99)

A fim de assegurar a equivalência das normas em toda a União, facilitar o reconhecimento mútuo e promover a aceitação global dos certificados europeus de cibersegurança e das declarações UE de conformidade, é necessário pôr em prática um sistema de análise pelos pares entre as autoridades nacionais de certificação da cibersegurança. A análise pelos pares deverá abranger os procedimentos destinados a supervisionar a conformidade dos produtos, serviços e processos de TIC com os certificados europeus de cibersegurança, a controlar o cumprimento das obrigações dos fabricantes de produtos TIC, dos prestadores de serviços de TIC ou dos fornecedores de processos de TIC ou que procedam à autoavaliação da conformidade e a fiscalizar os organismos de avaliação de conformidade, bem como a adequação das competências técnicas do pessoal dos organismos emissores de certificados para o nível «elevado» de garantia. A Comissão deverá, através de atos de execução, estabelecer pelo menos um plano quinquenal para as análises pelos pares e definir os critérios e as metodologias para o funcionamento do sistema de análise pelos pares.

(100)

Sem prejuízo do sistema geral de análise pelos pares a pôr em prática entre todas as autoridades nacionais de certificação da cibersegurança de acordo com o enquadramento europeu para a certificação da cibersegurança, determinados sistemas europeus de certificação da cibersegurança poderão compreender um sistema de avaliação pelos pares aplicável aos organismos emissores dos certificados europeus de cibersegurança para produtos, serviços e processos de TIC com o nível de garantia «elevado» ao abrigo de tais sistemas. O GECS deverá apoiar a aplicação desse tipo de sistemas de avaliação pelos pares. As avaliações pelos pares deverão, em especial, verificar se os organismos em causa desempenham as suas funções de forma harmonizada, podendo prever mecanismos de recurso. Os resultados das avaliações pelos pares deverão ser disponibilizados ao público. Os organismos em causa poderão adotar medidas adequadas para adaptar as suas práticas e os seus conhecimentos especializados de acordo com os resultados.

(101)

Os Estados-Membros deverão designar uma ou mais autoridades nacionais de certificação da cibersegurança para supervisionar o cumprimento das obrigações decorrentes do presente regulamento. Uma autoridade nacional de certificação de cibersegurança pode ser uma autoridade já existente ou uma autoridade nova. Os Estados-Membros deverão também poder, em acordo com outro Estado-Membro, designar uma ou mais autoridades nacionais de certificação da cibersegurança no território desse outro Estado-Membro.

(102)

As autoridades nacionais de certificação da cibersegurança deverão, nomeadamente, controlar e fazer cumprir as obrigações dos fabricantes de produtos de TIC, dos fornecedores de serviços de TIC ou dos fornecedores de processos de TIC estabelecidos no respetivo território no que respeita à declaração UE de conformidade, deverão prestar assistência aos organismos nacionais de acreditação no controlo e na supervisão das atividades dos organismos de avaliação da conformidade, disponibilizando-lhes conhecimentos especializados e as informações pertinentes, autorizar os organismos de avaliação da conformidade a exercer as suas atribuições quando cumpram os requisitos adicionais estabelecidos no sistema europeu de certificação de cibersegurança, e deverão acompanhar as evoluções pertinentes no domínio da certificação da cibersegurança. As autoridades nacionais de certificação da cibersegurança deverão também tratar as reclamações apresentadas por pessoas singulares ou coletivas relativamente a certificados europeus de cibersegurança por elas emitidos ou a certificados emitidos por organismos de avaliação da conformidade que indiquem um nível de garantia «elevado», investigar, na medida do necessário, o objeto das reclamações e informar os respetivos autores do andamento e do resultado da investigação num prazo razoável. Além disso, deverão cooperar com outras autoridades nacionais de certificação da cibersegurança ou outras autoridades públicas, nomeadamente através da partilha de informações sobre a eventual não conformidade de produtos, serviços e processos de TIC com os requisitos do presente regulamento ou com sistemas europeus específicos de certificação da cibersegurança. A Comissão deverá facilitar a partilha de informações através da disponibilização de um sistema geral de apoio às informações eletrónicas, por exemplo o Sistema de Fiscalização do Mercado e de Intercâmbio de Informações (ICSMS) e o sistema de alerta rápido para produtos de consumo não alimentares (RAPEX), já utilizados pelas autoridades de fiscalização do mercado de acordo com o Regulamento (CE) n.o 765/2008.

(103)

Com vista a assegurar a aplicação consistente do enquadramento europeu para a certificação da cibersegurança, deverá ser criado um GECC composto por representantes das autoridades nacionais de certificação da cibersegurança ou outras autoridades nacionais competentes. As principais atribuições do GECC deverão ser: aconselhar e assistir a Comissão no seu trabalho destinado a assegurar uma execução e uma aplicação coerentes do enquadramento europeu para a certificação da cibersegurança; assistir e cooperar estreitamente com a ENISA na preparação de projetos de sistemas de certificação da cibersegurança; em casos devidamente justificados, solicitar à ENISA que elabore um projeto de sistema europeu de certificação da cibersegurança; adotar pareceres à atenção da ENISA a respeito dos projetos de sistemas e adotar pareceres à atenção da Comissão a respeito da manutenção e revisão dos sistemas europeus de certificação da cibersegurança existentes. O GECC deverá facilitar o intercâmbio de boas práticas e dos conhecimentos especializados entre as diversas autoridades nacionais de certificação da cibersegurança responsáveis pela autorização dos organismos de avaliação da conformidade e pela emissão de certificados europeus de cibersegurança.

(104)

A fim de sensibilizar para os futuros sistemas de certificação da cibersegurança da União e de facilitar a sua aceitação, a Comissão pode emitir orientações gerais ou setoriais sobre cibersegurança, abordando, por exemplo, as boas práticas de cibersegurança ou o comportamento responsável em matéria de cibersegurança, salientando o efeito positivo da utilização de produtos, serviços e processos de TIC certificados.

(105)

A fim de facilitar mais o comércio, e reconhecendo que as cadeias de abastecimento de TIC são mundiais, podem ser celebrados pela União, nos termos do artigo 218.o do Tratado sobre o Funcionamento da União Europeia (TFUE), acordos de reconhecimento mútuo relativos aos certificados europeus de cibersegurança. A Comissão, tendo em conta o aconselhamento prestado pela ENISA e pelo GECC, pode recomendar a abertura de negociações nesse sentido. Cada sistema europeu de certificação da cibersegurança deverá prever condições específicas para esses acordos de reconhecimento mútuo com os países terceiros.

(106)

A fim de assegurar condições uniformes para a execução do presente regulamento, deverão ser atribuídas competências de execução à Comissão. Tais competências deverão ser exercidas nos termos do Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho (22).

(107)

O procedimento de exame deverá ser seguido para a adoção de atos de execução relativos aos sistemas europeus de certificação da cibersegurança de produtos, serviços e processos de TIC, às disposições relativas à realização de inquéritos por parte da ENISA, a um plano para a análise pelos pares das autoridades nacionais de certificação da cibersegurança, e às circunstâncias, formatos e procedimentos de notificação dos organismos de avaliação da conformidade acreditados pelas autoridades nacionais de certificação da cibersegurança à Comissão.

(108)

As atividades da ENISA deverão ser submetidas a uma avaliação regular e independente. Essa avaliação deverá incidir sobre os objetivos por parte da ENISA, os seus métodos de trabalho e a relevância das suas atribuições, em especial, as relacionadas com a cooperação operacional a nível da União. Essa avaliação deverá também incidir sobre o impacto, a eficácia e a eficiência do enquadramento europeu para a certificação da cibersegurança. Em caso de revisão, a Comissão deverá verificar de que modo será possível reforçar o papel da ENISA enquanto ponto de referência em matéria de aconselhamento e de conhecimentos especializados e a possibilidade de a ENISA desempenhar um papel de apoio na avaliação dos produtos, serviços e processos de TIC de países terceiros que entrem no território da União e não cumpram as regras da União.

(109)

Atendendo a que os objetivos do presente regulamento não podem ser suficientemente alcançados pelos Estados-Membros, mas podem, devido à sua dimensão e aos seus efeitos, ser mais bem alcançados a nível da União, a União pode adotar medidas em conformidade com o princípio da subsidiariedade consagrado no artigo 5.o do Tratado da União Europeia (TUE). Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede o necessário para alcançar esses objetivos.

(110)

O Regulamento (UE) n.o 526/2013 deverá ser revogado,

(1)

A presente diretiva visa contribuir para o bom funcionamento do mercado interno através da aproximação das disposições legislativas, regulamentares e administrativas dos Estados-Membros no que respeita aos requisitos de acessibilidade de certos produtos e serviços, em particular removendo e evitando os obstáculos à livre circulação de determinados produtos e serviços acessíveis resultantes da divergência dos requisitos de acessibilidade nos Estados-Membros. Tal aumentará a disponibilidade de produtos e serviços acessíveis no mercado interno e melhorará a acessibilidade das informações pertinentes.

(2)

A procura de produtos e serviços acessíveis é grande e prevê-se que o número de pessoas com deficiência aumente significativamente. Um ambiente em que os produtos e serviços sejam mais acessíveis permite uma sociedade mais inclusiva e facilita a autonomia das pessoas com deficiência. Neste contexto, haverá que ter presente que a prevalência da deficiência na União é mais elevada nas mulheres do que nos homens.

(3)

A presente diretiva define «pessoas com deficiência» em conformidade com a Convenção das Nações Unidas sobre os Direitos das Pessoas com Deficiência, adotada em 13 de dezembro de 2006 (CNUDPD), da qual a União é parte desde 21 de janeiro de 2011 e que todos os Estados-Membros ratificaram. A CNUDPD estabelece que as pessoas com deficiência «incluem aqueles que têm incapacidades duradouras físicas, mentais, intelectuais ou sensoriais que, em interação com diversas barreiras, podem impedir a sua plena e efetiva participação na sociedade em condições de igualdade com os outros». A presente diretiva promove uma participação plena e efetiva em condições de igualdade, mediante a melhoria do acesso aos produtos e serviços mais comuns que, através da sua conceção inicial ou de subsequente adaptação, dão resposta às necessidades específicas das pessoas com deficiência.

(4)

Beneficiariam também da presente diretiva outras pessoas que têm limitações funcionais como as pessoas idosas, as mulheres grávidas ou as pessoas que viajam com bagagem. O conceito de «pessoas com limitações funcionais», tal como referido na presente diretiva, inclui as pessoas com incapacidades físicas, mentais, intelectuais ou sensoriais, incapacidades relacionadas com a idade ou com qualquer outra limitação das funções do corpo humano, permanentes ou temporárias que, em interação com diversas barreiras, limitam o seu acesso a esses produtos e serviços e implicam a adaptação desses produtos e serviços às suas necessidades específicas.

(5)

As disparidades entre as disposições legislativas e administrativas dos Estados-Membros em matéria de acessibilidade de produtos e serviços para pessoas com deficiência criam obstáculos à livre circulação dos produtos e serviços e distorcem a concorrência efetiva no mercado interno. Relativamente a determinados produtos e serviços, essas disparidades poderão vir a aumentar na União após a entrada em vigor da CNUDPD. Os operadores económicos, em especial as pequenas e médias empresas (PME), são particularmente afetados por estes obstáculos.

(6)

As divergências dos requisitos de acessibilidade nacionais dissuadem os profissionais, as PME e as microempresas, em especial, de se lançarem em atividades empresariais fora dos respetivos mercados nacionais. Os requisitos de acessibilidade atualmente estabelecidos pelos Estados-Membros a nível nacional, ou mesmo regional ou local, diferem tanto no que diz respeito à sua cobertura como ao seu grau de pormenor. Estas diferenças têm incidência negativa na competitividade e no crescimento, devido aos custos adicionais decorrentes do desenvolvimento e da comercialização de produtos e serviços acessíveis para cada mercado nacional.

(7)

Os consumidores de produtos e serviços acessíveis e de tecnologias de apoio são confrontados com preços elevados devido à reduzida concorrência entre fornecedores. A fragmentação das regulamentações nacionais reduz as potenciais vantagens da partilha com congéneres nacionais e internacionais de experiências relativas à resposta à evolução social e tecnológica.

(8)

para o bom funcionamento do mercado interno é, pois, necessário aproximar as medidas nacionais a nível da União para acabar com a fragmentação do mercado dos produtos e serviços acessíveis e, assim, criar economias de escala, facilitar o comércio e a mobilidade além-fronteiras e ajudar os operadores económicos a concentrarem os recursos na inovação, em vez de os utilizarem para custear as despesas decorrentes da fragmentação da legislação no interior da União.

(9)

Os benefícios para o mercado interno da harmonização dos requisitos de acessibilidade têm sido demonstrados pela aplicação da Diretiva 2014/33/UE do Parlamento Europeu e do Conselho (3), relativa aos ascensores, e do Regulamento (CE) n.o 661/2009 do Parlamento Europeu e do Conselho (4) no domínio dos transportes.

(10)

Na Declaração n.o 22 relativa às pessoas com deficiência, anexa ao Tratado de Amesterdão, a Conferência dos Representantes dos Governos dos Estados-Membros concordou que, ao instituírem medidas ao abrigo do artigo 114.o do Tratado sobre o Funcionamento da União Europeia (TFUE), as instituições da União deverão ter em conta as necessidades das pessoas com deficiência.

(11)

O objetivo geral da comunicação da Comissão de 6 de maio de 2015«Estratégia para o Mercado Único Digital na Europa» consiste em proporcionar benefícios económicos e sociais sustentáveis de um mercado único digital conectado, facilitando assim o comércio e promovendo o emprego na União. Os consumidores da União continuam a não beneficiar de todas as vantagens em matéria de preços e de escolha que o mercado único pode oferecer, uma vez que as transações transfronteiriças em linha ainda são muito limitadas. A fragmentação também limita a procura de transações de comércio eletrónico transfronteiras. Também é necessária ação concertada para garantir que os conteúdos eletrónicos, os serviços de comunicações eletrónicas e o acesso a serviços de comunicação social audiovisual estejam inteiramente ao dispor das pessoas com deficiência. É, por isso, necessário harmonizar os requisitos de acessibilidade no mercado único digital e garantir que todos os cidadãos da União, independentemente das suas capacidades, possam usufruir dos seus benefícios.

(12)

Desde que a União se tornou Parte na CNUDPD, as disposições da Convenção são parte integrante do ordenamento jurídico da União e são vinculativas para as instituições da União e para os seus Estados-Membros.

(13)

A CNUDPD exige que as suas Partes tomem medidas apropriadas para assegurar que pessoas com deficiência tenham acesso, em condições de igualdade com os demais, ao ambiente físico, aos transportes, à informação e às comunicações, incluindo as tecnologias e os sistemas de informação e comunicação, e a outras instalações e serviços abertos ou prestados ao público, tanto nas áreas urbanas como nas áreas rurais. O Comité das Nações Unidas para os Direitos das Pessoas com Deficiência identificou a necessidade de criar um quadro legislativo que preveja critérios concretos, obrigatórios e calendarizados para acompanhar a aplicação gradual das medidas de acessibilidade.

(14)

A CNUDPD exorta os Estados-Parte a efetuarem ou promoverem a investigação e o desenvolvimento de novas tecnologias e a promoverem a sua disponibilização e utilização, incluindo as tecnologias da informação e comunicação, as ajudas à mobilidade, os dispositivos e as tecnologias de apoio que sejam adequados às pessoas com deficiência. A CNUDPD também apela a que seja dada prioridade a tecnologias económicas.

(15)

A entrada em vigor da CNUDPD na ordem jurídica dos Estados-Membros implica a necessidade de adotar disposições nacionais complementares em matéria de acessibilidade dos produtos e serviços. Na falta de ação por parte da União, essas disposições acentuarão ainda mais as disparidades entre as disposições legislativas, regulamentares e administrativas dos Estados-Membros.

(16)

É, pois, necessário facilitar a aplicação da CNUDPD na União estabelecendo regras comuns na União. A presente diretiva ajudará também os Estados-Membros nos seus esforços para honrarem os compromissos assumidos a nível nacional e cumprirem as obrigações que lhes incumbem por força da CNUDPD em matéria de acessibilidade, de forma harmonizada.

(17)

A comunicação da Comissão, de 15 de novembro de 2010, intitulada «Estratégia Europeia para a Deficiência 2010-2020: compromisso renovado a favor de uma Europa sem barreiras », em sintonia com a CNUDPD, identifica a acessibilidade como uma das oito áreas de intervenção, indica que ela é uma condição prévia fundamental para a participação na sociedade, e visa garantir a acessibilidade de produtos e serviços.

(18)

A determinação dos produtos e serviços abrangidos pelo âmbito de aplicação da presente diretiva baseia-se num exame realizado durante a elaboração da avaliação de impacto que identificou os produtos e serviços relevantes para as pessoas com deficiência e em relação aos quais os Estados-Membros adotaram ou são suscetíveis de vir a adotar requisitos de acessibilidade nacionais divergentes que perturbem o funcionamento do mercado interno.

(19)

A fim de assegurar a acessibilidade dos serviços abrangidos pelo âmbito de aplicação da presente diretiva, os produtos utilizados na prestação desses serviços com os quais o consumidor interage deverão também ter de cumprir os requisitos de acessibilidade aplicáveis da presente diretiva.

(20)

Mesmo que um serviço ou parte de um serviço seja subcontratado a um terceiro, a acessibilidade do mesmo não deverá ser comprometida e os fornecedores de serviços deverão cumprir as obrigações estabelecidas na presente diretiva. Os fornecedores de serviços deverão também assegurar a formação adequada e contínua do seu pessoal para garantir que este dispõe de conhecimentos sólidos para utilizar produtos e serviços acessíveis. Essa formação deverá incidir sobre questões como o fornecimento de informações, o aconselhamento e a publicidade.

(21)

Deverão ser introduzidos requisitos de acessibilidade da forma menos onerosa para os operadores económicos e os Estados-Membros.

(22)

É necessário especificar os requisitos de acessibilidade para a colocação no mercado dos produtos e serviços abrangidos pelo âmbito de aplicação da presente diretiva, a fim de garantir a sua livre circulação no mercado interno.

(23)

A presente diretiva deverá tornar obrigatórios requisitos de acessibilidade funcionais, devendo estes ser formulados sob a forma de objetivos gerais. Esses requisitos deverão ser suficientemente precisos para criar obrigações juridicamente vinculativas e suficientemente pormenorizados para permitir a avaliação da conformidade, a fim de assegurar o bom funcionamento do mercado interno para os produtos e serviços abrangidos pela presente diretiva, e deverão prever uma certa margem de flexibilidade para possibilitar a inovação.

(24)

A presente diretiva contém uma série de critérios de desempenho funcional relacionados com os modos de funcionamento dos produtos e serviços. Esses critérios não se destinam a servir de alternativa geral aos requisitos de acessibilidade nela previstos, devendo antes ser utilizados unicamente em situações muito específicas. Esses critérios deverão aplicar-se a funções ou características específicas desses produtos ou serviços, para os tornar acessíveis, nos casos em que os requisitos de acessibilidade previstos na presente diretiva não contemplem uma ou mais dessas funções ou características específicas. Além disso, na eventualidade de um requisito de acessibilidade conter requisitos técnicos específicos e de o produto ou serviço prever uma solução técnica alternativa a esses requisitos técnicos, essa solução técnica alternativa deverá continuar a cumprir os requisitos de acessibilidade correspondentes e proporcionar uma acessibilidade equivalente ou superior, mediante a aplicação dos critérios de desempenho funcional relevantes.

(25)

A presente diretiva deverá abranger os equipamentos informáticos para uso geral dos consumidores. Para que esses equipamentos funcionem de forma acessível, os respetivos sistemas operativos deverão também ser acessíveis. Esses equipamentos informáticos caracterizam-se pela sua natureza polivalente e pela sua capacidade de desempenharem, com os programas informáticos adequados, as operações informáticas mais frequentemente solicitadas pelos consumidores e destinam-se a ser operados pelos consumidores. São exemplo de equipamentos informáticos os computadores pessoais, nomeadamente os computadores de secretária, os computadores de bolso, os telefones inteligentes e as tabletes. Os computadores especializados incorporados em produtos eletrónicos de consumo não constituem equipamentos informáticos para uso geral dos consumidores. A presente diretiva não deverá abranger, separadamente, componentes individuais com funções específicas — como a placa principal do computador ou a pastilha de memória amovível — que são utilizados ou poderão ser utilizados nesse equipamento.

(26)

A presente diretiva deverá também abranger determinados terminais de pagamentos, incluindo os respetivos equipamentos e programas informáticos, e determinados terminais de autosserviço interativos, incluindo os respetivos equipamentos e programas informáticos, destinados a serem utilizados para a prestação de serviços abrangidos pela presente diretiva, como por exemplo os caixas automáticos, os distribuidores de bilhetes que emitem bilhetes físicos que dão acesso a serviços, como os distribuidores de títulos de transporte, as máquinas de emissão de senhas em instituições bancárias, as máquinas de registo automático e os terminais de autosserviço interativos que prestam informações, incluindo os ecrãs de informação interativos.

(27)

No entanto, alguns terminais de autosserviço interativos que prestam informações instalados como parte integrante de veículos, aeronaves, navios ou material circulante deverão ser excluídos do âmbito de aplicação da presente diretiva, uma vez que fazem parte de tais veículos, aeronaves, navios ou material circulante, que a presente diretiva não abrange.

(28)

A presente diretiva deverá também abranger os serviços de comunicações eletrónicas, incluindo as comunicações de emergência, tal como definidos na Diretiva (UE) 2018/1972 do Parlamento Europeu e do Conselho (5). Atualmente, as medidas tomadas pelos Estados-Membros para assegurar a acessibilidade para as pessoas com deficiência são divergentes e não estão harmonizadas no mercado interno. Garantir a aplicação em toda a União dos mesmos requisitos de acessibilidade conduzirá a economias de escala para os operadores económicos ativos em mais do que um Estado-Membro e facilitará o acesso efetivo das pessoas com deficiência quer nos seus próprios Estados-Membros quer quando viajam entre Estados-Membros. Para que os serviços de comunicações eletrónicas, incluindo as comunicações de emergência, sejam acessíveis, os prestadores de serviços deverão, para além da comunicação por voz, fornecer serviços de texto em tempo real, e conversação total, sempre que forneçam serviços de vídeo, assegurando a sincronização de todos esses meios de comunicação. Para além dos requisitos previstos na presente diretiva em conformidade com a Diretiva (UE) 2018/1972, os Estados-Membros deverão poder determinar um prestador de serviços de intermediação que as pessoas com deficiência possam utilizar.

(29)

A presente diretiva harmoniza os requisitos de acessibilidade para os serviços de comunicações eletrónicas e produtos afins e complementa a Diretiva (UE) 2018/1972, que estabelece requisitos em matéria de equivalência de acesso e escolha para os utilizadores finais com deficiência. A Diretiva (UE) 2018/1972 estabelece igualmente, no âmbito das obrigações de serviço universal, requisitos aplicáveis à acessibilidade dos preços do acesso à Internet e do serviço de comunicações por voz, bem como à acessibilidade dos preços e à disponibilidade dos equipamentos terminais conexos, dos equipamentos específicos e dos serviços destinados aos consumidores com deficiência.

(30)

A presente diretiva deverá igualmente abranger equipamentos terminais com capacidade informática interativa, para uso dos consumidores, que se prevê venham a ser principalmente utilizados para aceder a serviços de comunicações eletrónicas. Para efeitos da presente diretiva, deverá considerar-se que esses equipamentos abrangem os equipamentos que fazem parte da configuração utilizada para aceder aos serviços de comunicações eletrónicas, tais como encaminhadores (routers) ou modems.

(31)

Para efeitos da presente diretiva, o acesso aos serviços de comunicação social audiovisual deverá passar pela acessibilidade dos conteúdos audiovisuais e de mecanismos que permitam aos utilizadores com deficiência utilizar as suas tecnologias de apoio. Entre os serviços que facultam acesso a serviços de comunicação social audiovisual poderão contar-se: os sítios Web, as aplicações em linha, as aplicações integradas em descodificadores (set-top box), as aplicações descarregáveis, os serviços integrados em dispositivos móveis, incluindo aplicações móveis e leitores multimédia conexos, e os serviços de televisão conectada. A acessibilidade dos serviços de comunicação social audiovisual é regulada pela Diretiva 2010/13/UE do Parlamento Europeu e do Conselho (6), salvo no que respeita à acessibilidade dos guias eletrónicos de programas (GEP) que são abrangidos pela definição de serviços que fornecem acesso aos serviços de comunicação social audiovisual, aos quais se aplica a presente diretiva.

(32)

No contexto dos serviços de transporte aéreo, de autocarro, ferroviário, marítimo e fluvial de passageiros, a presente diretiva deverá igualmente abranger, entre outros, a prestação de informações sobre os serviços de transporte, incluindo informações de viagem em tempo real, através de sítios Web, de serviços integrados em dispositivos móveis, de ecrãs de informação interativos e de terminais de autosserviço interativos de que os passageiros com deficiência tenham necessidade para viajar.. Tal poderá incluir as informações sobre os produtos e serviços de transporte de passageiros do prestador de serviços, as informações fornecidas antes ou durante a viagem e as informações fornecidas quando um serviço é cancelado ou tem atraso à partida. Outros elementos de informação poderão também incidir sobre preços e promoções.

(33)

A presente diretiva deverá igualmente abranger os sítios Web e os serviços integrados em dispositivos móveis, incluindo as aplicações móveis concebidas ou disponibilizadas por operadores de serviços de transporte de passageiros abrangidos pela presente diretiva ou em seu nome, como serviços de bilhética eletrónica, bilhetes eletrónicos e terminais de autosserviço interativos.

(34)

A determinação do âmbito de aplicação da presente diretiva no que respeita aos serviços de transporte aéreo, de autocarro, ferroviário, marítimo e fluvial de passageiros deverá ter por base a legislação setorial em vigor relativa aos direitos dos passageiros. Sempre que a presente diretiva não se aplique a determinados tipos de serviços de transporte, os Estados-Membros deverão incentivar os prestadores de serviços a aplicar os requisitos de acessibilidade relevantes previstos na presente diretiva.

(35)

A Diretiva (UE) 2016/2102 do Parlamento Europeu e do Conselho (7) já prevê a obrigação de os organismos do setor público que disponibilizam serviços de transporte, incluindo os serviços de transporte urbano e suburbano e os serviços de transporte regional, tornarem os seus sítios Web acessíveis. A presente diretiva prevê ainda isenções para as microempresas que prestem serviços, incluindo serviços de transporte urbano e suburbano e os serviços de transporte regional. Além disso, a presente diretiva inclui obrigações destinadas a assegurar a acessibilidade dos sítios Web de comércio eletrónico. Uma vez que a presente diretiva obriga a grande maioria dos prestadores de serviços de transportes privados a tornarem os seus sítios Web acessíveis quando vendem bilhetes em linha, não é necessário introduzir na presente diretiva outros requisitos para os sítios Web dos prestadores de serviços de transporte urbano e suburbano e dos prestadores de serviços de transporte regional.

(36)

Determinados elementos dos requisitos de acessibilidade, em particular no que respeita à prestação de informações prevista na presente diretiva, são já abrangidos pelo direito da União em vigor no domínio do transporte de passageiros. Trata-se, nomeadamente, de elementos do Regulamento (CE) n.o 261/2004 do Parlamento Europeu e do Conselho (8), do Regulamento (CE) n.o 1107/2006 do Parlamento Europeu e do Conselho (9), do Regulamento (CE) n.o 1371/2007 do Parlamento Europeu e do Conselho (10), do Regulamento (UE) n.o 1177/2010 do Parlamento Europeu e do Conselho (11) e do Regulamento (UE) n.o 181/2011 do Parlamento Europeu e do Conselho (12). Trata-se também dos atos aplicáveis adotados com base na Diretiva 2008/57/CE do Parlamento Europeu e do Conselho (13). Para garantir a coerência regulamentar, os requisitos de acessibilidade previstos nos referidos regulamentos e nos referidos atos deverão continuar a aplicar-se como anteriormente. No entanto, os requisitos adicionais previstos na presente diretiva viriam complementar os requisitos existentes, melhorando o funcionamento do mercado interno no domínio dos transportes e trazendo vantagens às pessoas com deficiência.

(37)

A presente diretiva não deverá abranger determinados elementos dos serviços de transporte que sejam prestados fora do território dos Estados-Membros, mesmo que o serviço se destine ao mercado da União. No que diz respeito a esses elementos, um operador de serviços de transporte de passageiros só deverá ser obrigado a assegurar o cumprimento dos requisitos previstos na presente diretiva no que se refere à parte dos serviços que disponibiliza no território da União. Todavia, no caso do transporte aéreo, as transportadoras aéreas da União deverão assegurar o cumprimento dos requisitos aplicáveis previstos na presente diretiva também no caso dos voos com partida num aeroporto situado num país terceiro e destino a um aeroporto situado no território de um Estado-Membro. Além disso, todas as transportadoras aéreas, incluindo as que não dispõem de licença na União, deverão assegurar o cumprimento dos requisitos aplicáveis previstos na presente diretiva no caso dos voos com partida do território da União com destino ao território de um país terceiro.

(38)

As autoridades nas zonas urbanas deverão ser incentivadas a integrar a acessibilidade sem barreiras aos serviços de transportes urbanos nos seus planos de mobilidade urbana sustentável (PMUS), bem como a publicar regularmente listas de boas práticas em matéria de acessibilidade sem barreiras aos transportes públicos urbanos e de mobilidade.

(39)

O direito da União sobre serviços bancários e financeiros visa proteger os consumidores desses serviços em toda a União e fornecer-lhes informações, mas não inclui requisitos de acessibilidade. Para permitir que as pessoas com deficiência utilizem esses serviços em toda a União, inclusive caso estes sejam prestados através de sítios Web e de serviços integrados em dispositivos móveis, incluindo as aplicações móveis, tomem decisões informadas e se sintam confiantes de que beneficiam de proteção adequada, em pé de igualdade com os demais consumidores, bem como para assegurar condições de concorrência equitativas aos prestadores de serviços, a presente diretiva deverá estabelecer requisitos de acessibilidade comuns para determinados serviços bancários e financeiros prestados aos consumidores.

(40)

Os requisitos de acessibilidade adequados deverão também ser aplicáveis aos métodos de identificação, à assinatura eletrónica e aos serviços de pagamento, uma vez que estes são necessários para concluir transações bancárias com os consumidores.

(41)

Os ficheiros de livros eletrónicos baseiam-se numa codificação informática eletrónica que permite a difusão e a consulta de uma obra intelectual essencialmente textual e gráfica. O grau de precisão dessa codificação determina a acessibilidade dos ficheiros de livros eletrónicos, em particular no que respeita à qualificação dos diferentes elementos constitutivos da obra e à descrição normalizada da sua estrutura. A interoperabilidade em termos de acessibilidade deverá otimizar a compatibilidade desses ficheiros com os agentes de utilizador e com as tecnologias de apoio atuais e futuras. As características específicas de obras especiais como as bandas desenhadas, os livros infantis e os livros de arte deverão ser tidas em conta à luz de todos os requisitos de acessibilidade aplicáveis. O facto de existirem requisitos de acessibilidade divergentes nos vários Estados-Membros impediria os editores e outros operadores económicos de beneficiar das vantagens do mercado interno, poderia gerar problemas de interoperabilidade com os leitores de livros eletrónicos e limitaria o acesso dos consumidores com deficiência. No contexto dos livros eletrónicos, a noção de «prestador de serviços» poderia incluir os editores e outros operadores económicos envolvidos na sua distribuição.

É reconhecido que as pessoas com deficiência continuam a confrontar-se com barreiras ao acesso aos conteúdos protegidos por direitos de autor e direitos conexos e que já foram tomadas algumas medidas para obviar a essa situação, por exemplo através da adoção da Diretiva (UE) 2017/1564 do Parlamento Europeu e do Conselho (14) e do Regulamento (UE) 2017/1563 do Parlamento Europeu e do Conselho (15), e também que, no futuro, a União poderá tomar outras medidas a esse respeito.

(42)

A presente diretiva define os serviços de comércio eletrónico como serviços prestados à distância, através de sítios Web e de serviços integrados em dispositivos móveis, por meios eletrónicos e mediante pedido individual de um consumidor, com vista à celebração de um contrato de consumo. Para efeitos dessa definição, por «à distância» entende-se que o serviço é prestado sem que as partes estejam simultaneamente presentes; pela expressão «por meios eletrónicos» entende-se que o serviço é enviado desde a origem e recebido no destino através de equipamentos eletrónicos de processamento (incluindo a compressão digital) e de armazenamento de dados, e que é inteiramente transmitido, encaminhado e recebido por cabo, rádio, meios óticos ou outros meios eletromagnéticos; por «mediante pedido individual de um consumidor» entende-se que o serviço é prestado a pedido individual. Dada a crescente relevância dos serviços de comércio eletrónico e a sua natureza altamente tecnológica, importa estabelecer requisitos harmonizados para a sua acessibilidade.

(43)

As obrigações de acessibilidade para os serviços de comércio eletrónico previstas na presente diretiva deverão ser aplicáveis à venda em linha de qualquer produto ou serviço e, por conseguinte, deverão aplicar-se também à venda de um produto ou serviço abrangido por direito próprio pela presente diretiva.

(44)

As medidas relativas à acessibilidade do atendimento das comunicações de emergência deverão ser adotadas sem prejuízo da organização dos serviços de emergência e não deverão ter qualquer impacto na organização dos mesmos, que continua a ser da competência exclusiva dos Estados-Membros.

(45)

Nos termos da Diretiva (UE) 2018/1972, cabe aos Estados-Membros assegurar que os utilizadores finais com deficiência disponham de um acesso a serviços de emergência através de comunicações de emergência e que este seja equivalente àquele de que beneficiam os demais utilizadores finais, nos termos do direito da União que harmoniza os requisitos de acessibilidade dos produtos e serviços. A Comissão, as autoridades reguladoras nacionais ou outras autoridades competentes devem tomar as medidas adequadas para garantir que, quando viajam noutros Estados-Membros, os utilizadores finais com deficiência possam aceder aos serviços de emergência, em condições de igualdade com os demais utilizadores finais, se possível, sem qualquer registo prévio. Essas medidas devem procurar assegurar a interoperabilidade entre os Estados-Membros e basear-se o mais possível nas normas ou especificações europeias estabelecidas nos termos do artigo 39.o da Diretiva (UE) 2018/1972. Essas medidas não impedem os Estados-Membros de adotar requisitos adicionais a fim de alcançar os objetivos estabelecidos na referida diretiva. Em alternativa ao cumprimento dos requisitos de acessibilidade no que respeita ao atendimento de comunicações de emergência para os utilizadores com deficiência estabelecidos pela presente diretiva, os Estados-Membros deverão ter a faculdade de determinar um terceiro prestador de serviços de intermediação que pessoas com deficiência possam utilizar para comunicar com o ponto de atendimento de segurança pública, até estes últimos poderem utilizar serviços de comunicações eletrónicas através de protocolos de Internet para garantir a acessibilidade do atendimento a comunicações de emergência. Em qualquer caso, as obrigações previstas na presente diretiva não deverão ser entendidas no sentido de restringir ou reduzir as obrigações em benefício dos utilizadores finais com deficiência, incluindo a equivalência de acesso a serviços de comunicações eletrónicas e a serviços de emergência, bem como obrigações de acessibilidade previstas na Diretiva (UE) 2018/1972.

(46)

A Diretiva (UE) 2016/2102 define os requisitos de acessibilidade dos sítios Web e das aplicações móveis dos organismos do setor público e outros aspetos conexos, em especial os requisitos relacionados com a conformidade dos sítios Web e das aplicações móveis em causa. No entanto, essa diretiva contém uma lista específica de exceções. Para a presente diretiva, é relevante prever exceções idênticas. Algumas atividades efetuadas através de sítios Web e aplicações móveis do setor público, como os serviços de transporte de passageiros ou os serviços de comércio eletrónico, que são abrangidos pelo âmbito de aplicação da presente diretiva, deverão além disso cumprir os requisitos de acessibilidade aplicáveis nela previstos para garantir que a venda de produtos e serviços em linha seja acessível às pessoas com deficiência, independentemente do facto de o vendedor ser um operador económico do setor público ou privado. Os requisitos de acessibilidade previstos na presente diretiva deverão ser alinhados pelos requisitos da Diretiva (UE) 2016/2102, apesar das diferenças, por exemplo, no acompanhamento, na comunicação e na execução.

(47)

Os quatro princípios de acessibilidade dos sítios Web e das aplicações móveis, na aceção da Diretiva (UE) 2016/2102, são: a percetibilidade, que significa que a informação e os componentes da interface do utilizador deverão ser apresentados aos utilizadores de modo a que eles os possam percecionar; a operabilidade, que significa que os componentes e a navegação da interface do utilizador devem ser operáveis; a compreensibilidade, que significa que a informação e a operação da interface do utilizador devem ser de fácil compreensão; e a robustez, que significa que os conteúdos têm de ser suficientemente robustos para que possam ser interpretados de forma fiável por uma vasta gama de agentes utilizadores, incluindo as tecnologias de apoio. Esses princípios são igualmente relevantes para a presente diretiva.

(48)

Os Estados-Membros deverão tomar todas as medidas adequadas para assegurar que, nos casos em que os produtos e serviços abrangidos pela presente diretiva cumpram os requisitos de acessibilidade aplicáveis, a sua livre circulação na União não seja entravada por motivos relacionados com esses requisitos.

(49)

Em alguns casos, a existência de requisitos comuns de acessibilidade aplicáveis às áreas construídas facilitaria a livre circulação de serviços conexos e das pessoas com deficiência. Por conseguinte, a presente diretiva deverá permitir que os Estados-Membros incluam as áreas construídas utilizadas na prestação dos serviços abrangidos no âmbito de aplicação da presente diretiva, assegurando o cumprimento dos requisitos de acessibilidade previstos no anexo III.

(50)

A acessibilidade deverá ser alcançada através da eliminação e da prevenção sistemáticas de barreiras, de preferência seguindo uma abordagem de desenho universal ou «desenho para todos», que contribui para garantir às pessoas com deficiência acesso em condições de igualdade com as demais. Segundo a CNUDPD, esta abordagem «significa o desenho dos produtos, ambientes, programas e serviços a serem usados, por todas as pessoas, na sua máxima extensão, sem necessidade de adaptação ou projeto específico». Nos termos da CNUDPD, o "«desenho universal» não deve excluir os dispositivos de assistência a grupos particulares de pessoas com deficiência, sempre que seja necessário». Além disso, a acessibilidade não deverá excluir a realização de adaptações razoáveis quando assim o exigir o direito da União ou o direito nacional. A acessibilidade e o desenho universal deverão ser interpretados de acordo com o Comentário Geral n.o 2 (2014), artigo 9.o: Acessibilidade, tal como redigido pelo Comité da ONU para os Direitos das Pessoas com Deficiência.

(51)

Os produtos e serviços abrangidos pelo âmbito de aplicação da presente diretiva não são automaticamente abrangidos pelo âmbito de aplicação da Diretiva 93/42/CEE do Conselho (16). No entanto, certas tecnologias de apoio que são dispositivos médicos poderão ser abrangidas pelo âmbito de aplicação dessa diretiva.

(52)

A maioria dos empregos na União são assegurados por PME e microempresas. Estas têm uma importância crucial para o crescimento futuro, mas veem-se frequentemente confrontadas com barreiras e obstáculos ao desenvolver os seus produtos ou serviços, nomeadamente num contexto transfronteiriço. Importa, pois, facilitar o trabalho das PME e das microempresas, harmonizando as disposições nacionais em matéria de acessibilidade, mas mantendo, simultaneamente, as garantias necessárias.

(53)

Para beneficiarem da presente diretiva, as microempresas e as PME devem cumprir efetivamente os requisitos previstos na Recomendação 2003/361/CE (17) da Comissão e respeitar a jurisprudência relevante, que visam prevenir a violação das suas regras.

(54)

A fim de assegurar a coerência do direito da União, a presente diretiva deverá ter por base a Decisão n.o 768/2008/CE do Parlamento Europeu e do Conselho (18), uma vez que diz respeito a produtos já abrangidos por outros atos da União, reconhecendo, ao mesmo tempo, as características específicas dos requisitos de acessibilidade previstos na presente diretiva.

(55)

Todos os operadores económicos abrangidos pelo âmbito de aplicação da presente diretiva e que intervenham na cadeia de abastecimento e distribuição deverão garantir que apenas disponibilizam no mercado produtos conformes com a presente diretiva. O mesmo deverá aplicar-se aos operadores económicos que prestam serviços. É necessário prever uma repartição clara e proporcionada das obrigações que correspondem ao papel de cada operador económico no processo de abastecimento e distribuição.

(56)

Os operadores económicos deverão responder pela conformidade dos produtos e serviços, de acordo com o respetivo papel na cadeia de abastecimento, a fim de assegurar um elevado nível de proteção da acessibilidade e garantir a concorrência leal no mercado da União.

(57)

As obrigações estabelecidas na presente diretiva deverão aplicar-se tanto aos operadores económicos do setor público como aos do setor privado.

(58)

O fabricante, mais conhecedor do processo de conceção e de produção, é o mais bem colocado para efetuar na íntegra a avaliação da conformidade. Embora a responsabilidade pela conformidade dos produtos incumba ao fabricante, as autoridades de fiscalização do mercado deverão desempenhar um papel crucial na verificação da conformidade do fabrico dos produtos disponibilizados na União com o direito da União.

(59)

Os importadores e os distribuidores deverão ser envolvidos nas atividades de fiscalização do mercado levadas a cabo pelas autoridades nacionais e estar preparados para participar ativamente, facultando às autoridades competentes todas as informações necessárias relacionadas com o produto em causa.

(60)

Os importadores deverão certificar-se de que os produtos provenientes de países terceiros que entram no mercado da União cumprem o disposto na presente diretiva e, nomeadamente, de que os fabricantes aplicaram os procedimentos de avaliação da conformidade adequados a esses produtos.

(61)

Ao colocarem um produto no mercado, os importadores deverão indicar no produto o seu nome, a sua firma ou marca registada e o endereço em que podem ser contactados.

(62)

Os distribuidores deverão garantir que a forma como manipulam o produto não prejudica o cumprimento dos requisitos de acessibilidade previstos na presente diretiva.

(63)

O operador económico que coloque no mercado um produto sob o seu nome ou marca ou que altere um produto já colocado no mercado de tal modo que o cumprimento dos requisitos aplicáveis possa ser afetado deverá ser considerado fabricante e deverá assumir as obrigações que incumbem a este último.

(64)

Por razões de proporcionalidade, os requisitos de acessibilidade só deverão aplicar-se na medida em que não imponham um encargo desproporcionado ao operador económico em causa, ou em que não obriguem a alterações significativas dos produtos e serviços suscetíveis de resultar numa alteração fundamental dos mesmos, à luz da presente diretiva. Não obstante, deverão existir mecanismos de controlo, a fim de verificar a legitimidade das exceções à aplicabilidade dos requisitos de acessibilidade.

(65)

A presente diretiva deverá seguir o princípio «pensar primeiro em pequena escala» e ter em conta os encargos administrativos que pesam sobre as PME. Em vez de prever exceções e derrogações gerais para essas empresas, a diretiva deverá estabelecer regras flexíveis em matéria de avaliação da conformidade e cláusulas de salvaguarda para os operadores económicos. Por conseguinte, aquando da fixação das regras para a seleção e a aplicação dos procedimentos de avaliação da conformidade mais adequados, haverá que atender à situação das PME e limitar as obrigações de avaliação da conformidade dos requisitos de acessibilidade, de forma a que estas não imponham um encargo desproporcionado para as PME. Além disso, as autoridades de fiscalização do mercado deverão agir de forma proporcionada em relação à dimensão das empresas e à natureza da produção em causa (em pequena série ou por encomenda), sem criar obstáculos desnecessários para as PME e sem comprometer a proteção do interesse público.

(66)

Em casos excecionais, sempre que o cumprimento dos requisitos de acessibilidade previstos na presente diretiva possa impor um encargo desproporcionado aos operadores económicos, estes só deverão ser obrigados a cumprir esses requisitos na medida em que estes não imponham um encargo desproporcionado. Nesses casos devidamente justificados, não seria razoavelmente possível a um operador económico aplicar na íntegra um ou mais requisitos de acessibilidade previstos na presente diretiva. No entanto, o operador económico deverá tornar um serviço ou produto abrangido pelo âmbito de aplicação da presente diretiva o mais acessível possível, aplicando esses requisitos na medida em que estes não imponham um encargo desproporcionado. Os requisitos de acessibilidade que, no entender do operador económico, não imponham um encargo desproporcionado deverão aplicar-se na íntegra. As exceções ao cumprimento de um ou mais requisitos de acessibilidade em razão do encargo desproporcionado que impõem não deverão ir além do estritamente necessário para limitar esse encargo relativamente ao produto ou serviço específico em questão em cada caso particular. Por medidas que impõem um encargo desproporcionado deverá entender-se as medidas que impõem um encargo organizativo ou financeiro suplementar excessivo para o operador económico, tendo simultaneamente em conta os benefícios prováveis delas decorrentes para as pessoas com deficiência, de acordo com os critérios previstos na presente diretiva. Deverão ser definidos critérios baseados nestas considerações de modo a permitir que tanto os operadores económicos como as autoridades competentes comparem as diferentes situações e avaliem de forma sistemática a eventual presença de um encargo desproporcionado. Ao avaliar em que medida não podem ser cumpridos os requisitos de acessibilidade em razão do encargo desproporcionado que impõem, só deverão ser tidos em conta motivos legítimos. A falta de prioridade, de tempo ou de conhecimentos não deverão ser consideradas motivos legítimos.

(67)

O caráter desproporcionado do encargo deverá ser avaliado de forma global através do recurso aos critérios previstos no anexo VI. A avaliação do caráter desproporcionado do encargo deverá ser documentada pelo operador económico, tendo em conta os critérios pertinentes. Os prestadores de serviços deverão renovar a sua avaliação pelo menos de cinco em cinco anos.

(68)

O operador económico deverá informar as autoridades competentes de que se baseou nas disposições da presente diretiva relativas à alteração fundamental e/ou aos encargos desproporcionados. O operador económico só deverá fornecer uma cópia da avaliação que explique a razão pela qual o seu produto ou serviço não é totalmente acessível e contenha elementos de prova do caráter desproporcionado do encargo ou da alteração fundamental, ou de ambos, a pedido das autoridades competentes.

(69)

Ainda que, com base na avaliação requerida, um prestador de serviços conclua que constituiria um encargo desproporcionado exigir o cumprimento dos requisitos de acessibilidade previstos na presente diretiva a todos os terminais de autosserviço utilizados na prestação dos serviços por ela abrangidos, o prestador de serviços deverá aplicar esses requisitos na medida em que estes não lhe imponham um encargo desproporcionado. Por conseguinte, o prestador de serviços deverá avaliar em que medida um nível de acessibilidade limitado em todos os terminais de autosserviço ou um número limitado de terminais de autosserviço acessíveis lhes permitiria evitar um encargo desproporcionado que de outra forma lhes seria imposto e deverá ser obrigado a cumprir os requisitos de acessibilidade previstos na presente diretiva, apenas nessa medida.

(70)

As microempresas distinguem-se de todas as outras empresas pelo caráter limitado dos seus recursos humanos, do seu volume de negócios anual ou do seu balanço anual. Por conseguinte, o encargo decorrente do cumprimento dos requisitos de acessibilidade representa, em geral, para as microempresas, uma parte maior dos seus recursos financeiros e humanos do que para as outras empresas, sendo mais provável que represente uma parte desproporcionada dos custos. Uma parte significativa dos custos para as microempresas deve-se à elaboração e à conservação dos documentos e registos necessários para demonstrar o cumprimento dos diferentes requisitos previstos no direito da União. Embora todos os operadores económicos abrangidos pela presente diretiva devam ser capazes de avaliar a proporcionalidade do cumprimento dos requisitos de acessibilidade nela estabelecidos, deverão cumpri-los apenas na medida em que não sejam desproporcionados, exigir uma avaliação deste tipo a microempresas prestadoras de serviços constituiria, por si só, um encargo desproporcionado. Por esta razão, as obrigações e os requisitos previstos na presente diretiva não deverão aplicar-se às microempresas que prestem serviços abrangidos pelo seu âmbito de aplicação.

(71)

A presente diretiva deverá prever obrigações e requisitos menos rigorosos para as microempresas do setor dos produtos abrangidos pelo seu âmbito de aplicação, a fim de reduzir o encargo administrativo.

(72)

Embora algumas microempresas estejam isentas das obrigações previstas na presente diretiva, todas as microempresas deverão ser incentivadas a fabricar, importar ou distribuir produtos e a prestar serviços que cumpram os requisitos de acessibilidade estabelecidos na presente diretiva, a fim de aumentar a sua competitividade e o seu potencial de crescimento no mercado interno. Os Estados-Membros deverão, por conseguinte, fornecer orientações e instrumentos às microempresas para facilitar a aplicação das medidas nacionais de transposição da presente diretiva.

(73)

Todos os operadores económicos deverão agir de forma responsável e cumprir plenamente os requisitos legais aplicáveis ao colocarem ou disponibilizarem produtos ou ao prestarem serviços no mercado.

(74)

A fim de facilitar a avaliação da conformidade com os requisitos de acessibilidade aplicáveis, é necessário prever uma presunção de conformidade para os produtos e serviços que respeitam as normas harmonizadas voluntárias adotadas nos termos do Regulamento (UE) n.o 1025/2012 do Parlamento Europeu e do Conselho (19), para efeitos de formulação de especificações técnicas pormenorizadas para esses requisitos. A Comissão já dirigiu às organizações europeias de normalização vários pedidos de normalização em matéria de acessibilidade, como os mandatos de normalização M/376, M/473 e M/420, que seriam relevantes para a preparação de normas harmonizadas.

(75)

O Regulamento (UE) n.o 1025/2012 prevê um procedimento para a apresentação de objeções formais às normas harmonizadas que se considere não cumprirem os requisitos previstos na presente diretiva.

(76)

As normas europeias deverão ser orientadas para o mercado, tendo em conta o interesse público, assim como os objetivos estratégicos enunciados claramente no pedido dirigido pela Comissão a uma ou mais organizações europeias de normalização para que elaborem normas harmonizadas, e deverão ser baseadas num consenso. Na falta de normas harmonizadas e sempre que necessário para efeitos de harmonização do mercado interno, a Comissão deverá poder adotar em certos casos atos de execução que estabeleçam especificações técnicas comuns para os requisitos de acessibilidade previstos na presente diretiva. O recurso a especificações técnicas deverá limitar-se a esses casos. A Comissão deverá poder adotar especificações técnicas, por exemplo quando o processo de normalização estiver bloqueado devido à falta de consenso entre as partes interessadas ou quando se registarem atrasos injustificados na elaboração de uma norma harmonizada, em razão, por exemplo, de a qualidade exigida não ter sido atingida. A Comissão deverá deixar tempo suficiente entre a apresentação de um pedido a um ou mais organismos europeus de normalização para elaborar normas harmonizadas e a adoção de uma especificação técnica relacionada com o mesmo requisito de acessibilidade. A Comissão não deverá ser autorizada a adotar uma especificação técnica se não tiver previamente tentado assegurar que os requisitos de acessibilidade fiquem cobertos pelo sistema europeu de normalização, a menos que a Comissão possa demonstrar que as especificações técnicas respeitam os requisitos estabelecidos no anexo II do Regulamento (UE) n.o 1025/2012.

(77)

A fim de estabelecer, da forma mais eficiente, normas harmonizadas e especificações técnicas que respeitem os requisitos de acessibilidade previstos na presente diretiva para os produtos e serviços, a Comissão deverá, sempre que tal seja exequível, envolver as organizações de cúpula europeias de apoio a pessoas com deficiência e todas as demais partes interessadas no processo.

(78)

A fim de assegurar o acesso efetivo à informação para efeitos de fiscalização do mercado, as informações necessárias para declarar a conformidade de um produto com todos os atos da União aplicáveis deverão ser disponibilizadas numa única declaração UE de conformidade. A fim de reduzir os encargos administrativos que sobre eles recaem, os operadores económicos deverão poder incluir nessa declaração UE de conformidade única todas as declarações individuais de conformidade relevantes.

(79)

Para a avaliação da conformidade de produtos, a presente diretiva deverá seguir o procedimento de controlo interno da produção do «módulo A», previsto no anexo II da Decisão n.o 768/2008/CE, uma vez que este permite que os operadores económicos demonstrem, e as autoridades competentes assegurem, que os produtos disponibilizados no mercado cumprem os requisitos de acessibilidade, sem, no entanto, imporem um encargo indevido.

(80)

Ao efetuarem a fiscalização do mercado dos produtos e a verificação da conformidade dos serviços, as autoridades deverão igualmente verificar as avaliações da conformidade, incluindo se foi corretamente efetuada a avaliação relevante de uma alteração fundamental ou do caráter desproporcionado do encargo. No exercício das suas funções, as autoridades deverão também agir em cooperação com as pessoas com deficiência e com as organizações representativas dessas pessoas e dos seus interesses.

(81)

No que respeita aos serviços, as informações necessárias para avaliar o cumprimento dos requisitos de acessibilidade previstos na presente diretiva deverão constar das condições gerais ou de documento equivalente, sem prejuízo da Diretiva 2011/83/UE do Parlamento Europeu e do Conselho (20).

(82)

A marcação CE, que assinala a conformidade de um produto com os requisitos de acessibilidade previstos na presente diretiva, é o corolário visível de um processo global que abrange a avaliação da conformidade em sentido lato. A presente diretiva deverá respeitar os princípios gerais que regem a marcação CE, previstos no Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho (21), que estabelece os requisitos de acreditação e de fiscalização do mercado relativos à comercialização de produtos. Para além da declaração UE de conformidade, o fabricante deverá informar os consumidores acerca da acessibilidade dos seus produtos, de forma eficaz em termos de custos.

(83)

Nos termos do Regulamento (CE) n.o 765/2008, ao apor a marcação CE num produto, o fabricante declara que esse produto cumpre todos os requisitos de acessibilidade aplicáveis e que assume a total responsabilidade por esse facto.

(84)

Nos termos da Decisão n.o 768/2008/CE, os Estados-Membros devem assegurar uma fiscalização do mercado sólida e eficaz dos produtos nos respetivos territórios e atribuir poderes e recursos suficientes às suas autoridades de fiscalização do mercado.

(85)

Os Estados-Membros deverão verificar que os serviços cumprem as obrigações decorrentes da presente diretiva e dar seguimento a eventuais queixas ou relatórios de não conformidade, de forma a assegurar que foram tomadas medidas corretivas.

(86)

Quando adequado, a Comissão poderá adotar, em consulta com as partes interessadas, orientações não vinculativas a fim de apoiar a coordenação entre as autoridades de fiscalização do mercado e as autoridades responsáveis pela verificação da conformidade dos serviços. A Comissão e os Estados-Membros deverão poder lançar iniciativas com o objetivo de partilhar os recursos e os conhecimentos especializados das autoridades.

(87)

Os Estados-Membros deverão assegurar que as autoridades de fiscalização do mercado e as autoridades responsáveis pela verificação da conformidade dos serviços verifiquem que os operadores económicos cumprem os critérios previstos no anexo VI, nos termos do capítulo VIII e IX. Os Estados-Membros deverão poder designar um organismo especializado para cumprir as obrigações das autoridades de fiscalização do mercado ou das autoridades responsáveis pela verificação da conformidade dos serviços por força da presente diretiva. Os Estados-Membros deverão poder decidir que as competências desse organismo especializado deverão limitar-se ao âmbito de aplicação da presente diretiva ou a determinadas partes da mesma, sem prejuízo das obrigações que incumbem aos Estados-Membros por força do Regulamento (CE) n.o 765/2008.

(88)

Deverá ser estabelecido um procedimento de salvaguarda a aplicar em caso de desacordo entre Estados-Membros sobre medidas adotadas por um Estado-Membro, que permita às partes interessadas serem informadas das medidas previstas em relação a produtos que não cumpram os requisitos de acessibilidade previstos na presente diretiva. O procedimento de salvaguarda deverá permitir igualmente que as autoridades de fiscalização do mercado atuem numa fase precoce em relação a tais produtos, em cooperação com os operadores económicos em causa.

(89)

Nos casos em que os Estados-Membros e a Comissão concordem que uma medida tomada por um Estado-Membro é justificada, não deverá ser necessária qualquer outra participação da Comissão, salvo nos casos em que a não conformidade possa ser imputada a deficiências das normas harmonizadas ou das especificações técnicas.

(90)

As Diretivas 2014/24/UE (22) e 2014/25/UE (23) do Parlamento Europeu e do Conselho relativas aos contratos públicos, que definem os procedimentos para a adjudicação de contratos públicos e os concursos para trabalhos de conceção para determinados fornecimentos (produtos), serviços e obras, estabelecem que, para todos os contratos públicos que se destinem a ser utilizados por pessoas singulares, quer se tratem de elementos do público em geral ou do pessoal da autoridade ou entidade adjudicante, as especificações técnicas devem, salvo em casos devidamente justificados, ser elaboradas de modo a ter em conta os critérios de acessibilidade para as pessoas com deficiência ou a conceção para todos os utilizadores. Além disso, essas diretivas exigem que, sempre que existam requisitos de acessibilidade obrigatórios adotados por um ato jurídico da União, as especificações técnicas sejam estabelecidas por referência aos mesmos, no que respeita à acessibilidade para as pessoas com deficiência ou à conceção para todos os utilizadores. A presente diretiva deverá estabelecer requisitos de acessibilidade obrigatórios para os produtos e serviços por ela abrangidos. Os requisitos de acessibilidade previstos na presente diretiva não são vinculativos para os produtos e serviços não abrangidos pelo âmbito de aplicação da presente diretiva. No entanto, a aplicação desses requisitos de acessibilidade para respeitar as obrigações pertinentes estabelecidas em atos da União que não a presente diretiva facilitaria a implementação da acessibilidade e contribuiria para a segurança jurídica e para a aproximação dos requisitos de acessibilidade em toda a União. As autoridades não deverão ser impedidas de estabelecer requisitos de acessibilidade que vão além dos requisitos de acessibilidade previstos no anexo I da presente diretiva.

(91)

A presente diretiva não deverá alterar a natureza obrigatória ou facultativa das disposições relativas à acessibilidade noutros atos da União.

(92)

A presente diretiva deverá aplicar-se apenas aos procedimentos de formação de contratos submetidos à concorrência do mercado ou, nos casos em que não esteja prevista a submissão à concorrência do mercado, quando a autoridade ou entidade adjudicante tenha dado início ao procedimento após a data de aplicação da presente diretiva.

(93)

A fim de assegurar a aplicação correta da presente diretiva, o poder de adotar atos nos termos do artigo 290.o do TFUE deverá ser delegado na Comissão no que diz respeito a: especificar mais pormenorizadamente os requisitos de acessibilidade que, pela sua própria natureza, não possam produzir o efeito pretendido a menos que sejam especificados mais pormenorizadamente em atos jurídicos vinculativos da União; alterar o período durante o qual os operadores económicos devem poder identificar outro operador económico que lhes tenha fornecido um produto ou a quem tenham fornecido um produto; e especificar os critérios relevantes que devam ser tidos em conta pelo operador económico para avaliar se o cumprimento dos requisitos de acessibilidade imporia um encargo desproporcionado. É particularmente importante que a Comissão proceda às consultas adequadas durante os trabalhos preparatórios, inclusive a nível de peritos, e que essas consultas sejam conduzidas de acordo com os princípios estabelecidos no Acordo Interinstitucional, de 13 de abril de 2016, sobre legislar melhor (24). Em particular, a fim de assegurar a igualdade de participação na preparação dos atos delegados, o Parlamento Europeu e o Conselho recebem todos os documentos ao mesmo tempo que os peritos dos Estados-Membros e os respetivos peritos têm sistematicamente acesso às reuniões dos grupos de peritos da Comissão que tratem da preparação dos atos delegados.

(94)

A fim de assegurar condições uniformes de execução da presente diretiva, deverão ser atribuídas à Comissão competências de execução no que respeita ao estabelecimento de especificações técnicas. Essas competências deverão ser exercidas nos termos do Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho (25).

(95)

Os Estados-Membros deverão assegurar a existência de meios adequados e eficazes para garantir o cumprimento da presente diretiva e deverão, por conseguinte, criar os mecanismos de controlo adequados, tais como um controlo a posteriori pelas autoridades de fiscalização do mercado, a fim de verificar se a dispensa dos requisitos de acessibilidade se justifica. Ao tratarem reclamações relacionadas com a acessibilidade, os Estados-Membros deverão respeitar o princípio geral da boa administração e, em particular, a obrigação de os funcionários garantirem a tomada de uma decisão sobre cada reclamação num prazo razoável.

(96)

A fim de facilitar a aplicação uniforme da presente diretiva, a Comissão deverá criar um grupo de trabalho constituído pelas autoridades competentes e pelas partes interessadas relevantes para facilitar o intercâmbio de informações e de boas práticas e para prestar aconselhamento. Deverá ser promovida a cooperação entre as autoridades competentes e as partes interessadas relevantes, incluindo as pessoas com deficiência e as organizações que as representam, nomeadamente a fim de melhorar a coerência na aplicação das disposições da presente diretiva relativas aos requisitos de acessibilidade e a acompanhar a aplicação das disposições relativas à alteração fundamental e ao encargo desproporcionado.

(97)

Tendo em conta o regime jurídico em vigor relativo aos meios de recurso nos domínios abrangidos pelas Diretivas 2014/24/UE e 2014/25/UE, as disposições da presente diretiva relativas à execução e às sanções não deverão ser aplicáveis aos procedimentos de adjudicação sujeitos às obrigações impostas pela presente diretiva. Tal exclusão é aplicável sem prejuízo da obrigação que incumbe aos Estados-Membros por força dos Tratados de tomarem todas as medidas necessárias para garantir a aplicação e a eficácia do direito da União.

(98)

As sanções deverão ser adequadas à natureza e às circunstâncias da infração de modo a não servirem como alternativa ao cumprimento, pelos operadores económicos, do dever de tornar acessíveis os respetivos produtos ou serviços.

(99)

Os Estados-Membros deverão assegurar que, nos termos do direito da União em vigor, existam mecanismos alternativos de resolução de litígios que permitam resolver os casos de alegado incumprimento da presente diretiva, antes se de recorrer aos tribunais ou aos organismos administrativos competentes.

(100)

De acordo com a declaração política conjunta de 28 de setembro de 2011 dos Estados-Membros e da Comissão, sobre os documentos explicativos (26) os Estados Membros assumiram o compromisso de fazer acompanhar a notificação das suas medidas de transposição, nos casos em que tal se justifique, de um ou mais documentos que expliquem a relação entre os componentes de uma diretiva e as partes correspondentes dos instrumentos nacionais de transposição. Em relação à presente diretiva, o legislador considera que a transmissão desses documentos se justifica.

(101)

A fim de conceder aos prestadores de serviços tempo suficiente para se adaptarem aos requisitos previstos na presente diretiva, é necessário estabelecer um período transitório de cinco anos após a data de aplicação da presente diretiva, durante o qual os produtos utilizados para a prestação de um serviço que tenham sido colocados no mercado antes dessa data não tenham de cumprir os requisitos de acessibilidade previstos na presente diretiva, a menos que sejam substituídos pelos prestadores de serviços durante o período transitório. Atendendo ao custo e ao longo ciclo de vida dos terminais de autosserviço, é conveniente prever que, sempre que esses terminais sejam utilizados para a prestação de serviços, possam continuar a ser utilizados até ao fim da sua vida económica, desde que não sejam substituídos durante esse período, mas não por mais de 20 anos.

(102)

Os requisitos de acessibilidade previstos na presente diretiva deverão ser aplicáveis aos produtos colocados no mercado e aos serviços prestados após a data de aplicação das disposições nacionais de transposição da presente diretiva, incluindo aos produtos usados e em segunda mão importados de um país terceiro e colocados no mercado após a referida data.

(103)

A presente diretiva respeita os direitos fundamentais e os princípios reconhecidos, nomeadamente, pela Carta dos Direitos Fundamentais da União Europeia (a seguir designada «Carta»). Visa, em especial, assegurar o pleno respeito do direito das pessoas com deficiência a beneficiarem de medidas destinadas a assegurar a sua autonomia, a sua integração social e profissional e a sua participação na vida da comunidade, e promover a aplicação dos artigos 21.o, 25.o e 26.o da Carta.

(104)

Uma vez que o objetivo da presente diretiva, a saber, a eliminação de obstáculos à livre circulação de determinados produtos e serviços acessíveis com vista a contribuir para o bom funcionamento do mercado interno, não pode ser suficientemente realizado pelos Estados-Membros, por exigir a harmonização de regras diferentes atualmente vigentes nos ordenamentos jurídicos dos diferentes Estados-Membros, mas pode, mediante a definição de requisitos e regras de acessibilidade comuns para o funcionamento do mercado interno, ser mais bem alcançado a nível da União, esta pode adotar medidas de acordo com o princípio da subsidiariedade consagrado no artigo 5.o do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, a presente diretiva não excede o necessário para alcançar esse objetivo,