02019R0881 — SK — 04.02.2025 — 001.001


Tento text slúži výlučne ako dokumentačný nástroj a nemá žiadny právny účinok. Inštitúcie Únie nenesú nijakú zodpovednosť za jeho obsah. Autentické verzie príslušných aktov vrátane ich preambúl sú tie, ktoré boli uverejnené v Úradnom vestníku Európskej únie a ktoré sú dostupné na portáli EUR-Lex. Tieto úradné znenia sú priamo dostupné prostredníctvom odkazov v tomto dokumente

►B

NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2019/881

zo 17. apríla 2019

o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti)

(Text s významom pre EHP)

(Ú. v. ES L 151 7.6.2019, s. 15)

Zmenené a doplnené:

 

 

Úradný vestník

  Č.

Strana

Dátum

►M1

NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2025/37 z 19. decembra 2024,

  L 37

1

15.1.2025


Opravené a doplnené:

►C1

Korigendum, Ú. v. ES L 90782, 6.12.2024, s.  1 (2019/881)




▼B

NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2019/881

zo 17. apríla 2019

o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti)

(Text s významom pre EHP)



HLAVA I

VŠEOBECNÉ USTANOVENIA

Článok 1

Predmet úpravy a rozsah pôsobnosti

1.  

S cieľom zaistiť riadne fungovanie vnútorného trhu a zároveň usilovať sa o dosiahnutie vysokej úrovne kybernetickej bezpečnosti, kybernetickej odolnosti a dôvery v rámci Únie, sa týmto nariadením stanovujú:

a) 

ciele, úlohy a organizačné aspekty týkajúce sa agentúry ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a

▼M1

b) 

rámec pre zavádzanie európskych schém certifikácie kybernetickej bezpečnosti na zabezpečenie primeranej úrovne kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb v Únii, ako aj na predídenie fragmentácii vnútorného trhu z hľadiska schém certifikácie kybernetickej bezpečnosti v Únii.

▼B

Rámec uvedený v písmene b) prvého pododseku sa uplatňuje bez toho, aby mal vplyv na konkrétne ustanovenia v iných právnych aktoch Únie, ktoré sa týkajú dobrovoľnej alebo povinnej certifikácie.

2.  
Týmto nariadením nie sú dotknuté právomoci členských štátov týkajúce sa činností spojených s verejnou bezpečnosťou, obranou, národnou bezpečnosťou a činností štátu v oblasti trestného práva.

Článok 2

Vymedzenie pojmov

Na účely tohto nariadenia sa uplatňujú tieto vymedzenia pojmov:

1. 

„kybernetická bezpečnosť“ sú činnosti potrebné na ochranu sietí a informačných systémov, užívateľov takýchto systémov a iných osôb dotknutých kybernetickými hrozbami;

2. 

„sieť a informačný systém“ je sieť a informačný systém vymedzený v článku 4 bode 1 smernice (EÚ) 2016/1148;

3. 

„národná stratégia v oblasti bezpečnosti sietí a informačných systémov“ je národná stratégia v oblasti bezpečnosti sietí a informačných systémov vymedzená v článku 4 bode 3 smernice (EÚ) 2016/1148;

4. 

„prevádzkovateľ základných služieb“ je prevádzkovateľ základných služieb vymedzený v článku 4 bode 4 smernice (EÚ) 2016/1148;

5. 

„poskytovateľ digitálnych služieb“ je poskytovateľ digitálnych služieb vymedzený v článku 4 bode 6 smernice (EÚ) 2016/1148;

6. 

„incident“ je incident vymedzený v článku 4 bode 7 smernice (EÚ) 2016/1148;

7. 

„riešenie incidentov“ je riešenie incidentov vymedzené v článku 4 bode 8 smernice (EÚ) 2016/1148;

8. 

„kybernetická hrozba“ je každá potenciálna okolnosť, udalosť alebo činnosť, ktorá by mohla poškodiť, narušiť alebo inak negatívne ovplyvniť siete a informačné systémy, užívateľov takýchto systémov a iné osoby;

▼M1

9. 

„európska schéma certifikácie kybernetickej bezpečnosti“ je komplexný súbor pravidiel, technických požiadaviek, noriem a postupov, ktoré sú stanovené na úrovni Únie a ktoré sa uplatňujú na certifikáciu alebo posudzovanie zhody konkrétnych produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb;

10. 

„vnútroštátna schéma certifikácie kybernetickej bezpečnosti“ je komplexný súbor pravidiel, technických požiadaviek, noriem a postupov vypracovaných a prijatých vnútroštátnym orgánom verejnej moci a uplatňovaných pri certifikácii alebo posudzovaní zhody produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb v rozsahu pôsobnosti príslušnej schémy;

11. 

„európsky certifikát kybernetickej bezpečnosti“ je dokument, ktorý vydal príslušný orgán a ktorým sa potvrdzuje, že daný produkt IKT, služba IKT, proces IKT alebo riadená bezpečnostná služba boli predmetom hodnotenia, pokiaľ ide o súlad s konkrétnymi bezpečnostnými požiadavkami stanovenými v európskej schéme certifikácie kybernetickej bezpečnosti;

▼B

12. 

„produkt IKT“ je prvok alebo skupina prvkov siete alebo informačného systému;

13. 

„služba IKT“ je služba pozostávajúca úplne alebo prevažne z prenosu, ukladania, získavania alebo spracúvania informácií prostredníctvom sietí a informačných systémov;

14. 

„proces IKT“ je súbor činností vykonávaných pre navrhnutie, vyvinutie, poskytnutie alebo údržbu produktu IKT alebo služby IKT;

▼M1

14a. 

„riadená bezpečnostná služba“ je služba poskytovaná tretej strane, ktorej predmetom je vykonávanie činností súvisiacich s riadením rizika kybernetickej bezpečnosti alebo poskytovanie pomoci pri týchto činnostiach, ako je riešenie incidentu, penetračné testovanie, bezpečnostné audity a konzultácie vrátane odborného poradenstva súvisiaceho s technickou podporou;

▼B

15. 

„akreditácia“ je akreditácia vymedzená v článku 2 bode 10 nariadenia (ES) č. 765/2008;

16. 

„vnútroštátny akreditačný orgán“ je vnútroštátny akreditačný orgán vymedzený v článku 2 bode 11 nariadenia (ES) č. 765/2008;

17. 

„posudzovanie zhody“ je posudzovanie zhody vymedzené v článku 2 bode 12 nariadenia (ES) č. 765/2008;

18. 

„orgán posudzovania zhody“ je orgán posudzovania zhody vymedzený v článku 2 bode 13 nariadenia (ES) č. 765/2008;

19. 

„norma“ je norma vymedzená v článku 2 bode 1 nariadenia (EÚ) č. 1025/2012;

▼M1

20. 

„technická špecifikácia“ je dokument, v ktorom sa predpisujú technické požiadavky, ktoré musí spĺňať produkt IKT, služba IKT, proces IKT alebo riadená bezpečnostná služba, alebo postupy posudzovania zhody týkajúce sa produktu IKT, služby IKT, procesu IKT alebo riadenej bezpečnostnej služby;

21. 

„úroveň záruky“ je základ pre presvedčenie, že produkt IKT, služba IKT, proces IKT alebo riadená bezpečnostná služba spĺňa bezpečnostné požiadavky konkrétnej európskej schémy certifikácie kybernetickej bezpečnosti a uvádza úroveň, na akej sa produkt IKT, služba IKT, proces IKT alebo riadená bezpečnostná služba hodnotili, ale ako taký nemeria bezpečnosť produktu IKT, služby IKT, procesu IKT alebo riadenej bezpečnostnej služby;

22. 

„posúdenie zhody samohodnotením“ je činnosť vykonávaná výrobcom alebo poskytovateľom/dodávateľom produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb, ktorou sa hodnotí, či tieto produkty IKT, služby IKT, procesy IKT alebo riadené bezpečnostné služby spĺňajú požiadavky konkrétnej európskej schémy certifikácie kybernetickej bezpečnosti.

▼B

HLAVA II

ENISA (AGENTÚRA EURÓPSKEJ ÚNIE PRE KYBERNETICKÚ BEZPEČNOSŤ)

KAPITOLA I

Mandát a ciele

Článok 3

Mandát

1.  
Agentúra ENISA plní úlohy, ktoré jej boli zverené týmto nariadením, s cieľom dosiahnuť vysokú spoločnú úroveň kybernetickej bezpečnosti v celej Únii, a to aj tým, že aktívne podporuje členské štáty a inštitúcie, orgány, úrady a agentúry Únie pri zlepšovaní kybernetickej bezpečnosti. Agentúra ENISA pôsobí ako referenčné miesto pre poradenstvo a odborné znalosti v oblasti kybernetickej bezpečnosti pre inštitúcie, orgány, úrady a agentúry Únie, ako aj pre iné príslušné zainteresované strany v Únii.

Vykonávaním úloh, ktoré boli agentúre ENISA zverené týmto nariadením, prispieva k zníženiu fragmentácie vnútorného trhu.

2.  
Agentúra ENISA plní úlohy, ktoré jej boli zverené v právnych aktoch Únie, v ktorých sa stanovujú opatrenia na aproximáciu zákonov, iných právnych predpisov a správnych opatrení členského štátu v oblasti kybernetickej bezpečnosti.
3.  
Pri vykonávaní svojich úloh agentúra ENISA koná nezávisle, pričom sa vyhýba zdvojovaniu činností členského štátu a zohľadňuje existujúce odborné znalosti členského štátu.
4.  
Agentúra ENISA vyvíja svoje vlastné zdroje vrátane technických a ľudských spôsobilostí a zručností potrebných na plnenie úloh, ktoré jej boli zverené týmto nariadením.

Článok 4

Ciele

1.  
Agentúra ENISA pôsobí ako stredisko odborných znalostí v oblasti kybernetickej bezpečnosti na základe svojej nezávislosti, vedeckej a technickej kvality poskytovaného poradenstva, pomoci a informácií, transparentnosti svojich prevádzkových postupov a pracovných metód a dôslednosti pri vykonávaní svojich úloh.
2.  
Agentúra ENISA pomáha inštitúciám, orgánom, úradom a agentúram Únie, ako aj členským štátom pri vypracúvaní a vykonávaní politík Únie súvisiacich s kybernetickou bezpečnosťou vrátane odvetvových politík v oblasti kybernetickej bezpečnosti.
3.  
Agentúra ENISA podporuje budovanie kapacít a pripravenosť v celej Únii tým, že inštitúciám, orgánom, úradom a agentúram Únie, ako aj členským štátom a verejným a súkromným zainteresovaným stranám pomáha pri zvyšovaní ochrany ich sietí a informačných systémov, pri rozvoji a zlepšovaní kybernetickej odolnosti a kapacít v oblasti reakcie, ako aj pri rozvoji zručností a spôsobilosti v oblasti kybernetickej bezpečnosti.
4.  
Agentúra ENISA presadzuje na úrovni Únie spoluprácu vrátane výmeny informácií a koordináciu medzi členskými štátmi, inštitúciami, orgánmi, úradmi a agentúrami Únie, ako aj príslušnými súkromnými a verejnými zainteresovanými stranami v otázkach týkajúcich sa kybernetickej bezpečnosti.
5.  
Agentúra ENISA prispieva k posilňovaniu spôsobilostí v oblasti kybernetickej bezpečnosti na úrovni Únie s cieľom podporiť činnosť členských štátov pri predchádzaní kybernetickým hrozbám a reakcii na ne, najmä v prípadoch cezhraničných incidentov.

▼M1

6.  
Agentúra ENISA presadzuje používanie európskej certifikácie kybernetickej bezpečnosti, aby predišla fragmentácii vnútorného trhu. Agentúra ENISA prispieva k zriadeniu a udržiavaniu európskeho rámca certifikácie kybernetickej bezpečnosti v súlade s hlavou III tohto nariadenia, aby sa posilnila transparentnosť kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb, a tým sa posilnila dôvera v digitálny vnútorný trh a jeho konkurencieschopnosť.

▼B

7.  
Agentúra ENISA presadzuje vysokú úroveň povedomia o kybernetickej bezpečnosti vrátane kybernetickej hygieny a kybernetickej gramotnosti občanov, organizácii a podnikov.

KAPITOLA II

Úlohy

Článok 5

Tvorba a vykonávanie politiky a práva Únie

Agentúra ENISA prispieva k tvorbe a vykonávaniu politiky a práva Únie tým, že:

1. 

pomáha a radí pri tvorbe a prehodnocovaní politiky a práva Únie v oblasti kybernetickej bezpečnosti a odvetvovej politiky a legislatívnych iniciatív, ktoré sa týkajú kybernetickej bezpečnosti, najmä poskytovaním nezávislých stanovísk a analýz, ako aj vykonávaním prípravných prác;

2. 

pomáha členským štátom pri konzistentnom vykonávaní politiky a práva Únie v oblasti kybernetickej bezpečnosti, najmä v súvislosti so smernicou (EÚ) 2016/1148, a to aj vydávaním stanovísk, usmernení, poskytovaním poradenstva a najlepších postupov v oblastiach, ako je riadenie rizík, oznamovanie incidentov a zdieľanie informácií, ako aj uľahčovaním výmeny najlepších postupov medzi príslušnými orgánmi v tomto smere;

3. 

pomáha členským štátom a inštitúciám, orgánom, úradom a agentúram Únie pri tvorbe a presadzovaní politík v oblasti kybernetickej bezpečnosti vo vzťahu k udržaniu všeobecnej dostupnosti alebo integrity verejného jadra otvoreného internetu;

4. 

prispieva k práci skupiny pre spoluprácu v zmysle článku 11 smernice (EÚ) 2016/1148 v podobe odborných znalostí a poradenstva;

5. 

podporuje:

a) 

tvorbu a vykonávanie politiky Únie v oblasti elektronickej totožnosti a dôveryhodných služieb, najmä formou poradenstva a vydávaním technických usmernení, ako aj uľahčovaním výmeny najlepších postupov medzi príslušnými orgánmi;

b) 

presadzovanie zvýšenej úrovne bezpečnosti elektronických komunikácií, a to aj formou poradenstva a odborných znalostí, ako aj uľahčovaním výmeny najlepších postupov medzi príslušnými orgánmi;

c) 

členské štáty pri vykonávaní konkrétnych kybernetickobezpečnostných aspektov politiky a práva Únie, ktoré sa týkajú ochrany údajov a súkromia, vrátane poskytovania poradenstva Európskemu výboru pre ochranu údajov na požiadanie;

6. 

podporuje pravidelné preskúmanie politickej činnosti Únie prípravou výročnej správy o stave vykonávania príslušného právneho rámca z hľadiska:

a) 

informácií o oznámeniach členských štátov o incidentoch, ktoré podľa článku 10 ods. 3 smernice (EÚ) 2016/1148 poskytujú skupine pre spoluprácu jednotné kontaktné miesta;

b) 

súhrnov oznámení o narušeniach bezpečnosti alebo integrity získavaných od poskytovateľov dôveryhodných služieb, ktoré agentúre ENISA poskytujú orgány dohľadu podľa článku 19 ods. 3 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 ( 1 );

c) 

oznámení o bezpečnostných incidentoch, ktoré podávajú poskytovatelia verejných elektronických komunikačných sietí alebo verejne dostupných elektronických komunikačných služieb a ktoré agentúre ENISA poskytujú príslušné orgány podľa článku 40 smernice (EÚ) 2018/1972.

Článok 6

Budovanie kapacít

1.  

Agentúra ENISA pomáha:

a) 

členským štátom v ich úsilí zlepšovať prevenciu, odhaľovanie a analýzu kybernetických hrozieb a incidentov a schopnosť reagovať na ne tým, že im poskytuje vedomosti a odborné znalosti;

b) 

členským štátom a inštitúciám, orgánom, úradom a agentúram Únie pri zavádzaní a vykonávaní politík v oblasti zverejňovania informácií o zraniteľnosti na dobrovoľnom základe;

c) 

inštitúciám, orgánom, úradom a agentúram Únie v ich úsilí zlepšovať prevenciu, odhaľovanie a analýzu kybernetických hrozieb a incidentov a zlepšovať ich spôsobilosť reagovať na takéto kybernetické hrozby a incidenty, a to najmä primeranou podporou tímu CERT-EU;

d) 

členským štátom na požiadanie pri tvorbe vnútroštátnych jednotiek CSIRT podľa článku 9 ods. 5 smernice (EÚ) 2016/1148;

e) 

členským štátom na požiadanie pri vypracúvaní národných stratégií v oblasti bezpečnosti sietí a informačných systémov podľa článku 7 ods. 2 smernice (EÚ) 2016/1148 a v záujme propagácie najlepších postupov podporuje šírenie týchto stratégií v Únii a berie na vedomie pokrok v ich vykonávaní;

f) 

inštitúciám Únie pri tvorbe a revízii kybernetickobezpečnostných stratégií Únie, podpore ich šírenia a monitorovaní pokroku v ich vykonávaní;

g) 

vnútroštátnym jednotkám CSIRT a jednotkám CSIRT Únie pri zdokonaľovaní ich spôsobilosti, a to i presadzovaním dialógu a výmeny informácií, aby s ohľadom na aktuálny stupeň vývoja každá jednotka CSIRT mala spoločnú sadu minimálnej spôsobilosti a aby fungovala v súlade s najlepšími postupmi;

h) 

členským štátom pravidelným organizovaním kybernetickobezpečnostných cvičení na úrovni Únie podľa článku 7 ods. 5 aspoň raz za dva roky a vypracúvaním politických odporúčaní na základe hodnotenia týchto cvičení a takto získaných poznatkov;

i) 

príslušným verejným orgánom poskytovaním školení v oblasti kybernetickej bezpečnosti, podľa potreby v spolupráci so zainteresovanými stranami;

j) 

skupine pre spoluprácu pri výmene najlepších postupov podľa článku 11 ods. 3 písm. l) smernice (EÚ) 2016/1148, najmä z hľadiska identifikácie prevádzkovateľov základných služieb členskými štátmi, z hľadiska rizík a incidentov, a to aj v súvislosti s cezhraničnou previazanosťou.

2.  
Agentúra ENISA podporuje výmenu informácií v odvetviach a medzi nimi, a to najmä v odvetviach uvedených v prílohe II k smernici (EÚ) 2016/1148, poskytovaním najlepších postupov a poradenstva, ktoré sa týkajú dostupných nástrojov, postupov i riešení regulačných otázok spojených s výmenou informácií.

Článok 7

Operačná spolupráca na úrovni Únie

1.  
Agentúra ENISA podporuje operačnú spoluprácu medzi členskými štátmi, inštitúciami, orgánmi, úradmi a agentúrami Únie a medzi zainteresovanými stranami.
2.  

Agentúra ENISA na operačnej úrovni spolupracuje a vytvára synergie s inštitúciami, orgánmi, úradmi a agentúrami Únie vrátane tímu CERT-EU, útvarmi, ktoré sa zaoberajú počítačovou kriminalitou, a dozornými orgánmi v oblasti ochrany súkromia a osobných údajov na účely riešenia otázok spoločného záujmu, a to aj prostredníctvom:

a) 

výmeny know-how a osvedčených postupov;

b) 

poskytovania poradenstva a vydávania usmernení k relevantným otázkam spojeným s kybernetickou bezpečnosťou;

c) 

ustanovenia praktických dohôd na výkon konkrétnych úloh po konzultácii s Komisiou.

3.  
Agentúra ENISA zabezpečuje sekretariát siete jednotiek CSIRT podľa článku 12 ods. 2 smernice (EÚ) 2016/1148 a v tomto postavení aktívne podporuje výmenu informácií a spoluprácu medzi členmi siete jednotiek CSIRT.
4.  

Agentúra ENISA podporuje členské štáty v operačnej spolupráci v rámci siete jednotiek CSIRT tým, že:

a) 

im radí, ako zlepšiť svoju spôsobilosť predchádzať incidentom, odhaľovať ich a reagovať na ne, a na žiadosť jedného alebo viacerých členských štátov poskytne poradenstvo v súvislosti s konkrétnou kybernetickou hrozbou;

b) 

na žiadosť jedného alebo viacerých členských štátov im pomáha pri posúdení incidentov, ktoré majú významný alebo závažný vplyv, a to prostredníctvom poskytnutia odborných znalostí a uľahčením technického riešenia takýchto incidentov, okrem iného najmä podporou dobrovoľnej výmeny príslušných informácií a technických riešení medzi členskými štátmi;

c) 

analyzuje zraniteľnosti a incidenty na základe verejne dostupných informácií alebo informácií, ktoré na tento účel dobrovoľne poskytli členské štáty, a

d) 

na žiadosť jedného alebo viacerých členských štátov poskytuje podporu v súvislosti s ex post technickým skúmaním incidentov, ktoré majú významný alebo závažný vplyv v zmysle smernice (EÚ) 2016/1148.

Pri výkone týchto úloh agentúra ENISA a tím CERT-EU štruktúrovane spolupracujú s cieľom využiť synergie a predchádzať zdvojovaniu činností.

5.  
Agentúra ENISA pravidelne organizuje kybernetickobezpečnostné cvičenia na úrovni Únie a na požiadanie podporuje členské štáty a inštitúcie, orgány, úrady a agentúry Únie pri organizácií kybernetickobezpečnostných cvičení. Súčasťou takýchto kybernetickobezpečnostných cvičení na úrovni Únie môžu byť technické, operačné alebo strategické prvky. Raz za dva roky agentúra ENISA zorganizuje rozsiahle komplexné cvičenie.

Agentúra ENISA vo vhodnom prípade tiež prispieva k odvetvovým kybernetickobezpečnostným cvičeniam, pričom ich pomáha organizovať, spolu s relevantnými organizáciami, ktoré sa tiež zúčastňujú na kybernetickobezpečnostných cvičeniach na úrovni Únie.

6.  
Agentúra ENISA vypracúva v úzkej spolupráci s členskými štátmi pravidelnú podrobnú technickú správu EÚ o situácií v oblasti incidentov a kybernetických hrozieb, pri ktorej vychádza z verejne dostupných informácií, zo svojich vlastných analýz a zo správ, ktoré okrem iného poskytli jednotky CSIRT členských štátov alebo jednotné kontaktné miesta zriadené podľa smernice (EÚ) 2016/1148, v oboch prípadoch dobrovoľne, EC3 a tím CERT-EU.
7.  

Agentúra ENISA prispieva k vypracovaniu spoločnej reakcie na úrovni Únie a členských štátov na rozsiahle cezhraničné incidenty alebo krízy v oblasti kybernetickej bezpečnosti, a to najmä:

a) 

zhromažďovaním a analýzou správ z národných zdrojov, ktoré sú verejne dostupné alebo sa poskytujú dobrovoľne, s cieľom prispieť k vytvoreniu spoločného situačného povedomia;

b) 

zaistením efektívneho toku informácií a zabezpečením eskalačných mechanizmov medzi sieťou jednotiek CSIRT a subjektmi zodpovednými za technické a politické rozhodnutia na úrovni Únie;

c) 

na žiadosť uľahčovaním technického riešenia takýchto incidentov alebo kríz, a to najmä podporou dobrovoľnej výmeny technických riešení medzi členskými štátmi;

d) 

podporou inštitúcií, orgánov, úradov a agentúr Únie a na žiadosť členských štátov aj ich podporou pri verejnej komunikácii o takýchto incidentoch alebo krízach;

e) 

testovaním plánov spolupráce pri reakcii na takéto incidenty alebo krízy na úrovni Únie a na žiadosť členských štátov poskytovaním im podpory pri testovaní takýchto plánov na vnútroštátnej úrovni.

Článok 8

Trh, certifikácia kybernetickej bezpečnosti a normalizácia

▼M1

1.  

Agentúra ENISA podporuje a presadzuje tvorbu a vykonávanie politiky Únie v oblasti certifikácie kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb v zmysle hlavy III tohto nariadenia, a to tak, že:

▼B

a) 

neustále monitoruje vývoj v súvisiacich oblastiach normalizácie a odporúča vhodné technické špecifikácie na použitie pri rozvoji ►C1  európskych schém certifikácie kybernetickej bezpečnosti ◄ podľa článku 54 ods. 1 písm. c) v prípadoch, keď normy nie sú k dispozícii;

▼M1

b) 

vypracúva kandidátske európske schémy certifikácie kybernetickej bezpečnosti (ďalej len „kandidátske schémy“) produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb v súlade s článkom 49;

▼B

c) 

hodnotí prijaté ►C1  európske schémy certifikácie kybernetickej bezpečnosti ◄ v súlade s článkom 49 ods. 8;

d) 

zapája sa do ►C1  vzájomných preskúmaní ◄ podľa článku 59 ods. 4;

e) 

pomáha Komisii pri poskytovaní sekretariátu skupine ECCG podľa článku 62 ods. 5.

2.  
Agentúra ENISA poskytuje sekretariát skupine zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti podľa článku 22 ods. 4.

▼M1

3.  
Agentúra ENISA zostavuje a uverejňuje usmernenia a vypracúva osvedčené postupy, ktoré sa týkajú požiadaviek kybernetickej bezpečnosti na produkty IKT, služby IKT, procesy IKT a riadené bezpečnostné služby, a to v spolupráci s vnútroštátnymi orgánmi pre certifikáciu kybernetickej bezpečnosti a s príslušným odvetvím formálnym, štandardizovaným a transparentným spôsobom.

▼B

4.  
Agentúra ENISA prispieva k vybudovaniu kapacity pre procesy hodnotenia a certifikácie tým, že zostavuje a vydáva usmernenia, a tiež poskytuje podporu členským štátom na ich žiadosť.

▼M1

5.  
Agentúra ENISA uľahčuje zavádzanie a využívanie európskych i medzinárodných noriem v oblasti riadenia rizika a v oblasti bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb.

▼B

6.  
Agentúra ENISA v spolupráci s členskými štátmi a príslušným odvetvím vypracúva podľa článku 19 ods. 2 smernice (EÚ) 2016/1148 odporúčania a usmernenia, ktoré sa týkajú technických oblastí spojených s bezpečnostnými požiadavkami kladenými na prevádzkovateľov základných služieb a poskytovateľov digitálnych služieb, ako aj odporúčania a usmernenia, ktoré sa týkajú už existujúcich noriem vrátane vnútroštátnych noriem členských štátov.
7.  
Agentúra ENISA vykonáva a šíri pravidelné analýzy hlavných trendov na trhu kybernetickej bezpečnosti, tak na strane dopytu, ako aj ponuky, s cieľom podporiť trh kybernetickej bezpečnosti v Únii.

Článok 9

Znalosti a informácie

Agentúra ENISA:

a) 

analyzuje nastupujúce technológie a poskytuje tematicky zamerané posúdenia očakávaných spoločenských, právnych, hospodárskych a regulačných vplyvov technologických inovácií na kybernetickú bezpečnosť;

b) 

vykonáva dlhodobé strategické analýzy kybernetických hrozieb a incidentov s cieľom identifikovať nové trendy a pomôcť predchádzať incidentom;

c) 

v spolupráci s expertmi orgánov členských štátov a príslušných zainteresovaných strán poskytuje poradenstvo, usmernenia a osvedčené postupy v oblasti bezpečnosti sietí a informačných systémov, a najmä bezpečnosti infraštruktúr, o ktoré sa opierajú odvetvia uvedené v prílohe II k smernici (EÚ) 2016/1148 a ktoré využívajú poskytovatelia digitálnych služieb uvedených v prílohe III k uvedenej smernici;

d) 

prostredníctvom vyhradeného portálu zhromažďuje, organizuje a uverejňuje informácie o kybernetickej bezpečnosti, ktoré poskytli inštitúcie, orgány, úrady a agentúry Únie, a informácie o kybernetickej bezpečnosti, ktoré poskytli na dobrovoľnom základe členské štáty a súkromné a verejné zainteresované strany;

e) 

zhromažďuje a analyzuje verejne dostupné informácie o významných incidentoch a pripravuje správy s cieľom poskytnúť poradenstvo pre občanov, organizácie a podniky v celej Únii.

Článok 10

Zvyšovanie povedomia a vzdelávanie

Agentúra ENISA:

a) 

zvyšuje verejné povedomie o kybernetickobezpečnostných rizikách a poskytuje poradenstvo o osvedčených postupoch pre jednotlivých užívateľov, ktoré sú zamerané na občanov, organizácie a podniky a ktoré sa týkajú aj kybernetickej hygieny a kybernetickej gramotnosti;

b) 

v spolupráci s členskými štátmi, inštitúciami, orgánmi, úradmi a agentúrami Únie, ako aj príslušným odvetvím, organizuje pravidelné osvetové kampane na zvýšenie kybernetickej bezpečnosti a jej viditeľnosti v Únii a podporuje diskusiu so širokou verejnosťou;

c) 

pomáha členským štátom v ich úsilí zvyšovať povedomie o kybernetickej bezpečnosti a podporovať vzdelávanie v oblasti kybernetickej bezpečnosti;

d) 

podporuje užšiu koordináciu a výmenu najlepších postupov medzi členskými štátmi, pokiaľ ide o povedomie a vzdelávanie v oblasti kybernetickej bezpečnosti.

Článok 11

Výskum a inovácia

V oblasti výskumu a inovácie agentúra ENISA:

a) 

radí inštitúciám, orgánom, úradom a agentúram Únie a členským štátom o potrebách a prioritách výskumu v oblasti kybernetickej bezpečnosti s cieľom umožniť účinnú reakciu na existujúce i nové riziká a kybernetické hrozby, a to i v súvislosti s novými a nastupujúcimi informačnými a komunikačnými technológiami, a s cieľom účinne používať technológie na prevenciu rizika;

b) 

podieľa sa na implementačnej fáze programov financovania výskumu a inovácie, ak jej Komisia udelila príslušné právomoci, alebo sa na nich zúčastňuje ako príjemca;

c) 

v oblasti kybernetickej bezpečnosti prispieva do strategického programu pre výskum a inováciu na úrovni Únie.

Článok 12

Medzinárodná spolupráca

Agentúra ENISA prispieva k úsiliu Únie o spoluprácu s tretími krajinami a medzinárodnými organizáciami, ako aj v rámci príslušných medzinárodných rámcov spolupráce s cieľom podporiť medzinárodnú spoluprácu v kybernetickobezpečnostných otázkach, a to tým, že:

a) 

sa v náležitých prípadoch zapája ako pozorovateľ pri organizácii medzinárodných cvičení, analyzuje ich výsledky a podáva o nich správy správnej rade;

b) 

na žiadosť Komisie sprostredkúva výmenu najlepších postupov;

c) 

na žiadosť Komisie jej poskytuje odborné znalosti;

d) 

poskytuje poradenstvo a podporu Komisii v záležitostiach týkajúcich sa dohôd o vzájomnom uznávaní certifikátov kybernetickej bezpečnosti s tretími krajinami v spolupráci s ECCG zriadenou podľa článku 62.

KAPITOLA III

Organizácia agentúry ENISA

Článok 13

Štruktúra agentúry ENISA

Administratívna a riadiaca štruktúra agentúry ENISA pozostáva z týchto prvkov:

a) 

správna rada;

b) 

výkonná rada;

c) 

výkonný riaditeľ;

d) 

poradná skupina agentúry ENISA;

e) 

sieť národných styčných dôstojníkov.

Oddiel 1

Správna rada

Článok 14

Zloženie správnej rady

1.  
Správnu radu tvorí jeden člen vymenovaný za každý členský štát a dvaja členovia vymenovaní Komisiou. Všetci členovia majú hlasovacie právo.
2.  
Každý člen správnej rady má náhradníka. Tento náhradník zastupuje člena v jeho neprítomnosti.
3.  
Členovia správnej rady a ich náhradníci sa vymenúvajú na základe ich znalostí v oblasti kybernetickej bezpečnosti s prihliadnutím na ich relevantné riadiace, administratívne a rozpočtové zručnosti. Komisia a členské štáty sa vynasnažia obmedziť fluktuáciu svojich zástupcov v správnej rade s cieľom zabezpečiť kontinuitu práce správnej rady. Komisia a členské štáty sa usilujú o rodovú vyváženosť v správnej rade.
4.  
Funkčné obdobie členov správnej rady a ich náhradníkov je štyri roky. Toto obdobie je obnoviteľné.

Článok 15

Funkcie správnej rady

1.  

Správna rada:

a) 

stanovuje všeobecné smerovanie činnosti agentúry ENISA a zabezpečuje, aby agentúra ENISA pracovala v súlade s pravidlami a zásadami stanovenými v tomto nariadení; zabezpečuje aj súlad práce agentúry ENISA s činnosťami vykonávanými členskými štátmi i na úrovni Únie;

b) 

prijíma návrh jednotného programového dokumentu agentúry ENISA uvedeného v článku 24 pred jeho predložením Komisii na vydanie stanoviska;

c) 

prijíma jednotný programový dokument agentúry ENISA, pričom zohľadňuje stanovisko Komisie;

d) 

dozerá na vykonávanie viacročného a ročného plánovania začleneného do jednotného programového dokumentu;

e) 

prijíma ročný rozpočet agentúry ENISA a vykonáva ostatné funkcie spojené s rozpočtom agentúry ENISA podľa kapitoly IV;

f) 

posudzuje a prijíma konsolidovanú výročnú správu o činnosti agentúry ENISA vrátane účtovných výkazov a opisu toho, do akej miery agentúra ENISA splnila svoje ukazovatele výkonnosti, predkladá výročnú správu i jej posúdenie do 1. júla nasledujúceho roka Európskemu parlamentu, Rade, Komisii a Dvoru audítorov a výročnú správu zverejňuje;

g) 

prijíma rozpočtové pravidlá platné pre agentúru ENISA v súlade s článkom 32;

h) 

prijíma stratégiu boja proti podvodom, ktorá musí byť primeraná riziku podvodov so zreteľom na analýzu efektívnosti nákladov a prínosov vo vzťahu k opatreniam, ktoré sa majú vykonávať;

i) 

prijíma pravidlá predchádzania konfliktom záujmov svojich členov a ich riešenia;

j) 

zabezpečuje primerané opatrenia nadväzujúce na zistenia a odporúčania, ktoré vyplývajú z vyšetrovania Európskeho úradu pre boj proti podvodom (OLAF) a rôznych správ a hodnotení interného alebo externého auditu;

k) 

prijíma svoj rokovací poriadok vrátane pravidiel pre prijímanie predbežných rozhodnutí o delegovaní osobitných úloh podľa článku 19 ods. 7;

l) 

v súlade s odsekom 2 tohto článku vykonáva vo vzťahu k zamestnancom agentúry ENISA právomoci zverené Služobným poriadkom úradníkov Európskej únie (ďalej len „služobný poriadok úradníkov“) a Podmienkami zamestnávania ostatných zamestnancov Európskej únie (ďalej len „podmienky zamestnávania ostatných zamestnancov“), stanovenými v nariadení Rady (EHS, Euratom, ESUO) č. 259/68 ( 2 ), menovaciemu orgánu a orgánu oprávnenému uzatvárať pracovné zmluvy (ďalej len „právomoci menovacieho orgánu“);

m) 

prijíma predpisy vykonávajúce Služobný poriadok úradníkov a Podmienky zamestnávania ostatných zamestnancov v súlade s postupom uvedeným v článku 110 služobného poriadku úradníkov;

n) 

vymenúva výkonného riaditeľa a v náležitých prípadoch predlžuje jeho funkčné obdobie alebo ho z funkcie odvoláva v súlade s článkom 36;

o) 

vymenúva účtovníka, ktorým môže byť účtovníkom Komisie a ktorý musí byť pri výkone svojich povinností úplne nezávislý;

p) 

prijíma všetky rozhodnutia o zriaďovaní vnútorných štruktúr agentúry ENISA a v prípade potreby o zmene uvedených vnútorných štruktúr, pričom prihliada na potreby činnosti agentúry ENISA a zásadu správneho rozpočtového riadenia;

q) 

schvaľuje stanovenie pracovných dojednaní podľa článku 7;

r) 

schvaľuje stanovenie alebo uzavretie pracovných dojednaní podľa článku 42.

2.  
Správna rada v súlade s článkom 110 služobného poriadku úradníkov prijíma rozhodnutie na základe článku 2 ods. 1 služobného poriadku úradníkov a článku 6 podmienok zamestnávania ostatných zamestnancov, ktorým deleguje príslušné právomoci menovacieho orgánu na výkonného riaditeľa a ktorým určuje podmienky, za ktorých možno toto delegovanie právomoci pozastaviť. Výkonný riaditeľ môže tieto právomoci delegovať ďalej.
3.  
Ak si to vyžadujú mimoriadne okolnosti, správna rada môže prijať rozhodnutie o dočasnom pozastavení delegovania právomocí menovacieho orgánu na výkonného riaditeľa a akýchkoľvek právomocí menovacieho orgánu ďalej delegovaných výkonným riaditeľom, a tieto právomoci vykonávať sama alebo ich delegovať na jedného zo svojich členov alebo na zamestnanca, ktorý nie je výkonným riaditeľom.

Článok 16

Predseda správnej rady

Správna rada volí spomedzi svojich členov dvojtretinovou väčšinou hlasov členov svojho predsedu a podpredsedu. Ich funkčné obdobie je štvorročné a je obnoviteľné raz. Ak sa však ich členstvo v správnej rade kedykoľvek počas ich funkčného obdobia skončí, ich funkčné obdobie sa automaticky končí k danému dátumu. Ak predseda nie je schopný plniť si svoje povinnosti, podpredseda ho nahradí ex officio.

Článok 17

Zasadnutia správnej rady

1.  
Zasadnutia správnej rady zvoláva jej predseda.
2.  
Riadne zasadnutia správnej rady sa konajú aspoň dvakrát ročne. Na žiadosť jej predsedu, Komisie alebo najmenej tretiny svojich členov zasadá správna rada aj mimoriadne.
3.  
Výkonný riaditeľ sa zúčastňuje na zasadnutiach správnej rady, avšak nemá hlasovacie právo.
4.  
Na zasadnutiach správnej rady sa môžu na pozvanie predsedu zúčastniť členovia poradnej skupiny agentúry ENISA, avšak nemajú hlasovacie právo.
5.  
Členom správnej rady a ich náhradníkom môžu v súlade s jej rokovacím poriadkom pomáhať na zasadnutiach správnej rady poradcovia alebo experti.
6.  
Sekretariát pre správnu radu zabezpečuje agentúra ENISA.

Článok 18

Pravidlá hlasovania správnej rady

1.  
Správna rada prijíma svoje rozhodnutia väčšinou hlasov svojich členov.
2.  
Dvojtretinová väčšina hlasov členov správnej rady sa vyžaduje na prijatie jednotného programového dokumentu a ročného rozpočtu a na vymenovania a odvolania výkonného riaditeľa či predĺženia jeho funkčného obdobia.
3.  
Každý člen má jeden hlas. Ak je člen správnej rady neprítomný, hlasovacie právo tohto člena uplatňuje jeho náhradník.
4.  
Predseda správnej rady sa na hlasovaní zúčastňuje.
5.  
Výkonný riaditeľ sa na hlasovaní nezúčastňuje.
6.  
V rokovacom poriadku správnej rady sa stanovia podrobnejšie pravidlá hlasovania, najmä podmienky, za ktorých môže člen konať v mene iného člena.

Oddiel 2

Výkonná rada

Článok 19

Výkonná rada

1.  
Správnej rade pomáha výkonná rada.
2.  

Výkonná rada:

a) 

pripravuje rozhodnutia, ktoré má prijať správna rada;

b) 

spolu so správnou radou zabezpečuje prijatie vhodných opatrení v nadväznosti na zistenia a odporúčania vyplývajúce z vyšetrovaní úradu OLAF a z rôznych správ z interného alebo externého auditu a hodnotení;

c) 

bez toho, aby boli dotknuté povinnosti výkonného riaditeľa stanovené v článku 20, pomáha a radí výkonnému riaditeľovi pri vykonávaní rozhodnutí správnej rady v administratívnej a rozpočtovej oblasti podľa článku 20.

3.  
Výkonná rada je zložená z piatich členov. Členovia výkonnej rady sa vymenujú spomedzi členov správnej rady. Jeden z členov je predseda správnej rady, ktorý môže predsedať aj výkonnej rade, a ďalším je jeden zo zástupcov Komisie. Pri vymenovaniach členov výkonnej rady sa dbá na zabezpečenie vyváženého rodového zastúpenia vo výkonnej rade. Výkonný riaditeľ sa zúčastňuje na zasadnutiach výkonnej rady, ale nemá hlasovacie právo.
4.  
Funkčné obdobie členov výkonnej rady je štyri roky. Toto obdobie je obnoviteľné.
5.  
Výkonná rada zasadá aspoň raz za tri mesiace. Predseda výkonnej rady zvoláva ďalšie zasadnutia na žiadosť jej členov.
6.  
Rokovací poriadok výkonnej rady stanovuje správna rada.
7.  
Ak je to potrebné z dôvodu naliehavosti, výkonná rada môže prijať určité predbežné rozhodnutia v mene správnej rady, a to najmä o otázkach administratívneho riadenia vrátane rozhodnutí o pozastavení delegovania právomocí menovacieho orgánu a o rozpočtových záležitostiach. Akékoľvek takéto predbežné rozhodnutia sa bez zbytočného odkladu oznámia správnej rade. Správna rada potom rozhodne, či predbežné rozhodnutie schváli alebo zamietne najneskôr do troch mesiacov po jeho prijatí. Výkonná rada nesmie prijímať rozhodnutia v mene správnej rady, ktoré si vyžadujú schválenie dvojtretinovou väčšinou členov správnej rady.

Oddiel 3

Výkonný riaditeľ

Článok 20

Povinnosti výkonného riaditeľa

1.  
Agentúru ENISA riadi jej výkonný riaditeľ, ktorý je pri výkone svojich povinností nezávislý. Výkonný riaditeľ sa zodpovedá správnej rade.
2.  
Výkonný riaditeľ podáva Európskemu parlamentu na jeho vyzvanie správu o plnení svojich povinností. Rada môže vyzvať výkonného riaditeľa, aby podal správu o plnení svojich povinností.
3.  

Výkonný riaditeľ je zodpovedný za:

a) 

každodennú správu agentúry ENISA;

b) 

vykonávanie rozhodnutí, ktoré prijme správna rada;

c) 

prípravu návrhu jednotného programového dokumentu a jeho predloženie správnej rade na schválenie pred tým, než sa predloží Komisii;

d) 

vykonávanie jednotného programového dokumentu a zodpovedajúce informovanie správnej rady;

e) 

vypracovanie konsolidovanej výročnej správy o činnosti agentúry ENISA vrátane plnenia ročného pracovného programu agentúry ENISA a jej predloženie správnej rade na posúdenie a prijatie;

f) 

vypracovanie akčného plánu v nadväznosti na závery spätných hodnotení a predloženie správy o pokroku Komisii každé dva roky;

g) 

vypracovanie akčného plánu v nadväznosti na závery správ z interného alebo externého auditu, ako aj na vyšetrovania úradu OLA a za predkladanie správ o pokroku dvakrát ročne Komisii a pravidelne správnej rade;

h) 

vypracovanie návrhu rozpočtových pravidiel uplatniteľných na agentúru ENISA podľa článku 32;

i) 

vypracovanie návrhu výkazu odhadov príjmov a výdavkov agentúry ENISA a plnenie jej rozpočtu;

j) 

ochranu finančných záujmov Únie prostredníctvom uplatňovania preventívnych opatrení na zamedzenie podvodov, korupcie a iných nezákonných činností, prostredníctvom účinných kontrol a v prípade, že sa zistia nezrovnalosti, prostredníctvom vymáhania neoprávnene vyplatených súm a prípadne prostredníctvom účinných, primeraných a odradzujúcich administratívnych a finančných sankcií;

k) 

vypracovanie stratégie agentúry ENISA pre boj proti podvodom a jej predloženie správnej rade na schválenie;

l) 

nadviazanie a udržiavanie kontaktov s podnikateľskou komunitou a so spotrebiteľskými organizáciami na zabezpečenie pravidelného dialógu s príslušnými zainteresovanými stranami;

m) 

pravidelnú výmenu názorov a informácií s inštitúciami, orgánmi, úradmi a agentúrami Únie, pokiaľ ide o ich činnosti týkajúce sa kybernetickej bezpečnosti, na účely zabezpečenia koherentnosti pri vypracúvaní a vykonávaní politiky Únie;

n) 

vykonávanie ostatných úloh, ktoré sú výkonnému riaditeľovi zverené týmto nariadením.

4.  
V prípade potreby a v súlade s cieľmi a úlohami agentúry ENISA môže výkonný riaditeľ zriaďovať ad hoc pracovné skupiny zložené z expertov vrátane expertov z príslušných orgánov členských štátov. Výkonný riaditeľ o tom musí vopred informovať správnu radu. Postupy týkajúce sa najmä zloženia týchto pracovných skupín, menovania expertov týchto pracovných skupín výkonným riaditeľom a fungovania týchto pracovných skupín sa spresnia vo vnútorných pravidlách činnosti agentúry ENISA.
5.  
Na účely efektívneho a účinného plnenia úloh agentúry ENISA a na základe primeranej analýzy nákladov a prínosov môže výkonný riaditeľ v prípade potreby rozhodnúť, že zriadi jednu alebo viacero miestnych kancelárií v jednom alebo viacerých členských štátoch. Pred rozhodnutím o zriadení miestnej kancelárie výkonný riaditeľ požiada o stanovisko dotknuté členské štáty vrátane členského štátu, v ktorom sa nachádza sídlo agentúry ENISA, a musí vopred získať súhlas Komisie a správnej rady. V prípade nezhody medzi výkonným riaditeľom a dotknutými členskými štátmi v priebehu konzultačného procesu sa záležitosť predloží na prerokovanie v Rade. Celkový počet členov personálu v miestnych kanceláriách musí byť minimálny a neprekročiť 40 % celkového počtu členov personálu agentúry ENISA v členskom štáte, v ktorom sa nachádza jej sídlo. Počet členov personálu v žiadnej miestnej kancelárii neprekročí 10 % celkového počtu členov personálu agentúry ENISA v členskom štáte, v ktorom sa nachádza jej sídlo.

V rozhodnutí o zriadení miestnej kancelárie sa vymedzí rozsah činností, ktoré sa majú v miestnej kancelárii vykonávať, a to tak, aby sa zabránilo vzniku zbytočných nákladov a zdvojeniu administratívnych funkcií agentúry ENISA.

Oddiel 4

Poradná skupina agentúry ENISA, skupina zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti a sieť národných styčných úradníkov

Článok 21

Poradná skupina agentúry ENISA

1.  
Správna rada konajúca na návrh výkonného riaditeľa transparentným spôsobom zriadi poradnú skupinu agentúry ENISA zloženú z uznávaných expertov zastupujúcich príslušné zainteresované strany, ako sú odvetvie IKT, poskytovatelia verejne dostupných elektronických komunikačných sietí alebo služieb, MSP, prevádzkovatelia základných služieb, spotrebiteľské skupiny, akademickí experti na kybernetickú bezpečnosť a zástupcovia príslušných orgánov, voči ktorým sa plní oznamovacia povinnosť podľa smernice (EÚ) 2018/1972, európske normalizačné organizácie, ako aj orgány presadzovania práva a dozorné orgány v oblasti ochrany údajov. Správna rada sa usiluje o zabezpečenie vhodnej vyváženosti rodového zastúpenia a vhodnej geografickej vyváženosti, ako aj rovnováhy medzi rôznymi skupinami zainteresovaných strán.
2.  
Postupy poradnej skupiny agentúry ENISA, najmä z hľadiska jej zloženia, návrhu výkonného riaditeľa uvedeného v odseku 1, počtu a menovania jej členov a činnosti poradnej skupiny agentúry ENISA sa vymedzia vo vnútorných pravidlách činnosti agentúry ENISA a zverejnia sa.
3.  
Poradnej skupine agentúry ENISA predsedá výkonný riaditeľ alebo ktokoľvek, koho výkonný riaditeľ v jednotlivých prípadoch vymenuje.
4.  
Funkčné obdobie členov poradnej skupiny agentúry ENISA je dva a pol roka. Členovia správnej rady nie sú členmi poradnej skupiny agentúry ENISA. Experti z Komisie a členských štátov sú oprávnení zúčastňovať sa na zasadnutiach poradnej skupiny agentúry ENISA a podieľať sa na jej práci. Na zasadnutia poradnej skupiny agentúry ENISA a k účasti na jej práci možno prizvať aj zástupcov iných orgánov, ktoré výkonný riaditeľ považuje za relevantné a ktoré nie sú členmi poradnej skupiny agentúry ENISA.
5.  
Poradná skupina agentúry ENISA radí agentúre ENISA v súvislosti s vykonávaním úloh agentúry ENISA s výnimkou uplatňovania ustanovení hlavy III tohto nariadenia. Predovšetkým radí výkonnému riaditeľovi pri vypracúvaní návrhu ročného pracovného programu agentúry ENISA a pri zabezpečovaní komunikácie s príslušnými zainteresovanými stranami o otázkach týkajúcich sa ročného pracovného programu.
6.  
Poradná skupina agentúry ENISA pravidelne informuje správnu radu o svojich činnostiach.

Článok 22

Skupina zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti

1.  
Zriadi sa skupina zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti.
2.  
Skupina zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti sa skladá z členov vybraných spomedzi uznávaných expertov zastupujúcich príslušné zainteresované strany. Komisia vyberie členov skupiny zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti na základe návrhu agentúry ENISA prostredníctvom transparentnej a otvorenej súťaže a zabezpečí rovnováhu medzi rôznymi skupinami zainteresovaných strán, ako aj vhodnú rodovú a geografickú vyváženosť.
3.  

Skupina zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti:

a) 

radí Komisii o strategických otázkach, pokiaľ ide o európsky rámec certifikácie kybernetickej bezpečnosti;

b) 

na požiadanie radí agentúre ENISA o všeobecných a strategických otázkach týkajúcich sa úloh agentúry ENISA, pokiaľ ide o trh, certifikáciu kybernetickej bezpečnosti a normalizáciu;

c) 

pomáha Komisii pri príprave priebežného pracovného programu Únie podľa článku 47;

d) 

vydáva stanovisko k priebežnému pracovnému programu Únie podľa článku 47 ods. 4 a

e) 

v naliehavých prípadoch radí Komisii a ECCG o potrebe ďalších ►C1  certifikačných schém ◄ , ktoré nie sú zahrnuté do priebežného pracovného programu Únie, ako je uvedené v článkoch 47 a 48.

4.  
Skupine zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti spoločne predsedajú zástupcovia Komisie a agentúry ENISA a jej sekretariát zabezpečí agentúra ENISA.

Článok 23

Sieť národných styčných úradníkov

1.  
Správna rada konajúca na návrh výkonného riaditeľa zriadi sieť národných styčných úradníkov zloženú zo zástupcov všetkých členských štátov (ďalej len „národní styční úradníci“). Každý členský štát vymenuje jedného zástupcu do siete národných styčných úradníkov. Zasadnutia siete národných styčných úradníkov sa môžu konať v rôznych expertných zloženiach.
2.  
Sieť národných styčných úradníkov najmä uľahčuje výmenu informácií medzi agentúrou ENISA a členskými štátmi a podporuje agentúru ENISA pri šírení jej činností, zistení a odporúčaní príslušným zainteresovaným stranám v celej Únii.
3.  
Národní styční úradníci pôsobia ako kontaktné miesto na vnútroštátnej úrovni s cieľom uľahčiť spoluprácu medzi agentúrou ENISA a národnými expertmi pri plnení ročného pracovného programu agentúry ENISA.
4.  
Národní styční úradníci síce úzko spolupracujú so zástupcami správnej rady z ich príslušných členských štátov, ale sieť národných styčných úradníkov samotná nesmie zdvojovať prácu správnej rady ani iných fór Únie.
5.  
Funkcie a postupy siete národných styčných úradníkov sa stanovia vo vnútorných pravidlách činnosti agentúry ENISA a zverejnia sa.

Oddiel 5

Činnosť

Článok 24

Jednotný programový dokument

1.  
Agentúra ENISA vykonáva činnosť v súlade s jednotným programovým dokumentom, ktorý zahŕňa jej ročné a viacročné plánovanie vrátane všetkých jej plánovaných činností.
2.  
Výkonný riaditeľ každý rok vypracúva návrh jednotného programového dokumentu, ktorý obsahuje ročné a viacročné plánovanie vrátane plánovania zodpovedajúcich finančných a ľudských zdrojov v súlade s článkom 32 delegovaného nariadenia Komisie (EÚ) č. 1271/2013 ( 3 ), pričom zohľadní usmernenia stanovené Komisiou.
3.  
Správna rada každoročne prijme do 30. novembra jednotný programový dokument uvedený v odseku 1 a zašle ho Európskemu parlamentu, Rade a Komisii do 31. januára nasledujúceho roka, ako aj všetky neskôr aktualizované verzie uvedeného dokumentu.
4.  
Jednotný programový dokument nadobudne konečné znenie po konečnom prijatí všeobecného rozpočtu Únie, na základe ktorého sa podľa potreby upraví.
5.  
Ročný pracovný program zahŕňa podrobné ciele a očakávané výsledky vrátane ukazovateľov výkonnosti. Obsahuje aj opis opatrení, ktoré sa majú financovať, a informáciu o finančných a ľudských zdrojoch vyčlenených na každé opatrenie v súlade so zásadami zostavovania rozpočtu a riadenia podľa činností. Ročný pracovný program musí byť súlade s viacročným pracovným programom uvedeným v odseku 7. Jasne sa v ňom vymedzia úlohy, ktoré sa oproti predchádzajúcemu rozpočtovému roku pridali, zmenili alebo vypustili.
6.  
Ak sa agentúre ENISA zverí nová úloha, správna rada prijatý ročný pracovný program zmení. Každá podstatná zmena ročného pracovného programu sa prijíma rovnakým postupom ako pôvodný ročný pracovný program. Právomoc vykonávať nepodstatné zmeny ročného pracovného programu môže správna rada delegovať na výkonného riaditeľa.
7.  
Vo viacročnom pracovnom programe sa stanovuje všeobecné strategické plánovanie vrátane cieľov, očakávaných výsledkov a ukazovateľov výkonnosti. Zároveň sa v ňom uvádza plánovanie zdrojov vrátane viacročného rozpočtu a personálu.
8.  
Plánovanie zdrojov sa každoročne aktualizuje. Strategické plánovanie sa aktualizuje podľa potreby, najmä so zámerom zohľadniť výsledky hodnotenia uvedeného v článku 67.

Článok 25

Vyhlásenie o záujmoch

1.  
Členovia správnej rady, výkonný riaditeľ a úradníci dočasne vyslaní členskými štátmi vydajú vyhlásenie o záväzkoch a vyhlásenie o absencii alebo existencii akýchkoľvek priamych alebo nepriamych záujmov, ktoré by sa mohli považovať za záujmy, ktoré ovplyvňujú ich nezávislosť. Vyhlásenia musia byť presné a úplné, vyhotovené každoročne v písomnej forme a v prípade potreby sa aktualizujú.
2.  
Členovia správnej rady, výkonný riaditeľ a externí experti, ktorí sa zúčastňujú v ad hoc pracovných skupinách, presne a úplne oznámia najneskôr na začiatku každého zasadnutia akékoľvek záujmy, ktoré by sa mohli považovať za záujmy, ktoré ovplyvňujú ich nezávislosť v súvislosti s bodmi programu, a zdržia sa účasti na diskusiách k týmto bodom a na hlasovaní o nich.
3.  
Agentúra ENISA vo svojich vnútorných pravidlách činnosti stanoví praktické opatrenia pre pravidlá, ktoré sa týkajú vyhlásení o záujmoch uvedených v odsekoch 1 a 2.

Článok 26

Transparentnosť

1.  
Agentúra ENISA vykonáva svoje činnosti s vysokým stupňom transparentnosti a v súlade s článkom 28.
2.  
Agentúra ENISA zabezpečí, aby verejnosť a všetky strany, ktoré prejavia záujem, dostávali náležité, objektívne, spoľahlivé a ľahko dostupné informácie, najmä o výsledkoch jej práce. Agentúra takisto uverejňuje vyhlásenia o záujmoch podľa článku 25.
3.  
Správna rada konajúc na návrh výkonného riaditeľa môže stranám, ktoré prejavia záujem, povoliť pozorovanie postupov niektorých činností agentúry ENISA.
4.  
Agentúra ENISA vo svojich vnútorných pravidlách činnosti stanoví praktické opatrenia na vykonávanie pravidiel transparentnosti uvedených v odsekoch 1 a 2.

Článok 27

Povinnosť mlčanlivosti

1.  
Bez toho, aby bol dotknutý článok 28, agentúra ENISA nevyzradí tretím stranám informácie, ktoré spracúva alebo získava a v súvislosti s ktorými bola podaná odôvodnená žiadosť o dôverné zaobchádzanie.
2.  
Členovia správnej rady, výkonný riaditeľ, členovia poradnej skupiny agentúry ENISA, externí experti zúčastňujúci sa ad hoc pracovných skupín a personál agentúry ENISA vrátane úradníkov dočasne vyslaných členskými štátmi musia spĺňať požiadavky na povinnosť mlčanlivosti podľa článku 339 ZFEÚ, a to aj po skončení ich povinností.
3.  
Agentúra ENISA vo svojich vnútorných pravidlách činnosti stanoví praktické opatrenia na vykonávanie pravidiel týkajúcich sa povinnosti mlčanlivosti uvedených v odsekoch 1 a 2.
4.  
Ak je to potrebné pre vykonávanie úloh agentúry ENISA, správna rada rozhodne, že agentúre ENISA povolí pracovať s utajovanými skutočnosťami. V takom prípade agentúra ENISA po dohode s útvarmi Komisie prijme bezpečnostné predpisy, ktorými sa uplatňujú zásady bezpečnosti stanovené v rozhodnutiach Komisie (EÚ, Euratom) 2015/443 ( 4 ) a 2015/444 ( 5 ). Tieto bezpečnostné predpisy musia zahŕňať ustanovenia týkajúce sa výmeny, spracúvania a uchovávania utajovaných skutočností.

Článok 28

Prístup k dokumentom

1.  
Na dokumenty, ktoré má agentúra ENISA v držbe, sa vzťahuje nariadenie (ES) č. 1049/2001.
2.  
Správna rada prijme opatrenia na vykonanie nariadenia (ES) č. 1049/2001 do 28. decembra 2019.
3.  
Rozhodnutia, ktoré agentúra ENISA prijme podľa článku 8 nariadenia (ES) č. 1049/2001, môžu byť predmetom sťažnosti podanej európskemu ombudsmanovi podľa článku 228 ZFEÚ alebo žaloby podanej na Súdnom dvore Európskej únie podľa článku 263 ZFEÚ.

KAPITOLA IV

Zostavovanie a štruktúra rozpočtu agentúry ENISA

Článok 29

Zostavovanie rozpočtu agentúry ENISA

1.  
Výkonný riaditeľ každoročne vypracúva návrh výkazu odhadov príjmov a výdavkov agentúry ENISA na nasledujúci rozpočtový rok a postupuje ho správnej rade spolu s návrhom plánu pracovných miest. Príjmy a výdavky musia byť v rovnováhe.
2.  
Správna rada každý rok na základe návrhu výkazu odhadov vypracuje výkaz odhadov príjmov a výdavkov agentúry ENISA na nasledujúci rozpočtový rok.
3.  
Výkaz odhadov, ktorý je súčasťou návrhu jednotného programového dokumentu, správna rada každoročne do 31. januára zasiela Komisii a tretím krajinám, s ktorými Únia uzatvorila dohody podľa článku 42 ods. 2.
4.  
Komisia na základe výkazu odhadov zaradí do návrhu všeobecného rozpočtu Únie odhady, ktoré pokladá za potrebné pre plán pracovných miest, a výšku príspevku, ktorý sa má uhradiť zo všeobecného rozpočtu Únie, ktoré predloží Európskemu parlamentu a Rade v súlade s článkom 314 ZFEÚ.
5.  
Európsky parlament a Rada schvaľujú rozpočtové prostriedky na príspevok Únie agentúre ENISA.
6.  
Európsky parlament a Rada prijímajú plán pracovných miest agentúry ENISA.
7.  
Správna rada prijíma rozpočet agentúry ENISA spolu s jednotným programovým dokumentom. Rozpočet agentúry ENISA sa stáva konečným po tom, čo sa všeobecný rozpočet Únie prijme s konečnou platnosťou. Správna rada v prípade potreby upraví rozpočet a jednotný programový dokument agentúry ENISA v súlade so všeobecným rozpočtom Únie.

Článok 30

Štruktúra rozpočtu agentúry ENISA

1.  

Bez toho, aby boli dotknuté iné zdroje, príjmy agentúry ENISA zahŕňajú:

a) 

príspevok zo všeobecného rozpočtu Únie;

b) 

príjmy určené na krytie konkrétnych výdavkových položiek v súlade s jej rozpočtovými pravidlami uvedenými v článku 32;

c) 

finančné prostriedky Únie na základe dohôd o delegovaní alebo ad hoc grantov v súlade s jej rozpočtovými pravidlami uvedenými v článku 32 a s ustanoveniami príslušných nástrojov na podporu politík Únie;

d) 

príspevky tretích krajín podieľajúcich sa na činnosti agentúry ENISA podľa článku 42;

e) 

prípadné peňažné či nepeňažné dobrovoľné príspevky členských štátov.

Členským štátom, ktoré poskytujú dobrovoľné príspevky podľa písmena e) prvého pododseku, za ne nevzniká nárok na žiadne osobitné práva alebo služby.

2.  
Medzi výdavky agentúry ENISA patria výdavky na personál, administratívnu a technickú podporu, infraštruktúru a prevádzku a výdavky vyplývajúce zo zmlúv s tretími stranami.

Článok 31

Plnenie rozpočtu agentúry ENISA

1.  
Za plnenie rozpočtu agentúry ENISA je zodpovedný výkonný riaditeľ.
2.  
Vnútorný audítor Komisie má rovnaké právomoci nad agentúrou ENISA ako nad odbormi Komisie.
3.  
Účtovník agentúry ENISA zasiela predbežnú účtovnú závierku za rozpočtový rok (rok N) účtovníkovi Komisie a Dvoru audítorov do 1. marca nasledujúceho rozpočtového roka (rok N+1).
4.  
Po doručení pripomienok Dvora audítorov k predbežnej účtovnej závierke agentúry ENISA podľa článku 246 nariadenia Európskeho parlamentu a Rady (EÚ, Euratom) 2018/1046 ( 6 ) vypracuje účtovník agentúry ENISA na vlastnú zodpovednosť konečnú účtovnú závierku agentúry ENISA a predloží ju správnej rade na vyjadrenie stanoviska.
5.  
Správna rada vydáva stanovisko ku konečnej účtovnej závierke agentúry ENISA.
6.  
Výkonný riaditeľ zasiela do 31. marca roku N + 1 Európskemu parlamentu, Rade, Komisii a Dvoru audítorov správu o rozpočtovom a finančnom hospodárení.
7.  
Účtovník agentúry ENISA do 1. júla roku N + 1 zasiela konečnú účtovnú závierku agentúry ENISA Európskemu parlamentu, Rade, účtovníkovi Komisie a Dvoru audítorov spolu so stanoviskom správnej rady.
8.  
V deň zaslania konečnej účtovnej závierky agentúry ENISA účtovník agentúry ENISA zároveň zašle Dvoru audítorov vyhlásenie k tejto konečnej účtovnej závierke a jeho kópiu zašle účtovníkovi Komisie.
9.  
Výkonný riaditeľ uverejňuje konečnú účtovnú závierku agentúry ENISA do 15. novembra roku N + 1 v Úradnom vestníku Európskej únie.
10.  
Výkonný riaditeľ zasiela Dvoru audítorov do 30. septembra roku N + 1 odpoveď na jeho pripomienky, pričom kópiu tejto odpovede zašle správnej rade a Komisii.
11.  
Výkonný riaditeľ predloží Európskemu parlamentu na jeho žiadosť všetky informácie potrebné na bezproblémové uplatnenie postupu udelenia absolutória za dotknutý rozpočtový rok v súlade s článkom 261 ods. 3 nariadenia (EÚ, Euratom) 2018/1046.
12.  
Európsky parlament na odporúčanie Rady udelí do 15. mája roku N + 2 výkonnému riaditeľovi absolutórium za plnenie rozpočtu za rok N.

Článok 32

Rozpočtové pravidlá

Rozpočtové pravidlá agentúry ENISA prijme správna rada po porade s Komisiou. Nesmú sa odchyľovať od delegovaného nariadenia (EÚ) č. 1271/2013, pokiaľ takáto odchýlka nie je osobitne potrebná na činnosť agentúry ENISA a Komisia s ňou vopred súhlasila.

Článok 33

Boj proti podvodom

1.  
V záujme uľahčenia boja proti podvodom, korupcii a iným nezákonným činnostiam podľa nariadenia Európskeho parlamentu a Rady (EÚ, Euratom) č. 883/2013 ( 7 ) agentúra ENISA do 28. decembra 2019 pristúpi k Medziinštitucionálnej dohode z 25. mája 1999 medzi Európskym parlamentom, Radou Európskej únie a Komisiou Európskych spoločenstiev, ktorá sa týka vnútorných vyšetrovaní Európskym úradom pre boj proti podvodom (OLAF) ( 8 ). Agentúra ENISA prijme vhodné ustanovenia uplatniteľné na všetkých zamestnancov agentúry ENISA, pričom použije vzor uvedený v prílohe k uvedenej dohode.
2.  
Dvor audítorov má právomoc na základe kontrol dokumentov a kontrol na mieste vykonať audit u všetkých príjemcov grantov, dodávateľov a subdodávateľov, ktorým boli poskytnuté finančné prostriedky Únie od agentúry ENISA.
3.  
Úrad OLAF môže vykonávať vyšetrovania vrátane kontrol a inšpekcií na mieste v súlade s ustanoveniami a postupmi stanovenými v nariadení (EÚ, Euratom) č. 883/2013 a v nariadení Rady (Euratom, ES) č. 2185/96 ( 9 ) s cieľom zistiť, či v súvislosti s grantom alebo zmluvou financovanými agentúrou ENISA nedošlo k podvodu, korupcii alebo akémukoľvek inému protiprávnemu konaniu poškodzujúcemu finančné záujmy Únie.
4.  
Bez toho, aby boli dotknuté odseky 1, 2 a 3, dohody o spolupráci s tretími krajinami alebo s medzinárodnými organizáciami, zmluvy, dohody o grante a rozhodnutia o grante uzatvorené alebo prijaté agentúrou ENISA obsahujú ustanovenia, ktoré výslovne udeľujú Dvoru audítorov a úradu OLAF právomoc vykonávať takéto audity a vyšetrovania v súlade s ich príslušnými právomocami.

KAPITOLA V

Zamestnanci

Článok 34

Všeobecné ustanovenia

Na zamestnancov agentúry ENISA sa vzťahuje služobný poriadok úradníkov a podmienky zamestnávania ostatných zamestnancov, ako aj pravidlá prijaté na základe dohody medzi inštitúciami Únie na účely uvedenia služobného poriadku úradníkov a podmienok zamestnávania ostatných zamestnancov do platnosti.

Článok 35

Výsady a imunity

Na agentúru ENISA a jej personál sa vzťahuje Protokol č. 7 o výsadách a imunitách Európskej únie pripojený k Zmluve o EÚ a k ZFEÚ.

Článok 36

Výkonný riaditeľ

1.  
Výkonný riaditeľ pôsobí ako dočasný zamestnanec agentúry ENISA podľa článku 2 písm. a) podmienok zamestnávania ostatných zamestnancov.
2.  
Výkonného riaditeľa vymenúva správna rada zo zoznamu kandidátov navrhnutých Komisiou na základe otvoreného a transparentného výberového konania.
3.  
Na účely uzatvorenia pracovnej zmluvy s výkonným riaditeľom zastupuje agentúru ENISA predseda správnej rady.
4.  
Kandidát, ktorého vybrala správna rada, sa pred vymenovaním vyjadrí pred príslušným výborom Európskeho parlamentu a odpovie na otázky jeho členov.
5.  
Funkčné obdobie výkonného riaditeľa je päť rokov. Pred koncom tohto obdobia Komisia vykoná posúdenie výsledkov činnosti výkonného riaditeľa a budúcich úloh a výziev agentúry ENISA.
6.  
Správna rada prijíma rozhodnutia o vymenovaní výkonného riaditeľa, predĺžení jeho funkčného obdobia alebo jeho odvolaní z funkcie v súlade s článkom 18 ods. 2.
7.  
Správna rada konajúc na návrh Komisie, v ktorom sa zohľadní posúdenie uvedené v odseku 5, môže jedenkrát predĺžiť funkčné obdobie výkonného riaditeľa o päť rokov.
8.  
Správna rada informuje Európsky parlament o svojom úmysle predĺžiť funkčné obdobie výkonného riaditeľa. Počas troch mesiacov pred takýmto predĺžením funkčného obdobia sa výkonný riaditeľ, ak k tomu bude vyzvaný, vyjadrí pred príslušným výborom Európskeho parlamentu a odpovie na otázky jeho členov.
9.  
Výkonný riaditeľ, ktorého funkčné obdobie sa predĺžilo, sa nemôže zúčastniť na ďalšom výberovom konaní na rovnakú funkciu.
10.  
Výkonný riaditeľ môže byť odvolaný z funkcie len na základe rozhodnutia správnej rady, ktorá koná na návrh Komisie.

Článok 37

Vyslaní národní experti a ďalší personál

1.  
Agentúra ENISA môže využívať vyslaných národných expertov alebo ďalší personál, ktorý agentúra ENISA nezamestnáva. Služobný poriadok úradníkov a podmienky zamestnávania ostatných zamestnancov sa na takýto personál nevzťahujú.
2.  
Správna rada prijme rozhodnutie, v ktorom stanoví pravidlá vysielania národných expertov do agentúry ENISA.

KAPITOLA VI

Všeobecné ustanovenia týkajúce sa agentúry ENISA

Článok 38

Právne postavenie agentúry ENISA

1.  
Agentúra ENISA je orgánom Únie a má právnu subjektivitu.
2.  
Agentúra ENISA má v každom členskom štáte najširšiu právnu spôsobilosť, akú jeho právo priznáva právnickým osobám. Môže najmä nadobúdať hnuteľný a nehnuteľný majetok a scudzovať ho, ako aj byť účastníkom súdnych konaní.
3.  
Agentúru ENISA zastupuje výkonný riaditeľ.

Článok 39

Zodpovednosť agentúry ENISA

1.  
Zmluvná zodpovednosť agentúry ENISA sa spravuje rozhodným právom pre danú zmluvu.
2.  
Súdny dvor Európskej únie má právomoc rozhodovať podľa akejkoľvek rozhodcovskej doložky obsiahnutej v zmluve uzatvorenej agentúrou ENISA.
3.  
V prípade mimozmluvnej zodpovednosti agentúra ENISA nahradí v súlade so všeobecnými zásadami spoločnými pre práva členských štátov všetky škody, ktoré spôsobila alebo ktoré spôsobil jej personál pri vykonávaní svojich povinností.
4.  
Vo všetkých sporoch súvisiacich s náhradou škody podľa odseku 3 má právomoc rozhodovať Súdny dvor Európskej únie.
5.  
Osobná zodpovednosť personálu agentúry ENISA voči nej sa riadi príslušnými podmienkami uplatniteľnými na personál agentúry ENISA.

Článok 40

Jazykový režim

1.  
Na agentúru ENISA sa vzťahuje nariadenie Rady č. 1 ( 10 ). Členské štáty a ostatné nimi menované orgány sa môžu obrátiť na agentúru ENISA a dostať odpoveď v úradnom jazyku inštitúcií Únie podľa vlastného výberu.
2.  
Prekladateľské služby potrebné na prevádzku agentúry ENISA zabezpečuje Prekladateľské stredisko pre orgány Európskej únie.

Článok 41

Ochrana osobných údajov

1.  
Na spracúvanie osobných údajov agentúrou ENISA sa vzťahuje nariadenie (EÚ) 2018/1725.
2.  
Správna rada prijme vykonávacie predpisy uvedené v článku 45 ods. 3 nariadenia (EÚ) 2018/1725. Správna rada môže prijať dodatočné opatrenia potrebné na uplatňovanie nariadenia (EÚ) 2018/1725 agentúrou ENISA.

Článok 42

Spolupráca s tretími krajinami a medzinárodnými organizáciami

1.  
V rozsahu potrebnom na dosiahnutie cieľov stanovených v tomto nariadení môže agentúra ENISA spolupracovať s príslušnými orgánmi tretích krajín alebo s medzinárodnými organizáciami. Na tento účel môže agentúra ENISA za podmienky predchádzajúceho schválenia Komisiou dohodnúť pracovné dojednania s orgánmi tretích krajín a medzinárodnými organizáciami. Uvedenými pracovnými dojednaniami nevznikajú Únii ani jej členským štátom žiadne právne záväzky.
2.  
Agentúra ENISA je otvorená účasti tretích krajín, ktoré na tento účel uzavreli dohody s Úniou. Podľa príslušných ustanovení takýchto dohôd sa stanovia pracovné dojednania, v ktorých sa stanoví najmä povaha, rozsah a spôsob účasti týchto tretích krajín na práci agentúry ENISA, vrátane ustanovení týkajúcich sa účasti na iniciatívach uskutočňovaných agentúrou ENISA, finančných príspevkov a personálnych otázok. Pokiaľ ide o personálne otázky, musia byť uvedené pracovné dojednania za každých okolností v súlade so služobným poriadkom úradníkov a podmienkami zamestnávania ostatných zamestnancov.
3.  
Správna rada prijme stratégiu pre vzťahy s tretími krajinami a medzinárodnými organizáciami v otázkach spadajúcich do právomoci agentúry ENISA. Komisia zabezpečí, aby agentúra ENISA vykonávala činnosti v rámci svojho mandátu a existujúceho inštitucionálneho rámca, a to uzavretím náležitých pracovných dojednaní s výkonným riaditeľom.

Článok 43

Bezpečnostné predpisy v oblasti ochrany citlivých neutajovaných skutočností a utajovaných skutočností

Agentúra ENISA po porade s Komisiou prijme bezpečnostné predpisy, v ktorých uplatní bezpečnostné zásady obsiahnuté v bezpečnostných predpisoch Komisie na ochranu citlivých neutajovaných skutočností a utajovaných skutočností Európskej únie podľa rozhodnutí (EÚ, Euratom) 2015/443 a 2015/444. Bezpečnostné predpisy agentúry ENISA zahŕňajú ustanovenia týkajúce sa výmeny, spracúvania a uchovávania takýchto skutočností.

Článok 44

Dohoda o sídle a prevádzkové podmienky

1.  
Potrebné dojednania o poskytnutí sídla agentúre ENISA v hostiteľskom členskom štáte a o zariadeniach, ktoré má daný členský štát sprístupniť, ako aj osobitné pravidlá, ktoré sa v hostiteľskom členskom štáte vzťahujú na výkonného riaditeľa, členov správnej rady, personál agentúry ENISA a členov ich rodín, sa stanovia v dohode o sídle, ktorá sa uzavrie medzi agentúrou ENISA a hostiteľským členským štátom po tom, ako ju schváli správna rada.
2.  
Hostiteľský členský štát agentúry ENISA vytvorí najlepšie možné podmienky s cieľom zabezpečiť riadne fungovanie agentúry ENISA so zreteľom na dostupnosť jej umiestnenia, zabezpečenie primeraných vzdelávacích zariadení pre deti členov personálu, vhodný prístup na trh práce, k sociálnemu zabezpečeniu a zdravotnej starostlivosti pre deti aj manželských partnerov členov personálu.

Článok 45

Administratívna kontrola

Na činnosť agentúry ENISA dohliada v súlade s článkom 228 ZFEÚ európsky ombudsman.

HLAVA III

RÁMEC CERTIFIKÁCIE KYBERNETICKEJ BEZPEČNOSTI

▼M1

Článok 46

Európsky rámec certifikácie kybernetickej bezpečnosti

1.  
V záujme vytvorenia digitálneho jednotného trhu s produktmi IKT, službami IKT, procesmi IKT a riadenými bezpečnostnými službami sa zriadi európsky rámec certifikácie kybernetickej bezpečnosti s cieľom zlepšiť podmienky fungovania vnútorného trhu zvýšením úrovne kybernetickej bezpečnosti v Únii a umožnením harmonizovaného prístupu na úrovni Únie k európskym schémam certifikácie kybernetickej bezpečnosti.
2.  
Európskym rámcom certifikácie kybernetickej bezpečnosti sa zabezpečuje mechanizmus zavádzania európskych schém certifikácie kybernetickej bezpečnosti a osvedčovania, že produkty IKT, služby IKT a procesy IKT vyhodnotené v súlade s týmito schémami spĺňajú špecifikované bezpečnostné požiadavky s cieľom chrániť dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo funkcií či služieb, ktoré tieto produkty, služby a procesy poskytujú alebo sprístupňujú, a to počas ich celého životného cyklu. Ďalej sa ním osvedčuje, že riadené bezpečnostné služby vyhodnotené v súlade s takýmito schémami spĺňajú špecifikované bezpečnostné požiadavky s cieľom chrániť dostupnosť, pravosť, integritu a dôvernosť údajov, ktoré sa sprístupňujú, spracúvajú, uchovávajú alebo prenášajú v súvislosti s poskytovaním týchto služieb, a že tieto služby sa nepretržite poskytujú s využitím požadovaných zručností, odborných znalostí a skúseností zamestnancov, ktorí majú dostatočnú a primeranú úroveň relevantných technických vedomostí a profesijnej bezúhonnosti.

▼B

Článok 47

Priebežný pracovný program Únie pre európsku certifikáciu kybernetickej bezpečnosti

1.  
Komisia uverejní priebežný pracovný program Únie pre európsku certifikáciu kybernetickej bezpečnosti (ďalej len „priebežný pracovný program Únie“), v ktorom sa určia strategické priority budúcich ►C1  európskych schém certifikácie kybernetickej bezpečnosti ◄ .

▼M1

2.  
Priebežný pracovný program Únie obsahuje najmä zoznam produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb alebo ich kategórií, ktoré sú spôsobilé mať prospech zo zahrnutia do rozsahu pôsobnosti európskej schémy certifikácie kybernetickej bezpečnosti.
3.  

Zahrnutie konkrétneho produktu IKT, služby IKT, procesu IKT alebo riadených bezpečnostných služieb alebo ich kategórií do priebežného pracovného programu Únie sa zakladá na jednom či viacerých z týchto dôvodov:

a) 

dostupnosť a rozvoj vnútroštátnych schém certifikácie kybernetickej bezpečnosti, ktoré sa vzťahujú na konkrétnu kategóriu produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb, a najmä pokiaľ ide o riziko fragmentácie;

▼B

b) 

príslušné právo alebo politika Únie alebo členského štátu;

c) 

dopyt na trhu;

▼M1

ca) 

technologický vývoj a dostupnosť a rozvoj medzinárodných schém certifikácie kybernetickej bezpečnosti a medzinárodných a priemyselných noriem;

▼B

d) 

vývoj v oblasti kybernetických hrozieb;

e) 

žiadosť o vypracovanie ►C1  konkrétnej ◄ ►C1  kandidátskej schémy ◄ zo strany ECCG.

4.  
Komisia náležite zohľadňuje stanoviská, ktoré k návrhu priebežného pracovného programu Únie vydala ECCG a skupina zainteresovaných strán pre certifikáciu.
5.  
Prvý priebežný pracovný program Únie sa uverejní do 28. júna 2020. Priebežný pracovný program Únie sa aktualizuje aspoň raz za tri roky a podľa potreby aj častejšie.

Článok 48

Žiadosť o ►C1  európsku schému certifikácie kybernetickej bezpečnosti ◄

1.  
Komisia môže požiadať agentúru ENISA, aby vypracovala ►C1  kandidátsku schému ◄ alebo preskúmala ►C1  existujúcu európsku schému certifikácie kybernetickej bezpečnosti ◄ na základe priebežného pracovného programu Únie.
2.  
V riadne odôvodnených prípadoch môže Komisia alebo ECCG požiadať agentúru ENISA, aby vypracovala ►C1  kandidátsku schému ◄ alebo preskúmala ►C1  existujúcu európsku schému certifikácie kybernetickej bezpečnosti ◄ , ktorý nie je zahrnutý v priebežnom pracovnom programe Únie. Priebežný pracovný program Únie sa zodpovedajúcim spôsobom aktualizuje.

Článok 49

Vypracovanie, prijatie a preskúmanie ►C1  európskej schémy certifikácie kybernetickej bezpečnosti ◄

▼M1

1.  
Na žiadosť Komisie podľa článku 48 vypracuje agentúra ENISA kandidátsku schému, ktorá spĺňa platné požiadavky stanovené v článkoch 51, 51a, 52 a 54.
2.  
Na žiadosť ECCG podľa článku 48 ods. 2 môže agentúra ENISA vypracovať kandidátsku schému, ktorá spĺňa platné požiadavky stanovené v článkoch 51, 51a, 52 a 54. Ak agentúra ENISA takúto žiadosť zamietne, musí toto zamietnutie odôvodniť. Každé rozhodnutie o zamietnutí takejto žiadosti prijíma správna rada.
3.  
Keď agentúra ENISA vypracúva kandidátsku schému, vedie včas so všetkými príslušnými zainteresovanými stranami formálne, otvorené, transparentné a inkluzívne konzultácie. Agentúra ENISA pri zasielaní kandidátskej schémy Komisii podľa odseku 6 poskytne informácie o spôsobe, akým dosiahla súlad s týmto odsekom.
4.  
Pre každú kandidátsku schému agentúra ENISA zriadi ad hoc pracovnú skupinu v súlade s článkom 20 ods. 4, ktorej účelom je poskytovať agentúre ENISA špecifické poradenstvo a odborné znalosti. Uvedené ad hoc pracovné skupiny v príslušných prípadoch a bez toho, aby boli dotknuté postupy a diskrečná právomoc stanovené v článku 20 ods. 4, zahŕňajú expertov z verejnej správy členských štátov, inštitúcií, orgánov, úradov a agentúr Únie a súkromného sektora.

▼B

5.  
Agentúra ENISA úzko spolupracuje s ECCG. ECCG poskytuje agentúre ENISA pri vypracúvaní ►C1  kandidátskej schémy ◄ pomoc a odborné poradenstvo a prijíma stanovisko ku ►C1  kandidátskej schéme ◄ .
6.  
Pred tým, než agentúra ENISA zašle ►C1  kandidátsku schému ◄ ►C1  vypracovanú ◄ podľa odsekov 3, 4 a 5 Komisii, v čo najväčšej miere zohľadní stanovisko ECCG. Stanovisko ECCG nie je pre agentúru ENISA záväzné a ani skutočnosť, že nebolo vydané, nebráni agentúre ENISA v zaslaní ►C1  kandidátskej schémy ◄ Komisii.

▼M1

7.  
Komisia môže na základe kandidátskej schémy pripravenej agentúrou ENISA prijať vykonávacie akty, v ktorých sa stanoví európsku schému certifikácie kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb, ktorý spĺňa príslušné požiadavky stanovené v článkoch 51, 51a, 52 a 54. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 66 ods. 2.

▼B

8.  
Agentúra ENISA aspoň každých päť rokov preskúma každú prijatú ►C1  európsku schému certifikácie kybernetickej bezpečnosti ◄ , pričom berie do úvahy spätnú väzbu zainteresovaných strán. Ak je to potrebné, Komisia alebo ECCG môžu požiadať agentúru ENISA, aby začala proces vypracovania revidovanej ►C1  kandidátskej schémy ◄ v súlade s článkom 48 a týmto článkom.

▼M1

Článok 49a

Informácie a konzultácie týkajúce sa európskych schém certifikácie kybernetickej bezpečnosti

1.  
Komisia zverejní informácie o svojej žiadosti adresovanej agentúre ENISA, aby vypracovala kandidátsku schému alebo preskúmala existujúcu európsku schému certifikácie kybernetickej bezpečnosti uvedenú v článku 48.
2.  
Počas prípravy kandidátskej schémy agentúrou ENISA podľa článku 49 môže Európsky parlament, Rada alebo obaja požiadať Komisiu ako predsedu ECCG a agentúru ENISA, aby štvrťročne predkladali relevantné informácie o návrhu kandidátskej schémy. Na žiadosť Európskeho parlamentu alebo Rady môže agentúra ENISA po dohode s Komisiou a bez toho, aby bol dotknutý článok 27, sprístupniť Európskemu parlamentu a Rade príslušné časti návrhu kandidátskej schémy spôsobom, ktorý je primeraný požadovanej úrovni dôvernosti, a v prípade potreby obmedzeným spôsobom.
3.  
S cieľom posilniť dialóg medzi inštitúciami Únie a prispieť k formálnemu, otvorenému, transparentnému a inkluzívnemu konzultačnému procesu môže Európsky parlament, Rada alebo obaja vyzvať Komisiu a agentúru ENISA, aby prediskutovali záležitosti týkajúce sa fungovania európskych schém certifikácie kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb.
4.  
Komisia pri hodnotení tohto nariadenia podľa článku 67 vo vhodných prípadoch zohľadní prvky vyplývajúce zo stanovísk Európskeho parlamentu a Rady k záležitostiam uvedeným v odseku 3 tohto článku.

▼B

Článok 50

Webové sídlo pre ►C1  európske schémy certifikácie kybernetickej bezpečnosti ◄

1.  
Agentúra ENISA udržiava vyhradené webové sídlo, ktoré propaguje a poskytuje informácie o ►C1  európskych schémach certifikácie kybernetickej bezpečnosti ◄ , európskych certifikátoch kybernetickej bezpečnosti a EÚ vyhláseniach o zhode, vrátane informácií o európskych systémoch certifikácie kybernetickej bezpečnosti, ktoré už nie sú platné, o ►C1  európskych schémach certifikácie kybernetickej bezpečnosti ◄ a EÚ vyhláseniach o zhode, ktoré boli odňaté alebo ktorým uplynula platnosť, a o registri odkazov na informácie o kybernetickej bezpečnosti poskytované v súlade s článkom 55.
2.  
Na webovom sídle uvedenom v odseku 1 sa uvádzajú aj vnútroštátne ►C1  schémy certifikácie ◄ kybernetickej bezpečnosti, ktoré boli nahradené ►C1  európskou schémou certifikácie kybernetickej bezpečnosti ◄ .

Článok 51

▼M1

Bezpečnostné ciele európskych schém certifikácie kybernetickej bezpečnosti pre produkty IKT, služby IKT a procesy IKT

Európska schéma certifikácie kybernetickej bezpečnosti pre produkty IKT, služby IKT alebo procesy IKT musí byť navrhnutá tak, aby podľa potreby splnila aspoň tieto bezpečnostné ciele:

▼B

a) 

chrániť uchovávané, prenášané alebo inak spracúvané údaje pred náhodným či neoprávneným uchovávaním, spracúvaním, prístupom alebo poskytnutím počas celého životného cyklu produktu IKT, služby IKT alebo procesu IKT;

b) 

chrániť uchovávané, prenášané alebo inak spracúvané údaje pred náhodným či neoprávneným zničením, stratou alebo zmenou alebo nedostatočnou dostupnosťou počas celého životného cyklu produktu IKT, služby IKT alebo procesu IKT;

c) 

umožňovať oprávneným osobám, programom alebo zariadeniam prístup výlučne k tým údajom, službám alebo funkciám, na ktoré sa vzťahujú ich prístupové práva;

d) 

identifikovať a dokumentovať známe závislosti a zraniteľnosti;

e) 

zaznamenávať, ktoré údaje, služby alebo funkcie boli predmetom prístupu, použité alebo inak spracúvané, kedy a kým;

f) 

umožňovať overenie, ktoré údaje, služby alebo funkcie boli predmetom prístupu, použité alebo inak spracúvané, kedy a kým;

g) 

overovať, či produkty IKT, služby IKT a procesy IKT neobsahujú známe zraniteľnosti;

h) 

v prípade fyzického alebo technického incidentu včas obnoviť dostupnosť údajov, služieb a funkcií a prístup k nim;

i) 

aby produkty IKT, služby IKT a procesy IKT boli bezpečné štandardne a už v štádiu návrhu;

j) 

aby sa produkty IKT, služby IKT a procesy IKT dodávali alebo poskytovali s aktualizovaným softvérom a hardvérom, ktoré neobsahujú verejne známe zraniteľnosti, a dodávali alebo poskytovali s mechanizmami na bezpečnú aktualizáciu.

▼M1

Článok 51a

Bezpečnostné ciele európskych schém certifikácie kybernetickej bezpečnosti pre riadené bezpečnostné služby

Európska schéma certifikácie kybernetickej bezpečnosti pre riadené bezpečnostné služby musí byť navrhnutý tak, aby podľa potreby splnil aspoň tieto bezpečnostné ciele:

a) 

aby riadené bezpečnostné služby boli poskytované s využitím požadovaných zručností, odborných znalostí a skúseností vrátane toho, aby zamestnanci zodpovední za poskytovanie uvedených služieb mali dostatočnú a primeranú úroveň technických vedomostí a zručností v danej konkrétnej oblasti, dostatočné a primerané skúsenosti a najvyšší stupeň profesijnej bezúhonnosti;

b) 

aby mal poskytovateľ zavedené vhodné interné postupy zabezpečujúce poskytovanie riadených bezpečnostných služieb vždy na dostatočnej a primeranej úrovni kvality;

c) 

aby sa údaje, ktoré sa sprístupňujú, uchovávajú, prenášajú alebo inak spracúvajú v súvislosti s poskytovaním riadených bezpečnostných služieb, chránili pred náhodným alebo neoprávneným prístupom, ukladaním, zverejnením, zničením, iným spracovaním alebo stratou, zmenou či nedostatočnou dostupnosťou;

d) 

aby bola v prípade fyzického alebo technického incidentu včas obnovená dostupnosť údajov, služieb a funkcií a prístup k nim;

e) 

aby oprávnené osoby, programy alebo zariadenia mali prístup výlučne k tým údajom, službám alebo funkciám, na ktoré sa vzťahujú ich prístupové práva;

f) 

aby sa uchovával záznam a bol k dispozícii na posudzovanie údajov, služieb alebo funkcií, ktoré boli predmetom prístupu, použité alebo inak spracúvané, kedy a kým;

g) 

aby produkty IKT, služby IKT a procesy IKT, ktoré sa používajú pri poskytovaní riadených bezpečnostných služieb, boli bezpečné už v štádiu návrhu a štandardne a aby prípadne obsahovali najnovšie bezpečnostné aktualizácie a neobsahovali verejne známe zraniteľnosti.

▼B

Článok 52

►C1  Úrovne záruky ◄ európskych ►C1  schém certifikácie ◄ kybernetickej bezpečnosti

▼M1

1.  
Európska schéma certifikácie kybernetickej bezpečnosti môže uvádzať jednu alebo viacero z týchto úrovní záruky pre produkty IKT, služby IKT, procesy IKT a riadené bezpečnostné služby: „základná“, „významná“ alebo „vysoká“. Úroveň záruky zodpovedá úrovni rizika spojeného s plánovaným využívaním daného produktu IKT, služby IKT, procesu IKT alebo riadenej bezpečnostnej služby z hľadiska pravdepodobnosti a vplyvu incidentu.

▼B

2.  
Európske certifikáty kybernetickej bezpečnosti a EÚ vyhlásenia o zhode odkazujú na ►C1  úroveň záruky ◄ uvedenú v ►C1  európskej schéme certifikácie kybernetickej bezpečnosti ◄ , podľa ktorej je vydaný európsky certifikát kybernetickej bezpečnosti alebo EÚ vyhlásenie o zhode.

▼M1

3.  
Bezpečnostné požiadavky zodpovedajúce každej úrovni záruky sa uvádzajú v príslušnej európskej schéme certifikácie kybernetickej bezpečnosti vrátane zodpovedajúcich bezpečnostných funkcií a zodpovedajúcej prísnosti a hĺbky hodnotenia, ktorým má produkt IKT, služba IKT, proces IKT alebo riadená bezpečnostná služba prejsť.

▼B

4.  
Certifikát alebo EÚ vyhlásenie o zhode odkazujú na súvisiace technické špecifikácie, normy a postupy vrátane technických kontrol, ktorých účelom je znížiť riziko kybernetických bezpečnostných incidentov alebo týmto incidentom predísť.

▼M1

5.  
Európsky certifikát kybernetickej bezpečnosti alebo EÚ vyhlásenie o zhode, v ktorom sa odkazuje na úroveň záruky „základný“, poskytuje uistenie, že produkty IKT, služby IKT, procesy IKT alebo riadené bezpečnostné služby, pre ktoré je vydaný uvedený certifikát alebo uvedené EÚ vyhlásenie o zhode, spĺňajú zodpovedajúce bezpečnostné požiadavky vrátane bezpečnostných funkcií a že boli hodnotené na úrovni určenej na minimalizovanie známych základných rizík incidentov a kybernetických útokov. Hodnotiace činnosti, ktoré sa majú vykonať, zahŕňajú aspoň preskúmanie technickej dokumentácie. V prípade, keď takéto preskúmanie nie je vhodné, vykonajú sa náhradné hodnotiace činnosti s rovnocenným účinkom.
6.  
Európsky certifikát kybernetickej bezpečnosti, v ktorom sa odkazuje na úroveň záruky „významná“, poskytuje uistenie, že produkty IKT, služby IKT, procesy IKT alebo riadené bezpečnostné služby, pre ktoré je vydaný uvedený certifikát, spĺňajú zodpovedajúce bezpečnostné požiadavky vrátane bezpečnostných funkcií a že boli hodnotené na úrovni určenej na minimalizovanie známych kybernetickobezpečnostných rizík a rizík incidentov a kybernetických útokov, ktoré vykonávajú subjekty s obmedzenými zručnosťami a zdrojmi. Hodnotiace činnosti, ktoré sa majú vykonať, zahŕňajú aspoň: preskúmanie na preukázanie neexistencie verejne známych zraniteľností a skúšku na preukázanie, že produkty IKT, služby IKT, procesy IKT alebo riadené bezpečnostné služby správne plnia potrebné bezpečnostné funkcie. V prípade, keď takéto hodnotiace činnosti nie sú vhodné, vykonajú sa náhradné hodnotiace činnosti s rovnocenným účinkom.
7.  
Európsky certifikát kybernetickej bezpečnosti, v ktorom sa odkazuje na úroveň záruky „vysoký“, poskytuje uistenie, že produkty IKT, služby IKT, procesy IKT alebo riadené bezpečnostné služby, pre ktoré je vydaný uvedený certifikát, spĺňajú zodpovedajúce bezpečnostné požiadavky vrátane bezpečnostných funkcií a že boli hodnotené na úrovni určenej na minimalizovanie rizika najpokročilejších kybernetických útokov, ktoré vykonávajú subjekty so značnými zručnosťami a zdrojmi. Hodnotiace činnosti, ktoré sa majú vykonať, zahŕňajú aspoň: Hodnotiace činnosti, ktoré sa majú vykonať, zahŕňajú aspoň: skúšku na preukázanie, že produkty IKT, služby IKT, procesy IKT alebo riadené bezpečnostné služby správne plnia najpokročilejšie potrebné bezpečnostné funkcie a posúdenie ich odolnosti proti zručným útočníkom prostredníctvom penetračného testovania. V prípade, keď takéto hodnotiace činnosti nie sú vhodné, vykonajú sa náhradné hodnotiace činnosti s rovnocenným účinkom.

▼B

8.  
►C1  Európska schéma certifikácie kybernetickej bezpečnosti ◄ môže špecifikovať viaceré úrovne hodnotenia v závislosti od prísnosti a hĺbky použitej metodiky hodnotenia. Každá z úrovní hodnotenia zodpovedá jednej z ►C1  úrovní záruky ◄ a je vymedzená vhodnou kombináciou zložiek dôveryhodnosti.

Článok 53

▼C1

Posúdenie zhody samohodnotením

▼M1

1.  
Európska schéma certifikácie kybernetickej bezpečnosti môže povoliť posúdenie zhody samohodnotením, za ktoré nesie výhradnú zodpovednosť výrobca alebo poskytovateľ produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb. Posúdenie zhody samohodnotením je povolené iba v súvislosti s produktmi IKT, službami IKT, procesmi IKT alebo riadenými bezpečnostnými službami, ktoré predstavujú nízke riziko zodpovedajúce úrovni záruky „základný“.
2.  
Výrobca alebo poskytovateľ/dodávateľ produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb môže vydať EÚ vyhlásenie o zhode, ktorým potvrdí, že sa preukázalo splnenie požiadaviek stanovených v schéme. Vydaním takéhoto vyhlásenia preberá výrobca alebo poskytovateľ/dodávateľ produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb zodpovednosť za súlad produktu IKT, služby IKT, procesu IKT alebo riadenej bezpečnostnej služby s požiadavkami stanovenými v uvedenej schéme.
3.  
Výrobca alebo poskytovateľ/dodávateľ produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb uchováva EÚ vyhlásenie o zhode, technickú dokumentáciu a všetky ďalšie relevantné informácie, ktoré sa týkajú zhody produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb so schémou, k dispozícii pre vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti vymedzený podľa článku 58 počas obdobia stanoveného v príslušnej európskej schéme certifikácie kybernetickej bezpečnosti. Kópia EÚ vyhlásenia o zhode sa predloží vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti a agentúre ENISA.

▼B

4.  
Vydanie EÚ vyhlásenia o zhode je dobrovoľné, pokiaľ nie je stanovené inak v práve Únie alebo v práve členského štátu.
5.  
EÚ vyhlásenia o zhode sa uznávajú vo všetkých členských štátoch.

Článok 54

Prvky ►C1  európskych schém certifikácie kybernetickej bezpečnosti ◄

1.  

►C1  Európska schéma certifikácie kybernetickej bezpečnosti ◄ zahŕňa minimálne tieto prvky:

▼M1

a) 

predmet úpravy a rozsah pôsobnosti danej certifikačnej schémy vrátane typu alebo kategórií produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb, na ktoré sa vzťahuje;

▼B

b) 

jasný opis účelu systému a toho, ako zvolené normy, metódy hodnotenia a ►C1  úrovne záruky ◄ zodpovedajú potrebám užívateľov, ktorým je systém určený;

c) 

odkaz na medzinárodné, európske alebo vnútroštátne normy používané pri hodnotení alebo, ak také normy nie sú k dispozícii alebo nie sú vhodné, na technické špecifikácie, ktoré spĺňajú požiadavky stanovené v prílohe II k nariadeniu (EÚ) č. 1025/2012, alebo ak takéto špecifikácie nie sú k dispozícii, na technické špecifikácie alebo iné požiadavky kybernetickej bezpečnosti vymedzené ►C1  európskou schémou certifikácie kybernetickej bezpečnosti ◄ ;

d) 

podľa potreby jedna alebo viacero ►C1  úrovní záruky ◄ ;

e) 

informáciu o tom, či je v rámci daného systému povolené ►C1  posúdenie zhody samohodnotením ◄ ;

f) 

prípadné osobitné alebo dodatočné požiadavky na orgány posudzovania zhody s cieľom zabezpečiť ich technickú spôsobilosť na hodnotenie požiadaviek kybernetickej bezpečnosti;

▼M1

g) 

konkrétne hodnotiace kritériá a metódy, ktoré sa majú použiť, vrátane typov hodnotenia, s cieľom preukázať, že sa dosiahli platné bezpečnostné ciele uvedené v článkoch 51 a 51a;

▼B

h) 

prípadné informácie, ktoré sú potrebné na certifikáciu a ktoré má orgánom posudzovania zhody poskytnúť alebo inak sprístupniť žiadateľ;

i) 

ak systém zahŕňa označenia alebo značky, podmienky, za ktorých možno takéto označenia alebo značky použiť;

▼M1

j) 

pravidlá monitorovania súladu produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb s požiadavkami európskych certifikátov kybernetickej bezpečnosti alebo EÚ vyhlásení o zhode vrátane mechanizmov na preukázanie trvalého súladu so stanovenými požiadavkami kybernetickej bezpečnosti;

▼B

k) 

prípadné podmienky vydania, zachovania, pokračovania platnosti a obnovenia európskych certifikátov kybernetickej bezpečnosti, ako aj podmienky pre rozšírenie alebo zúženie rozsahu certifikácie;

▼M1

l) 

pravidlá týkajúce sa dôsledkov pre produkty IKT, služby IKT, procesy IKT alebo riadené bezpečnostné služby, ktoré boli certifikované alebo pre ktoré bolo vydané EÚ vyhlásenie o zhode, ale ktoré nespĺňajú požiadavky schémy;

▼B

m) 

pravidlá nahlasovania a riešenia predtým nezistených zraniteľností produktov IKT, služieb IKT a procesov IKT z hľadiska kybernetickej bezpečnosti;

n) 

prípadné pravidlá uchovávania záznamov orgánmi posudzovania zhody;

▼M1

o) 

určenie vnútroštátnych alebo medzinárodných schém certifikácie kybernetickej bezpečnosti, ktoré sa vzťahujú na rovnaký typ alebo kategóriu produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb, bezpečnostných požiadaviek, kritérií a metód hodnotenia a úrovní záruky;

▼B

p) 

obsah a podoba európskych certifikátov kybernetickej bezpečnosti a EÚ vyhlásení o zhode, ktoré majú byť vydané;

▼M1

q) 

obdobie, počas ktorého výrobca alebo poskytovateľ/dodávateľ produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb má uchovávať k dispozícii EÚ vyhlásenie o zhode, technickú dokumentáciu a všetky ďalšie relevantné informácie;

▼B

r) 

maximálne obdobie platnosti európskych certifikátov kybernetickej bezpečnosti vydaných v rámci systému;

s) 

politiku zverejňovania informácií o európskych certifikátoch kybernetickej bezpečnosti, ktoré boli vydané, zmenené alebo odňaté v rámci systému;

t) 

podmienky vzájomného uznávania ►C1  schém certifikácie ◄ s tretími krajinami;

u) 

prípadné pravidlá týkajúce sa mechanizmu ►C1  vzájomného posúdenia ◄ , ktoré je stanovené systémom pre orgány alebo subjekty vydávajúce európske certifikáty kybernetickej bezpečnosti pre ►C1  úroveň záruky ◄ „vysoká“ podľa článku 56 ods. 6 Tento mechanizmus sa uplatňuje bez toho, aby bolo dotknuté ►C1  vzájomné posúdenie ◄ stanovené v článku 59;

v) 

formát a postupy, ktoré musia dodržiavať výrobcovia alebo poskytovatelia produktov IKT, služieb IKT alebo procesov IKT pri poskytovaní a aktualizácii doplňujúcich informácií o kybernetickej bezpečnosti v súlade s článkom 55.

2.  
Stanovené požiadavky ►C1  európskej schémy certifikácie kybernetickej bezpečnosti ◄ musia byť v súlade s akýmikoľvek platnými právnymi požiadavkami, najmä s požiadavkami, ktoré vyplývajú z harmonizovaného práva Únie.
3.  
Ak sa to stanovuje v osobitnom právnom akte Únie, certifikát alebo EÚ vyhlásenie o zhode vydané v rámci ►C1  európskej schémy certifikácie kybernetickej bezpečnosti ◄ možno použiť na preukázanie predpokladu zhody s požiadavkami daného právneho aktu.
4.  
Ak harmonizované právo Únie neexistuje, v práve členských štátov možno tiež stanoviť, že ►C1  európsku schému certifikácie kybernetickej bezpečnosti ◄ možno použiť na stanovenie predpokladu zhody s právnymi požiadavkami.

Článok 55

Doplňujúce informácie o kybernetickej bezpečnosti týkajúce sa certifikovaných produktov IKT, služieb IKT a procesov IKT

1.  

Výrobca alebo poskytovateľ certifikovaných produktov IKT, služieb IKT alebo procesov IKT alebo produktov IKT, služieb IKT a procesov IKT, pre ktoré bolo vydané EÚ vyhlásenie o zhode, zverejňuje tieto doplňujúce informácie o kybernetickej bezpečnosti:

a) 

poradenstvo a odporúčania s cieľom pomôcť koncovým užívateľom s bezpečnou konfiguráciou, inštaláciou, zavedením, prevádzkou a údržbou výrobkov IKT alebo služieb IKT;

b) 

obdobie, počas ktorého sa bude koncovým užívateľom poskytovať bezpečnostná podpora, a to najmä pokiaľ ide o dostupnosť aktualizácií, ktoré sa týkajú kybernetickej bezpečnosti;

c) 

kontaktné informácie výrobcu alebo poskytovateľa a akceptované metódy na prijímanie informácií o zraniteľnosti od koncových užívateľov a výskumníkov v oblasti bezpečnosti;

d) 

odkaz na registre online, ktoré uvádzajú zverejnené zraniteľnosti týkajúce sa daného produktu IKT, služby IKT alebo procesu IKT a všetky príslušné kybernetickobezpečnostné rady.

2.  
Informácie uvedené v odseku 1 musia byť k dispozícii v elektronickej forme a zostávajú k dispozícii a podľa potreby sa aktualizujú aspoň do skončenia platnosti príslušného európskeho certifikátu kybernetickej bezpečnosti alebo EÚ vyhlásenia o zhode.

Článok 56

Certifikácia kybernetickej bezpečnosti

▼M1

1.  
Produkty IKT, služby IKT, procesy IKT a riadené bezpečnostné služby certifikované v rámci európskej schémy certifikácie kybernetickej bezpečnosti prijatej podľa článku 49 sa považujú za vyhovujúce požiadavkám danej schémy.

▼B

2.  
Pokiaľ sa v práve Únie alebo práve členského štátu nestanovuje inak, certifikácia kybernetickej bezpečnosti je dobrovoľná.
3.  
►M1  Komisia pravidelne posúdi účinnosť a využívanie prijatých európskych schém certifikácie kybernetickej bezpečnosti a či sa niektorá konkrétna európska schéma certifikácie kybernetickej bezpečnosti má stať záväzným prostredníctvom príslušného práva Únie s cieľom zaistiť primeranú úroveň kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a od 4. februára 2025 riadených bezpečnostných služieb v Únii a zlepšiť fungovanie vnútorného trhu. Prvé takéto posúdenie sa vykoná do 31. decembra 2023 a následné posúdenia sa potom vykonávajú aspoň každé dva roky. Komisia na základe výsledkov uvedených posúdení určí produkty IKT, služby IKT, procesy IKT a riadené bezpečnostné služby, na ktoré sa vzťahuje existujúca certifikačná schéma a na ktoré sa má vzťahovať povinná certifikačná schéma. ◄

Prioritne sa Komisia zameria na odvetvia uvedené v prílohe II k smernici (EÚ) 2016/1148, ktoré sa posúdia najneskôr do dvoch rokov po prijatí prvej ►C1  európskej schémy certifikácie kybernetickej bezpečnosti ◄ .

Pri príprave posúdenia Komisia:

▼M1

a) 

zohľadní vplyv opatrení na výrobcov alebo poskytovateľov/dodávateľov takýchto produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb a na užívateľov z hľadiska nákladov uvedených opatrení a spoločenských alebo ekonomických prínosov vyplývajúcich z predpokladanej zvýšenej úrovne bezpečnosti cielených produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb;

▼B

b) 

zohľadní existenciu a vykonávanie príslušného práva členského štátu alebo práva tretej krajiny;

c) 

vykoná otvorené, transparentné a inkluzívne konzultácie so všetkými príslušnými zainteresovanými stranami a členskými štátmi;

▼M1

d) 

zohľadní všetky lehoty na vykonávanie, prechodné opatrenia a obdobia, najmä s ohľadom na možný vplyv daného opatrenia na výrobcov alebo poskytovateľov/dodávateľov produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb vrátane osobitných záujmov a potrieb malých a stredných podnikov, vrátane mikropodnikov;

▼B

e) 

navrhne najrýchlejší a najefektívnejší spôsob vykonania prechodu z dobrovoľných na povinné ►C1  certifikačné schémy ◄ .

4.  
Európske certifikáty kybernetickej bezpečnosti podľa tohto článku, ktoré odkazujú na ►C1  úroveň záruky ◄ „základný“ alebo „významná“, vydávajú orgány posudzovania zhody uvedené v článku 60 na základe kritérií zahrnutých v európskom systéme certifikácie kybernetickej bezpečnosti prijatom Komisiou podľa článku 49.
5.  

Odchylne od odseku 4 sa v riadne odôvodnených prípadoch môže v ►C1  európskej schéme certifikácie kybernetickej bezpečnosti ◄ stanoviť, že európske certifikáty kybernetickej bezpečnosti podľa daného systému má vydávať len verejný subjekt. Takýmto subjektom je:

a) 

vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti uvedený v článku 58 ods. 1 alebo

b) 

verejný subjekt, ktorý je akreditovaný ako orgán posudzovania zhody podľa článku 60 ods. 1.

6.  

Ak ►C1  európska schéma certifikácie kybernetickej bezpečnosti ◄ prijatý podľa článku 49 vyžaduje ►C1  úroveň záruky ◄ „vysoká“, európsky certifikát kybernetickej bezpečnosti podľa uvedeného systému má vydávať len vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti alebo v týchto prípadoch orgán posudzovania zhody:

a) 

vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti najprv schváli každý jednotlivý európsky certifikát kybernetickej bezpečnosti, ktorý vydal orgán posudzovania zhody, alebo

b) 

vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti poveril úlohou vydávať takéto európske certifikáty kybernetickej bezpečnosti orgán posudzovania zhody na základe všeobecného delegovania.

▼M1

7.  
Fyzická či právnická osoba, ktorá predkladá produkty IKT, služby IKT, procesy IKT alebo riadené bezpečnostné služby na certifikáciu, sprístupní vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti vymedzenému podľa článku 58, ak tento orgán vydáva európsky certifikát kybernetickej bezpečnosti, alebo orgánu posudzovania zhody uvedenému v článku 60 všetky informácie potrebné pre certifikáciu.
8.  
Držiteľ európskeho certifikátu kybernetickej bezpečnosti informuje orgán uvedený v odseku 7 o všetkých následne zistených zraniteľnostiach alebo nezrovnalostiach týkajúcich sa bezpečnosti certifikovaného produktu IKT, služby IKT, procesu IKT alebo riadenej bezpečnostnej služby, ktoré môžu mať vplyv na ich súlad s požiadavkami týkajúcimi sa certifikácie. Uvedený orgán bez zbytočného odkladu postúpi uvedené informácie dotknutému vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti.

▼B

9.  
Európsky certifikát kybernetickej bezpečnosti sa vydáva na obdobie stanovené v európskom systéme certifikácie kybernetickej bezpečnosti a možno ho obnoviť, pokiaľ sa naďalej plnia relevantné požiadavky.
10.  
Európsky certifikát kybernetickej bezpečnosti vydaný podľa tohto článku sa uznáva vo všetkých členských štátoch.

Článok 57

Vnútroštátne ►C1  schémy certifikácie ◄ a certifikáty kybernetickej bezpečnosti

▼M1

1.  
Bez toho, aby bol dotknutý odsek 3 tohto článku, vnútroštátne schémy certifikácie kybernetickej bezpečnosti a súvisiace postupy týkajúce sa produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb, na ktoré sa vzťahuje európska schéma certifikácie kybernetickej bezpečnosti, strácajú účinnosť k dátumu stanovenému vo vykonávacom akte prijatom podľa článku 49 ods. 7. Vnútroštátne schémy certifikácie kybernetickej bezpečnosti a súvisiace postupy týkajúce sa produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb, na ktoré sa európska schéma certifikácie kybernetickej bezpečnosti nevzťahuje, existujú naďalej.
2.  
Členské štáty nezavedú nové vnútroštátne schémy certifikácie kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb, na ktoré sa už vzťahuje platná európska schéma certifikácie kybernetickej bezpečnosti.

▼B

3.  
Existujúce certifikáty, ktoré boli vydané v rámci vnútroštátnych ►C1  schém certifikácie ◄ kybernetickej bezpečnosti a na ktoré sa vzťahuje ►C1  európska schéma certifikácie kybernetickej bezpečnosti ◄ , platia naďalej až do konca doby ich platnosti.
4.  
S cieľom predísť fragmentácii vnútorného trhu členské štáty informujú Komisiu a ECCG o akomkoľvek zámere vypracovať nové vnútroštátne ►C1  schémy certifikácie ◄ kybernetickej bezpečnosti.

Článok 58

Vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti

1.  
Každý členský štát určí jeden alebo viacero vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti na svojom území alebo určí po dohode s iným členským štátom jeden alebo viacero vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti zriadených v tomto inom členskom štáte, ktoré budú zodpovedné za dozor v určujúcom členskom štáte.
2.  
Každý členský štát oznámi Komisii určené vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti. Ak členský štát určí viac orgánov, informuje Komisiu aj o úlohách zverených každému z nich.
3.  
Bez toho, aby bol dotknutý článok 56 ods. 5 písm. a) a článok 56 ods. 6, každý vnútroštátny orgány pre certifikáciu kybernetickej bezpečnosti je z hľadiska svojej organizácie, rozhodnutí o financovaní, právnej štruktúry a rozhodovania nezávislý od subjektov, nad ktorými vykonáva dozor.
4.  
Členské štáty zabezpečia, aby činnosti vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti, ktoré sa týkajú vydávania európskych certifikátov kybernetickej bezpečnosti podľa článku 56 ods. 5 písm. a) a článku 56 ods. 6, boli prísne oddelené od ich činností dohľadu stanovených v tomto článku, a aby uvedené činnosti boli vykonávané nezávisle od seba.
5.  
Členské štáty zabezpečia, aby vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti mali primerané zdroje na výkon svojich právomocí a aby svoje úlohy vykonávali účinne a efektívne.
6.  
V záujme účinného vykonávania tohto nariadenia je vhodné, aby sa vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti aktívne, účinne, efektívne a bezpečne zapájali do práce ECCG.
7.  

Vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti:

▼M1

a) 

dozerajú nad pravidlami uvedenými v európskych schémach certifikácie kybernetickej bezpečnosti podľa článku 54 ods. 1 písm. j), ktoré sa týkajú monitorovania súladu produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb s požiadavkami európskych certifikátov kybernetickej bezpečnosti, ktoré boli vydané na ich príslušných územiach, a tieto pravidlá presadzujú, a to v spolupráci s ďalšími príslušnými orgánmi dohľadu nad trhom;

b) 

monitorujú dodržiavanie povinností výrobcov alebo poskytovateľov/dodávateľov produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb, ktorí sú usadení na ich príslušných územiach a vykonávajú posúdenie zhody samohodnotením, a tieto povinnosti presadzujú, a najmä monitorujú dodržiavanie povinností takýchto výrobcov alebo poskytovateľov/dodávateľov stanovených v článku 53 ods. 2 a 3 a v príslušnej európskej schéme certifikácie kybernetickej bezpečnosti, a tieto povinnosti presadzujú;

▼B

c) 

bez toho, aby bol dotknutý článok 60 ods. 3, na účely tohto nariadenia aktívne pomáhajú vnútroštátnym akreditačným orgánom a podporujú ich pri monitorovaní činností orgánov posudzovania zhody a pri dozore nad týmito činnosťami;

d) 

monitorujú a dozerajú na činnosti verejných orgánov uvedených v článku 56 ods. 5;

e) 

prípadne splnomocňujú orgány posudzovania zhody v súlade s článkom 60 ods. 3 a obmedzujú, pozastavujú alebo odnímajú existujúce splnomocnenie, keď orgány posudzovania zhody nespĺňajú požiadavky tohto nariadenia;

f) 

vybavujú sťažnosti fyzických alebo právnických osôb v súvislosti s európskymi certifikátmi kybernetickej bezpečnosti vydanými vnútroštátnymi orgánmi pre certifikáciu kybernetickej bezpečnosti, alebo v súvislosti s európskymi certifikátmi kybernetickej bezpečnosti vydanými orgánmi posudzovania zhody v súlade s článkom 56 ods. 6, alebo v súvislosti s EÚ vyhláseniami o zhode vydanými podľa článku 53, a v primeranom rozsahu prešetrujú predmet takýchto sťažností a sťažovateľa v primeranej lehote informujú o pokroku a výsledku tohto prešetrenia;

g) 

agentúre ENISA a ECCG poskytujú výročnú súhrnnú správu o činnostiach vykonaných podľa písmen b), c) a d) tohto odseku alebo podľa odseku 8;

▼M1

h) 

spolupracujú s inými vnútroštátnymi orgánmi pre certifikáciu kybernetickej bezpečnosti alebo inými orgánmi verejnej moci, čo zahŕňa poskytovanie informácií o možnom nesúlade produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb s požiadavkami tohto nariadenia alebo s požiadavkami konkrétnych európskych schém certifikácie kybernetickej bezpečnosti; a

▼B

i) 

monitorujú relevantný vývoj v oblasti certifikácie kybernetickej bezpečnosti.

8.  

Každý vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti má prinajmenšom tieto právomoci:

a) 

žiadať od orgánov posudzovania zhody, držiteľov európskych certifikátov kybernetickej bezpečnosti a vydavateľov EÚ vyhlásení o zhode akékoľvek informácie, ktoré potrebuje na plnenie svojich úloh;

b) 

viesť vyšetrovanie v podobe auditov orgánov posudzovania zhody, držiteľov európskych certifikátov kybernetickej bezpečnosti a vydavateľov EÚ vyhlásení o zhode na overenie, či dodržiavajú ustanovenia tejto hlavy;

c) 

prijímať primerané opatrenia v súlade s vnútroštátnym právom s cieľom zabezpečiť, aby orgány posudzovania zhody, držitelia európskych certifikátov kybernetickej bezpečnosti a vydavatelia EÚ vyhlásení o zhode dodržiavali toto nariadenie alebo ►C1  európsku schému certifikácie kybernetickej bezpečnosti ◄ ;

d) 

získať prístup do priestorov akýchkoľvek orgánov posudzovania zhody alebo držiteľov európskych certifikátov kybernetickej bezpečnosti na účely vykonávania vyšetrovaní v súlade s procesným právom Únie alebo členského štátu;

e) 

v súlade s vnútroštátnym právom odnímať európske certifikáty kybernetickej bezpečnosti, ktoré vydali vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti, alebo európske certifikáty kybernetickej bezpečnosti, ktoré v súlade s článkom 56 ods. 6 vydali orgány posudzovania zhody, ak takéto certifikáty nie sú v súlade s týmto nariadením alebo ►C1  európskou schémou certifikácie kybernetickej bezpečnosti ◄ ;

f) 

ukladať v súlade s vnútroštátnym právom sankcie podľa článku 65 a vyžadovať okamžité ukončenie porušovania povinností stanovených v tomto nariadení.

▼M1

9.  
Vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti navzájom i s Komisiou spolupracujú, najmä si vymieňajú informácie, skúsenosti a osvedčené postupy, pokiaľ ide o certifikáciu kybernetickej bezpečnosti a technické otázky súvisiace s kybernetickou bezpečnosťou produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb.

▼B

Článok 59

▼C1

Vzájomné preskúmanie

▼B

1.  
S cieľom dosiahnuť v súvislosti s európskymi certifikátmi kybernetickej bezpečnosti a EÚ vyhláseniami o zhode rovnaké normy v celej Únii podliehajú vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti partnerskému preskúmaniu.
2.  
►C1  Vzájomné preskúmanie ◄ sa vykonáva na základe riadnych a transparentných hodnotiacich kritérií a postupov, ktoré sa vzťahujú najmä na štrukturálne požiadavky, požiadavky na ľudské zdroje a postupy, povinnosť mlčanlivosti a sťažnosti.
3.  

►C1  Vzájomné preskúmanie ◄ posudzuje:

a) 

ak je to relevantné, či sú činnosti vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti, ktoré sa týkajú vydávania európskych certifikátov kybernetickej bezpečnosti podľa článku 56 ods. 5 písm. a) a článku 56 ods. 6, prísne oddelené od ich činností dozoru stanovených v článku 58 a či sa uvedené činnosti vykonávajú nezávisle od seba;

▼M1

b) 

postupy dozoru a presadzovania pravidiel monitorovania súladu produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb s európskymi certifikátmi kybernetickej bezpečnosti podľa článku 58 ods. 7 písm. a);

c) 

postupy monitorovania a presadzovania povinností výrobcov a poskytovateľov/dodávateľov produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb podľa článku 58 ods. 7 písm. b);

▼B

d) 

postupy monitorovania, splnomocňovania a dozoru, pokiaľ ide o činnosti orgánov posudzovania zhody;

e) 

ak je to relevantné, či personál orgánov, ktoré vydávajú certifikáty pre ►C1  úroveň záruky ◄ „vysoká“ podľa článku 56 ods. 6, má primerané odborné znalosti.

4.  
►C1  Vzájomné preskúmanie ◄ vykonávajú najmenej dva vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti iných členských štátov a Komisia a vykonáva sa aspoň raz za päť rokov. Agentúra ENISA sa môže zúčastňovať na ►C1  vzájomnom preskúmaní ◄ .
5.  
Komisia môže prijímať vykonávacie akty, v ktorých stanoví plán ►C1  vzájomného preskúmania ◄ na obdobie najmenej piatich rokov, kritériá zloženia tímu ►C1  vzájomného preskúmania ◄ , metodiku ►C1  vzájomného preskúmania ◄ a časový harmonogram, periodicitu a ďalšie úlohy súvisiace so ►C1  vzájomným preskúmaním ◄ . Pri prijímaní uvedených vykonávacích aktov Komisia náležite zohľadňuje názory ECCG. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 66 ods. 2
6.  
Výsledky ►C1  vzájomného preskúmania ◄ preskúma ECCG, ktorá vypracuje súhrnnú správu, ktorá sa môže sprístupniť verejnosti, a v prípade potreby vydá usmernenia alebo odporúčania týkajúce sa krokov alebo opatrení, ktoré majú prijať dotknuté subjekty.

Článok 60

Orgány posudzovania zhody

1.  
Orgány posudzovania zhody akreditujú vnútroštátne akreditačné orgány vymenované podľa nariadenia (ES) č. 765/2008. Takáto akreditácia sa vydá, len ak orgán posudzovania zhody spĺňa požiadavky stanovené v prílohe k tomuto nariadeniu.
2.  
Ak vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti vydal v súlade s článkom 56 ods. 5 písm. a) a článkom 56 ods. 6 európsky certifikát kybernetickej bezpečnosti, certifikačný orgán vnútroštátneho orgánu pre certifikáciu kybernetickej bezpečnosti sa akredituje ako orgán posudzovania zhody podľa odseku 1 tohto článku.
3.  
Ak sa v ►C1  európskych schémach certifikácie kybernetickej bezpečnosti ◄ stanovujú osobitné alebo dodatočné požiadavky podľa článku 54 ods. 1 písm. f), vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti splnomocňuje len orgány posudzovania zhody, ktoré spĺňajú uvedené požiadavky, aby vykonávali úlohy podľa takýchto schém.
4.  
Akreditácia uvedená v odseku 1 sa udeľuje orgánom posudzovania zhody najviac na päť rokov a možno ju obnoviť za rovnakých podmienok, pokiaľ orgán posudzovania zhody naďalej spĺňa požiadavky stanovené v tomto článku. Vnútroštátne akreditačné orgány prijmú v primeranom časovom rámci všetky vhodné opatrenia s cieľom obmedziť, pozastaviť alebo zrušiť akreditáciu orgánu posudzovania zhody udelenú podľa odseku 1, ak orgán posudzovania zhody nespĺňa alebo prestal spĺňať akreditačné podmienky, alebo porušuje toto nariadenie

Článok 61

Oznamovanie

1.  
V súvislosti s ►C1  každou ◄ ►C1  európskou schémou certifikácie kybernetickej bezpečnosti ◄ oznámia vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti Komisii orgány posudzovania zhody akreditované a prípadne splnomocnené podľa článku 60 ods. 3 na vydávanie európskych certifikátov kybernetickej bezpečnosti v rámci určených ►C1  úrovní záruky ◄ , ako sa uvádzajú článku 52. Vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti oznamujú Komisii bez zbytočného odkladu akékoľvek následné zmeny v tejto súvislosti.
2.  
Jeden rok po nadobudnutí účinnosti ►C1  európskej schémy certifikácie kybernetickej bezpečnosti ◄ Komisia uverejní v Úradnom vestníku Európskej únie zoznam orgánov posudzovania zhody oznámených v rámci uvedeného systému.
3.  
Ak sa Komisii doručí oznámenie po lehote stanovenej v odseku 2, uverejní v Úradnom vestníku Európskej únie zmeny zoznamu oznámených orgánov posudzovania zhody do dvoch mesiacov od doručenia daného oznámenia.
4.  
Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti môže Komisii predložiť žiadosť o vyňatie orgánu posudzovania zhody, ktorý daný vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti oznámil, zo zoznamu uvedeného v odseku 2. Komisia uverejní v Úradnom vestníku Európskej únie príslušné zmeny uvedeného zoznamu do jedného mesiaca od doručenia žiadosti vnútroštátneho orgánu pre certifikáciu kybernetickej bezpečnosti.
5.  
Komisia môže prijať vykonávacie akty stanovujúce okolnosti, podobu a postupy oznamovania uvedeného v odseku 1 tohto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 66 ods. 2.

Článok 62

Európska skupina pre certifikáciu kybernetickej bezpečnosti

1.  
Zriadi sa európska skupina pre certifikáciu kybernetickej bezpečnosti (ďalej len „ECCG“ – European Cybersecurity Certification Group).
2.  
ECCG sa skladá zo zástupcov vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti alebo zástupcov iných príslušných vnútroštátnych orgánov. Žiaden člen ECCG nesmie zastupovať viac ako dva členské štáty.
3.  
Zainteresované strany a príslušné tretie strany môžu byť prizvané zúčastniť sa na stretnutiach ECCG a podieľať sa na jej práci.
4.  

ECCG má tieto úlohy:

a) 

radiť a pomáhať Komisii v jej úsilí o zabezpečenie konzistentného vykonávania a uplatňovania tejto hlavy, najmä pokiaľ ide o priebežný pracovný program Únie, politické otázky spojené s certifikáciou kybernetickej bezpečnosti, koordináciu politických prístupov a vypracovanie ►C1  európskych schém certifikácie kybernetickej bezpečnosti ◄ ;

b) 

pomáhať a radiť agentúre ENISA a spolupracovať s ňou pri vypracúvaní ►C1  kandidátskej schémy ◄ podľa článku 49;

c) 

prijímať stanovisko ku ►C1  kandidátskym schémam ◄ vypracovaným agentúrou ENISA podľa článku 49;

d) 

požiadať agentúru ENISA o vypracovanie ►C1  kandidátskych schém ◄ podľa článku 48 ods. 2;

e) 

prijímať stanoviská určené Komisii, ktoré sa týkajú udržiavania a preskúmania existujúcich európskych systémov certifikácie kybernetickej bezpečnosti;

f) 

skúmať relevantný vývoj v oblasti certifikácie kybernetickej bezpečnosti a vymieňať si informácie a osvedčené postupy v oblasti ►C1  schém certifikácie ◄ kybernetickej bezpečnosti;

g) 

uľahčovať spoluprácu medzi vnútroštátnymi orgánmi pre certifikáciu kybernetickej bezpečnosti podľa tejto hlavy, a to budovaním kapacít a výmenou informácií, najmä zavedením metód efektívnej výmeny informácií o otázkach spojených s certifikáciou kybernetickej bezpečnosti;

h) 

podporovať vykonávanie mechanizmov ►C1  vzájomného preskúmania ◄ v súlade s pravidlami stanovenými v ►C1  európskej schéme certifikácie kybernetickej bezpečnosti ◄ podľa článku 54 ods. 1 písm. u) tohto nariadenia;

i) 

uľahčovať zosúlaďovanie ►C1  európskych schém certifikácie kybernetickej bezpečnosti ◄ s medzinárodne uznanými normami, a to aj preskúmaním súčasných ►C1  európskych schém certifikácie kybernetickej bezpečnosti ◄ a prípadne vydaním odporúčaní pre agentúru ENISA, aby spolupracovala s príslušnými medzinárodnými normalizačnými organizáciami s cieľom riešiť nedostatky alebo rozdiely v dostupných medzinárodne uznávaných normách.

5.  
Komisia za pomoci agentúry ENISA predsedá ECCG a zabezpečuje pre ECCG sekretariát v súlade s článkom 8 ods. 1 písm. e).

Článok 63

Právo na podanie sťažnosti

1.  
Fyzické a právnické osoby majú právo podať sťažnosť vydavateľovi európskeho certifikátu kybernetickej bezpečnosti, alebo ak sťažnosť súvisí s európskym certifikátom kybernetickej bezpečnosti, ktorý vydal orgán posudzovania zhody konajúci v súlade s článkom 56 ods. 6, príslušnému vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti.
2.  
Orgán, ktorému sa sťažnosť podala, informuje sťažovateľa o pokroku daného konania a prijatom rozhodnutí a o práve na účinný súdny prostriedok nápravy podľa článku 64.

Článok 64

Právo na účinný súdny prostriedok nápravy

1.  

Bez ohľadu na akékoľvek administratívne alebo iné mimosúdne prostriedky nápravy, fyzické osoby a právnické osoby majú právo na účinný súdny prostriedok nápravy, pokiaľ ide o:

a) 

rozhodnutia prijaté orgánom uvedeným v článku 63 ods. 1, a to prípadne aj v súvislosti s nesprávnym vydaním, nevydaním alebo uznaním európskeho certifikátu kybernetickej bezpečnosti, ktorého držiteľmi sú uvedené fyzické a právnické osoby;

b) 

nekonanie vo veci sťažnosti podanej orgánu uvedenému v článku 63 ods. 1.

2.  
Konanie podľa tohto článku sa vedie na súdoch členského štátu, v ktorom sa nachádza orgán, proti ktorému súdny prostriedok nápravy smeruje.

Článok 65

Sankcie

Členské štáty stanovia pravidlá pokiaľ ide o sankcie uplatniteľné pri porušení tejto hlavy a porušení ►C1  európskych schém certifikácie kybernetickej bezpečnosti ◄ a prijmú všetky opatrenia potrebné na zabezpečenie ich uplatňovania. Stanovené sankcie musia byť účinné, primerané a odrádzajúce. Členské štáty bezodkladne oznámia uvedené pravidlá a opatrenia Komisii a informujú ju o všetkých následných zmenách, ktoré na ne majú vplyv.

HLAVA IV

ZÁVEREČNÉ USTANOVENIA

Článok 66

Postup výboru

1.  
Komisii pomáha výbor. Uvedený výbor je výborom v zmysle nariadenia (EÚ) č. 182/2011.
2.  
Ak sa odkazuje na tento odsek, uplatňuje sa článok 5 ods. 4 písm. b) nariadenia (EÚ) č. 182/2011.

Článok 67

Hodnotenie a preskúmanie

1.  
Komisia do 28. júna 2024 a následne každých päť rokov vyhodnotí vplyv, účinnosť a efektívnosť agentúry ENISA a jej pracovných postupov, prípadnú potrebu upraviť mandát agentúry ENISA a finančné dôsledky takýchto prípadných úprav. Pri tomto hodnotení sa zohľadní každá spätná väzba, ktorú agentúra ENISA dostala v nadväznosti na svoje činnosti. Ak sa Komisia domnieva, že ďalšie fungovanie agentúry ENISA už nie je odôvodnené vzhľadom na ciele, mandát a úlohy jej zverené, môže navrhnúť zmenu tohto nariadenia z hľadiska ustanovení, ktoré sa týkajú agentúry ENISA.

▼M1

2.  
V hodnotení sa zároveň posúdi vplyv, účinnosť a efektívnosť ustanovení hlavy III tohto nariadenia vrátane postupov vedúcich k prijatiu európskych schém certifikácie kybernetickej bezpečnosti a ich dátových základní, a to z hľadiska cieľov zabezpečiť primeranú úroveň kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb v Únii a zlepšiť fungovanie vnútorného trhu.
3.  
V hodnotení sa posúdi, či sú základné požiadavky kybernetickej bezpečnosti na prístup na vnútorný trh potrebné na to, aby sa zabránilo vstupu produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb, ktoré nespĺňajú základné požiadavky kybernetickej bezpečnosti, na vnútorný trh.

▼B

4.  
Komisia do 28. júna 2024 a následne každých päť rokov zašle správu o hodnotení spolu s jej závermi Európskemu parlamentu, Rade a správnej rade. Zistenia uvedené v tejto správe sa zverejnia.

Článok 68

Zrušenie a nástupníctvo

1.  
Nariadenie (EÚ) č. 526/2013 sa zrušuje s účinnosťou od 27. júna 2019.
2.  
Odkazy na nariadenie (EÚ) č. 526/2013 a na agentúru ENISA zriadenú uvedeným nariadením sa považujú za odkazy na toto nariadenie a na agentúru ENISA zriadenú týmto nariadením.
3.  
Agentúra ENISA zriadená týmto nariadením je nástupcom agentúry ENISA, ktorá bola zriadená nariadením (EÚ) č. 526/2013, pokiaľ ide o vlastníctvo, dohody, právne záväzky, pracovné zmluvy, finančné záväzky a povinnosti. Všetky rozhodnutia správnej rady a výkonnej rady prijaté v súlade s nariadením (EÚ) č. 526/2013 zostávajú v platnosti, pokiaľ sú v súlade s týmto nariadením.
4.  
Agentúra ENISA sa zriaďuje na dobu neurčitú od 27. júna 2019.
5.  
Výkonný riaditeľ vymenovaný podľa článku 24 ods. 4 nariadenia (EÚ) č. 526/2013 zostáva vo svojej funkcii a plní povinnosti výkonného riaditeľa, ako je uvedené v článku 20 tohto nariadenia, do konca zostatku funkčného obdobia výkonného riaditeľa. Ostatné podmienky jeho zmluvy zostávajú nezmenené.
6.  
Členovia správnej rady a ich náhradníci vymenovaní podľa článku 6 nariadenia (EÚ) č. 526/2013 zostávajú vo svojej funkcii a plnia povinnosti správnej rady, ako je uvedené v článku 15 tohto nariadenia, do konca zostatku svojho funkčného obdobia.

Článok 69

Nadobudnutie účinnosti

1.  
Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.
2.  
Články 58, 60, 61, 63, 64, a 65 sa uplatňujú od 28. júna 2021.

Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.




PRÍLOHA

POŽIADAVKY, KTORÉ MUSIA SPĹŇAŤ ORGÁNY POSUDZOVANIA ZHODY

Orgány posudzovania zhody žiadajúce o akreditáciu musia spĺňať tieto požiadavky:

1. 

Orgán posudzovania zhody je zriadený podľa vnútroštátneho práva a má právnu subjektivitu.

▼M1

2. 

Orgán posudzovania zhody je orgánom tretej strany, ktorá je nezávislá od organizácie alebo produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb, ktoré posudzuje.

3. 

Za orgán posudzovania zhody možno považovať subjekt, ktorý patrí do obchodného alebo profesijného združenia, ktoré zastupuje podniky, ktoré sa podieľajú na navrhovaní, produkcii, poskytovaní, inštalácii, používaní alebo údržbe produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb, ktoré tento subjekt posudzuje, ak sa preukáže jeho nezávislosť a absencia konfliktu záujmov.

4. 

Orgány posudzovania zhody, ich vrcholový manažment a osoby zodpovedné za výkon úloh posudzovania zhody nesmú byť návrhármi, výrobcami, dodávateľmi, subjektmi, ktoré vykonávajú inštaláciu alebo údržbu, obstarávateľmi, vlastníkmi ani užívateľmi posudzovaného produktu IKT, služby IKT, procesu IKT alebo riadenej bezpečnostnej služby, ani splnomocnenými zástupcami žiadnej z uvedených strán. Uvedený zákaz nevylučuje používanie posudzovaných produktov IKT, ktoré sú potrebné na vykonávanie činností orgánu posudzovania zhody, ani používanie takých produktov IKT na osobné účely.

5. 

Orgány posudzovania zhody, ich vrcholový manažment a osoby zodpovedné za vykonávanie úloh posudzovania zhody sa nesmú priamo podieľať na navrhovaní, zhotovovaní alebo výrobe, dodávaní alebo poskytovaní, marketingu, inštalácii, používaní alebo údržbe posudzovaných produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb, ani zastupovať strany, ktoré sa na takýchto činnostiach podieľajú. Orgány posudzovania zhody, ich vrcholový manažment a osoby zodpovedné za vykonávanie úloh posudzovania zhody sa nesmú podieľať na žiadnych činnostiach, ktoré môžu ovplyvniť ich nezávislý úsudok alebo bezúhonnosť v súvislosti s ich činnosťami posudzovania zhody. Uvedený zákaz sa vzťahuje najmä na poradenské služby.

▼B

6. 

Ak orgán posudzovania zhody vlastní alebo prevádzkuje verejný subjekt alebo verejná inštitúcia, musí sa zabezpečiť a zdokumentovať nezávislosť a absencia akéhokoľvek konfliktu záujmov medzi vnútroštátnym orgánom pre certifikáciu kybernetickej bezpečnosti a orgánom posudzovania zhody.

7. 

Orgány posudzovania zhody zabezpečia, aby činnosti ich dcérskych spoločností a subdodávateľov nemali vplyv na povinnosť mlčanlivosti, objektivitu a nestrannosť ich činností posudzovania zhody.

8. 

Orgány posudzovania zhody a ich personál vykonávajú činnosti posudzovania zhody na najvyššej úrovni profesionálnej čestnosti a požadovanej technickej spôsobilosti v danej oblasti a nepodliehajú žiadnym tlakom ani stimulom vrátane tlakov a stimulov finančnej povahy, ktoré by mohli ovplyvniť ich úsudok alebo výsledky ich činností posudzovania zhody, najmä zo strany osôb alebo skupín osôb, ktoré majú záujem na výsledku týchto činností.

9. 

Orgán posudzovania zhody musí byť schopný vykonať všetky úlohy posudzovania zhody, ktoré sú mu zverené týmto nariadením, bez ohľadu na to, či ich vykoná sám, alebo sa vykonajú v jeho mene a na jeho zodpovednosť. Všetky subdodávateľské zmluvy alebo konzultácie s externým personálom musia byť riadne zdokumentované, ich súčasťou nesmú byť žiadni sprostredkovatelia a musia mať podobu písomnej dohody, v ktorej sa okrem iného upraví povinnosť mlčanlivosti a konflikt záujmov. Za vykonané úlohy nesie plnú zodpovednosť orgán posudzovania zhody.

10. 

▼M1

Orgán posudzovania zhody má neustále, pre každý postup posudzovania zhody a pre každý druh a každú kategóriu alebo podkategóriu produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb v potrebnej miere k dispozícii:

▼B

a) 

personál s odbornými znalosťami a dostatočnými a primeranými skúsenosťami na výkon úloh posudzovania zhody;

b) 

opisy postupov, podľa ktorých sa má vykonávať posudzovanie zhody a ktorými sa zabezpečuje transparentnosť a opakovateľnosť uvedených postupov. Musí mať zavedené vhodné politiky a postupy, ktorými sa rozlišujú úlohy, ktoré vykonáva ako orgán oznámený podľa článku 61, od ostatných jeho činností;

▼M1

c) 

postupy na výkon činností, ktorými sa náležite zohľadňuje veľkosť každého podniku, odvetvie, v ktorom podnik pôsobí, jeho štruktúra, stupeň zložitosti technológie daného produktu IKT, služby IKT, procesu IKT alebo riadenej bezpečnostnej služby a hromadný či sériový charakter produkčného procesu.

▼B

11. 

Orgán posudzovania zhody musí mať prostriedky potrebné na riadne plnenie technických a administratívnych úloh spojených s posudzovaním zhody, ako aj prístup k všetkým potrebným zariadeniam a vybaveniu.

12. 

Osoby zodpovedné za výkon činností posudzovania zhody musí mať:

a) 

absolvovanú dôkladnú technickú a odbornú prípravu pokrývajúcu všetky činnosti posudzovania zhody;

b) 

dostatočné znalosti požiadaviek posudzovaní zhody, ktoré vykonávajú, a primeranú právomoc vykonávať tieto posudzovania;

c) 

primerané znalosti a chápanie platných požiadaviek a skúšobných noriem;

d) 

schopnosť vypracúvať certifikáty, záznamy a protokoly preukazujúce, že sa vykonalo posúdenie zhody.

13. 

Musí byť zaručená nestrannosť orgánov posudzovania zhody, ich vrcholového manažmentu a osôb zodpovedných za výkon činností posudzovania zhody, ako aj subdodávateľov.

14. 

Odmeňovanie vrcholového manažmentu a osôb zodpovedných za výkon činností posudzovania zhody nezávisí od počtu vykonaných posúdení zhody ani od výsledkov týchto posúdení.

15. 

Orgány posudzovania zhody musia uzavrieť poistenie zodpovednosti za škodu, ak túto zodpovednosť podľa svojho vnútroštátneho práva nenesie členský štát, alebo ak nie je za posudzovanie zhody priamo zodpovedný samotný členský štát.

16. 

Orgán posudzovania zhody a jeho personál, výbory, dcérske spoločnosti, subdodávatelia a akýkoľvek pridružený subjekt alebo personál externých subjektov orgánu posudzovania zhody zachovávajú povinnosť mlčanlivosti a služobné tajomstvo, pokiaľ ide o všetky informácie získané pri výkone svojich úloh posudzovania zhody podľa tohto nariadenia alebo akéhokoľvek ustanovenia vnútroštátneho práva, ktorým sa toto nariadenie vykonáva, okrem prípadov, keď sa ich poskytnutie vyžaduje podľa práva Únie alebo členského štátu, ktoré sa na tieto osoby vzťahuje, a okrem styku s príslušnými orgánmi členských štátov, v ktorých vykonávajú svoju činnosť. Práva duševného vlastníctva sú chránené. Orgán posudzovania zhody musí mať zavedené zdokumentované postupy, pokiaľ ide o požiadavky tohto bodu.

17. 

S výnimkou bodu 16 sa požiadavkami tejto prílohy nevylučuje výmenu technických informácií a regulačného poradenstva medzi orgánom posudzovania zhody a osobou, ktorá požiada o certifikáciu alebo ktorá o žiadosti uvažuje.

18. 

Orgány posudzovania zhody vykonávajú svoju činnosť v súlade so súborom konzistentných, spravodlivých a primeraných podmienok, pričom, pokiaľ ide o poplatky, zohľadňujú záujmy MSP.

▼M1

19. 

Orgány posudzovania zhody spĺňajú požiadavky príslušnej harmonizovanej normy v zmysle vymedzenia v článku 2 bode 9 nariadenia (ES) č. 765/2008 pre akreditáciu orgánov posudzovania zhody, ktoré vykonávajú certifikáciu produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb.

20. 

Orgány posudzovania zhody zabezpečia, aby skúšobné laboratóriá používané na účely posudzovania zhody spĺňali požiadavky príslušnej harmonizovanej normy v zmysle vymedzenia v článku 2 bode 9 nariadenia (ES) č. 765/2008 pre akreditáciu laboratórií, ktoré vykonávajú skúšky.



( 1 ) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (Ú. v. EÚ L 257, 28.8.2014, s. 73).

( 2 )  Ú. v. ES L 56, 4.3.1968, s. 1.

( 3 ) Delegované nariadenie Komisie (EÚ) č. 1271/2013 z 30. septembra 2013 o rámcovom nariadení o rozpočtových pravidlách pre subjekty uvedené v článku 208 nariadenia Európskeho parlamentu a Rady (EÚ, Euratom) č. 966/2012 (Ú. v. EÚ L 328, 7.12.2013, s. 42).

( 4 ) Rozhodnutie Komisie (EÚ, Euratom) 2015/443 z 13. marca 2015 o bezpečnosti v Komisii (Ú. v. EÚ L 72, 17.3.2015, s. 41).

( 5 ) Rozhodnutie Komisie (EÚ, Euratom) 2015/444 z 13. marca 2015 o bezpečnostných predpisoch na ochranu utajovaných skutočností EÚ (Ú. v. EÚ L 72, 17.3.2015, s. 53).

( 6 ) Nariadenie Európskeho parlamentu a Rady (EÚ, Euratom) 2018/1046 z 18. júla 2018 o rozpočtových pravidlách, ktoré sa vzťahujú na všeobecný rozpočet Únie, o zmene nariadení (EÚ) č. 1296/2013, (EÚ) č. 1301/2013, (EÚ) č. 1303/2013, (EÚ) č. 1304/2013, (EÚ) č. 1309/2013, (EÚ) č. 1316/2013, (EÚ) č. 223/2014, (EÚ) č. 283/2014 a rozhodnutia č. 541/2014/EÚ a o zrušení nariadenia (EÚ, Euratom) č. 966/2012 (Ú. v. EÚ L 193, 30.7.2018, s. 1).

( 7 ) Nariadenie Európskeho parlamentu a Rady (EÚ, Euratom) č. 883/2013 z 11. septembra 2013 o vyšetrovaniach vykonávaných Európskym úradom pre boj proti podvodom (OLAF), ktorým sa zrušuje nariadenie Európskeho parlamentu a Rady (ES) č. 1073/1999 a nariadenie Rady (Euratom) č. 1074/1999 (Ú. v. EÚ L 248, 18.9.2013, s. 1).

( 8 )  Ú. v. ES L 136, 31.5.1999, s. 15.

( 9 ) Nariadenie Rady (Euratom, ES) č. 2185/96 z 11 novembra 1996 o kontrolchách a inšpekciách na mieste, vykonávaných Komisiou s ciel'om ocharany finančn ých záujmov Európskych spoločenstiev pred spreneverou a inými podvodmi (Ú. v. ES L 292, 15.11.1996, s. 2).

( 10 ) Nariadenie Rady č. 1 o používaní jazykov v Európskom hospodárskom spoločenstve (Ú. v. ES 17, 6.10.1958, s. 385/58).