02019R0881 — SK — 04.02.2025 — 001.001
Tento text slúži výlučne ako dokumentačný nástroj a nemá žiadny právny účinok. Inštitúcie Únie nenesú nijakú zodpovednosť za jeho obsah. Autentické verzie príslušných aktov vrátane ich preambúl sú tie, ktoré boli uverejnené v Úradnom vestníku Európskej únie a ktoré sú dostupné na portáli EUR-Lex. Tieto úradné znenia sú priamo dostupné prostredníctvom odkazov v tomto dokumente
|
NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. ES L 151 7.6.2019, s. 15) |
Zmenené a doplnené:
|
|
|
Úradný vestník |
||
|
Č. |
Strana |
Dátum |
||
|
NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2025/37 z 19. decembra 2024, |
L 37 |
1 |
15.1.2025 |
|
Opravené a doplnené:
NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2019/881
zo 17. apríla 2019
o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti)
(Text s významom pre EHP)
HLAVA I
VŠEOBECNÉ USTANOVENIA
Článok 1
Predmet úpravy a rozsah pôsobnosti
S cieľom zaistiť riadne fungovanie vnútorného trhu a zároveň usilovať sa o dosiahnutie vysokej úrovne kybernetickej bezpečnosti, kybernetickej odolnosti a dôvery v rámci Únie, sa týmto nariadením stanovujú:
ciele, úlohy a organizačné aspekty týkajúce sa agentúry ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a
rámec pre zavádzanie európskych schém certifikácie kybernetickej bezpečnosti na zabezpečenie primeranej úrovne kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb v Únii, ako aj na predídenie fragmentácii vnútorného trhu z hľadiska schém certifikácie kybernetickej bezpečnosti v Únii.
Rámec uvedený v písmene b) prvého pododseku sa uplatňuje bez toho, aby mal vplyv na konkrétne ustanovenia v iných právnych aktoch Únie, ktoré sa týkajú dobrovoľnej alebo povinnej certifikácie.
Článok 2
Vymedzenie pojmov
Na účely tohto nariadenia sa uplatňujú tieto vymedzenia pojmov:
„kybernetická bezpečnosť“ sú činnosti potrebné na ochranu sietí a informačných systémov, užívateľov takýchto systémov a iných osôb dotknutých kybernetickými hrozbami;
„sieť a informačný systém“ je sieť a informačný systém vymedzený v článku 4 bode 1 smernice (EÚ) 2016/1148;
„národná stratégia v oblasti bezpečnosti sietí a informačných systémov“ je národná stratégia v oblasti bezpečnosti sietí a informačných systémov vymedzená v článku 4 bode 3 smernice (EÚ) 2016/1148;
„prevádzkovateľ základných služieb“ je prevádzkovateľ základných služieb vymedzený v článku 4 bode 4 smernice (EÚ) 2016/1148;
„poskytovateľ digitálnych služieb“ je poskytovateľ digitálnych služieb vymedzený v článku 4 bode 6 smernice (EÚ) 2016/1148;
„incident“ je incident vymedzený v článku 4 bode 7 smernice (EÚ) 2016/1148;
„riešenie incidentov“ je riešenie incidentov vymedzené v článku 4 bode 8 smernice (EÚ) 2016/1148;
„kybernetická hrozba“ je každá potenciálna okolnosť, udalosť alebo činnosť, ktorá by mohla poškodiť, narušiť alebo inak negatívne ovplyvniť siete a informačné systémy, užívateľov takýchto systémov a iné osoby;
„európska schéma certifikácie kybernetickej bezpečnosti“ je komplexný súbor pravidiel, technických požiadaviek, noriem a postupov, ktoré sú stanovené na úrovni Únie a ktoré sa uplatňujú na certifikáciu alebo posudzovanie zhody konkrétnych produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb;
„vnútroštátna schéma certifikácie kybernetickej bezpečnosti“ je komplexný súbor pravidiel, technických požiadaviek, noriem a postupov vypracovaných a prijatých vnútroštátnym orgánom verejnej moci a uplatňovaných pri certifikácii alebo posudzovaní zhody produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb v rozsahu pôsobnosti príslušnej schémy;
„európsky certifikát kybernetickej bezpečnosti“ je dokument, ktorý vydal príslušný orgán a ktorým sa potvrdzuje, že daný produkt IKT, služba IKT, proces IKT alebo riadená bezpečnostná služba boli predmetom hodnotenia, pokiaľ ide o súlad s konkrétnymi bezpečnostnými požiadavkami stanovenými v európskej schéme certifikácie kybernetickej bezpečnosti;
„produkt IKT“ je prvok alebo skupina prvkov siete alebo informačného systému;
„služba IKT“ je služba pozostávajúca úplne alebo prevažne z prenosu, ukladania, získavania alebo spracúvania informácií prostredníctvom sietí a informačných systémov;
„proces IKT“ je súbor činností vykonávaných pre navrhnutie, vyvinutie, poskytnutie alebo údržbu produktu IKT alebo služby IKT;
„riadená bezpečnostná služba“ je služba poskytovaná tretej strane, ktorej predmetom je vykonávanie činností súvisiacich s riadením rizika kybernetickej bezpečnosti alebo poskytovanie pomoci pri týchto činnostiach, ako je riešenie incidentu, penetračné testovanie, bezpečnostné audity a konzultácie vrátane odborného poradenstva súvisiaceho s technickou podporou;
„akreditácia“ je akreditácia vymedzená v článku 2 bode 10 nariadenia (ES) č. 765/2008;
„vnútroštátny akreditačný orgán“ je vnútroštátny akreditačný orgán vymedzený v článku 2 bode 11 nariadenia (ES) č. 765/2008;
„posudzovanie zhody“ je posudzovanie zhody vymedzené v článku 2 bode 12 nariadenia (ES) č. 765/2008;
„orgán posudzovania zhody“ je orgán posudzovania zhody vymedzený v článku 2 bode 13 nariadenia (ES) č. 765/2008;
„norma“ je norma vymedzená v článku 2 bode 1 nariadenia (EÚ) č. 1025/2012;
„technická špecifikácia“ je dokument, v ktorom sa predpisujú technické požiadavky, ktoré musí spĺňať produkt IKT, služba IKT, proces IKT alebo riadená bezpečnostná služba, alebo postupy posudzovania zhody týkajúce sa produktu IKT, služby IKT, procesu IKT alebo riadenej bezpečnostnej služby;
„úroveň záruky“ je základ pre presvedčenie, že produkt IKT, služba IKT, proces IKT alebo riadená bezpečnostná služba spĺňa bezpečnostné požiadavky konkrétnej európskej schémy certifikácie kybernetickej bezpečnosti a uvádza úroveň, na akej sa produkt IKT, služba IKT, proces IKT alebo riadená bezpečnostná služba hodnotili, ale ako taký nemeria bezpečnosť produktu IKT, služby IKT, procesu IKT alebo riadenej bezpečnostnej služby;
„posúdenie zhody samohodnotením“ je činnosť vykonávaná výrobcom alebo poskytovateľom/dodávateľom produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb, ktorou sa hodnotí, či tieto produkty IKT, služby IKT, procesy IKT alebo riadené bezpečnostné služby spĺňajú požiadavky konkrétnej európskej schémy certifikácie kybernetickej bezpečnosti.
HLAVA II
ENISA (AGENTÚRA EURÓPSKEJ ÚNIE PRE KYBERNETICKÚ BEZPEČNOSŤ)
KAPITOLA I
Mandát a ciele
Článok 3
Mandát
Vykonávaním úloh, ktoré boli agentúre ENISA zverené týmto nariadením, prispieva k zníženiu fragmentácie vnútorného trhu.
Článok 4
Ciele
KAPITOLA II
Úlohy
Článok 5
Tvorba a vykonávanie politiky a práva Únie
Agentúra ENISA prispieva k tvorbe a vykonávaniu politiky a práva Únie tým, že:
pomáha a radí pri tvorbe a prehodnocovaní politiky a práva Únie v oblasti kybernetickej bezpečnosti a odvetvovej politiky a legislatívnych iniciatív, ktoré sa týkajú kybernetickej bezpečnosti, najmä poskytovaním nezávislých stanovísk a analýz, ako aj vykonávaním prípravných prác;
pomáha členským štátom pri konzistentnom vykonávaní politiky a práva Únie v oblasti kybernetickej bezpečnosti, najmä v súvislosti so smernicou (EÚ) 2016/1148, a to aj vydávaním stanovísk, usmernení, poskytovaním poradenstva a najlepších postupov v oblastiach, ako je riadenie rizík, oznamovanie incidentov a zdieľanie informácií, ako aj uľahčovaním výmeny najlepších postupov medzi príslušnými orgánmi v tomto smere;
pomáha členským štátom a inštitúciám, orgánom, úradom a agentúram Únie pri tvorbe a presadzovaní politík v oblasti kybernetickej bezpečnosti vo vzťahu k udržaniu všeobecnej dostupnosti alebo integrity verejného jadra otvoreného internetu;
prispieva k práci skupiny pre spoluprácu v zmysle článku 11 smernice (EÚ) 2016/1148 v podobe odborných znalostí a poradenstva;
podporuje:
tvorbu a vykonávanie politiky Únie v oblasti elektronickej totožnosti a dôveryhodných služieb, najmä formou poradenstva a vydávaním technických usmernení, ako aj uľahčovaním výmeny najlepších postupov medzi príslušnými orgánmi;
presadzovanie zvýšenej úrovne bezpečnosti elektronických komunikácií, a to aj formou poradenstva a odborných znalostí, ako aj uľahčovaním výmeny najlepších postupov medzi príslušnými orgánmi;
členské štáty pri vykonávaní konkrétnych kybernetickobezpečnostných aspektov politiky a práva Únie, ktoré sa týkajú ochrany údajov a súkromia, vrátane poskytovania poradenstva Európskemu výboru pre ochranu údajov na požiadanie;
podporuje pravidelné preskúmanie politickej činnosti Únie prípravou výročnej správy o stave vykonávania príslušného právneho rámca z hľadiska:
informácií o oznámeniach členských štátov o incidentoch, ktoré podľa článku 10 ods. 3 smernice (EÚ) 2016/1148 poskytujú skupine pre spoluprácu jednotné kontaktné miesta;
súhrnov oznámení o narušeniach bezpečnosti alebo integrity získavaných od poskytovateľov dôveryhodných služieb, ktoré agentúre ENISA poskytujú orgány dohľadu podľa článku 19 ods. 3 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 ( 1 );
oznámení o bezpečnostných incidentoch, ktoré podávajú poskytovatelia verejných elektronických komunikačných sietí alebo verejne dostupných elektronických komunikačných služieb a ktoré agentúre ENISA poskytujú príslušné orgány podľa článku 40 smernice (EÚ) 2018/1972.
Článok 6
Budovanie kapacít
Agentúra ENISA pomáha:
členským štátom v ich úsilí zlepšovať prevenciu, odhaľovanie a analýzu kybernetických hrozieb a incidentov a schopnosť reagovať na ne tým, že im poskytuje vedomosti a odborné znalosti;
členským štátom a inštitúciám, orgánom, úradom a agentúram Únie pri zavádzaní a vykonávaní politík v oblasti zverejňovania informácií o zraniteľnosti na dobrovoľnom základe;
inštitúciám, orgánom, úradom a agentúram Únie v ich úsilí zlepšovať prevenciu, odhaľovanie a analýzu kybernetických hrozieb a incidentov a zlepšovať ich spôsobilosť reagovať na takéto kybernetické hrozby a incidenty, a to najmä primeranou podporou tímu CERT-EU;
členským štátom na požiadanie pri tvorbe vnútroštátnych jednotiek CSIRT podľa článku 9 ods. 5 smernice (EÚ) 2016/1148;
členským štátom na požiadanie pri vypracúvaní národných stratégií v oblasti bezpečnosti sietí a informačných systémov podľa článku 7 ods. 2 smernice (EÚ) 2016/1148 a v záujme propagácie najlepších postupov podporuje šírenie týchto stratégií v Únii a berie na vedomie pokrok v ich vykonávaní;
inštitúciám Únie pri tvorbe a revízii kybernetickobezpečnostných stratégií Únie, podpore ich šírenia a monitorovaní pokroku v ich vykonávaní;
vnútroštátnym jednotkám CSIRT a jednotkám CSIRT Únie pri zdokonaľovaní ich spôsobilosti, a to i presadzovaním dialógu a výmeny informácií, aby s ohľadom na aktuálny stupeň vývoja každá jednotka CSIRT mala spoločnú sadu minimálnej spôsobilosti a aby fungovala v súlade s najlepšími postupmi;
členským štátom pravidelným organizovaním kybernetickobezpečnostných cvičení na úrovni Únie podľa článku 7 ods. 5 aspoň raz za dva roky a vypracúvaním politických odporúčaní na základe hodnotenia týchto cvičení a takto získaných poznatkov;
príslušným verejným orgánom poskytovaním školení v oblasti kybernetickej bezpečnosti, podľa potreby v spolupráci so zainteresovanými stranami;
skupine pre spoluprácu pri výmene najlepších postupov podľa článku 11 ods. 3 písm. l) smernice (EÚ) 2016/1148, najmä z hľadiska identifikácie prevádzkovateľov základných služieb členskými štátmi, z hľadiska rizík a incidentov, a to aj v súvislosti s cezhraničnou previazanosťou.
Článok 7
Operačná spolupráca na úrovni Únie
Agentúra ENISA na operačnej úrovni spolupracuje a vytvára synergie s inštitúciami, orgánmi, úradmi a agentúrami Únie vrátane tímu CERT-EU, útvarmi, ktoré sa zaoberajú počítačovou kriminalitou, a dozornými orgánmi v oblasti ochrany súkromia a osobných údajov na účely riešenia otázok spoločného záujmu, a to aj prostredníctvom:
výmeny know-how a osvedčených postupov;
poskytovania poradenstva a vydávania usmernení k relevantným otázkam spojeným s kybernetickou bezpečnosťou;
ustanovenia praktických dohôd na výkon konkrétnych úloh po konzultácii s Komisiou.
Agentúra ENISA podporuje členské štáty v operačnej spolupráci v rámci siete jednotiek CSIRT tým, že:
im radí, ako zlepšiť svoju spôsobilosť predchádzať incidentom, odhaľovať ich a reagovať na ne, a na žiadosť jedného alebo viacerých členských štátov poskytne poradenstvo v súvislosti s konkrétnou kybernetickou hrozbou;
na žiadosť jedného alebo viacerých členských štátov im pomáha pri posúdení incidentov, ktoré majú významný alebo závažný vplyv, a to prostredníctvom poskytnutia odborných znalostí a uľahčením technického riešenia takýchto incidentov, okrem iného najmä podporou dobrovoľnej výmeny príslušných informácií a technických riešení medzi členskými štátmi;
analyzuje zraniteľnosti a incidenty na základe verejne dostupných informácií alebo informácií, ktoré na tento účel dobrovoľne poskytli členské štáty, a
na žiadosť jedného alebo viacerých členských štátov poskytuje podporu v súvislosti s ex post technickým skúmaním incidentov, ktoré majú významný alebo závažný vplyv v zmysle smernice (EÚ) 2016/1148.
Pri výkone týchto úloh agentúra ENISA a tím CERT-EU štruktúrovane spolupracujú s cieľom využiť synergie a predchádzať zdvojovaniu činností.
Agentúra ENISA vo vhodnom prípade tiež prispieva k odvetvovým kybernetickobezpečnostným cvičeniam, pričom ich pomáha organizovať, spolu s relevantnými organizáciami, ktoré sa tiež zúčastňujú na kybernetickobezpečnostných cvičeniach na úrovni Únie.
Agentúra ENISA prispieva k vypracovaniu spoločnej reakcie na úrovni Únie a členských štátov na rozsiahle cezhraničné incidenty alebo krízy v oblasti kybernetickej bezpečnosti, a to najmä:
zhromažďovaním a analýzou správ z národných zdrojov, ktoré sú verejne dostupné alebo sa poskytujú dobrovoľne, s cieľom prispieť k vytvoreniu spoločného situačného povedomia;
zaistením efektívneho toku informácií a zabezpečením eskalačných mechanizmov medzi sieťou jednotiek CSIRT a subjektmi zodpovednými za technické a politické rozhodnutia na úrovni Únie;
na žiadosť uľahčovaním technického riešenia takýchto incidentov alebo kríz, a to najmä podporou dobrovoľnej výmeny technických riešení medzi členskými štátmi;
podporou inštitúcií, orgánov, úradov a agentúr Únie a na žiadosť členských štátov aj ich podporou pri verejnej komunikácii o takýchto incidentoch alebo krízach;
testovaním plánov spolupráce pri reakcii na takéto incidenty alebo krízy na úrovni Únie a na žiadosť členských štátov poskytovaním im podpory pri testovaní takýchto plánov na vnútroštátnej úrovni.
Článok 8
Trh, certifikácia kybernetickej bezpečnosti a normalizácia
Agentúra ENISA podporuje a presadzuje tvorbu a vykonávanie politiky Únie v oblasti certifikácie kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb v zmysle hlavy III tohto nariadenia, a to tak, že:
neustále monitoruje vývoj v súvisiacich oblastiach normalizácie a odporúča vhodné technické špecifikácie na použitie pri rozvoji ►C1 európskych schém certifikácie kybernetickej bezpečnosti ◄ podľa článku 54 ods. 1 písm. c) v prípadoch, keď normy nie sú k dispozícii;
vypracúva kandidátske európske schémy certifikácie kybernetickej bezpečnosti (ďalej len „kandidátske schémy“) produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb v súlade s článkom 49;
hodnotí prijaté ►C1 európske schémy certifikácie kybernetickej bezpečnosti ◄ v súlade s článkom 49 ods. 8;
zapája sa do ►C1 vzájomných preskúmaní ◄ podľa článku 59 ods. 4;
pomáha Komisii pri poskytovaní sekretariátu skupine ECCG podľa článku 62 ods. 5.
Článok 9
Znalosti a informácie
Agentúra ENISA:
analyzuje nastupujúce technológie a poskytuje tematicky zamerané posúdenia očakávaných spoločenských, právnych, hospodárskych a regulačných vplyvov technologických inovácií na kybernetickú bezpečnosť;
vykonáva dlhodobé strategické analýzy kybernetických hrozieb a incidentov s cieľom identifikovať nové trendy a pomôcť predchádzať incidentom;
v spolupráci s expertmi orgánov členských štátov a príslušných zainteresovaných strán poskytuje poradenstvo, usmernenia a osvedčené postupy v oblasti bezpečnosti sietí a informačných systémov, a najmä bezpečnosti infraštruktúr, o ktoré sa opierajú odvetvia uvedené v prílohe II k smernici (EÚ) 2016/1148 a ktoré využívajú poskytovatelia digitálnych služieb uvedených v prílohe III k uvedenej smernici;
prostredníctvom vyhradeného portálu zhromažďuje, organizuje a uverejňuje informácie o kybernetickej bezpečnosti, ktoré poskytli inštitúcie, orgány, úrady a agentúry Únie, a informácie o kybernetickej bezpečnosti, ktoré poskytli na dobrovoľnom základe členské štáty a súkromné a verejné zainteresované strany;
zhromažďuje a analyzuje verejne dostupné informácie o významných incidentoch a pripravuje správy s cieľom poskytnúť poradenstvo pre občanov, organizácie a podniky v celej Únii.
Článok 10
Zvyšovanie povedomia a vzdelávanie
Agentúra ENISA:
zvyšuje verejné povedomie o kybernetickobezpečnostných rizikách a poskytuje poradenstvo o osvedčených postupoch pre jednotlivých užívateľov, ktoré sú zamerané na občanov, organizácie a podniky a ktoré sa týkajú aj kybernetickej hygieny a kybernetickej gramotnosti;
v spolupráci s členskými štátmi, inštitúciami, orgánmi, úradmi a agentúrami Únie, ako aj príslušným odvetvím, organizuje pravidelné osvetové kampane na zvýšenie kybernetickej bezpečnosti a jej viditeľnosti v Únii a podporuje diskusiu so širokou verejnosťou;
pomáha členským štátom v ich úsilí zvyšovať povedomie o kybernetickej bezpečnosti a podporovať vzdelávanie v oblasti kybernetickej bezpečnosti;
podporuje užšiu koordináciu a výmenu najlepších postupov medzi členskými štátmi, pokiaľ ide o povedomie a vzdelávanie v oblasti kybernetickej bezpečnosti.
Článok 11
Výskum a inovácia
V oblasti výskumu a inovácie agentúra ENISA:
radí inštitúciám, orgánom, úradom a agentúram Únie a členským štátom o potrebách a prioritách výskumu v oblasti kybernetickej bezpečnosti s cieľom umožniť účinnú reakciu na existujúce i nové riziká a kybernetické hrozby, a to i v súvislosti s novými a nastupujúcimi informačnými a komunikačnými technológiami, a s cieľom účinne používať technológie na prevenciu rizika;
podieľa sa na implementačnej fáze programov financovania výskumu a inovácie, ak jej Komisia udelila príslušné právomoci, alebo sa na nich zúčastňuje ako príjemca;
v oblasti kybernetickej bezpečnosti prispieva do strategického programu pre výskum a inováciu na úrovni Únie.
Článok 12
Medzinárodná spolupráca
Agentúra ENISA prispieva k úsiliu Únie o spoluprácu s tretími krajinami a medzinárodnými organizáciami, ako aj v rámci príslušných medzinárodných rámcov spolupráce s cieľom podporiť medzinárodnú spoluprácu v kybernetickobezpečnostných otázkach, a to tým, že:
sa v náležitých prípadoch zapája ako pozorovateľ pri organizácii medzinárodných cvičení, analyzuje ich výsledky a podáva o nich správy správnej rade;
na žiadosť Komisie sprostredkúva výmenu najlepších postupov;
na žiadosť Komisie jej poskytuje odborné znalosti;
poskytuje poradenstvo a podporu Komisii v záležitostiach týkajúcich sa dohôd o vzájomnom uznávaní certifikátov kybernetickej bezpečnosti s tretími krajinami v spolupráci s ECCG zriadenou podľa článku 62.
KAPITOLA III
Organizácia agentúry ENISA
Článok 13
Štruktúra agentúry ENISA
Administratívna a riadiaca štruktúra agentúry ENISA pozostáva z týchto prvkov:
správna rada;
výkonná rada;
výkonný riaditeľ;
poradná skupina agentúry ENISA;
sieť národných styčných dôstojníkov.
Článok 14
Zloženie správnej rady
Článok 15
Funkcie správnej rady
Správna rada:
stanovuje všeobecné smerovanie činnosti agentúry ENISA a zabezpečuje, aby agentúra ENISA pracovala v súlade s pravidlami a zásadami stanovenými v tomto nariadení; zabezpečuje aj súlad práce agentúry ENISA s činnosťami vykonávanými členskými štátmi i na úrovni Únie;
prijíma návrh jednotného programového dokumentu agentúry ENISA uvedeného v článku 24 pred jeho predložením Komisii na vydanie stanoviska;
prijíma jednotný programový dokument agentúry ENISA, pričom zohľadňuje stanovisko Komisie;
dozerá na vykonávanie viacročného a ročného plánovania začleneného do jednotného programového dokumentu;
prijíma ročný rozpočet agentúry ENISA a vykonáva ostatné funkcie spojené s rozpočtom agentúry ENISA podľa kapitoly IV;
posudzuje a prijíma konsolidovanú výročnú správu o činnosti agentúry ENISA vrátane účtovných výkazov a opisu toho, do akej miery agentúra ENISA splnila svoje ukazovatele výkonnosti, predkladá výročnú správu i jej posúdenie do 1. júla nasledujúceho roka Európskemu parlamentu, Rade, Komisii a Dvoru audítorov a výročnú správu zverejňuje;
prijíma rozpočtové pravidlá platné pre agentúru ENISA v súlade s článkom 32;
prijíma stratégiu boja proti podvodom, ktorá musí byť primeraná riziku podvodov so zreteľom na analýzu efektívnosti nákladov a prínosov vo vzťahu k opatreniam, ktoré sa majú vykonávať;
prijíma pravidlá predchádzania konfliktom záujmov svojich členov a ich riešenia;
zabezpečuje primerané opatrenia nadväzujúce na zistenia a odporúčania, ktoré vyplývajú z vyšetrovania Európskeho úradu pre boj proti podvodom (OLAF) a rôznych správ a hodnotení interného alebo externého auditu;
prijíma svoj rokovací poriadok vrátane pravidiel pre prijímanie predbežných rozhodnutí o delegovaní osobitných úloh podľa článku 19 ods. 7;
v súlade s odsekom 2 tohto článku vykonáva vo vzťahu k zamestnancom agentúry ENISA právomoci zverené Služobným poriadkom úradníkov Európskej únie (ďalej len „služobný poriadok úradníkov“) a Podmienkami zamestnávania ostatných zamestnancov Európskej únie (ďalej len „podmienky zamestnávania ostatných zamestnancov“), stanovenými v nariadení Rady (EHS, Euratom, ESUO) č. 259/68 ( 2 ), menovaciemu orgánu a orgánu oprávnenému uzatvárať pracovné zmluvy (ďalej len „právomoci menovacieho orgánu“);
prijíma predpisy vykonávajúce Služobný poriadok úradníkov a Podmienky zamestnávania ostatných zamestnancov v súlade s postupom uvedeným v článku 110 služobného poriadku úradníkov;
vymenúva výkonného riaditeľa a v náležitých prípadoch predlžuje jeho funkčné obdobie alebo ho z funkcie odvoláva v súlade s článkom 36;
vymenúva účtovníka, ktorým môže byť účtovníkom Komisie a ktorý musí byť pri výkone svojich povinností úplne nezávislý;
prijíma všetky rozhodnutia o zriaďovaní vnútorných štruktúr agentúry ENISA a v prípade potreby o zmene uvedených vnútorných štruktúr, pričom prihliada na potreby činnosti agentúry ENISA a zásadu správneho rozpočtového riadenia;
schvaľuje stanovenie pracovných dojednaní podľa článku 7;
schvaľuje stanovenie alebo uzavretie pracovných dojednaní podľa článku 42.
Článok 16
Predseda správnej rady
Správna rada volí spomedzi svojich členov dvojtretinovou väčšinou hlasov členov svojho predsedu a podpredsedu. Ich funkčné obdobie je štvorročné a je obnoviteľné raz. Ak sa však ich členstvo v správnej rade kedykoľvek počas ich funkčného obdobia skončí, ich funkčné obdobie sa automaticky končí k danému dátumu. Ak predseda nie je schopný plniť si svoje povinnosti, podpredseda ho nahradí ex officio.
Článok 17
Zasadnutia správnej rady
Článok 18
Pravidlá hlasovania správnej rady
Článok 19
Výkonná rada
Výkonná rada:
pripravuje rozhodnutia, ktoré má prijať správna rada;
spolu so správnou radou zabezpečuje prijatie vhodných opatrení v nadväznosti na zistenia a odporúčania vyplývajúce z vyšetrovaní úradu OLAF a z rôznych správ z interného alebo externého auditu a hodnotení;
bez toho, aby boli dotknuté povinnosti výkonného riaditeľa stanovené v článku 20, pomáha a radí výkonnému riaditeľovi pri vykonávaní rozhodnutí správnej rady v administratívnej a rozpočtovej oblasti podľa článku 20.
Článok 20
Povinnosti výkonného riaditeľa
Výkonný riaditeľ je zodpovedný za:
každodennú správu agentúry ENISA;
vykonávanie rozhodnutí, ktoré prijme správna rada;
prípravu návrhu jednotného programového dokumentu a jeho predloženie správnej rade na schválenie pred tým, než sa predloží Komisii;
vykonávanie jednotného programového dokumentu a zodpovedajúce informovanie správnej rady;
vypracovanie konsolidovanej výročnej správy o činnosti agentúry ENISA vrátane plnenia ročného pracovného programu agentúry ENISA a jej predloženie správnej rade na posúdenie a prijatie;
vypracovanie akčného plánu v nadväznosti na závery spätných hodnotení a predloženie správy o pokroku Komisii každé dva roky;
vypracovanie akčného plánu v nadväznosti na závery správ z interného alebo externého auditu, ako aj na vyšetrovania úradu OLA a za predkladanie správ o pokroku dvakrát ročne Komisii a pravidelne správnej rade;
vypracovanie návrhu rozpočtových pravidiel uplatniteľných na agentúru ENISA podľa článku 32;
vypracovanie návrhu výkazu odhadov príjmov a výdavkov agentúry ENISA a plnenie jej rozpočtu;
ochranu finančných záujmov Únie prostredníctvom uplatňovania preventívnych opatrení na zamedzenie podvodov, korupcie a iných nezákonných činností, prostredníctvom účinných kontrol a v prípade, že sa zistia nezrovnalosti, prostredníctvom vymáhania neoprávnene vyplatených súm a prípadne prostredníctvom účinných, primeraných a odradzujúcich administratívnych a finančných sankcií;
vypracovanie stratégie agentúry ENISA pre boj proti podvodom a jej predloženie správnej rade na schválenie;
nadviazanie a udržiavanie kontaktov s podnikateľskou komunitou a so spotrebiteľskými organizáciami na zabezpečenie pravidelného dialógu s príslušnými zainteresovanými stranami;
pravidelnú výmenu názorov a informácií s inštitúciami, orgánmi, úradmi a agentúrami Únie, pokiaľ ide o ich činnosti týkajúce sa kybernetickej bezpečnosti, na účely zabezpečenia koherentnosti pri vypracúvaní a vykonávaní politiky Únie;
vykonávanie ostatných úloh, ktoré sú výkonnému riaditeľovi zverené týmto nariadením.
V rozhodnutí o zriadení miestnej kancelárie sa vymedzí rozsah činností, ktoré sa majú v miestnej kancelárii vykonávať, a to tak, aby sa zabránilo vzniku zbytočných nákladov a zdvojeniu administratívnych funkcií agentúry ENISA.
Článok 21
Poradná skupina agentúry ENISA
Článok 22
Skupina zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti
Skupina zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti:
radí Komisii o strategických otázkach, pokiaľ ide o európsky rámec certifikácie kybernetickej bezpečnosti;
na požiadanie radí agentúre ENISA o všeobecných a strategických otázkach týkajúcich sa úloh agentúry ENISA, pokiaľ ide o trh, certifikáciu kybernetickej bezpečnosti a normalizáciu;
pomáha Komisii pri príprave priebežného pracovného programu Únie podľa článku 47;
vydáva stanovisko k priebežnému pracovnému programu Únie podľa článku 47 ods. 4 a
v naliehavých prípadoch radí Komisii a ECCG o potrebe ďalších ►C1 certifikačných schém ◄ , ktoré nie sú zahrnuté do priebežného pracovného programu Únie, ako je uvedené v článkoch 47 a 48.
Článok 23
Sieť národných styčných úradníkov
Článok 24
Jednotný programový dokument
Článok 25
Vyhlásenie o záujmoch
Článok 26
Transparentnosť
Článok 27
Povinnosť mlčanlivosti
Článok 28
Prístup k dokumentom
KAPITOLA IV
Zostavovanie a štruktúra rozpočtu agentúry ENISA
Článok 29
Zostavovanie rozpočtu agentúry ENISA
Článok 30
Štruktúra rozpočtu agentúry ENISA
Bez toho, aby boli dotknuté iné zdroje, príjmy agentúry ENISA zahŕňajú:
príspevok zo všeobecného rozpočtu Únie;
príjmy určené na krytie konkrétnych výdavkových položiek v súlade s jej rozpočtovými pravidlami uvedenými v článku 32;
finančné prostriedky Únie na základe dohôd o delegovaní alebo ad hoc grantov v súlade s jej rozpočtovými pravidlami uvedenými v článku 32 a s ustanoveniami príslušných nástrojov na podporu politík Únie;
príspevky tretích krajín podieľajúcich sa na činnosti agentúry ENISA podľa článku 42;
prípadné peňažné či nepeňažné dobrovoľné príspevky členských štátov.
Členským štátom, ktoré poskytujú dobrovoľné príspevky podľa písmena e) prvého pododseku, za ne nevzniká nárok na žiadne osobitné práva alebo služby.
Článok 31
Plnenie rozpočtu agentúry ENISA
Článok 32
Rozpočtové pravidlá
Rozpočtové pravidlá agentúry ENISA prijme správna rada po porade s Komisiou. Nesmú sa odchyľovať od delegovaného nariadenia (EÚ) č. 1271/2013, pokiaľ takáto odchýlka nie je osobitne potrebná na činnosť agentúry ENISA a Komisia s ňou vopred súhlasila.
Článok 33
Boj proti podvodom
KAPITOLA V
Zamestnanci
Článok 34
Všeobecné ustanovenia
Na zamestnancov agentúry ENISA sa vzťahuje služobný poriadok úradníkov a podmienky zamestnávania ostatných zamestnancov, ako aj pravidlá prijaté na základe dohody medzi inštitúciami Únie na účely uvedenia služobného poriadku úradníkov a podmienok zamestnávania ostatných zamestnancov do platnosti.
Článok 35
Výsady a imunity
Na agentúru ENISA a jej personál sa vzťahuje Protokol č. 7 o výsadách a imunitách Európskej únie pripojený k Zmluve o EÚ a k ZFEÚ.
Článok 36
Výkonný riaditeľ
Článok 37
Vyslaní národní experti a ďalší personál
KAPITOLA VI
Všeobecné ustanovenia týkajúce sa agentúry ENISA
Článok 38
Právne postavenie agentúry ENISA
Článok 39
Zodpovednosť agentúry ENISA
Článok 40
Jazykový režim
Článok 41
Ochrana osobných údajov
Článok 42
Spolupráca s tretími krajinami a medzinárodnými organizáciami
Článok 43
Bezpečnostné predpisy v oblasti ochrany citlivých neutajovaných skutočností a utajovaných skutočností
Agentúra ENISA po porade s Komisiou prijme bezpečnostné predpisy, v ktorých uplatní bezpečnostné zásady obsiahnuté v bezpečnostných predpisoch Komisie na ochranu citlivých neutajovaných skutočností a utajovaných skutočností Európskej únie podľa rozhodnutí (EÚ, Euratom) 2015/443 a 2015/444. Bezpečnostné predpisy agentúry ENISA zahŕňajú ustanovenia týkajúce sa výmeny, spracúvania a uchovávania takýchto skutočností.
Článok 44
Dohoda o sídle a prevádzkové podmienky
Článok 45
Administratívna kontrola
Na činnosť agentúry ENISA dohliada v súlade s článkom 228 ZFEÚ európsky ombudsman.
HLAVA III
RÁMEC CERTIFIKÁCIE KYBERNETICKEJ BEZPEČNOSTI
Článok 46
Európsky rámec certifikácie kybernetickej bezpečnosti
Článok 47
Priebežný pracovný program Únie pre európsku certifikáciu kybernetickej bezpečnosti
Zahrnutie konkrétneho produktu IKT, služby IKT, procesu IKT alebo riadených bezpečnostných služieb alebo ich kategórií do priebežného pracovného programu Únie sa zakladá na jednom či viacerých z týchto dôvodov:
dostupnosť a rozvoj vnútroštátnych schém certifikácie kybernetickej bezpečnosti, ktoré sa vzťahujú na konkrétnu kategóriu produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb, a najmä pokiaľ ide o riziko fragmentácie;
príslušné právo alebo politika Únie alebo členského štátu;
dopyt na trhu;
technologický vývoj a dostupnosť a rozvoj medzinárodných schém certifikácie kybernetickej bezpečnosti a medzinárodných a priemyselných noriem;
vývoj v oblasti kybernetických hrozieb;
Článok 48
Žiadosť o ►C1 európsku schému certifikácie kybernetickej bezpečnosti ◄
Článok 49
Vypracovanie, prijatie a preskúmanie ►C1 európskej schémy certifikácie kybernetickej bezpečnosti ◄
Článok 49a
Informácie a konzultácie týkajúce sa európskych schém certifikácie kybernetickej bezpečnosti
Článok 50
Webové sídlo pre ►C1 európske schémy certifikácie kybernetickej bezpečnosti ◄
Článok 51
Bezpečnostné ciele európskych schém certifikácie kybernetickej bezpečnosti pre produkty IKT, služby IKT a procesy IKT
Európska schéma certifikácie kybernetickej bezpečnosti pre produkty IKT, služby IKT alebo procesy IKT musí byť navrhnutá tak, aby podľa potreby splnila aspoň tieto bezpečnostné ciele:
chrániť uchovávané, prenášané alebo inak spracúvané údaje pred náhodným či neoprávneným uchovávaním, spracúvaním, prístupom alebo poskytnutím počas celého životného cyklu produktu IKT, služby IKT alebo procesu IKT;
chrániť uchovávané, prenášané alebo inak spracúvané údaje pred náhodným či neoprávneným zničením, stratou alebo zmenou alebo nedostatočnou dostupnosťou počas celého životného cyklu produktu IKT, služby IKT alebo procesu IKT;
umožňovať oprávneným osobám, programom alebo zariadeniam prístup výlučne k tým údajom, službám alebo funkciám, na ktoré sa vzťahujú ich prístupové práva;
identifikovať a dokumentovať známe závislosti a zraniteľnosti;
zaznamenávať, ktoré údaje, služby alebo funkcie boli predmetom prístupu, použité alebo inak spracúvané, kedy a kým;
umožňovať overenie, ktoré údaje, služby alebo funkcie boli predmetom prístupu, použité alebo inak spracúvané, kedy a kým;
overovať, či produkty IKT, služby IKT a procesy IKT neobsahujú známe zraniteľnosti;
v prípade fyzického alebo technického incidentu včas obnoviť dostupnosť údajov, služieb a funkcií a prístup k nim;
aby produkty IKT, služby IKT a procesy IKT boli bezpečné štandardne a už v štádiu návrhu;
aby sa produkty IKT, služby IKT a procesy IKT dodávali alebo poskytovali s aktualizovaným softvérom a hardvérom, ktoré neobsahujú verejne známe zraniteľnosti, a dodávali alebo poskytovali s mechanizmami na bezpečnú aktualizáciu.
Článok 51a
Bezpečnostné ciele európskych schém certifikácie kybernetickej bezpečnosti pre riadené bezpečnostné služby
Európska schéma certifikácie kybernetickej bezpečnosti pre riadené bezpečnostné služby musí byť navrhnutý tak, aby podľa potreby splnil aspoň tieto bezpečnostné ciele:
aby riadené bezpečnostné služby boli poskytované s využitím požadovaných zručností, odborných znalostí a skúseností vrátane toho, aby zamestnanci zodpovední za poskytovanie uvedených služieb mali dostatočnú a primeranú úroveň technických vedomostí a zručností v danej konkrétnej oblasti, dostatočné a primerané skúsenosti a najvyšší stupeň profesijnej bezúhonnosti;
aby mal poskytovateľ zavedené vhodné interné postupy zabezpečujúce poskytovanie riadených bezpečnostných služieb vždy na dostatočnej a primeranej úrovni kvality;
aby sa údaje, ktoré sa sprístupňujú, uchovávajú, prenášajú alebo inak spracúvajú v súvislosti s poskytovaním riadených bezpečnostných služieb, chránili pred náhodným alebo neoprávneným prístupom, ukladaním, zverejnením, zničením, iným spracovaním alebo stratou, zmenou či nedostatočnou dostupnosťou;
aby bola v prípade fyzického alebo technického incidentu včas obnovená dostupnosť údajov, služieb a funkcií a prístup k nim;
aby oprávnené osoby, programy alebo zariadenia mali prístup výlučne k tým údajom, službám alebo funkciám, na ktoré sa vzťahujú ich prístupové práva;
aby sa uchovával záznam a bol k dispozícii na posudzovanie údajov, služieb alebo funkcií, ktoré boli predmetom prístupu, použité alebo inak spracúvané, kedy a kým;
aby produkty IKT, služby IKT a procesy IKT, ktoré sa používajú pri poskytovaní riadených bezpečnostných služieb, boli bezpečné už v štádiu návrhu a štandardne a aby prípadne obsahovali najnovšie bezpečnostné aktualizácie a neobsahovali verejne známe zraniteľnosti.
Článok 52
Článok 53
Posúdenie zhody samohodnotením
Článok 54
Prvky ►C1 európskych schém certifikácie kybernetickej bezpečnosti ◄
►C1 Európska schéma certifikácie kybernetickej bezpečnosti ◄ zahŕňa minimálne tieto prvky:
predmet úpravy a rozsah pôsobnosti danej certifikačnej schémy vrátane typu alebo kategórií produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb, na ktoré sa vzťahuje;
jasný opis účelu systému a toho, ako zvolené normy, metódy hodnotenia a ►C1 úrovne záruky ◄ zodpovedajú potrebám užívateľov, ktorým je systém určený;
odkaz na medzinárodné, európske alebo vnútroštátne normy používané pri hodnotení alebo, ak také normy nie sú k dispozícii alebo nie sú vhodné, na technické špecifikácie, ktoré spĺňajú požiadavky stanovené v prílohe II k nariadeniu (EÚ) č. 1025/2012, alebo ak takéto špecifikácie nie sú k dispozícii, na technické špecifikácie alebo iné požiadavky kybernetickej bezpečnosti vymedzené ►C1 európskou schémou certifikácie kybernetickej bezpečnosti ◄ ;
podľa potreby jedna alebo viacero ►C1 úrovní záruky ◄ ;
informáciu o tom, či je v rámci daného systému povolené ►C1 posúdenie zhody samohodnotením ◄ ;
prípadné osobitné alebo dodatočné požiadavky na orgány posudzovania zhody s cieľom zabezpečiť ich technickú spôsobilosť na hodnotenie požiadaviek kybernetickej bezpečnosti;
konkrétne hodnotiace kritériá a metódy, ktoré sa majú použiť, vrátane typov hodnotenia, s cieľom preukázať, že sa dosiahli platné bezpečnostné ciele uvedené v článkoch 51 a 51a;
prípadné informácie, ktoré sú potrebné na certifikáciu a ktoré má orgánom posudzovania zhody poskytnúť alebo inak sprístupniť žiadateľ;
ak systém zahŕňa označenia alebo značky, podmienky, za ktorých možno takéto označenia alebo značky použiť;
pravidlá monitorovania súladu produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb s požiadavkami európskych certifikátov kybernetickej bezpečnosti alebo EÚ vyhlásení o zhode vrátane mechanizmov na preukázanie trvalého súladu so stanovenými požiadavkami kybernetickej bezpečnosti;
prípadné podmienky vydania, zachovania, pokračovania platnosti a obnovenia európskych certifikátov kybernetickej bezpečnosti, ako aj podmienky pre rozšírenie alebo zúženie rozsahu certifikácie;
pravidlá týkajúce sa dôsledkov pre produkty IKT, služby IKT, procesy IKT alebo riadené bezpečnostné služby, ktoré boli certifikované alebo pre ktoré bolo vydané EÚ vyhlásenie o zhode, ale ktoré nespĺňajú požiadavky schémy;
pravidlá nahlasovania a riešenia predtým nezistených zraniteľností produktov IKT, služieb IKT a procesov IKT z hľadiska kybernetickej bezpečnosti;
prípadné pravidlá uchovávania záznamov orgánmi posudzovania zhody;
určenie vnútroštátnych alebo medzinárodných schém certifikácie kybernetickej bezpečnosti, ktoré sa vzťahujú na rovnaký typ alebo kategóriu produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb, bezpečnostných požiadaviek, kritérií a metód hodnotenia a úrovní záruky;
obsah a podoba európskych certifikátov kybernetickej bezpečnosti a EÚ vyhlásení o zhode, ktoré majú byť vydané;
obdobie, počas ktorého výrobca alebo poskytovateľ/dodávateľ produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb má uchovávať k dispozícii EÚ vyhlásenie o zhode, technickú dokumentáciu a všetky ďalšie relevantné informácie;
maximálne obdobie platnosti európskych certifikátov kybernetickej bezpečnosti vydaných v rámci systému;
politiku zverejňovania informácií o európskych certifikátoch kybernetickej bezpečnosti, ktoré boli vydané, zmenené alebo odňaté v rámci systému;
podmienky vzájomného uznávania ►C1 schém certifikácie ◄ s tretími krajinami;
prípadné pravidlá týkajúce sa mechanizmu ►C1 vzájomného posúdenia ◄ , ktoré je stanovené systémom pre orgány alebo subjekty vydávajúce európske certifikáty kybernetickej bezpečnosti pre ►C1 úroveň záruky ◄ „vysoká“ podľa článku 56 ods. 6 Tento mechanizmus sa uplatňuje bez toho, aby bolo dotknuté ►C1 vzájomné posúdenie ◄ stanovené v článku 59;
formát a postupy, ktoré musia dodržiavať výrobcovia alebo poskytovatelia produktov IKT, služieb IKT alebo procesov IKT pri poskytovaní a aktualizácii doplňujúcich informácií o kybernetickej bezpečnosti v súlade s článkom 55.
Článok 55
Doplňujúce informácie o kybernetickej bezpečnosti týkajúce sa certifikovaných produktov IKT, služieb IKT a procesov IKT
Výrobca alebo poskytovateľ certifikovaných produktov IKT, služieb IKT alebo procesov IKT alebo produktov IKT, služieb IKT a procesov IKT, pre ktoré bolo vydané EÚ vyhlásenie o zhode, zverejňuje tieto doplňujúce informácie o kybernetickej bezpečnosti:
poradenstvo a odporúčania s cieľom pomôcť koncovým užívateľom s bezpečnou konfiguráciou, inštaláciou, zavedením, prevádzkou a údržbou výrobkov IKT alebo služieb IKT;
obdobie, počas ktorého sa bude koncovým užívateľom poskytovať bezpečnostná podpora, a to najmä pokiaľ ide o dostupnosť aktualizácií, ktoré sa týkajú kybernetickej bezpečnosti;
kontaktné informácie výrobcu alebo poskytovateľa a akceptované metódy na prijímanie informácií o zraniteľnosti od koncových užívateľov a výskumníkov v oblasti bezpečnosti;
odkaz na registre online, ktoré uvádzajú zverejnené zraniteľnosti týkajúce sa daného produktu IKT, služby IKT alebo procesu IKT a všetky príslušné kybernetickobezpečnostné rady.
Článok 56
Certifikácia kybernetickej bezpečnosti
Prioritne sa Komisia zameria na odvetvia uvedené v prílohe II k smernici (EÚ) 2016/1148, ktoré sa posúdia najneskôr do dvoch rokov po prijatí prvej ►C1 európskej schémy certifikácie kybernetickej bezpečnosti ◄ .
Pri príprave posúdenia Komisia:
zohľadní vplyv opatrení na výrobcov alebo poskytovateľov/dodávateľov takýchto produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb a na užívateľov z hľadiska nákladov uvedených opatrení a spoločenských alebo ekonomických prínosov vyplývajúcich z predpokladanej zvýšenej úrovne bezpečnosti cielených produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb;
zohľadní existenciu a vykonávanie príslušného práva členského štátu alebo práva tretej krajiny;
vykoná otvorené, transparentné a inkluzívne konzultácie so všetkými príslušnými zainteresovanými stranami a členskými štátmi;
zohľadní všetky lehoty na vykonávanie, prechodné opatrenia a obdobia, najmä s ohľadom na možný vplyv daného opatrenia na výrobcov alebo poskytovateľov/dodávateľov produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb vrátane osobitných záujmov a potrieb malých a stredných podnikov, vrátane mikropodnikov;
navrhne najrýchlejší a najefektívnejší spôsob vykonania prechodu z dobrovoľných na povinné ►C1 certifikačné schémy ◄ .
Odchylne od odseku 4 sa v riadne odôvodnených prípadoch môže v ►C1 európskej schéme certifikácie kybernetickej bezpečnosti ◄ stanoviť, že európske certifikáty kybernetickej bezpečnosti podľa daného systému má vydávať len verejný subjekt. Takýmto subjektom je:
vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti uvedený v článku 58 ods. 1 alebo
verejný subjekt, ktorý je akreditovaný ako orgán posudzovania zhody podľa článku 60 ods. 1.
Ak ►C1 európska schéma certifikácie kybernetickej bezpečnosti ◄ prijatý podľa článku 49 vyžaduje ►C1 úroveň záruky ◄ „vysoká“, európsky certifikát kybernetickej bezpečnosti podľa uvedeného systému má vydávať len vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti alebo v týchto prípadoch orgán posudzovania zhody:
vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti najprv schváli každý jednotlivý európsky certifikát kybernetickej bezpečnosti, ktorý vydal orgán posudzovania zhody, alebo
vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti poveril úlohou vydávať takéto európske certifikáty kybernetickej bezpečnosti orgán posudzovania zhody na základe všeobecného delegovania.
Článok 57
Vnútroštátne ►C1 schémy certifikácie ◄ a certifikáty kybernetickej bezpečnosti
Článok 58
Vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti
Vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti:
dozerajú nad pravidlami uvedenými v európskych schémach certifikácie kybernetickej bezpečnosti podľa článku 54 ods. 1 písm. j), ktoré sa týkajú monitorovania súladu produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb s požiadavkami európskych certifikátov kybernetickej bezpečnosti, ktoré boli vydané na ich príslušných územiach, a tieto pravidlá presadzujú, a to v spolupráci s ďalšími príslušnými orgánmi dohľadu nad trhom;
monitorujú dodržiavanie povinností výrobcov alebo poskytovateľov/dodávateľov produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb, ktorí sú usadení na ich príslušných územiach a vykonávajú posúdenie zhody samohodnotením, a tieto povinnosti presadzujú, a najmä monitorujú dodržiavanie povinností takýchto výrobcov alebo poskytovateľov/dodávateľov stanovených v článku 53 ods. 2 a 3 a v príslušnej európskej schéme certifikácie kybernetickej bezpečnosti, a tieto povinnosti presadzujú;
bez toho, aby bol dotknutý článok 60 ods. 3, na účely tohto nariadenia aktívne pomáhajú vnútroštátnym akreditačným orgánom a podporujú ich pri monitorovaní činností orgánov posudzovania zhody a pri dozore nad týmito činnosťami;
monitorujú a dozerajú na činnosti verejných orgánov uvedených v článku 56 ods. 5;
prípadne splnomocňujú orgány posudzovania zhody v súlade s článkom 60 ods. 3 a obmedzujú, pozastavujú alebo odnímajú existujúce splnomocnenie, keď orgány posudzovania zhody nespĺňajú požiadavky tohto nariadenia;
vybavujú sťažnosti fyzických alebo právnických osôb v súvislosti s európskymi certifikátmi kybernetickej bezpečnosti vydanými vnútroštátnymi orgánmi pre certifikáciu kybernetickej bezpečnosti, alebo v súvislosti s európskymi certifikátmi kybernetickej bezpečnosti vydanými orgánmi posudzovania zhody v súlade s článkom 56 ods. 6, alebo v súvislosti s EÚ vyhláseniami o zhode vydanými podľa článku 53, a v primeranom rozsahu prešetrujú predmet takýchto sťažností a sťažovateľa v primeranej lehote informujú o pokroku a výsledku tohto prešetrenia;
agentúre ENISA a ECCG poskytujú výročnú súhrnnú správu o činnostiach vykonaných podľa písmen b), c) a d) tohto odseku alebo podľa odseku 8;
spolupracujú s inými vnútroštátnymi orgánmi pre certifikáciu kybernetickej bezpečnosti alebo inými orgánmi verejnej moci, čo zahŕňa poskytovanie informácií o možnom nesúlade produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb s požiadavkami tohto nariadenia alebo s požiadavkami konkrétnych európskych schém certifikácie kybernetickej bezpečnosti; a
monitorujú relevantný vývoj v oblasti certifikácie kybernetickej bezpečnosti.
Každý vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti má prinajmenšom tieto právomoci:
žiadať od orgánov posudzovania zhody, držiteľov európskych certifikátov kybernetickej bezpečnosti a vydavateľov EÚ vyhlásení o zhode akékoľvek informácie, ktoré potrebuje na plnenie svojich úloh;
viesť vyšetrovanie v podobe auditov orgánov posudzovania zhody, držiteľov európskych certifikátov kybernetickej bezpečnosti a vydavateľov EÚ vyhlásení o zhode na overenie, či dodržiavajú ustanovenia tejto hlavy;
prijímať primerané opatrenia v súlade s vnútroštátnym právom s cieľom zabezpečiť, aby orgány posudzovania zhody, držitelia európskych certifikátov kybernetickej bezpečnosti a vydavatelia EÚ vyhlásení o zhode dodržiavali toto nariadenie alebo ►C1 európsku schému certifikácie kybernetickej bezpečnosti ◄ ;
získať prístup do priestorov akýchkoľvek orgánov posudzovania zhody alebo držiteľov európskych certifikátov kybernetickej bezpečnosti na účely vykonávania vyšetrovaní v súlade s procesným právom Únie alebo členského štátu;
v súlade s vnútroštátnym právom odnímať európske certifikáty kybernetickej bezpečnosti, ktoré vydali vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti, alebo európske certifikáty kybernetickej bezpečnosti, ktoré v súlade s článkom 56 ods. 6 vydali orgány posudzovania zhody, ak takéto certifikáty nie sú v súlade s týmto nariadením alebo ►C1 európskou schémou certifikácie kybernetickej bezpečnosti ◄ ;
ukladať v súlade s vnútroštátnym právom sankcie podľa článku 65 a vyžadovať okamžité ukončenie porušovania povinností stanovených v tomto nariadení.
Článok 59
Vzájomné preskúmanie
►C1 Vzájomné preskúmanie ◄ posudzuje:
ak je to relevantné, či sú činnosti vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti, ktoré sa týkajú vydávania európskych certifikátov kybernetickej bezpečnosti podľa článku 56 ods. 5 písm. a) a článku 56 ods. 6, prísne oddelené od ich činností dozoru stanovených v článku 58 a či sa uvedené činnosti vykonávajú nezávisle od seba;
postupy dozoru a presadzovania pravidiel monitorovania súladu produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb s európskymi certifikátmi kybernetickej bezpečnosti podľa článku 58 ods. 7 písm. a);
postupy monitorovania a presadzovania povinností výrobcov a poskytovateľov/dodávateľov produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb podľa článku 58 ods. 7 písm. b);
postupy monitorovania, splnomocňovania a dozoru, pokiaľ ide o činnosti orgánov posudzovania zhody;
ak je to relevantné, či personál orgánov, ktoré vydávajú certifikáty pre ►C1 úroveň záruky ◄ „vysoká“ podľa článku 56 ods. 6, má primerané odborné znalosti.
Článok 60
Orgány posudzovania zhody
Článok 61
Oznamovanie
Článok 62
Európska skupina pre certifikáciu kybernetickej bezpečnosti
ECCG má tieto úlohy:
radiť a pomáhať Komisii v jej úsilí o zabezpečenie konzistentného vykonávania a uplatňovania tejto hlavy, najmä pokiaľ ide o priebežný pracovný program Únie, politické otázky spojené s certifikáciou kybernetickej bezpečnosti, koordináciu politických prístupov a vypracovanie ►C1 európskych schém certifikácie kybernetickej bezpečnosti ◄ ;
pomáhať a radiť agentúre ENISA a spolupracovať s ňou pri vypracúvaní ►C1 kandidátskej schémy ◄ podľa článku 49;
prijímať stanovisko ku ►C1 kandidátskym schémam ◄ vypracovaným agentúrou ENISA podľa článku 49;
požiadať agentúru ENISA o vypracovanie ►C1 kandidátskych schém ◄ podľa článku 48 ods. 2;
prijímať stanoviská určené Komisii, ktoré sa týkajú udržiavania a preskúmania existujúcich európskych systémov certifikácie kybernetickej bezpečnosti;
skúmať relevantný vývoj v oblasti certifikácie kybernetickej bezpečnosti a vymieňať si informácie a osvedčené postupy v oblasti ►C1 schém certifikácie ◄ kybernetickej bezpečnosti;
uľahčovať spoluprácu medzi vnútroštátnymi orgánmi pre certifikáciu kybernetickej bezpečnosti podľa tejto hlavy, a to budovaním kapacít a výmenou informácií, najmä zavedením metód efektívnej výmeny informácií o otázkach spojených s certifikáciou kybernetickej bezpečnosti;
uľahčovať zosúlaďovanie ►C1 európskych schém certifikácie kybernetickej bezpečnosti ◄ s medzinárodne uznanými normami, a to aj preskúmaním súčasných ►C1 európskych schém certifikácie kybernetickej bezpečnosti ◄ a prípadne vydaním odporúčaní pre agentúru ENISA, aby spolupracovala s príslušnými medzinárodnými normalizačnými organizáciami s cieľom riešiť nedostatky alebo rozdiely v dostupných medzinárodne uznávaných normách.
Článok 63
Právo na podanie sťažnosti
Článok 64
Právo na účinný súdny prostriedok nápravy
Bez ohľadu na akékoľvek administratívne alebo iné mimosúdne prostriedky nápravy, fyzické osoby a právnické osoby majú právo na účinný súdny prostriedok nápravy, pokiaľ ide o:
rozhodnutia prijaté orgánom uvedeným v článku 63 ods. 1, a to prípadne aj v súvislosti s nesprávnym vydaním, nevydaním alebo uznaním európskeho certifikátu kybernetickej bezpečnosti, ktorého držiteľmi sú uvedené fyzické a právnické osoby;
nekonanie vo veci sťažnosti podanej orgánu uvedenému v článku 63 ods. 1.
Článok 65
Sankcie
Členské štáty stanovia pravidlá pokiaľ ide o sankcie uplatniteľné pri porušení tejto hlavy a porušení ►C1 európskych schém certifikácie kybernetickej bezpečnosti ◄ a prijmú všetky opatrenia potrebné na zabezpečenie ich uplatňovania. Stanovené sankcie musia byť účinné, primerané a odrádzajúce. Členské štáty bezodkladne oznámia uvedené pravidlá a opatrenia Komisii a informujú ju o všetkých následných zmenách, ktoré na ne majú vplyv.
HLAVA IV
ZÁVEREČNÉ USTANOVENIA
Článok 66
Postup výboru
Článok 67
Hodnotenie a preskúmanie
Článok 68
Zrušenie a nástupníctvo
Článok 69
Nadobudnutie účinnosti
Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.
PRÍLOHA
POŽIADAVKY, KTORÉ MUSIA SPĹŇAŤ ORGÁNY POSUDZOVANIA ZHODY
Orgány posudzovania zhody žiadajúce o akreditáciu musia spĺňať tieto požiadavky:
Orgán posudzovania zhody je zriadený podľa vnútroštátneho práva a má právnu subjektivitu.
Orgán posudzovania zhody je orgánom tretej strany, ktorá je nezávislá od organizácie alebo produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb, ktoré posudzuje.
Za orgán posudzovania zhody možno považovať subjekt, ktorý patrí do obchodného alebo profesijného združenia, ktoré zastupuje podniky, ktoré sa podieľajú na navrhovaní, produkcii, poskytovaní, inštalácii, používaní alebo údržbe produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb, ktoré tento subjekt posudzuje, ak sa preukáže jeho nezávislosť a absencia konfliktu záujmov.
Orgány posudzovania zhody, ich vrcholový manažment a osoby zodpovedné za výkon úloh posudzovania zhody nesmú byť návrhármi, výrobcami, dodávateľmi, subjektmi, ktoré vykonávajú inštaláciu alebo údržbu, obstarávateľmi, vlastníkmi ani užívateľmi posudzovaného produktu IKT, služby IKT, procesu IKT alebo riadenej bezpečnostnej služby, ani splnomocnenými zástupcami žiadnej z uvedených strán. Uvedený zákaz nevylučuje používanie posudzovaných produktov IKT, ktoré sú potrebné na vykonávanie činností orgánu posudzovania zhody, ani používanie takých produktov IKT na osobné účely.
Orgány posudzovania zhody, ich vrcholový manažment a osoby zodpovedné za vykonávanie úloh posudzovania zhody sa nesmú priamo podieľať na navrhovaní, zhotovovaní alebo výrobe, dodávaní alebo poskytovaní, marketingu, inštalácii, používaní alebo údržbe posudzovaných produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb, ani zastupovať strany, ktoré sa na takýchto činnostiach podieľajú. Orgány posudzovania zhody, ich vrcholový manažment a osoby zodpovedné za vykonávanie úloh posudzovania zhody sa nesmú podieľať na žiadnych činnostiach, ktoré môžu ovplyvniť ich nezávislý úsudok alebo bezúhonnosť v súvislosti s ich činnosťami posudzovania zhody. Uvedený zákaz sa vzťahuje najmä na poradenské služby.
Ak orgán posudzovania zhody vlastní alebo prevádzkuje verejný subjekt alebo verejná inštitúcia, musí sa zabezpečiť a zdokumentovať nezávislosť a absencia akéhokoľvek konfliktu záujmov medzi vnútroštátnym orgánom pre certifikáciu kybernetickej bezpečnosti a orgánom posudzovania zhody.
Orgány posudzovania zhody zabezpečia, aby činnosti ich dcérskych spoločností a subdodávateľov nemali vplyv na povinnosť mlčanlivosti, objektivitu a nestrannosť ich činností posudzovania zhody.
Orgány posudzovania zhody a ich personál vykonávajú činnosti posudzovania zhody na najvyššej úrovni profesionálnej čestnosti a požadovanej technickej spôsobilosti v danej oblasti a nepodliehajú žiadnym tlakom ani stimulom vrátane tlakov a stimulov finančnej povahy, ktoré by mohli ovplyvniť ich úsudok alebo výsledky ich činností posudzovania zhody, najmä zo strany osôb alebo skupín osôb, ktoré majú záujem na výsledku týchto činností.
Orgán posudzovania zhody musí byť schopný vykonať všetky úlohy posudzovania zhody, ktoré sú mu zverené týmto nariadením, bez ohľadu na to, či ich vykoná sám, alebo sa vykonajú v jeho mene a na jeho zodpovednosť. Všetky subdodávateľské zmluvy alebo konzultácie s externým personálom musia byť riadne zdokumentované, ich súčasťou nesmú byť žiadni sprostredkovatelia a musia mať podobu písomnej dohody, v ktorej sa okrem iného upraví povinnosť mlčanlivosti a konflikt záujmov. Za vykonané úlohy nesie plnú zodpovednosť orgán posudzovania zhody.
Orgán posudzovania zhody má neustále, pre každý postup posudzovania zhody a pre každý druh a každú kategóriu alebo podkategóriu produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb v potrebnej miere k dispozícii:
personál s odbornými znalosťami a dostatočnými a primeranými skúsenosťami na výkon úloh posudzovania zhody;
opisy postupov, podľa ktorých sa má vykonávať posudzovanie zhody a ktorými sa zabezpečuje transparentnosť a opakovateľnosť uvedených postupov. Musí mať zavedené vhodné politiky a postupy, ktorými sa rozlišujú úlohy, ktoré vykonáva ako orgán oznámený podľa článku 61, od ostatných jeho činností;
postupy na výkon činností, ktorými sa náležite zohľadňuje veľkosť každého podniku, odvetvie, v ktorom podnik pôsobí, jeho štruktúra, stupeň zložitosti technológie daného produktu IKT, služby IKT, procesu IKT alebo riadenej bezpečnostnej služby a hromadný či sériový charakter produkčného procesu.
Orgán posudzovania zhody musí mať prostriedky potrebné na riadne plnenie technických a administratívnych úloh spojených s posudzovaním zhody, ako aj prístup k všetkým potrebným zariadeniam a vybaveniu.
Osoby zodpovedné za výkon činností posudzovania zhody musí mať:
absolvovanú dôkladnú technickú a odbornú prípravu pokrývajúcu všetky činnosti posudzovania zhody;
dostatočné znalosti požiadaviek posudzovaní zhody, ktoré vykonávajú, a primeranú právomoc vykonávať tieto posudzovania;
primerané znalosti a chápanie platných požiadaviek a skúšobných noriem;
schopnosť vypracúvať certifikáty, záznamy a protokoly preukazujúce, že sa vykonalo posúdenie zhody.
Musí byť zaručená nestrannosť orgánov posudzovania zhody, ich vrcholového manažmentu a osôb zodpovedných za výkon činností posudzovania zhody, ako aj subdodávateľov.
Odmeňovanie vrcholového manažmentu a osôb zodpovedných za výkon činností posudzovania zhody nezávisí od počtu vykonaných posúdení zhody ani od výsledkov týchto posúdení.
Orgány posudzovania zhody musia uzavrieť poistenie zodpovednosti za škodu, ak túto zodpovednosť podľa svojho vnútroštátneho práva nenesie členský štát, alebo ak nie je za posudzovanie zhody priamo zodpovedný samotný členský štát.
Orgán posudzovania zhody a jeho personál, výbory, dcérske spoločnosti, subdodávatelia a akýkoľvek pridružený subjekt alebo personál externých subjektov orgánu posudzovania zhody zachovávajú povinnosť mlčanlivosti a služobné tajomstvo, pokiaľ ide o všetky informácie získané pri výkone svojich úloh posudzovania zhody podľa tohto nariadenia alebo akéhokoľvek ustanovenia vnútroštátneho práva, ktorým sa toto nariadenie vykonáva, okrem prípadov, keď sa ich poskytnutie vyžaduje podľa práva Únie alebo členského štátu, ktoré sa na tieto osoby vzťahuje, a okrem styku s príslušnými orgánmi členských štátov, v ktorých vykonávajú svoju činnosť. Práva duševného vlastníctva sú chránené. Orgán posudzovania zhody musí mať zavedené zdokumentované postupy, pokiaľ ide o požiadavky tohto bodu.
S výnimkou bodu 16 sa požiadavkami tejto prílohy nevylučuje výmenu technických informácií a regulačného poradenstva medzi orgánom posudzovania zhody a osobou, ktorá požiada o certifikáciu alebo ktorá o žiadosti uvažuje.
Orgány posudzovania zhody vykonávajú svoju činnosť v súlade so súborom konzistentných, spravodlivých a primeraných podmienok, pričom, pokiaľ ide o poplatky, zohľadňujú záujmy MSP.
Orgány posudzovania zhody spĺňajú požiadavky príslušnej harmonizovanej normy v zmysle vymedzenia v článku 2 bode 9 nariadenia (ES) č. 765/2008 pre akreditáciu orgánov posudzovania zhody, ktoré vykonávajú certifikáciu produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb.
Orgány posudzovania zhody zabezpečia, aby skúšobné laboratóriá používané na účely posudzovania zhody spĺňali požiadavky príslušnej harmonizovanej normy v zmysle vymedzenia v článku 2 bode 9 nariadenia (ES) č. 765/2008 pre akreditáciu laboratórií, ktoré vykonávajú skúšky.
( 1 ) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (Ú. v. EÚ L 257, 28.8.2014, s. 73).
( 2 ) Ú. v. ES L 56, 4.3.1968, s. 1.
( 3 ) Delegované nariadenie Komisie (EÚ) č. 1271/2013 z 30. septembra 2013 o rámcovom nariadení o rozpočtových pravidlách pre subjekty uvedené v článku 208 nariadenia Európskeho parlamentu a Rady (EÚ, Euratom) č. 966/2012 (Ú. v. EÚ L 328, 7.12.2013, s. 42).
( 4 ) Rozhodnutie Komisie (EÚ, Euratom) 2015/443 z 13. marca 2015 o bezpečnosti v Komisii (Ú. v. EÚ L 72, 17.3.2015, s. 41).
( 5 ) Rozhodnutie Komisie (EÚ, Euratom) 2015/444 z 13. marca 2015 o bezpečnostných predpisoch na ochranu utajovaných skutočností EÚ (Ú. v. EÚ L 72, 17.3.2015, s. 53).
( 6 ) Nariadenie Európskeho parlamentu a Rady (EÚ, Euratom) 2018/1046 z 18. júla 2018 o rozpočtových pravidlách, ktoré sa vzťahujú na všeobecný rozpočet Únie, o zmene nariadení (EÚ) č. 1296/2013, (EÚ) č. 1301/2013, (EÚ) č. 1303/2013, (EÚ) č. 1304/2013, (EÚ) č. 1309/2013, (EÚ) č. 1316/2013, (EÚ) č. 223/2014, (EÚ) č. 283/2014 a rozhodnutia č. 541/2014/EÚ a o zrušení nariadenia (EÚ, Euratom) č. 966/2012 (Ú. v. EÚ L 193, 30.7.2018, s. 1).
( 7 ) Nariadenie Európskeho parlamentu a Rady (EÚ, Euratom) č. 883/2013 z 11. septembra 2013 o vyšetrovaniach vykonávaných Európskym úradom pre boj proti podvodom (OLAF), ktorým sa zrušuje nariadenie Európskeho parlamentu a Rady (ES) č. 1073/1999 a nariadenie Rady (Euratom) č. 1074/1999 (Ú. v. EÚ L 248, 18.9.2013, s. 1).
( 8 ) Ú. v. ES L 136, 31.5.1999, s. 15.
( 9 ) Nariadenie Rady (Euratom, ES) č. 2185/96 z 11 novembra 1996 o kontrolchách a inšpekciách na mieste, vykonávaných Komisiou s ciel'om ocharany finančn ých záujmov Európskych spoločenstiev pred spreneverou a inými podvodmi (Ú. v. ES L 292, 15.11.1996, s. 2).
( 10 ) Nariadenie Rady č. 1 o používaní jazykov v Európskom hospodárskom spoločenstve (Ú. v. ES 17, 6.10.1958, s. 385/58).