(1)

Siete a informačné systémy a elektronické komunikačné siete a služby sú pre spoločnosť kľúčové a stali sa oporným pilierom hospodárskeho rastu. Na informačných a komunikačných technológiách (ďalej len „IKT“) sú založené komplexné systémy, ktoré podporujú každodenné činnosti spoločnosti, udržujú chod kľúčových odvetví hospodárstva, ako je zdravotníctvo, energetika, financie či doprava, a najmä podporujú fungovanie vnútorného trhu.

(2)

Občania, organizácie a podniky v Únii dnes využívajú siete a informačné systémy na každom kroku. Digitalizácia a pripojiteľnosť sa stávajú základnými vlastnosťami čoraz väčšieho množstva produktov a služieb, pričom sa očakáva, že s nástupom internetu vecí (ďalej len „IoT“ – Internet of Things) sa v Únii bude v najbližšom desaťročí využívať mimoriadne vysoký počet pripojených digitálnych zariadení. Na internet je pripojených čoraz viac zariadení, no ich bezpečnosť a odolnosť nie je do nich dostatočne zabudovaná už vo fáze ich návrhu, čo vedie k nedostatočnej kybernetickej bezpečnosti. Certifikácia sa využíva obmedzene, čo v tejto situácii vedie k tomu, že užívatelia z radov jednotlivcov, organizácií a podnikov nie sú dostatočne informovaní o prvkoch kybernetickej bezpečnosti produktov IKT, služieb IKT a procesov IKT, čo znižuje dôveru v digitálne riešenia. Siete a informačné systémy sú schopné podporovať všetky aspekty nášho života a poháňať hospodársky rast Únie. Sú základným kameňom pre dosiahnutie jednotného digitálneho trhu.

(3)

Rastúca digitalizácia a pripojiteľnosť zvyšujú kybernetickobezpečnostné riziká, takže spoločnosť ako celok sa stáva zraniteľnejšou z hľadiska kybernetických hrozieb a zvyšuje sa nebezpečenstvo, ktorému čelia fyzické osoby, vrátane zraniteľných osôb, ako sú napríklad deti. V záujme zmiernenia uvedených rizík treba prijať všetky potrebné kroky na zvýšenie kybernetickej bezpečnosti v Únii, aby boli siete a informačné systémy, komunikačné siete, digitálne produkty, služby a zariadenia, ktoré využívajú občania, organizácie i podniky – od malých a stredných podnikov (ďalej len „MSP“) v zmysle vymedzenia v odporúčaní Komisie 2003/361/ES (4), až po prevádzkovateľov kritických infraštruktúr lepšie chránené pred kybernetickými hrozbami.

(4)

Agentúra Európskej únie pre sieťovú a informačnú bezpečnosť (ďalej len „ENISA“) zriadená nariadením Európskeho parlamentu a Rady (EÚ) č. 526/2013 (5) sprístupňuje verejnosti relevantné informácie, čím prispieva k rozvoju odvetvia kybernetickej bezpečnosti v Únii, najmä MSP a startupov. Agentúra ENISA by sa mala usilovať o užšiu spoluprácu s univerzitami a výskumnými subjektmi, aby prispela k znižovaniu závislosti od kybernetickobezpečnostných produktov a služieb z krajín mimo Únie a k posilňovaniu dodávateľských reťazcov v Únii.

(5)

Kybernetické útoky sú na vzostupe a prepojené hospodárstvo a spoločnosť, ktoré sú zraniteľnejšie z hľadiska kybernetických hrozieb a útokov, si vyžadujú silnejšiu obranu. Kybernetické útoky sú často cezhraničné, ale právomoc a politická reakcia orgánov zodpovedných za kybernetickú bezpečnosť a presadzovanie práva majú prevažne vnútroštátnu povahu. Rozsiahle incidenty by mohli narušiť poskytovanie základných služieb v celej Únii. To si vyžaduje účinné a koordinované reakcie a krízové riadenie na úrovni Únie, ktoré vychádzajú z osobitných politík a všeobecnejších nástrojov pre európsku solidaritu a vzájomnú pomoc. Okrem toho je pre tvorcov politík, priemysel a používateľov dôležité pravidelné posudzovanie stavu kybernetickej bezpečnosti a odolnosti v Únii založené na spoľahlivých údajoch Únie, ako aj systematických predpovediach budúceho vývoja, výziev a hrozieb na úrovni Únie aj celosvetovo.

(6)

Keďže výzvy, ktorým Únia čelí v oblasti kybernetickej bezpečnosti, sa stupňujú, je potrebný komplexný súbor opatrení, ktorými by sa nadviazalo na predošlé kroky Únie a ktorými by sa podporil synergický účinok cieľov. Uvedené ciele zahŕňajú aj ďalšie posilňovanie spôsobilosti a pripravenosti členských štátov a podnikov, ako aj zlepšovanie spolupráce, výmeny informácií a koordinácie medzi členskými štátmi a inštitúciami, orgánmi, úradmi a agentúrami Únie. Okrem toho, keďže kybernetické hrozby nepoznajú hranice, treba posilniť spôsobilosť na úrovni Únie, ktorá by doplnila opatrenia členských štátov, najmä pri rozsiahlych cezhraničných incidentoch a krízach, a zároveň zohľadniť dôležitosť zachovania a ďalšieho posilnenia vnútroštátnej spôsobilosti reagovať na kybernetické hrozby akýchkoľvek rozmerov.

(7)

Väčšie úsilie je potrebné vyvinúť aj v oblasti informovanosti občanov, organizácií a podnikov o otázkach kybernetickej bezpečnosti. Navyše, vzhľadom na to, že incidenty oslabujú dôveru v poskytovateľov digitálnych služieb a v samotný jednotný digitálny trh, najmä medzi spotrebiteľmi, dôvera by sa mala ešte posilniť transparentným poskytovaním informácií o úrovni bezpečnosti produktov IKT, služieb IKT a procesov IKT, ktoré by malo zdôrazňovať, že dokonca ani vysoká úroveň certifikácie kybernetickej bezpečnosti nezaručuje, že produkt IKT, služba IKT alebo proces IKT sú absolútne bezpečné. Zvýšenie dôvery môže uľahčiť celoúnijná certifikácia, ktorou sa zabezpečia spoločné požiadavky kybernetickej bezpečnosti a hodnotiace kritériá naprieč vnútroštátnymi trhmi a odvetviami.

(8)

Kybernetická bezpečnosť nie je len otázkou technológie, ale rovnako dôležité je aj správanie ľudí. Mala by sa preto významne podporovať tzv. kybernetická hygiena, konkrétne jednoduché rutinné opatrenia, ktoré minimalizujú vystavenie sa rizikám kybernetických hrozieb, ak ich občania, organizácie a podniky vykonávajú pravidelne.

(9)

Pre účely posilnenia kybernetickobezpečnostných štruktúr Únie je dôležité udržiavať a rozvíjať spôsobilosť členských štátov s cieľom komplexne reagovať na kybernetické hrozby vrátane cezhraničných incidentov.

(10)

Podniky a jednotliví spotrebitelia by mali mať presné informácie o stupni dôveryhodnosti, na aký bola certifikovaná bezpečnosť ich produktov IKT, služieb IKT a procesov IKT. Zároveň žiadny produkt nie je úplne kyberneticky bezpečný a treba podporovať a uprednostňovať základné pravidlá kybernetickej hygieny. Vzhľadom na rastúcu dostupnosť zariadení IoT je k dispozícii viacero dobrovoľných opatrení, ktoré môže súkromný sektor prijať na posilnenie dôvery v bezpečnosť produktov IKT, služieb IKT a procesov IKT.

(11)

Moderné produkty a systémy IKT často obsahujú jednu alebo viaceré technológie a komponenty tretích strán, ako napríklad softvérové moduly, knižnice alebo aplikačné programovacie rozhrania, a často sú na ne odkázané. Táto odkázanosť, ktorá sa nazýva „závislosť“, by mohla predstavovať dodatočné kybernetickobezpečnostné riziká, keďže zraniteľnosti komponentov tretích strán by mohli mať vplyv aj na bezpečnosť produktov IKT, služieb IKT a procesov IKT. Určenie a zdokumentovanie takýchto závislostí v mnohých prípadoch umožňuje koncovým užívateľom produktov IKT, služieb IKT a procesov IKT zlepšiť ich činnosť v oblasti riadenia kybernetickobezpečnostných rizík, napríklad tým, že zlepšia riadenie zraniteľnosti užívateľov v oblasti kybernetickej bezpečnosti a nápravné postupy.

(12)

Organizácie, výrobcovia alebo poskytovatelia podieľajúci sa na navrhovaní a vývoji produktov IKT, služieb IKT a procesov IKT by sa mali nabádať na uplatňovanie opatrení počas čo najskorších etáp navrhovania a vývoja, aby sa bezpečnosť týchto produktov, služieb a procesov chránila v najvyššej možnej miere takým spôsobom, že výskyt kybernetických útokov sa bude predpokladať a ich následky sa budú očakávať a minimalizovať („bezpečnosť už v štádiu návrhu“). Bezpečnosť by mala byť zabezpečená počas celej životnosti produktu IKT, služby IKT a procesu IKT prostredníctvom procesov navrhovania a vývoja, ktoré sa neustále vyvíjajú, aby znížili riziko škody spôsobenej zámerným zneužitím.

(13)

Podniky, organizácie a verejný sektor by mali nastaviť produkty IKT, služby IKT alebo procesy IKT, ktoré navrhujú, tak, aby zaistili vyšší stupeň bezpečnosti, ktorým by sa malo umožniť, že ich prvý užívateľ dostane v rámci predvolenej konfigurácie čo najbezpečnejšie nastavenia („bezpečnosť ako štandard“), čím sa zníži zaťaženie užívateľov musieť si produkt IKT, službu IKT alebo proces IKT správne nastaviť. Bezpečnosť ako štandard by si nemala vyžadovať rozsiahle nastavovanie ani osobitné technické znalosti alebo neintuitívne správanie zo strany užívateľa a mala by pri používaní ľahko a spoľahlivo fungovať. Ak sa analýzou rizík a použiteľnosti v konkrétnych prípadoch preukáže, že takéto štandardné nastavenie nie je možné, užívatelia by mali byť vyzvaní, aby sa rozhodli pre najbezpečnejšie nastavenie.

(14)

Nariadenie Európskeho parlamentu a Rady (ES) č. 460/2004 (6) zriadilo agentúru ENISA so zámerom prispieť k cieľom v oblasti zabezpečenia vysokej a účinnej úrovne sieťovej a informačnej bezpečnosti v Únii a k vybudovaniu kultúry sieťovej a informačnej bezpečnosti v prospech občanov, spotrebiteľov, podnikov a verejnej správy. Nariadenie Európskeho parlamentu a Rady (ES) č. 1007/2008 (7) predĺžilo mandát agentúry ENISA do marca 2012. Nariadením Európskeho parlamentu a Rady (EÚ) č. 580/2011 (8) sa mandát agentúry ENISA ďalej predĺžil do 13. septembra 2013. Nariadenie (EÚ) č. 526/2013 predĺžilo mandát agentúry ENISA do 19. júna 2020.

(15)

Únia už prijala dôležité kroky na zaistenie kybernetickej bezpečnosti a zvýšenie dôvery v digitálne technológie. V roku 2013 bola prijatá Stratégia kybernetickej bezpečnosti Európskej únie pre usmerňovanie politickej reakcie Únie na kybernetické hrozby a riziká. V snahe o lepšiu ochranu občanov online prijala Únia v roku 2016 prvý právny akt v oblasti kybernetickej bezpečnosti v podobe smernice Európskeho parlamentu a Rady (EÚ) 2016/1148 (9). V smernici (EÚ) 2016/1148 sa stanovujú požiadavky na vnútroštátnu spôsobilosť v oblasti kybernetickej bezpečnosti, zriaďujú sa prvé mechanizmy na posilnenie strategickej a operačnej spolupráce medzi členskými štátmi a zavádzajú sa povinnosti týkajúce sa bezpečnostných opatrení a oznamovania incidentov v odvetviach, ktoré sú pre hospodárstvo a spoločnosť kľúčové (ako energetika, doprava, dodávka a distribúcia pitnej vody, bankovníctvo, infraštruktúry finančných trhov, zdravotníctvo, digitálna infraštruktúra), ako aj povinnosti kľúčových poskytovateľov digitálnych služieb (vyhľadávače, služby cloud computingu a online trhoviská).

Agentúre ENISA bola priradená kľúčová úloha podpory pri vykonávaní uvedenej smernice. Účinný boj proti počítačovej kriminalite je navyše dôležitou prioritou Európskeho programu v oblasti bezpečnosti a prispieva k celkovému cieľu vysokej úrovne kybernetickej bezpečnosti. Ďalšie právne akty, ako je nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 (10) a smernice Európskeho parlamentu a Rady 2002/58/ES (11) a (EÚ) 2018/1972 (12), takisto prispievajú k vysokej úrovni kybernetickej bezpečnosti na jednotnom digitálnom trhu.

(16)

Od prijatia Stratégie kybernetickej bezpečnosti Európskej únie v roku 2013 a od posledného prehodnotenia mandátu agentúry ENISA sa celkový politický kontext výrazne zmenil, keďže globálne prostredie sa stalo neistejším a menej bezpečným. Vzhľadom na uvedený kontext a v súvislosti s pozitívnym vývojom úlohy agentúry ENISA ako referenčného bodu pre poradenstvo a odborné znalosti a ako subjektu, ktorý uľahčuje spoluprácu a budovanie kapacít v rámci novej kybernetickobezpečnostnej politiky Únie, treba mandát agentúry ENISA zrevidovať s cieľom vymedziť jej úlohu v zmenenom ekosystéme kybernetickej bezpečnosti a zaistiť, aby účinne prispievala k reakcii Únie na výzvy v oblasti kybernetickej bezpečnosti vyplývajúce z radikálne zmenenej povahy kybernetických hrozieb, keďže ako sa potvrdilo v rámci hodnotenia agentúry ENISA, jej súčasný mandát na to nestačí.

(17)

Agentúra ENISA zriadená týmto nariadením by mala byť nástupcom agentúry ENISA zriadenej nariadením (EÚ) č. 526/2013. Agentúra ENISA by mala vykonávať úlohy zverené jej týmto nariadením a inými právnymi aktmi Únie v oblasti kybernetickej bezpečnosti, okrem iného ako zdroj poradenstva a odborných znalostí, a aj ako stredisko Únie pre informácie a znalosti. Mala by podporovať výmenu najlepších postupov medzi členskými štátmi a súkromnými aktérmi, ponúkať Komisii a členským štátom politické návrhy, pôsobiť ako referenčný bod pre iniciatívy v rámci odvetvových politík Únie, pokiaľ ide o otázky kybernetickej bezpečnosti, a podporovať operačnú spoluprácu medzi členskými štátmi navzájom i v ich vzťahu k inštitúciám, orgánom, úradom a agentúram Únie.

(18)

V jednomyseľnom rozhodnutí 2004/97/ES, Euratom prijatom predstaviteľmi členských štátov zasadajúcich na najvyššej štátnej a vládnej úrovni (13) zástupcovia členských štátov rozhodli, že agentúra ENISA bude mať sídlo v gréckom meste, ktoré určí grécka vláda. Hostiteľský členský štát agentúry ENISA by mal zabezpečiť čo najlepšie podmienky pre bezproblémové a efektívne fungovanie agentúry ENISA. Pre riadne a efektívne plnenie jej úloh, nábor a udržanie zamestnancov a zvýšenie efektívnosti budovania sietí vzťahov je nevyhnutné, aby agentúra ENISA sídlila na vhodnom mieste, ktoré okrem iného poskytuje vhodné dopravné spojenia a zariadenia pre manželských partnerov a deti sprevádzajúce personál agentúry ENISA. Potrebné dojednania by sa mali stanoviť v dohode medzi agentúrou ENISA a hostiteľským členským štátom, ktorá sa uzavrie po získaní súhlasu správnej rady agentúry ENISA.

(19)

Keďže Únia čelí narastajúcim kybernetickobezpečnostným rizikám a výzvam, mal by sa zvýšiť objem finančných a ľudských zdrojov pridelených agentúre ENISA, aby sa odzrkadlilo jej posilnené poslanie a úlohy a jej rozhodujúce postavenie v ekosystéme organizácií brániacich digitálny ekosystém Únie a aby sa agentúre ENISA umožnilo účinne plniť úlohy zverené týmto nariadením.

(20)

Agentúra ENISA by mala dosiahnuť a udržiavať si vysokú úroveň odborných znalostí a pôsobiť ako referenčný bod, ktorý buduje dôveru v jednotný trh svojou nezávislosťou, kvalitou poskytovaného poradenstva a šírených informácií, transparentnosťou svojich postupov a pracovných metód a dôslednosťou pri plnení svojich úloh. Agentúra ENISA by mala aktívne podporovať vnútroštátne úsilie a proaktívne prispievať k úsiliu Únie, pričom by mala vykonávať svoje úlohy v plnej spolupráci s inštitúciami, orgánmi, úradmi a agentúrami Únie a s členskými štátmi a zároveň podporovať synergiu a predchádzať akémukoľvek zdvojovaniu práce. Okrem toho by agentúra ENISA mala využívať vstupy od súkromného sektora a od ďalších relevantných zainteresovaných strán a spoluprácu s nimi. Mal by sa stanoviť súbor úloh, ktorým sa určí, ako agentúra ENISA dosiahne svoje ciele, ktorý by však umožnil flexibilitu jej činnosti.

(21)

Aby agentúra ENISA mohla primerane podporovať operačnú spoluprácu medzi členskými štátmi, mala by ďalej posilňovať svoje vlastné technické a ľudské spôsobilosti a zručnosti. Agentúra ENISA by mala zvýšiť svoje odborné znalosti a spôsobilosť. Agentúra ENISA a členské štáty by na dobrovoľnom základe mohli vypracovať programy pre vysielanie národných expertov do agentúry ENISA, združovanie expertov a výmenu personálu.

(22)

Agentúra ENISA by mala pomáhať Komisii poskytovaním poradenstva, stanovísk a analýz týkajúcich sa všetkých záležitostí Únie súvisiacich s vypracúvaním, aktualizáciou a revíziou politík a právnych predpisov v oblasti kybernetickej bezpečnosti a jej odvetvových aspektov s cieľom posilniť relevantnosť politík a právnych predpisov Únie s kybernetickobezpečnostným rozmerom a umožniť konzistentnosť pri vykonávaní uvedených politík a právnych predpisov na vnútroštátnej úrovni. Agentúra ENISA by mala byť referenčným bodom, pokiaľ ide o poradenstvo a odborné znalosti pre iniciatívy v rámci odvetvových politík a právnych predpisov Únie zahŕňajúcich rozmer kybernetickej bezpečnosti. Agentúra ENISA by mala pravidelne informovať Európsky parlament o svojej činnosti.

(23)

Verejným jadrom otvoreného internetu, najmä jeho hlavnými protokolmi a infraštruktúrou, ktoré sú celosvetovým verejným statkom, sa zabezpečuje základná funkčnosť internetu ako celku a jeho bežná prevádzka. Agentúra ENISA by mala podporovať bezpečnosť verejného jadra otvoreného internetu a stabilitu jeho fungovania vrátane napríklad kľúčových protokolov (najmä DNS, BGP a IPv6), prevádzky systému názvov domén (napríklad prevádzky všetkých domén najvyššej úrovne) a prevádzky koreňovej zóny.

(24)

Základnou úlohou agentúry ENISA je presadzovať dôsledné vykonávanie príslušného právneho rámca, najmä účinné vykonávanie smernice (EÚ) 2016/1148 a iných príslušných právnych nástrojov s kybernetickobezpečnostnými aspektmi, čo je kľúčom k posilneniu kybernetickej odolnosti. Keďže situácia v oblasti kybernetickobezpečnostných hrozieb sa rýchlo mení, je jasné, že členské štáty potrebujú podporu v podobe komplexnejšieho, prierezového prístupu k budovaniu kybernetickej odolnosti.

(25)

Agentúra ENISA by mala pomáhať členským štátom a inštitúciám, orgánom, úradom a agentúram Únie v ich úsilí vybudovať a zdokonaľovať spôsobilosť a pripravenosť predchádzať kybernetickým hrozbám a incidentom, odhaľovať ich a reagovať na ne, ako aj vo vzťahu k bezpečnosti sietí a informačných systémov. Agentúra ENISA by mala najmä podporovať rozvoj a posilňovanie vnútroštátnych jednotiek pre riešenie počítačových bezpečnostných incidentov (ďalej len „CSIRT“) a jednotiek CSIRT Únie stanovených v smernici (EÚ) 2016/1148, aby v rámci Únie všetky dosiahli vysoký stupeň vývoja. Činnosťami, ktoré vykonáva agentúra ENISA a ktoré sa týkajú operačných kapacít členských štátov, by sa mali aktívne podporovať opatrenia, ktoré členské štáty prijali, aby si splnili svoje povinnosti podľa smernice (EÚ) 2016/1148, a preto by ich nemali nahrádzať.

(26)

Agentúra ENISA by mala zároveň pomáhať pri príprave a aktualizácii stratégií v oblasti bezpečnosti sietí a informačných systémov na úrovni Únie a na požiadanie na úrovni členských štátov, najmä pokiaľ ide o kybernetickú bezpečnosť, a podporovať šírenie takých stratégií a sledovať pokrok pri ich vykonávaní. Agentúra ENISA by tiež mala prispievať k pokrytiu potrieb v oblasti odbornej prípravy a vzdelávacích materiálov, a to aj potrieb verejných orgánov, a podľa vhodnosti do vysokej miery „školiť školiteľov“ na základe Rámca digitálnych kompetencií pre občanov a s cieľom pomôcť členským štátom a inštitúciám, orgánom, úradom a agentúram Únie pri rozvoji ich vlastných kapacít odbornej prípravy.

(27)

Agentúra ENISA by mala podporovať členské štáty v oblasti zvyšovania povedomia a vzdelávania o kybernetickej bezpečnosti tým, že umožní užšiu koordináciu a výmenu najlepších postupov medzi členskými štátmi. Táto podpora by mohla zahŕňať vytvorenie siete kontaktných miest vnútroštátneho vzdelávania a platformy pre odbornú prípravu v oblasti kybernetickej bezpečnosti. Sieť kontaktných miest vnútroštátneho vzdelávania by mohla fungovať v rámci siete národných styčných úradníkov a byť začiatkom budúcej koordinácie v rámci členských štátov.

(28)

Agentúra ENISA by mala pomáhať skupine pre spoluprácu zriadenej smernicou (EÚ) 2016/1148 pri výkone jej úloh, a to najmä poskytovaním odborných znalostí, poradenstva a uľahčovaním výmeny najlepších postupov, okrem iného pokiaľ ide o určenie prevádzkovateľov základných služieb členskými štátmi z hľadiska rizík a incidentov, a to aj v súvislosti s cezhraničnou previazanosťou.

(29)

Na stimulovanie spolupráce verejného a súkromného sektora a v rámci súkromného sektora, najmä pokiaľ ide o podporu ochrany kritických infraštruktúr, by agentúra ENISA mala podporovať výmenu informácií v odvetviach a medzi nimi, obzvlášť v odvetviach uvedených v prílohe II k smernici (EÚ) 2016/1148, a to poskytovaním najlepších postupov a usmernení k existujúcim nástrojom a postupom, ako aj usmerňovaním v otázke riešenia regulačných problémov spojených s výmenou informácií, napríklad uľahčovaním zriaďovania odvetvových stredísk pre výmenu a analýzu informácií.

(30)

Keďže potenciálny negatívny vplyv zraniteľností produktov IKT, služieb IKT a procesov IKT sa neustále zvyšuje, ich odhalenie a náprava zohrávajú dôležitú úlohu pri znižovaní celkového rizika v oblasti kybernetickej bezpečnosti. Spolupráca medzi organizáciami, výrobcami alebo poskytovateľmi zraniteľných produktov IKT, služieb IKT a procesov IKT a členmi kybernetickobezpečnostnej výskumnej komunity a sektorom verejnej správy, ktorí zraniteľnosti odhaľujú, preukázateľne a výrazne zvyšuje mieru odhaľovania a nápravy zraniteľnosti produktov IKT, služieb IKT a procesov IKT. Koordinované zverejňovanie informácií o zraniteľnosti sa riadi štruktúrovaným procesom spolupráce, v rámci ktorého sa zraniteľnosti hlásia vlastníkovi informačného systému, čím sa danej organizácii dáva príležitosť diagnostikovať zraniteľnosť a zabezpečiť jej nápravu pred tým, ako sa podrobné informácie o zraniteľnosti poskytnú tretím stranám alebo verejnosti. Tento proces tiež upravuje koordináciu objaviteľa a organizácie, pokiaľ ide o zverejnenie uvedenej zraniteľnosti. Politiky koordinovaného zverejňovania informácií o zraniteľnosti by mohli zohrávať dôležitú úlohu v úsilí členských štátov o zvýšenie kybernetickej bezpečnosti.

(31)

Agentúra ENISA by mala zhromažďovať a analyzovať dobrovoľne zdieľané správy vnútroštátnych jednotiek CSIRT a medziinštitucionálneho tímu reakcie na núdzové počítačové situácie v inštitúciách, orgánoch a agentúrach Únie zriadeného Dohodou medzi Európskym parlamentom, Európskou radou, Radou Európskej únie, Európskou komisiou, Súdnym dvorom Európskej únie, Európskou centrálnou bankou, Európskym dvorom audítorov, Európskou službou pre vonkajšiu činnosť, Európskym hospodárskym a sociálnym výborom, Európskym výborom regiónov a Európskou investičnou bankou o organizácii a fungovaní tímu reakcie na núdzové počítačové situácie v inštitúciách, orgánoch a agentúrach Únie (CERT-EU) (14), s cieľom prispievať k stanovovaniu spoločných postupov, jazyka a terminológie na výmenu informácií. V uvedenom kontexte by agentúra ENISA mala zapojiť súkromný sektor v rámci smernice (EÚ) 2016/1148, ktorou sa stanovuje základ pre dobrovoľnú výmenu technických informácií na operačnej úrovni v sieti jednotiek pre riešenie počítačových bezpečnostných incidentov (ďalej len „sieť jednotiek CSIRT“).

(32)

Agentúra ENISA by mala prispievať k reakciám na úrovni Únie v prípade rozsiahlych cezhraničných incidentov a kríz v oblasti kybernetickej bezpečnosti. Uvedená úloha by sa mala vykonávať v súlade s mandátom agentúry ENISA podľa tohto nariadenia a prístupom, na ktorom sa dohodnú členské štáty v kontexte odporúčania Komisie (EÚ) 2017/1584 (15) a záverov Rady z 26. júna 2018 o koordinovanej reakcii EÚ na kybernetické bezpečnostné incidenty a krízy veľkého rozsahu. Uvedená úloha by mohla zahŕňať aj zhromažďovanie relevantných informácií a uľahčovanie interakcie medzi sieťou jednotiek CSIRT a technickou komunitou či subjektmi zodpovednými za krízové riadenie, ktoré prijímajú rozhodnutia. Okrem toho by agentúra ENISA mala podporovať operačnú spoluprácu medzi členskými štátmi na žiadosť jedného alebo viacerých členských štátov pri riešení incidentov z technickej stránky uľahčovaním výmeny relevantných technických riešení medzi členskými štátmi a vypracúvaním príspevkov pre komunikáciu s verejnosťou. Agentúra ENISA by mala podporovať operačnú spoluprácu skúšaním rôznych spôsobov takejto spolupráce na pravidelných kybernetickobezpečnostných cvičeniach.

(33)

Agentúra ENISA by na podporu operačnej spolupráce mala prostredníctvom štruktúrovanej spolupráce využívať dostupné technické a operačné odborné znalosti tímu CERT-EU. Takáto štruktúrovaná spolupráca by mohla viesť k budovaniu odborných znalostí agentúry ENISA. Podľa potreby by sa mali medzi oboma subjektmi vytvoriť účelové dohody o fungovaní tejto spolupráce v praxi a zabránení zdvojovaniu činností.

(34)

Pri plnení svojej úlohy na podporu operačnej spolupráce v rámci siete jednotiek CSIRT by agentúra ENISA mala byť schopná poskytovať členským štátom na ich požiadanie podporu, napríklad tým, že bude poskytovať poradenstvo o tom, ako zlepšiť ich spôsobilosti predchádzať incidentom, odhaľovať ich a reagovať na ne, že bude uľahčovať technické riešenie incidentov, ktoré majú významný alebo závažný vplyv, alebo že zabezpečí analýzy kybernetických hrozieb a incidentov. ENISA by mala uľahčovať technické riešenia incidentov, ktoré majú významný alebo závažný vplyv, najmä podporou zameranou na dobrovoľnú výmenu technických riešení medzi členskými štátmi alebo tým, že bude vypracúvať kombinované technické informácie, ako napríklad technické riešenia, ktoré dali dobrovoľne k dispozícii členské štáty. V odporúčaní (EÚ) 2017/1584 sa odporúča, aby členské štáty v dobrej viere spolupracovali a bez zbytočného odkladu sa vzájomne i s agentúrou ENISA delili o informácie o rozsiahlych incidentoch a krízach v oblasti kybernetickej bezpečnosti. Aj tieto informácie by agentúre ENISA pomohli pri plnení jej úlohy, pokiaľ ide o podporu operačnej spolupráce.

(35)

V rámci bežnej technickej spolupráce na podporu situačného povedomia Únie by mala agentúra ENISA v úzkej spolupráci s členskými štátmi vypracúvať pravidelné podrobné technické situačné správy o kybernetickej bezpečnosti v EÚ, ktoré sa týkajú incidentov a kybernetických hrozieb, a ktoré vychádzajú z verejne dostupných informácií, jej vlastných analýz a správ, ktoré jej poskytli jednotky CSIRT členských štátov alebo národné jednotné kontaktné miesta pre bezpečnosť sietí a informačných systémov (ďalej len „jednotné kontaktné miesta“) stanovené v smernici (EÚ) 2016/1148, v oboch prípadoch na dobrovoľnom základe, Európske centrum boja proti počítačovej kriminalite (EC3) pri Europole, CERT-EU a v náležitých prípadoch spravodajské a situačné centrum Európskej únie (EU INTCEN) v rámci Európskej služby pre vonkajšiu činnosť. Uvedená správa by sa mala sprístupniť Rade, Komisii, vysokému predstaviteľovi Únie pre zahraničné veci a bezpečnostnú politiku a sieti jednotiek CSIRT.

(36)

Podpora pri ex post technickom skúmaní incidentov s významným alebo závažným vplyvom, ktorú agentúra ENISA poskytuje na žiadosť dotknutých členských štátov, by sa mala zameriavať na predchádzanie incidentom v budúcnosti. Dotknuté členské štáty by mali agentúre ENISA poskytnúť potrebné informácie a pomoc, aby mohla účinne podporiť ex post technické skúmanie.

(37)

Členské štáty môžu prizvať podniky dotknuté daným incidentom k spolupráci v podobe poskytnutia potrebných informácií a pomoci agentúre ENISA bez toho, aby tým bolo dotknuté ich právo na ochranu citlivých obchodných informácií a informácií dôležitých z hľadiska verejnej bezpečnosti.

(38)

Na lepšie pochopenie výziev v oblasti kybernetickej bezpečnosti a v záujme dlhodobého strategického poradenstva pre členské štáty a inštitúcie, orgány, úrady a agentúry Únie musí agentúra ENISA analyzovať existujúce i nové kybernetickobezpečnostné riziká. Na to by agentúra ENISA mala v spolupráci s členskými štátmi a podľa potreby so štatistickými orgánmi a ďalšími orgánmi zbierať relevantné verejne dostupné alebo dobrovoľne zdieľané informácie, analyzovať nové technológie a poskytovať tematické posúdenie o očakávanom spoločenskom, právnom, hospodárskom a regulačnom vplyve technologických inovácií na sieťovú a informačnú bezpečnosť, najmä kybernetickú bezpečnosť. Agentúra ENISA by navyše mala členské štáty a inštitúcie, orgány, úrady a agentúry Únie podporovať pri identifikácii nových kybernetickobezpečnostných rizík a pri predchádzaní incidentom, a to analýzou kybernetických hrozieb, zraniteľnosti a incidentov.

(39)

V záujme posilnenia odolnosti Únie by agentúra ENISA mala rozvíjať odborné znalosti v oblasti kybernetickej bezpečnosti infraštruktúr, najmä s cieľom podpory odvetví uvedených v prílohe II k smernici (EÚ) 2016/1148, a infraštruktúr, ktoré používajú poskytovatelia digitálnych služieb uvedených v prílohe III k uvedenej smernici, a to poskytovaním poradenstva, vydávaním usmernení a výmenou najlepších postupov. S cieľom uľahčiť prístup k lepšie štruktúrovaným informáciám o kybernetickobezpečnostných rizikách a možných nápravách by agentúra ENISA mala zriadiť a udržiavať „informačné centrum“ Únie – portál s funkciou jednotného kontaktného miesta, ktorý bude verejnosti sprístupňovať informácie o kybernetickej bezpečnosti pochádzajúce od únijných a vnútroštátnych inštitúcií, orgánov, úradov a agentúr. Uľahčovanie prístupu k lepšie štruktúrovaným informáciám o kybernetickobezpečnostných rizikách a možných nápravách by mohlo tiež pomôcť členským štátom pri posilňovaní ich kapacít a zosúlaďovaní postupov, čo by zvýšilo ich celkovú odolnosť proti kybernetickým útokom.

(40)

Agentúra ENISA by mala prispievať k zvyšovaniu verejného povedomia o kybernetickobezpečnostných rizikách, a to aj celoúnijnou kampaňou a podporou vzdelávania, a poskytovaniu poradenstva o osvedčených postupoch pre jednotlivých užívateľov zameraného na občanov, organizácie a podniky. Agentúra ENISA by mala prispievať aj k propagácii najlepších postupov a riešení vrátane kybernetickej hygieny a kybernetickej gramotnosti na úrovni občanov, organizácii a podnikov, a to zhromažďovaním a analýzou verejne dostupných informácií o významných incidentoch a vypracúvaním a uverejňovaním správ a poradenstva pre občanov, organizácie a podniky s cieľom zvýšiť ich celkovú úroveň pripravenosti a odolnosti. Agentúra ENISA by sa mala takisto usilovať o to, aby spotrebiteľom poskytovala relevantné informácie o platných certifikačných systémoch, napríklad poskytovaním usmernení a odporúčaní. Agentúra ENISA by navyše mala v súlade s Akčným plánom digitálneho vzdelávania stanoveným v oznámení Komisie zo 17. januára 2018 a v spolupráci s členskými štátmi a inštitúciami, orgánmi, úradmi a agentúrami Únie organizovať pravidelné osvetové a vzdelávacie kampane pre verejnosť určené koncovým užívateľom a zamerané na propagáciu bezpečnejšieho správania jednotlivcov na internete a digitálnej gramotnosti, na zvyšovanie povedomia o možných kybernetických hrozbách vrátane internetovej trestnej činnosti, ako sú phishingové útoky, botnety, finančné a bankové podvody, incidenty zahŕňajúce podvody s údajmi, a na propagáciu základných rád v oblasti viacfaktorovej autentifikácie, aplikovania bezpečnostných záplat, šifrovania, anonymizácie a ochrany údajov.

(41)

Agentúra ENISA by mala zohrávať ústrednú úlohu pri urýchlení zvyšovania povedomia koncových užívateľov o bezpečnosti zariadení a bezpečnom využívaní služieb, a mala by na úrovni Únie propagovať zásady „bezpečnosť už v štádiu návrhu“ a „ochrana súkromia už v štádiu návrhu“. Pri sledovaní tohto cieľa by agentúra ENISA mala využívať dostupné najlepšie postupy a skúsenosti, najmä akademických inštitúcií a výskumných pracovníkov v oblasti bezpečnosti informačných technológií.

(42)

Na podporu podnikov pôsobiacich v odvetví kybernetickej bezpečnosti, ako aj užívateľov kybernetickobezpečnostných riešení by agentúra ENISA mala vytvoriť a udržiavať „monitor trhu“, ktorý bude pravidelne analyzovať a šíriť informácie o hlavných trendoch na trhu kybernetickej bezpečnosti, a to na strane dopytu, ako aj ponuky.

(43)

Agentúra ENISA by mala prispievať k úsiliu Únie v oblasti spolupráce s medzinárodnými organizáciami, ako aj v rámci príslušných medzinárodných rámcov spolupráce v oblasti kybernetickej bezpečnosti. Agentúra ENISA by predovšetkým mala podľa vhodnosti prispievať k spolupráci s organizáciami, ako je NATO, OBSE a OECD. Takáto spolupráca by mohla zahŕňať spoločné kybernetickobezpečnostné cvičenia a koordináciu spoločnej reakcie na incidenty. Uvedené činnosti sa majú vykonávať pri plnom rešpektovaní zásad inkluzívnosti, reciprocity a rozhodovacej autonómie Únie bez toho, aby bola dotknutá osobitná povaha bezpečnostnej a obrannej politiky ktoréhokoľvek členského štátu.

(44)

S cieľom zaistiť úplné splnenie svojich cieľov by agentúra ENISA mala udržiavať kontakty s relevantnými dozornými orgánmi Únie a inými príslušnými orgánmi v Únii, inštitúciami, orgánmi, úradmi a agentúrami Únie vrátane tímu CERT-EU, EC3, Európskej obrannej agentúry (EDA), Agentúry pre európsky globálny navigačný satelitný systém (Agentúry pre európsky GNSS), Orgánu európskych regulátorov pre elektronické komunikácie (BEREC), Európskej agentúry na prevádzkové riadenie rozsiahlych informačných systémov v priestore slobody, bezpečnosti a spravodlivosti (eu-LISA), Európskej centrálnej banky (ECB), Európskeho orgánu pre bankovníctvo (EBA), Európskeho výboru pre ochranu údajov, Agentúry pre spoluprácu regulačných orgánov v oblasti energetiky (ACER), Agentúry Európskej únie pre bezpečnosť letectva (EASA) a všetkých ďalších agentúr Únie angažovaných v otázkach kybernetickej bezpečnosti. Okrem toho by agentúra ENISA mala udržiavať kontakty aj s orgánmi zodpovednými za ochranu údajov s cieľom vymieňať si know-how a najlepšie postupy a poskytovať poradenstvo o otázkach kybernetickej bezpečnosti, ktoré môžu ovplyvniť ich prácu. Zástupcovia vnútroštátnych orgánov a orgánov Únie v oblasti presadzovania práva a ochrany údajov by mali byť oprávnení na zastúpenie v poradnej skupine agentúry ENISA. Pri styku s orgánmi presadzovania práva v otázkach sieťovej a informačnej bezpečnosti, ktoré by mohli mať vplyv na ich prácu, by agentúra ENISA mala rešpektovať existujúce informačné kanály a zavedené siete.

(45)

Mohli by sa vytvárať partnerstvá s akademickými inštitúciami, ktoré majú výskumné iniciatívy v relevantných oblastiach, pričom pre vstupy od spotrebiteľských a iných organizácií by mali byť k dispozícii vhodné kanály a mali by sa zohľadňovať.

(46)

Agentúra ENISA by vo svojej funkcii sekretariátu siete jednotiek CSIRT mala podporovať jednotky CSIRT členských štátov a tím CERT-EU v operačnej spolupráci v súvislosti s relevantnými úlohami siete jednotiek CSIRT uvedenými v smernici (EÚ) 2016/1148. Ďalej by agentúra ENISA mala presadzovať a podporovať spoluprácu medzi príslušnými jednotkami CSIRT v prípade incidentov, útokov alebo narušení sietí alebo infraštruktúr pod ich správou alebo ochranou, ktoré zahŕňajú alebo môžu zahŕňať aspoň dve jednotky CSIRT, pričom sa riadne zohľadnia štandardné operačné postupy siete jednotiek CSIRT.

(47)

V záujme lepšej pripravenosti Únie reagovať na incidenty by agentúra ENISA mala pravidelne organizovať kybernetickobezpečnostné cvičenia na úrovni Únie a na žiadosť by mala podporovať členské štáty a inštitúcie, orgány, úrady a agentúry Únie pri organizácii takých cvičení. Raz za dva roky by sa mali organizovať rozsiahle komplexné cvičenia, ktoré by zahŕňali technické, operačné alebo strategické prvky. Okrem toho agentúra ENISA by mala pravidelne organizovať menej komplexné cvičenia s rovnakým cieľom lepšej pripravenosti Únie reagovať na incidenty.

(48)

Agentúra ENISA by mala ďalej rozvíjať a udržiavať odborné znalosti, ktoré sa týkajú certifikácie kybernetickej bezpečnosti, v záujme podpory politiky Únie v tejto oblasti. Agentúra ENISA by mala stavať na existujúcich najlepších postupoch a podporovať zavádzanie certifikácie kybernetickej bezpečnosti v Únii, a to aj tým, že prispeje k vytvoreniu a udržiavaniu rámca certifikácie kybernetickej bezpečnosti na úrovni Únie (Európsky rámec certifikácie kybernetickej bezpečnosti), aby sa posilnila transparentnosť dôveryhodnosti kybernetickej bezpečnosti produktov IKT, služieb IKT a procesov IKT, a tým sa posilnila dôvera v digitálny vnútorný trh a jeho konkurencieschopnosť.

(49)

Účinné politiky kybernetickej bezpečnosti by mali vychádzať z podrobne vyvinutých metód posudzovania rizika vo verejnom i v súkromnom sektore. Metódy posudzovania rizika sa používajú na rôznych úrovniach bez spoločného postupu ich účinného uplatňovania. Podpora a vývoj najlepších postupov v oblasti posudzovania rizika a interoperabilných riešení riadenia rizika v organizáciách verejného a súkromného sektora zvýšia úroveň kybernetickej bezpečnosti v Únii. S týmto cieľom by agentúra ENISA mala podporovať spoluprácu zainteresovaných strán na úrovni Únie a uľahčovať ich úsilie o tvorbu a zavádzanie európskych a medzinárodných noriem pre riadenie rizika a merateľnú bezpečnosť elektronických produktov, systémov, sietí a služieb, ktoré spolu so softvérom tvoria sieťové a informačné systémy.

(50)

Agentúra ENISA by mala podnecovať členské štáty, výrobcov alebo poskytovateľov produktov IKT, služieb IKT alebo procesov IKT k sprísňovaniu ich všeobecných bezpečnostných noriem tak, aby všetci užívatelia internetu mohli podniknúť kroky potrebné na zaistenie svojej osobnej kybernetickej bezpečnosti a boli k tomu motivovaní. Najmä výrobcovia a poskytovatelia produktov IKT, služieb IKT alebo procesov IKT by mali poskytovať potrebné aktualizácie a sťahovať od spotrebiteľov alebo z trhu či prepracúvať produkty IKT, služby IKT alebo procesy IKT, ktoré nespĺňajú kybernetickobezpečnostné normy, zatiaľ čo dovozcovia a distribútori by mali zabezpečiť, aby produkty IKT, služby IKT a procesy IKT, ktoré uvádzajú na trh Únie, boli v súlade s príslušnými požiadavkami a nepredstavovali riziko pre spotrebiteľov Únie.

(51)

V spolupráci s príslušnými orgánmi by agentúra ENISA mala šíriť informácie o úrovni kybernetickej bezpečnosti produktov IKT, služieb IKT a procesov IKT ponúkaných na vnútornom trhu, varovať pred určitými výrobcami alebo poskytovateľmi produktov IKT, služieb IKT alebo procesov IKT a žiadať ich o zvýšenie bezpečnosti ich produktov IKT, služieb IKT a procesov IKT vrátane kybernetickej bezpečnosti.

(52)

Pri poskytovaní poradenstva inštitúciám, orgánom, úradom a agentúram Únie a na požiadanie prípadne aj členským štátom o potrebách a prioritách výskumu v oblasti kybernetickej bezpečnosti by agentúra ENISA mala plne zohľadňovať výskum, vývoj a technologické posudzovanie, ktoré prebiehajú najmä v rámci rôznych výskumných iniciatív Únie. S cieľom určiť výskumné potreby a priority by agentúra ENISA mala konzultovať aj príslušné skupiny užívateľov. Konkrétnejšie by sa mohla nadviazať spolupráca s Európskou radou pre výskum, Európskym inovačným a technologickým inštitútom a Inštitútom Európskej únie pre bezpečnostné štúdie.

(53)

Agentúra ENISA by mala pri príprave európskych systémov certifikácie kybernetickej bezpečnosti pravidelne viesť konzultácie s normalizačnými organizáciami, najmä európskymi normalizačnými organizáciami.

(54)

Kybernetické hrozby sú globálnym problémom. Je potrebná užšia medzinárodná spolupráca s cieľom zlepšiť kybernetickobezpečnostné normy vrátane potreby vymedzenia spoločných noriem správania, prijatia kódexov správania, uplatňovania medzinárodných noriem a výmeny informácií, presadzovania rýchlejšej medzinárodnej spolupráce pri reakcii na problémy týkajúce sa sieťovej a informačnej bezpečnosti, ako aj presadzovania spoločného globálneho prístupu k týmto problémom. Agentúra ENISA by na tento účel mala podporovať výraznejšie kontakty a spoluprácu Únie s tretími krajinami a medzinárodnými organizáciami tým, že vo vhodných prípadoch poskytne potrebné odborné znalosti a analýzu príslušným inštitúciám, orgánom, úradom a agentúram Únie.

(55)

Agentúra ENISA by mala byť schopná reagovať na ad hoc žiadosti členských štátov a inštitúcií, orgánov, úradov a agentúr Únie o poradenstvo a pomoc v záležitostiach, na ktoré sa vzťahuje mandát agentúry ENISA.

(56)

Je rozumné a odporúča sa uplatňovať určité zásady týkajúce sa správy agentúry ENISA s cieľom dodržiavať spoločné vyhlásenie a spoločný prístupu, ktoré boli dohodnuté medziinštitucionálnou pracovnou skupinou pre decentralizované agentúry EÚ v júli 2012, ktorých cieľom je zefektívniť činnosti decentralizovaných agentúr a zlepšiť ich výkonnosť. Odporúčania v spoločnom vyhlásení a spoločnom prístupe by sa mali podľa potreby odraziť aj v pracovných programoch agentúry ENISA, jej hodnoteniach a jej praxi v oblasti podávania správ a administratívy.

(57)

Správna rada zložená zo zástupcov členských štátov a Komisie by mala stanoviť všeobecné smerovanie činnosti agentúry ENISA a zabezpečiť, aby agentúra ENISA vykonávala svoje úlohy v súlade s týmto nariadením. Správna rada by mala mať potrebné právomoci na zostavovanie rozpočtu, overovanie plnenia rozpočtu, prijatie vhodných rozpočtových pravidiel, stanovenie transparentných pracovných postupov rozhodovania agentúry ENISA, prijatie jednotného programového dokumentu agentúry ENISA, prijatie vlastného rokovacieho poriadku, menovanie výkonného riaditeľa a rozhodovanie o predĺžení a ukončení jeho funkčného obdobia.

(58)

Aby agentúra ENISA mohla riadne a efektívne fungovať, Komisia a členské štáty by mali zabezpečiť, aby osoby, ktoré majú byť vymenované za členov správnej rady, mali zodpovedajúce odborné znalosti a skúsenosti. Komisia a členské štáty by mali vynaložiť úsilie aj na obmedzenie obmeny svojich zástupcov v správnej rade s cieľom zabezpečiť kontinuitu jej práce.

(59)

V záujme bezproblémového fungovania agentúry ENISA je nevyhnutné, aby bol jej výkonný riaditeľ vymenovaný na základe zásluh a zdokumentovaných administratívnych a riadiacich schopností, ako aj na základe spôsobilosti a skúseností v oblasti kybernetickej bezpečnosti. Výkonný riaditeľ by mal vykonávať svoje povinnosti úplne nezávisle. Výkonný riaditeľ by mal pripraviť návrh ročného pracovného programu agentúry ENISA po predchádzajúcej konzultácii s Komisiou a prijať všetky potrebné opatrenia na zabezpečenie riadneho vykonávania uvedeného pracovného programu. Výkonný riaditeľ by mal vypracovať výročnú správu, ktorej súčasťou bude plnenie ročného pracovného programu agentúry ENISA a ktorá sa predloží správnej rade, vypracovať návrh výkazu odhadov príjmov a výdavkov agentúry ENISA a plniť rozpočet. Výkonný riaditeľ by okrem toho mal mať možnosť zriadiť ad hoc pracovné skupiny zamerané na osobitné záležitosti najmä vedeckej, technickej, právnej či sociálno-ekonomickej povahy. Zriadenie ad hoc pracovnej skupiny sa považuje za potrebné najmä v súvislosti s vypracovaním konkrétneho kandidátskeho európskeho systému certifikácie kybernetickej bezpečnosti (ďalej len „kandidátsky systém“). Výkonný riaditeľ by mal zabezpečiť, aby sa členovia ad hoc pracovných skupín vyberali podľa najprísnejších požiadaviek na odbornosť s cieľom zabezpečiť rodovú rovnováhu a primeranú rovnováhu medzi verejnými správami členských štátov, inštitúciami, orgánmi, úradmi a agentúrami Únie, súkromným sektorom vrátane príslušného priemyselného odvetvia, užívateľmi a akademickými expertmi v oblasti sieťovej a informačnej bezpečnosti, a to podľa konkrétnej tematiky.

(60)

Výkonná rada by mala prispievať k efektívnej činnosti správnej rady. V rámci prípravných prác spojených s rozhodnutiami správnej rady by výkonná rada mala podrobne skúmať relevantné informácie a dostupné možnosti, radiť a ponúkať riešenia na prípravu rozhodnutí správnej rady.

(61)

Agentúra ENISA by mala mať poradnú skupinu ENISA ako poradný orgán s cieľom zabezpečiť pravidelný dialóg so súkromným sektorom, spotrebiteľskými organizáciami a inými príslušnými zainteresovanými stranami. Poradná skupina ENISA zriadená správnou radou na návrh výkonného riaditeľa by sa mala zameriavať na otázky dôležité pre zainteresované strany a mala by na ne upriamovať pozornosť agentúry ENISA. Poradná skupina ENISA by mala byť konzultovaná najmä v súvislosti s návrhom ročného pracovného programu agentúry ENISA. Zloženie poradnej skupiny ENISA a úlohy zverené tejto skupine by mali zabezpečiť dostatočné zastúpenie zainteresovaných strán na práci agentúry ENISA.

(62)

S cieľom pomáhať agentúre ENISA a Komisii pri uľahčovaní konzultácií s príslušnými zainteresovanými stranami by sa mala zriadiť skupina zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti. Skupina zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti by mala byť zložená z členov, ktorí vo vyváženom pomere zastupujú príslušné priemyselné odvetvie vrátane najmä malých a stredných podnikov, a to tak na strane dopytu, ako aj na strane ponuky produktov IKT a služieb IKT, poskytovateľov digitálnych služieb, európske a medzinárodné normalizačné orgány, vnútroštátne akreditačné orgány, dozorné orgány pre ochranu údajov a orgány posudzovania zhody podľa nariadenia Európskeho parlamentu a Rady (ES) č. 765/2008 (16), a akademickú obec, ako aj spotrebiteľské organizácie.

(63)

Agentúra ENISA by mala zaviesť pravidlá na predchádzanie konfliktov záujmov a ich riešenie. Agentúra ENISA by mala tiež uplatňovať príslušné pravidlá Únie týkajúce sa prístupu verejnosti k dokumentom, ako sa stanovujú v nariadení Európskeho parlamentu a Rady (ES) č. 1049/2001 (17). Na spracúvanie osobných údajov agentúrou ENISA by sa malo vzťahovať nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 (18). Agentúra ENISA by mala dodržiavať ustanovenia platné pre inštitúcie, orgány, úrady a agentúry Únie, ako aj vnútroštátne právne predpisy o manipulácii s informáciami, najmä s citlivými neutajovanými skutočnosťami a utajovanými skutočnosťami Európskej únie.

(64)

S cieľom zaručiť úplnú autonómiu a nezávislosť agentúry ENISA a umožniť jej plniť ďalšie úlohy vrátane nepredvídaných naliehavých úloh by sa mal agentúre ENISA udeliť dostatočný a nezávislý rozpočet, ktorého príjmy by mali pochádzať predovšetkým z príspevku Únie a príspevkov tretích krajín, ktoré sa podieľajú na práci agentúry ENISA. Primeraný rozpočet je rozhodujúci na zabezpečenie toho, aby agentúra ENISA mala dostatočné kapacity na plnenie všetkých svojich pribúdajúcich úloh a na dosahovanie svojich cieľov. Väčšina personálu agentúry ENISA by mala byť priamo zapojená do operačného plnenia mandátu agentúry ENISA. Hostiteľský členský štát a akýkoľvek iný členský štát by mali mať možnosť dobrovoľne prispievať do rozpočtu agentúry ENISA. Pokiaľ ide o akékoľvek dotácie hradené zo všeobecného rozpočtu Únie, naďalej by sa mal uplatňovať rozpočtový postup Únie. Okrem toho by Dvor audítorov mal vykonávať audit účtov agentúry ENISA v záujme transparentnosti a zodpovednosti.

(65)

Certifikácia kybernetickej bezpečnosti zohráva významnú úlohu pri posilňovaní dôvery v produkty IKT, služby IKT a procesy IKT, ako aj ich bezpečnosti. Digitálny jednotný trh, a najmä dátové hospodárstvo a IoT môžu prosperovať, iba ak široká verejnosť verí, že takéto produkty, služby a procesy zaručujú určitú mieru kybernetickej bezpečnosti. Prepojené a automatizované vozidlá, elektronické zdravotnícke pomôcky, riadiace systémy priemyselnej automatizácie a inteligentné siete sú iba niekoľkými príkladmi odvetví, kde už sa certifikácia bežne využíva alebo sa začne využívať v blízkej budúcnosti. Aj v odvetviach, ktoré upravuje smernica (EÚ) 2016/1148, je certifikácia kybernetickej bezpečnosti kľúčová.

(66)

Vo svojom oznámení s názvom Posilnenie odolnosti kybernetického systému a podpora konkurencieschopného a inovačného odvetvia kybernetickej bezpečnosti v Európe z roku 2016 Komisia načrtla potrebu kvalitných, cenovo dostupných a interoperabilných produktov a riešení v oblasti kybernetickej bezpečnosti. Ponuka produktov IKT, služieb IKT a procesov IKT na jednotnom trhu je geograficky stále veľmi fragmentovaná. Dôvodom je, že vývoj odvetvia kybernetickej bezpečnosti v Európe sa do značnej miery riadil dopytom verejných správ jednotlivých štátov. Medzi ďalšie nedostatky ovplyvňujúce jednotný trh v oblasti kybernetickej bezpečnosti patrí absencia interoperabilných riešení (technických noriem), postupov a celoúnijných mechanizmov certifikácie. Európskym podnikom to sťažuje možnosť konkurovať si na národnej úrovni, na úrovni Únie i na svetovej úrovni. Na druhej sa tým okliešťuje ponuka reálne využiteľných technológií kybernetickej bezpečnosti, ku ktorým majú fyzické osoby a podniky prístup. Podobne Komisia vo svojom oznámení z roku 2017 o preskúmaní vykonávania stratégie digitálneho jednotného trhu v polovici trvania – Prepojený digitálny jednotný trh pre všetkých zdôraznila potrebu bezpečných pripojených produktov a systémov a naznačila, že vytvorenie európskeho rámca bezpečnosti IKT, v ktorom sa stanovia pravidlá organizovania certifikácie bezpečnosti IKT v Únii, by mohlo zachovať dôveru v internet a zároveň vyriešiť súčasnú fragmentáciu vnútorného trhu.

(67)

Certifikácia kybernetickej bezpečnosti produktov IKT, služieb IKT a procesov IKT sa v súčasnosti využíva iba obmedzene. Ak sa uplatňuje, je to zväčša na úrovni členských štátov alebo z iniciatívy príslušného priemyselného odvetvia. V tejto súvislosti certifikát vystavený niektorým vnútroštátnym orgánom pre certifikáciu kybernetickej bezpečnosti v zásade iné členské štáty neuznávajú. Môže sa teda stať, že spoločnosti musia svoje produkty IKT, služby IKT a procesy IKT certifikovať v niekoľkých členských štátoch, v ktorých pôsobia, napríklad ak sa chcú zapojiť do ich vnútroštátnych postupov obstarávania, čím sa im zvyšujú náklady. Okrem toho, hoci sa objavujú nové systémy, zdá sa, že neexistuje koherentný a holistický prístup k horizontálnym otázkam kybernetickej bezpečnosti, ako napríklad v oblasti IoT. Existujúce systémy vykazujú výrazné nedostatky a rozdiely z hľadiska škály pokrytia produktov, stupňov dôveryhodnosti, vecných kritérií a samotného využitia, v dôsledku čoho sa v rámci Únie nemôžu využívať mechanizmy vzájomného uznávania.

(68)

Boli určité snahy s cieľom zabezpečiť vzájomné uznávanie certifikátov v Únii. Úspešné však boli iba sčasti. Najvýznamnejším príkladom v tomto smere je dohoda skupiny vysokých úradníkov pre bezpečnosť informačných systémov (SOG-IS) o vzájomnom uznávaní (DVU). Hoci ide o najvýznamnejší model spolupráce a vzájomného uznávania v oblasti bezpečnostnej certifikácie, do SOG-IS je zapojených len niekoľko členských štátov. Táto skutočnosť obmedzila účinnosť dohody SOG-IS DVU z hľadiska vnútorného trhu.

(69)

Je preto potrebné zaujať spoločný prístup a zriadiť európsky rámec certifikácie kybernetickej bezpečnosti, v ktorom sa stanovia základné horizontálne požiadavky kladené na európske systémy certifikácie kybernetickej bezpečnosti, ktoré sa majú vytvoriť, a ktorým sa umožní uznávanie a využívanie európskych certifikátov kybernetickej bezpečnosti a EÚ vyhlásení o zhode pre produkty IKT, služby IKT alebo procesy IKT vo všetkých členských štátoch. Pri tom je nevyhnutné stavať na súčasných vnútroštátnych a medzinárodných systémoch, ako aj na systémoch vzájomného uznávania, najmä na SOG-IS, a umožniť plynulý prechod z týchto existujúcich systémov na systémy v novom európskom rámci certifikácie kybernetickej bezpečnosti. Tento európsky rámec certifikácie kybernetickej bezpečnosti by mal plniť dvojaký účel. Po prvé, mal by prispievať k posilneniu dôvery v produkty IKT, služby IKT a procesy IKT certifikované podľa európskych systémov certifikácie kybernetickej bezpečnosti. Po druhé, mal by pomôcť zabrániť množeniu odporujúcich si či prekrývajúcich sa vnútroštátnych systémov certifikácie kybernetickej bezpečnosti, čím by sa znížili náklady podnikov pôsobiacich na digitálnom jednotnom trhu. Európske systémy certifikácie kybernetickej bezpečnosti by mali byť nediskriminačné a založené na európskych alebo medzinárodných normách, pokiaľ tieto normy nie sú neúčinné alebo nevhodné na plnenie legitímnych cieľov Únie v tomto ohľade.

(70)

Európsky rámec certifikácie kybernetickej bezpečnosti by sa mal zaviesť jednotne vo všetkých členských štátoch, aby sa zabránilo praxi tzv. nakupovania certifikátov v dôsledku rozdielnych úrovní prísnosti v rôznych členských štátoch.

(71)

Európske systémy certifikácie kybernetickej bezpečnosti by mali vychádzať z toho, čo už existuje na medzinárodnej a vnútroštátnej úrovni, a v prípade potreby z technických špecifikácií z fór a konzorcií, pričom by sa zužitkovali skúseností zo súčasných silných stránok a tiež posúdili a odstránili nedostatky.

(72)

Aby si dané odvetvie udržiavalo náskok pred kybernetickými hrozbami, sú potrebné pružné riešenia v oblasti kybernetickej bezpečnosti, a preto by každý systém certifikácie mal byť navrhnutý tak, aby nemohol byť skoro zastaraný.

(73)

Komisia by mala byť splnomocnená na prijímanie európskych systémov certifikácie kybernetickej bezpečnosti v súvislosti s konkrétnymi skupinami produktov IKT, služieb IKT a procesov IKT. Implementáciu týchto systémov a dozor nad nimi by mali vykonávať vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti, pričom certifikáty vydané podľa týchto systémov by mali byť platné a uznávané v celej Únii. Toto nariadenie by sa nemalo vzťahovať na certifikačné systémy, ktoré prevádzkuje príslušné odvetvie alebo iné súkromné organizácie. Orgánom, ktoré takéto systémy prevádzkujú, by sa však malo umožniť Komisii navrhnúť, aby zvážila použitie týchto systémov ako základu pre ich schválenie ako európskeho systému certifikácie kybernetickej bezpečnosti.

(74)

Ustanoveniami tohto nariadenia by nemali byť dotknuté právne predpisy Únie stanovujúce konkrétne pravidlá certifikácie produktov IKT, služieb IKT a procesov IKT. Konkrétne v nariadení (EÚ) 2016/679 sa stanovuje zavedenie certifikačných mechanizmov, ako aj pečatí a značiek ochrany údajov na preukázanie súladu spracovateľských operácií prevádzkovateľov a sprostredkovateľov s uvedeným nariadením. Tieto certifikačné mechanizmy, ako aj pečate a značky ochrany údajov, by mali dotknutým osobám umožniť rýchle vyhodnotiť, nakoľko príslušné produkty IKT, služby IKT a procesy IKT chránia údaje. Týmto nariadením nie je dotknutá certifikácia operácií spracúvania údajov podľa nariadenia (EÚ) 2016/679, čo platí aj pre prípady, keď sú takéto operácie súčasťou produktov IKT, služieb IKT a procesov IKT.

(75)

Účelom európskych systémov certifikácie kybernetickej bezpečnosti by malo byť, že sa zabezpečí, aby produkty IKT, služby IKT a procesy IKT, ktoré boli certifikované takýmto systémom, spĺňali uvedené požiadavky s cieľom chrániť dostupnosť, pravosť, integritu a dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich funkcií či služieb, ktoré tieto produkty, služby a procesy poskytujú alebo sprístupňujú, a to počas ich celého životného cyklu. V tomto nariadení nie je možné stanoviť podrobné požiadavky kybernetickej bezpečnosti pre všetky produkty IKT, služby IKT a procesy IKT. Produkty IKT, služby IKT a procesy IKT, ako aj potreby v oblasti kybernetickej bezpečnosti týkajúce sa uvedených produktov, služieb a procesov, sú také rozmanité, že je veľmi ťažké stanoviť všeobecné požiadavky kybernetickej bezpečnosti, ktoré by sa dali uplatniť za každých okolností. Je preto potrebné prijať široký a všeobecný koncept kybernetickej bezpečnosti na účely certifikácie, ktorý by mal byť doplnený súborom špecifických cieľov kybernetickej bezpečnosti, ktoré treba zohľadniť pri navrhovaní európskych systémov certifikácie kybernetickej bezpečnosti. Spôsoby, ktorými sa tieto ciele majú dosiahnuť pri konkrétnych produktoch IKT, službách IKT a procesoch IKT, by sa potom mali podrobne vymedziť na úrovni príslušného certifikačného systému prijatého Komisiou, napríklad odkazom na normy alebo technické špecifikácie, ak vhodné normy nie sú k dispozícii.

(76)

Pri určovaní technických špecifikácií, ktoré sa majú použiť v európskych systémoch certifikácie kybernetickej bezpečnosti, by sa mali dodržiavať požiadavky stanovené v prílohe II k nariadeniu Európskeho parlamentu a Rady (EÚ) č. 1025/2012 (19). Niektoré odchýlky od týchto požiadaviek by sa však mohli považovať za potrebné v riadne odôvodnených prípadoch, ak sa tieto technické špecifikácie majú využívať v európskom systéme certifikácie kybernetickej bezpečnosti, ktorý sa vzťahuje na stupeň dôveryhodnosti „vysoký“. Dôvody týchto odchýlok by sa mali zverejniť.

(77)

Certifikované posudzovanie zhody je proces hodnotenia, či boli uvedené požiadavky týkajúce sa produktu IKT, služby IKT alebo procesu IKT splnené. Tento proces vykonáva nezávislá tretia strana, ktorá nie je výrobcom ani poskytovateľom produktov IKT, služieb IKT alebo procesov IKT, ktoré sa posudzujú. Európsky certifikát kybernetickej bezpečnosti by mal byť vydaný po úspešnom hodnotení produktu IKT, služby IKT alebo procesu IKT. Európsky certifikát kybernetickej bezpečnosti by sa mal považovať za potvrdenie, že hodnotenie bolo vykonané správne. V závislosti od stupňa dôveryhodnosti by mal európsky systém certifikácie kybernetickej bezpečnosti uvádzať, či európsky certifikát kybernetickej bezpečnosti vydal súkromný alebo verejný subjekt. Posudzovanie zhody a certifikácia nemôžu samy osebe zaručiť, že certifikované produkty IKT, služby IKT a procesy IKT sú kyberneticky bezpečné. Namiesto toho ide o postupy a technické metodiky na potvrdenie toho, že produkty IKT, služby IKT a procesy IKT boli preskúšané a spĺňajú určité požiadavky kybernetickej bezpečnosti stanovené inde, napríklad v technických normách.

(78)

Užívatelia európskych certifikátov kybernetickej bezpečnosti by si mali vhodnú certifikáciu a súvisiace bezpečnostné požiadavky vyberať na základe analýzy rizika spojeného s využívaním produktu IKT, služby IKT alebo procesu IKT. Stupeň dôveryhodnosti by mal zodpovedať úrovni rizika spojeného s plánovaným využívaním daného produktu IKT, služby IKT alebo procesu IKT.

(79)

Európske systémy certifikácie kybernetickej bezpečnosti by mohli umožňovať, aby sa posudzovanie zhody vykonávalo na výhradnú zodpovednosť výrobcu alebo poskytovateľa produktov IKT, služieb IKT alebo procesov IKT (ďalej len „vlastné posúdenie zhody“). V takýchto prípadoch by malo stačiť, aby výrobca alebo poskytovateľ produktov IKT, služieb IKT alebo procesov IKT vykonal všetky kontroly sám s cieľom zabezpečiť zhodu produktov IKT, služieb IKT alebo procesov IKT s európskym systémom certifikácie kybernetickej bezpečnosti. Vlastné posúdenie zhody by sa malo považovať za vhodné pre menej zložité produkty IKT, služby IKT alebo procesy IKT, ktoré predstavujú nízke riziko z hľadiska verejného záujmu, napríklad z dôvodu jednoduchého dizajnu a produkčných mechanizmov. Okrem toho by vlastné posúdenie zhody malo byť dovolené len pre produkty IKT, služby IKT alebo procesy IKT, ktoré zodpovedajú stupňu dôveryhodnosti „základný“.

(80)

Európske systémy certifikácie kybernetickej bezpečnosti by mohli umožňovať vlastné posúdenia zhody a certifikácie produktov IKT, služieb IKT alebo procesov IKT. V takomto prípade by mal systém poskytovať jasné a zrozumiteľné prostriedky, ktoré by spotrebiteľom alebo iným užívateľom umožnili rozlišovať medzi produktmi IKT, službami IKT alebo procesmi IKT, v súvislosti s ktorými je výrobca alebo poskytovateľ produktov IKT, služieb IKT alebo procesov IKT zodpovedný za posúdenie, a produktmi IKT, službami IKT a procesmi IKT, ktoré certifikuje tretia strana.

(81)

Výrobcovi alebo poskytovateľovi produktov IKT, služieb IKT alebo procesov IKT, ktorý vykonáva vlastné posúdenie zhody, by sa malo umožniť vydávať a podpisovať EÚ vyhlásenie o zhode ako súčasť postupu posudzovania zhody. EÚ vyhlásenie o zhode je dokument, v ktorom sa uvádza, že konkrétny produkt IKT, služba IKT alebo proces IKT spĺňa požiadavky európskeho systému certifikácie kybernetickej bezpečnosti. Vydaním a podpisom EÚ vyhlásenia o zhode preberá výrobca alebo poskytovateľ produktov IKT, služieb IKT alebo procesov IKT zodpovednosť za súlad produktu IKT, služby IKT alebo procesu IKT s právnymi požiadavkami európskeho systému certifikácie kybernetickej bezpečnosti. Kópia EÚ vyhlásenia o zhode by sa mala odovzdať vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti a agentúre ENISA.

(82)

Výrobcovia alebo poskytovatelia produktov IKT, služieb IKT alebo procesov IKT by mali mať EÚ vyhlásenie o zhode, technickú dokumentáciu a všetky ďalšie relevantné informácie, ktoré sa týkajú zhody produktov IKT, služieb IKT alebo procesov IKT s európskym systémom certifikácie kybernetickej bezpečnosti, k dispozícii pre príslušný vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti počas obdobia stanoveného v príslušnom európskom systéme certifikácie kybernetickej bezpečnosti. V technickej dokumentácii by sa mali uviesť uplatniteľné požiadavky podľa systému a mala by zahŕňať návrh, výrobu a používanie produktu IKT, služby IKT alebo procesu IKT v rozsahu relevantnom pre vlastné posúdenie zhody. Technická dokumentácia by mala byť zostavená tak, aby bolo možné vykonať posúdenie súladu produktu IKT, služby IKT alebo procesu IKT s požiadavkami uplatniteľnými podľa uvedeného systému.

(83)

Pri správe európskeho rámca certifikácie kybernetickej bezpečnosti sa zohľadňuje zapojenie členských štátov, ako aj vhodné zapojenie zainteresovaných strán a stanovuje sa úloha Komisie počas plánovania a navrhovania európskych systémov certifikácie kybernetickej bezpečnosti, podávania žiadosti o ne, ich prípravy, prijímania a preskúmavania.

(84)

Komisia by mala pripraviť priebežný pracovný program Únie pre európske systémy certifikácie kybernetickej bezpečnosti, a to s podporou európskej skupiny pre certifikáciu kybernetickej bezpečnosti (ďalej len „ECCG“ – European Cybersecurity Certification Group) a skupiny zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti a po otvorených a rozsiahlych konzultáciách, a mala by ho uverejniť vo forme nezáväzného nástroja. Priebežný pracovný program Únie by mal byť strategickým dokumentom, ktorý by najmä príslušnému odvetviu, vnútroštátnym orgánom a orgánom pre normalizáciu umožnil vopred sa pripraviť na budúce európske systémy certifikácie kybernetickej bezpečnosti. Priebežný pracovný program Únie by mal zahŕňať viacročný prehľad žiadostí, ktoré sa týkajú kandidátskych systémov a ktoré má Komisia v úmysle predložiť agentúre ENISA na účely prípravy na základe špecifických dôvodov. Komisia by mala priebežný pracovný program Únie zohľadniť pri príprave priebežného plánu normalizácie IKT a normalizačných žiadostí adresovaných európskym normalizačným organizáciám. Vzhľadom na rýchle zavádzanie nových technológií a ich využívanie užívateľmi a spoločnosťami, vznik predtým neznámych kybernetickobezpečnostných rizík a legislatívny vývoj a vývoj trhu by Komisia alebo ECCG mala byť oprávnená požiadať agentúru ENISA o prípravu kandidátskych systémov, ktoré neboli zahrnuté do priebežného pracovného programu Únie. V takýchto prípadoch by Komisia a ECCG mali tiež posúdiť nevyhnutnosť takejto žiadosti, pričom zohľadnia celkové zámery a ciele tohto nariadenia a potrebu zabezpečiť kontinuitu agentúry ENISA z hľadiska plánovania a využívania zdrojov.

Po predložení takej žiadosti by agentúra ENISA mala bez zbytočného odkladu pripraviť kandidátske systémy pre konkrétne produkty IKT, služby IKT a procesy IKT. Komisia by mala vyhodnotiť pozitívny a negatívny vplyv svojej žiadosti na konkrétny dotknutý trh, najmä na MSP, inováciu, prekážky vstupu na uvedený trh a náklady koncových užívateľov. Komisia by mala byť splnomocnená prijať prostredníctvom vykonávacích aktov európsky systém certifikácie kybernetickej bezpečnosti, ktorý by sa zakladal na kandidátskom systéme pripravenom agentúrou ENISA. Európske systémy certifikácie kybernetickej bezpečnosti prijaté Komisiou by mali uvádzať minimálny súbor prvkov, ktoré sa vzťahujú na zameranie, rozsah a fungovanie daného systému, pričom sa v nich zohľadní všeobecný účel a bezpečnostné ciele stanovené v tomto nariadení. Medzi uvedené prvky by mal okrem iného patriť rozsah a predmet certifikácie kybernetickej bezpečnosti vrátane kategórií pokrytých produktov IKT, služieb IKT a procesov IKT, podrobného vymedzenia požiadaviek kybernetickej bezpečnosti (napríklad v podobe odkazu na normy alebo technické špecifikácie), konkrétnych hodnotiacich kritérií a hodnotiacich metód, ako aj cieľového stupňa dôveryhodnosti („základný“, „pokročilý“ alebo „vysoký“) a prípadných stupňov hodnotenia. Agentúre ENISA by sa malo umožniť odmietnuť žiadosť ECCG. Takéto rozhodnutia by mala prijímať správna rada a malo by byť riadne odôvodnené.

(85)

Agentúra ENISA by mala udržiavať webové sídlo, na ktorom by sa poskytovali informácie o európskych systémoch certifikácie kybernetickej bezpečnosti a prostredníctvom ktorého by sa propagovali, pričom by sa na ňom okrem iného uvádzali žiadosti o prípravu kandidátskeho systému, ako aj spätná väzba v rámci procesu konzultácií, ktorý uskutočňuje agentúra ENISA v prípravnej fáze. Toto webové sídlo by malo poskytovať aj informácie o európskych certifikátoch kybernetickej bezpečnosti a EÚ vyhláseniach o zhode vydaných podľa tohto nariadenia vrátane informácií o odňatí a skončení platnosti takýchto európskych certifikátov kybernetickej bezpečnosti a EÚ vyhlásení o zhode. Na tomto webovom sídle by sa tiež mali uvádzať vnútroštátne systémy certifikácie kybernetickej bezpečnosti, ktoré boli nahradené európskym systémom certifikácie kybernetickej bezpečnosti.

(86)

Stupeň dôveryhodnosti európskeho systému certifikácie je základ pre presvedčenie, že produkt IKT, služba IKT alebo proces IKT spĺňa bezpečnostné požiadavky konkrétneho európskeho systému certifikácie kybernetickej bezpečnosti. S cieľom zabezpečiť konzistentnosť európskeho rámca certifikácie kybernetickej bezpečnosti by sa európskemu systému certifikácie kybernetickej bezpečnosti malo umožniť špecifikovať stupne dôveryhodnosti pre európske certifikáty kybernetickej bezpečnosti a EÚ vyhlásenia o zhode vydané v rámci daného systému. Každý európsky certifikát kybernetickej bezpečnosti by mohol uvádzať jeden zo stupňov dôveryhodnosti: „základný“, „pokročilý“ alebo „vysoký“, pričom EÚ vyhlásenie o zhode by mohlo uvádzať len stupeň dôveryhodnosti „základný“. Stupne dôveryhodnosti by uvádzali zodpovedajúcu prísnosť a hĺbku hodnotenia produktu IKT, služby IKT alebo procesu IKT a boli by charakterizované odkazom na súvisiace technické špecifikácie, normy a postupy vrátane technických kontrol, ktorých účelom je predchádzať incidentom alebo zmierňovať ich následky. Všetky stupne dôveryhodnosti by sa mali používať konzistentne v jednotlivých sektorových oblastiach, v ktorých sa uplatňuje certifikácia.

(87)

Európsky systém certifikácie kybernetickej bezpečnosti by mohol špecifikovať niekoľko stupňov hodnotenia v závislosti od prísnosti a hĺbky použitej metodiky hodnotenia. Stupne hodnotenia by mali zodpovedať jednému zo stupňov dôveryhodnosti a mali by byť spojené s vhodnou kombináciou zložiek dôveryhodnosti. Produkt IKT, služba IKT alebo proces IKT by mali v prípade všetkých stupňov dôveryhodnosti obsahovať niekoľko zabezpečených funkcií stanovených v systéme, ktoré by mohli zahŕňať: konfiguráciu zabezpečenia na priame použitie, podpísaný programovací kód, zabezpečenú aktualizáciu a zmierňovanie následkov zneužitia bezpečnostných dier (exploits) a plnú ochranu dynamicky alebo staticky prideľovanej pamäte (stack/heap). Tieto funkcie by sa mali vyvinúť a potom udržiavať vývojovým prístupom zameraným na bezpečnosť a súvisiacimi nástrojmi s cieľom zaručiť spoľahlivé zapracovanie účinných softvérových a hardvérových mechanizmov.

(88)

Pri stupni dôveryhodnosti „základný“ by sa hodnotenie malo riadiť aspoň týmito zložkami dôveryhodnosti: hodnotenie by malo zahŕňať aspoň preskúmanie technickej dokumentácie k produktu IKT, službe IKT alebo procesu IKT orgánom posudzovania zhody. Ak certifikácia zahŕňa procesy IKT, technické preskúmanie by sa malo vzťahovať aj na proces navrhovania, vývoja a údržby produktu IKT alebo služby IKT. Ak európsky systém certifikácie kybernetickej bezpečnosti stanovuje vlastné posúdenie zhody, malo by stačiť, že výrobca alebo poskytovateľ produktov IKT, služieb IKT alebo procesov IKT vykonal vlastné posúdenie súladu produktu IKT, služby IKT alebo procesu IKT s certifikačným systémom.

(89)

Pri stupni dôveryhodnosti „pokročilý“ by sa hodnotenie malo okrem požiadaviek stupňa dôveryhodnosti „základný“ riadiť aspoň overením súladu bezpečnostných funkcií produktu IKT, služby IKT alebo procesu IKT s ich technickou dokumentáciou.

(90)

Pri stupni dôveryhodnosti „vysoký“ by sa hodnotenie malo okrem požiadaviek stupňa dôveryhodnosti „pokročilý“ riadiť aspoň skúškou účinnosti, ktorou sa posúdi odolnosť bezpečnostných funkcií produktu IKT, služby IKT alebo procesu IKT proti zložitým kybernetickým útokom, ktoré sú vedené osobami s významnými zručnosťami a zdrojmi.

(91)

Využívanie európskej certifikácie kybernetickej bezpečnosti a EÚ vyhlásenia o zhode by malo ostať dobrovoľné, pokiaľ sa nestanovuje inak v práve Únie alebo v práve členských štátov prijatom v súlade s právom Únie. Ak neexistuje harmonizované právo Únie, členským štátom by sa malo umožniť prijať vnútroštátne technické predpisy, ktorými stanovia povinnú certifikáciu podľa európskeho systému certifikácie kybernetickej bezpečnosti v súlade so smernicou Európskeho parlamentu a Rady (EÚ) 2015/1535 (20). Členské štáty tiež majú k dispozícii európsku certifikáciu kybernetickej bezpečnosti aj v súvislosti s verejným obstarávaním a so smernicou Európskeho parlamentu a Rady 2014/24/EÚ (21).

(92)

V niektorých oblastiach by mohlo byť v budúcnosti nevyhnutné v prípade určitých produktov IKT, služieb IKT alebo procesov IKT stanoviť špecifické požiadavky kybernetickej bezpečnosti a stanoviť povinnosť ich certifikácie s cieľom zvýšiť úroveň kybernetickej bezpečnosti v Únii. Komisia by mala pravidelne sledovať vplyv prijatých európskych systémov certifikácie kybernetickej bezpečnosti na dostupnosť bezpečných produktov IKT, služieb IKT a procesov IKT na vnútornom trhu a vyhodnocovať úroveň využívania certifikačných systémov výrobcami alebo poskytovateľmi produktov IKT, služieb IKT alebo procesov IKT v Únii. Účinnosť európskych systémov certifikácie kybernetickej bezpečnosti a to, či by konkrétne systémy mali byť záväzné, by sa malo posudzovať z hľadiska právnych predpisov Únie týkajúcich sa kybernetickej bezpečnosti, najmä smernice (EÚ) 2016/1148, pričom sa zohľadní bezpečnosť sietí a informačných systémov, ktoré používajú prevádzkovatelia základných služieb.

(93)

Európske certifikáty kybernetickej bezpečnosti a EÚ vyhlásenia o zhode by mali pomôcť koncovým užívateľom robiť informované rozhodnutia. K produktom IKT, službám IKT a procesom IKT, ktoré boli certifikované alebo pre ktoré bolo vydané EÚ vyhlásenie o zhode, by mali byť pripojené štruktúrované informácie prispôsobené očakávanej technickej úrovni koncového užívateľa, ktorému sú určené. Všetky takéto informácie by mali byť k dispozícii online a prípadne vo fyzickej podobe. Koncový užívateľ by mal mať prístup k informáciám týkajúcim sa referenčného čísla certifikačného systému, stupňa dôveryhodnosti, opisu kybernetickobezpečnostných rizík spojených s produktom IKT, službou IKT alebo procesom IKT a vydávajúceho orgánu alebo subjektu, alebo by sa mu malo umožniť získať kópiu európskeho certifikátu kybernetickej bezpečnosti. Okrem toho by koncový užívateľ mal byť informovaný o podpornom programe výrobcu alebo poskytovateľa produktov IKT, služieb IKT alebo procesov IKT v oblasti kybernetickej bezpečnosti, najmä ako dlho bude môcť koncový užívateľ dostávať kybernetickobezpečnostné aktualizácie alebo opravy. V príslušných prípadoch by sa malo poskytovať poradenstvo o opatreniach alebo nastaveniach, ktoré môže koncový užívateľ vykonať na zachovanie alebo posilnenie kybernetickej bezpečnosti produktu IKT alebo služby IKT, a kontaktné informácie o jednotnom kontaktnom mieste na oznamovanie kybernetických útokov a získanie podpory, keď sa vyskytnú (okrem automatického oznamovania). Uvedené informácie by sa mali pravidelne aktualizovať a sprístupňovať na webovom sídle poskytujúcom informácie o európskych systémoch certifikácie kybernetickej bezpečnosti.

(94)

Aby sa dosiahli ciele tohto nariadenia a aby sa predišlo fragmentácii vnútorného trhu, účinnosť vnútroštátnych systémov alebo postupov certifikácie kybernetickej bezpečnosti produktov IKT, služieb IKT alebo procesov IKT, na ktoré sa vzťahuje európsky systém certifikácie kybernetickej bezpečnosti, by mala skončiť k dátumu, ktorý stanoví Komisia vo vykonávacích aktoch. Okrem toho by členské štáty nemali zavádzať nové vnútroštátne systémy certifikácie kybernetickej bezpečnosti produktov IKT, služieb IKT alebo procesov IKT, na ktoré sa už vzťahuje existujúci európsky systém certifikácie kybernetickej bezpečnosti. Členským štátom by sa však nemalo brániť prijímať alebo zachovať vnútroštátne systémy certifikácie kybernetickej bezpečnosti na účely národnej bezpečnosti. Členské štáty by mali informovať Komisiu a ECCG o každom úmysle vypracovať nové vnútroštátne systémy certifikácie kybernetickej bezpečnosti. Komisia a ECCG by mali posúdiť vplyv nových vnútroštátnych systémov certifikácie kybernetickej bezpečnosti na riadne fungovanie vnútorného trhu a vzhľadom na strategický záujem požadovať namiesto nich európsky systém certifikácie kybernetickej bezpečnosti.

(95)

Európske systémy certifikácie kybernetickej bezpečnosti sú určené na harmonizáciu postupov kybernetickej bezpečnosti v Únii. Majú prispieť k zvýšeniu úrovne kybernetickej bezpečnosti v Únii. Koncepcia európskych systémov certifikácie kybernetickej bezpečnosti by mala zohľadňovať a umožňovať rozvoj inovácií v oblasti kybernetickej bezpečnosti.

(96)

Európske systémy certifikácie kybernetickej bezpečnosti by mali zohľadňovať súčasné metódy vývoja softvéru a hardvéru, a najmä vplyv častých softvérových alebo firmvérových aktualizácií na jednotlivé európske certifikáty kybernetickej bezpečnosti. Európske systémy certifikácie kybernetickej bezpečnosti by mali špecifikovať podmienky, za ktorých si môže aktualizácia vyžadovať novú certifikáciu produktu IKT, služby IKT alebo procesu IKT alebo zúženie rozsahu konkrétneho európskeho certifikátu kybernetickej bezpečnosti pri zohľadnení akýchkoľvek nepriaznivých účinkov aktualizácie na súlad s bezpečnostnými požiadavkami uvedeného certifikátu.

(97)

Po prijatí európskeho systému certifikácie kybernetickej bezpečnosti by výrobcovia alebo poskytovatelia produktov IKT, služieb IKT alebo procesov IKT mali mať možnosť podávať žiadosti o certifikáciu svojich produktov IKT alebo služieb IKT ktorémukoľvek nimi zvolenému orgánu posudzovania zhody kdekoľvek v Únii. Orgány posudzovania zhody by mal akreditovať vnútroštátny akreditačný orgán, ak spĺňajú určité konkrétne požiadavky stanovené v tomto nariadení. Akreditácia by sa mala vydávať najviac na päť rokov a malo by byť možné ju obnoviť za rovnakých podmienok, pokiaľ orgán posudzovania zhody naďalej spĺňa požiadavky. Vnútroštátne akreditačné orgány by mali akreditáciu orgánu posudzovania zhody obmedziť, pozastaviť jej platnosť alebo ju zrušiť, ak orgán posudzovania zhody nespĺňa alebo prestal spĺňať akreditačné podmienky, alebo ak porušuje toto nariadenie.

(98)

Existencia odkazov vo vnútroštátnych právnych predpisoch na vnútroštátne normy, ktorých účinnosť sa skončila v dôsledku nadobudnutia účinnosti európskeho systému certifikácie kybernetickej bezpečnosti, môže byť zdrojom nejasností. Členské štáty by preto mali prijatie európskeho systému certifikácie kybernetickej bezpečnosti premietnuť do svojich vnútroštátnych právnych predpisov.

(99)

S cieľom dosiahnuť uplatňovanie rovnocenných noriem v celej Únii, uľahčiť vzájomné uznávanie a podporovať celkovú akceptáciu európskych certifikátov kybernetickej bezpečnosti a EÚ vyhlásení o zhode je potrebné zaviesť systém partnerského preskúmania medzi vnútroštátnymi orgánmi pre certifikáciu kybernetickej bezpečnosti. Partnerské preskúmanie by sa malo vzťahovať na postupy pre dozor nad súladom produktov IKT, služieb IKT a procesov IKT s európskymi certifikátmi kybernetickej bezpečnosti, pre monitorovanie povinností výrobcov alebo poskytovateľov produktov IKT, služieb IKT alebo procesov IKT, ktorí vykonávajú vlastné posúdenie zhody, pre monitorovanie orgánov posudzovania zhody, ako aj primeranosti odborných znalostí personálu orgánov, ktoré vydávajú certifikáty pre stupeň dôveryhodnosti „vysoký“. Komisii by sa malo umožniť vo vykonávacích aktoch stanoviť minimálne päťročný plán pre partnerské preskúmanie a tiež stanoviť kritéria a metodiky fungovania systému partnerského preskúmania.

(100)

Bez toho, aby bol dotknutý všeobecný systém partnerského preskúmania, ktorý majú v rámci európskeho rámca certifikácie kybernetickej bezpečnosti zaviesť všetky vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti, niektoré európske systémy certifikácie kybernetickej bezpečnosti môžu zahŕňať mechanizmus partnerského preskúmania určený orgánom, ktoré v rámci týchto systémov vydávajú európske certifikáty kybernetickej bezpečnosti pre produkty IKT, služby IKT a procesy IKT so stupňom dôveryhodnosti „vysoký“. ECCG by mala podporovať implementáciu takýchto mechanizmov partnerského preskúmania. Takýmito partnerskými preskúmaniami by sa malo najmä posudzovať, či dotknuté orgány vykonávajú svoje úlohy harmonizovane, pričom môžu zahŕňať mechanizmy odvolania. Výsledky partnerských preskúmaní by sa mali uverejniť. Dotknuté orgány môžu prijať vhodné opatrenia na prispôsobenie svojich postupov a odborných znalostí.

(101)

Členské štáty by mali určiť jeden alebo viacero vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti na účely dozoru nad plnením povinností vyplývajúcich z tohto nariadenia. Vnútroštátnym orgánom pre certifikáciu kybernetickej bezpečnosti môže byť existujúci alebo novozriadený orgán. Členský štát by tiež mal mať možnosť určiť po vzájomnej dohode s iným členským štátom jeden alebo viacero vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti na území takéhoto iného členského štátu.

(102)

Vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti by mali najmä monitorovať a presadzovať plnenie povinností výrobcov alebo poskytovateľov produktov IKT, služieb IKT alebo procesov IKT usadených na ich príslušných územiach, ktoré súvisia s EÚ vyhlásením o zhode, mali by pomáhať vnútroštátnym akreditačným orgánom pri monitorovaní činnosti orgánov posudzovania zhody a dozore nad nimi tým, že im poskytujú odborné znalosti a relevantné informácie, mali by oprávňovať orgány posudzovania zhody vykonávať ich úlohy, ak orgány posudzovania zhody spĺňajú dodatočné požiadavky stanovené v európskom systéme certifikácie kybernetickej bezpečnosti, a mali by monitorovať relevantný vývoj v oblasti certifikácie kybernetickej bezpečnosti. Vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti by tiež mali vybavovať sťažnosti fyzických alebo právnických osôb v súvislosti s európskymi certifikátmi kybernetickej bezpečnosti, ktoré uvedené orgány vydali, alebo v súvislosti s európskymi certifikátmi kybernetickej bezpečnosti, ktoré vydali orgány posudzovania zhody, ak takéto certifikáty uvádzajú stupeň dôveryhodnosti „vysoký“, mali by v primeranom rozsahu prešetriť predmet danej sťažnosti a sťažovateľa v primeranej lehote informovať o pokroku a výsledku tohto prešetrenia. Okrem toho by vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti mali spolupracovať s inými vnútroštátnymi orgánmi pre certifikáciu kybernetickej bezpečnosti alebo ďalšími orgánmi verejnej moci vrátane poskytovania informácií o možnom nesúlade produktov IKT, služieb IKT a procesov IKT s požiadavkami tohto nariadenia alebo konkrétnymi európskymi systémami certifikácie kybernetickej bezpečnosti. Komisia by mala uľahčiť toto zdieľanie informácií tým, že sprístupní všeobecný elektronický podporný informačný systém, napríklad Informačný a komunikačný systém pre dohľad nad trhom (ICSMS) a systém na rýchlu výmenu informácií o nebezpečných nepotravinových výrobkoch (RAPEX), ktoré už používajú orgány dohľadu nad trhom podľa nariadenia (ES) č. 765/2008.

(103)

V záujme konzistentného uplatňovania európskeho rámca certifikácie kybernetickej bezpečnosti by sa mala zriadiť ECCG zložená zo zástupcov vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti alebo iných príslušných vnútroštátnych orgánov. Medzi hlavné úlohy ECCG by mali patriť poradenstvo a pomoc Komisii v jej úsilí o zabezpečenie konzistentného vykonávania a uplatňovania európskeho rámca certifikácie kybernetickej bezpečnosti, pomoc agentúre ENISA a úzka spolupráca s ňou pri príprave kandidátskych systémov certifikácie kybernetickej bezpečnosti, v riadne odôvodnených prípadoch požadovanie od agentúry ENISA, aby pripravila kandidátsky systém, prijímanie stanovísk pre agentúru ENISA, pokiaľ ide o kandidátske systémy, a prijímanie stanovísk pre Komisiu k udržiavaniu a prehodnocovaniu existujúcich európskych systémov certifikácie kybernetickej bezpečnosti. ECCG by mala uľahčovať výmenu osvedčených postupov a odborných znalostí medzi rôznymi vnútroštátnymi orgánmi pre certifikáciu kybernetickej bezpečnosti zodpovednými za oprávňovanie orgánov posudzovania zhody a vydávanie európskych certifikátov kybernetickej bezpečnosti.

(104)

Na zvýšenie povedomia o budúcich európskych systémoch certifikácie kybernetickej bezpečnosti a uľahčenie ich akceptácie môže Komisia vydať všeobecné či odvetvové kybernetickobezpečnostné usmernenia, napríklad o osvedčených postupoch alebo zodpovednom správaní sa v oblasti kybernetickej bezpečnosti, pričom sa zdôrazní pozitívny účinok využívania certifikovaných produktov IKT, služieb IKT a procesov IKT.

(105)

S cieľom ďalej uľahčovať obchod a uznávajúc, že dodávateľské reťazce IKT sú globálne, môže Únia v súlade s článkom 218 Zmluvy o fungovaní Európskej únie (ďalej len „ZFEÚ“) uzatvárať dohody o vzájomnom uznávaní týkajúce sa európskych certifikátov kybernetickej bezpečnosti. Komisia môže s prihliadnutím na poradenstvo od agentúry ENISA a európskej skupiny pre certifikáciu kybernetickej bezpečnosti odporučiť začatie príslušných rokovaní. V rámci každého európskeho systému certifikácie kybernetickej bezpečnosti by sa mali stanoviť konkrétne podmienky takéhoto vzájomného uznávania dohôd s tretími krajinami.

(106)

S cieľom zabezpečiť jednotné podmienky vykonávania tohto nariadenia by sa mali na Komisiu preniesť vykonávacie právomoci. Uvedené právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/2011 (22).

(107)

Postup preskúmania by sa mal uplatniť pri prijímaní vykonávacích aktov o európskych systémoch certifikácie kybernetickej bezpečnosti produktov IKT, služieb IKT alebo procesov IKT; pri prijímaní vykonávacích aktov o spôsoboch vykonávania šetrenia zo strany agentúry ENISA; pri prijímaní vykonávacích aktov o pláne partnerského preskúmania vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti, ako aj pri prijímaní vykonávacích aktov o okolnostiach, formátoch a postupoch, ktoré uplatňujú vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti, keď Komisii oznamujú akreditované orgány posudzovania zhody.

(108)

Činnosť agentúry ENISA by sa mala pravidelne a nezávisle vyhodnocovať. Toto hodnotenie by sa malo vzťahovať na plnenie cieľov agentúry ENISA, jej pracovné postupy a relevantnosť jej úloh, najmä tých, ktoré sa týkajú operačnej spolupráce na úrovni Únie. Zároveň by sa v uvedenom hodnotení mal posúdiť dosah, efektívnosť a účinnosť európskeho rámca certifikácie kybernetickej bezpečnosti. V prípade preskúmania by Komisia mala posúdiť, akým spôsobom možno posilniť úlohu agentúry ENISA ako referenčného bodu pre poradenstvo a odborné znalosti a tiež by mala posúdiť možnú úlohu agentúry ENISA pri podpore hodnotenia produktov IKT, služieb IKT a procesov IKT tretích krajín, keď takéto produkty, služby a procesy vstupujú do Únie a nie sú v súlade s pravidlami Únie.

(109)

Keďže ciele tohto nariadenia nie je možné uspokojivo dosiahnuť na úrovni členských štátov, ale z dôvodu ich rozsahu a dôsledkov ich možno lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa článku 5 Zmluvy o Európskej únii (ďalej len „Zmluva o EÚ“). V súlade so zásadou proporcionality podľa uvedeného článku toto nariadenie neprekračuje rámec nevyhnutný na dosiahnutie týchto cieľov.

(110)

Nariadenie (EÚ) č. 526/2013 by sa malo zrušiť,