(1)

Vzhľadom na závery Rady z 12. februára 2016 o boji proti financovaniu terorizmu, na oznámenie Komisie Európskemu parlamentu a Rade z 2. februára 2016 o akčnom pláne na posilnenie boja proti financovaniu terorizmu a na smernicu Európskeho parlamentu a Rady (EÚ) 2017/541 (2) by spoločné pravidlá pre obchod s tretími krajinami mali byť prijaté tak, aby sa zabezpečila účinná ochrana proti nezákonnému obchodu s tovarom kultúrnej hodnoty a proti jeho strate alebo zničeniu, zachovanie kultúrneho dedičstva ľudstva a aby sa zabránilo financovaniu terorizmu a praniu špinavých peňazí prostredníctvom predaja rabovaného tovaru kultúrnej hodnoty kupujúcim v Únii.

(2)

Vykorisťovanie národov a území môže viesť k nezákonnému obchodu s tovarom kultúrnej hodnoty, najmä ak tento nezákonný obchod pochádza z prostredia ozbrojeného konfliktu. V tejto súvislosti by sa v tomto nariadení mali zohľadniť regionálne a miestne charakteristiky ľudí a území, a nie trhová hodnota tovaru kultúrnej hodnoty.

(3)

Tovar kultúrnej hodnoty je súčasťou kultúrneho dedičstva a má často veľký kultúrny, umelecký, historický a vedecký význam. Kultúrne dedičstvo je jedným zo základných prvkov civilizácie, ktoré má okrem iného symbolickú hodnotu a predstavuje časť kultúrnej pamäti ľudstva. Obohacuje kultúrny život všetkých ľudí a spája ľudí prostredníctvom spoločnej pamäti, poznania a rozvoja civilizácie. Preto by malo byť chránené pred neoprávneným privlastnením a rabovaním. K rabovaniu archeologických lokalít dochádzalo vždy, ale v súčasnosti dosiahlo nevídané rozmery a spolu s obchodovaním s nezákonne vykopaným tovarom kultúrnej hodnoty je závažným trestným činom, ktorý významne poškodzuje všetkých, ktorí sú tým priamo alebo nepriamo dotknutí. Nezákonný obchod s tovarom kultúrnej hodnoty v mnohých prípadoch prispieva k nútenej kultúrnej homogenizácii alebo k nútenej strate kultúrnej identity, zatiaľ čo rabovanie tovaru kultúrnej hodnoty vedie okrem iného k rozpadu kultúr. Kým je možné zapojiť sa do lukratívneho obchodu s nezákonne vykopaným tovarom kultúrnej hodnoty a mať z neho zisky bez akýchkoľvek významných rizík, budú takéto vykopávky a rabovanie pokračovať. Vzhľadom na hospodársku a umeleckú hodnotu tovaru kultúrnej hodnoty, na medzinárodnom trhu existuje vysoký dopyt po tomto tovare. Nedostatok prísnych medzinárodných právnych opatrení a neúčinné presadzovanie akýchkoľvek existujúcich opatrení vedie k presunu takéhoto tovaru do tieňovej ekonomiky. Únia by mala primeraným spôsobom zakázať vstup tovaru kultúrnej hodnoty, ktorý bol nezákonne vyvezený z tretích krajín, na colné územie Únie, s osobitným dôrazom na tovar kultúrnej hodnoty z tretích krajín, ktoré sú zasiahnuté ozbrojeným konfliktom, najmä ak s takýmto tovarom kultúrnej hodnoty nezákonne obchodovali teroristické alebo iné zločinecké organizácie. Hoci by uvedený všeobecný zákaz nemal zahŕňať systematické kontroly, členské štáty by mali mať možnosť zasiahnuť v prípade, že dostanú spravodajské informácie o podozrivých zásielkach, a prijať všetky primerané opatrenia na zachytenie nezákonne vyvezeného tovaru kultúrnej hodnoty.

(4)

Keďže sa v členských štátoch uplatňujú rôzne pravidlá na dovoz tovaru kultúrnej hodnoty na colné územie Únie, opatrenia by sa mali prijať predovšetkým s cieľom zabezpečiť, aby určitý dovoz tovaru kultúrnej hodnoty podliehal jednotným kontrolám pri jeho vstupe na colné územie Únie na základe existujúcich procesov, postupov a administratívnych nástrojov, ktorých cieľom je dosiahnuť jednotné vykonávanie nariadenia Európskeho parlamentu a Rady (EÚ) č. 952/2013 (3).

(5)

Na ochranu tovaru kultúrnej hodnoty, ktorý sa považuje za národné kultúrne bohatstvo členských štátov, sa už vzťahuje nariadenie Rady (ES) č. 116/2009 (4) a smernica Európskeho parlamentu a Rady 2014/60/EÚ (5). Toto nariadenie by sa preto nemalo vzťahovať na tovar kultúrnej hodnoty, ktorý sa vytvoril alebo objavil na colnom území Únie. Spoločné pravidlá zavedené týmto nariadením by sa mali vzťahovať na colné prerokovanie tovaru kultúrnej hodnoty z územia mimo Únie vstupujúceho na colné územie Únie. Na účely tohto nariadenia by relevantným colným územím malo byť colné územie Únie v čase dovozu.

(6)

Kontrolné opatrenia, ktoré sa majú zaviesť v súvislosti so slobodnými pásmami a tzv. „slobodnými prístavmi“, by mali mať čo najširší rozsah pôsobnosti z hľadiska dotknutých colných režimov, aby sa zabránilo obchádzaniu tohto nariadenia prostredníctvom využívania týchto slobodných pásiem, ktoré majú potenciál, aby boli použité pre ďalšie šírenie nezákonného obchodu. Uvedené kontrolné opatrenia by sa preto nemali vzťahovať iba na tovar kultúrnej hodnoty prepustený do voľného obehu, ale aj na tovar kultúrnej hodnoty prepustený do osobitného colného režimu. Rozsah pôsobnosti by však nemal presahovať rámec cieľa, ktorým je zabrániť tomu, aby nezákonne vyvezený tovar kultúrnej hodnoty vstúpil na colné územie Únie. Kým systematické kontrolné opatrenia by sa teda mali vzťahovať na prepustenie do voľného obehu a na niektoré osobitné colné režimy, do ktorých môže byť tovar vstupujúci na colné územie Únie prepustený, nemali by sa vzťahovať na colný režim tranzit.

(7)

Mnohým tretím krajinám a väčšine členských štátov sú známe ustanovenia Dohovoru Unesco o opatreniach na zákaz a zamedzenie nedovolenému dovozu, vývozu a prevodu vlastníctva kultúrnych statkov, podpísaného v Paríži 14. novembra 1970 (ďalej len „dohovor Unesco z roku 1970“), ktorého zmluvnou stranou je značné množstvo členských štátov, a Dohovoru UNIDROIT o ukradnutých alebo nezákonne vyvezených kultúrnych predmetoch, podpísaného v Ríme 24. júna 1995. Z uvedeného dôvodu sa v tomto nariadení používajú vymedzenia pojmov vychádzajúce z uvedených vymedzení pojmov.

(8)

Zákonnosť vývozu tovaru kultúrnej hodnoty by sa mala primárne preskúmať na základe zákonov a iných právnych predpisov krajiny, v ktorej sa uvedený tovar kultúrnej hodnoty vytvoril alebo objavil. S cieľom nebrániť neodôvodnene zákonnému obchodu by sa však osobe, ktorá chce tovar kultúrnej hodnoty doviezť na colné územie Únie, malo v určitých prípadoch výnimočne povoliť namiesto toho preukázať zákonný vývoz z inej tretej krajiny, v ktorej sa tovar kultúrnej hodnoty nachádzal pred svojim zaslaním do Únie. Uvedená výnimka by sa mala vzťahovať na prípady, keď nie je možné spoľahlivo určiť krajinu, v ktorej sa tovar kultúrnej hodnoty vytvoril alebo objavil, alebo keď sa vývoz dotknutého tovaru kultúrnej hodnoty uskutočnil pred tým, ako nadobudol platnosť dohovor Unesco z roku 1970, konkrétne 24. apríla 1972. S cieľom zabrániť obchádzaniu tohto nariadenia tým, že sa nezákonne vyvezený tovar kultúrnej hodnoty pred svojim dovozom do Únie jednoducho zašle do inej tretej krajiny, by sa výnimky mali uplatňovať, ak sa tovar kultúrnej hodnoty nachádzal v tretej krajine počas obdobia dlhšieho ako päť rokov na iné účely ako na dočasné použitie, tranzit, opätovný vývoz alebo prekládku. Ak sú uvedené podmienky splnené v prípade viac ako jednej krajiny, relevantnou krajinou by mala byť posledná z uvedených krajín pred vstupom tovaru kultúrnej hodnoty na colné územie Únie.

(9)

Článok 5 dohovoru Unesco z roku 1970 vyzýva zmluvné strany na vytvorenie jedného alebo viacerých vnútroštátnych útvarov na ochranu tovaru kultúrnej hodnoty pred nezákonným dovozom, vývozom a prevodom vlastníctva. Takéto vnútroštátne útvary by mali byť vybavené dostatočným počtom kvalifikovaného personálu na zabezpečenie uvedenej ochrany v súlade s uvedeným dohovorom a mali by tiež umožňovať potrebnú aktívnu spoluprácu medzi príslušnými orgánmi členských štátov, ktoré sú zmluvnými stranami uvedeného dohovoru, v oblasti bezpečnosti a v boji proti nezákonnému dovozu tovaru kultúrnej hodnoty, najmä z oblastí postihnutých ozbrojeným konfliktom.

(10)

S cieľom nebrániť neprimeraným spôsobom obchodu s tovarom kultúrnej hodnoty cez vonkajšiu hranicu Únie by sa toto nariadenie malo vzťahovať len na tovar kultúrnej hodnoty, ktorý dosahuje určitú hranicu minimálneho veku, ktorú stanovuje toto nariadenie. Zároveň sa zdá vhodné stanoviť finančnú hranicu s cieľom vylúčiť tovar kultúrnej hodnoty s nižšou hodnotou z uplatňovania podmienok a postupov vzťahujúcich sa na dovoz na colné územie Únie. Uvedenými hranicami sa zabezpečí, aby sa opatrenia stanovené v tomto nariadení zameriavali na tovar kultúrnej hodnoty, ktorý by bol s najväčšou pravdepodobnosťou v oblastiach zasiahnutých konfliktom cieľom rabovania, bez toho, aby bol vylúčený iný tovar, ktorého kontrola je nevyhnutná na zabezpečenie ochrany kultúrneho dedičstva.

(11)

Nezákonný obchod s rabovaným tovarom kultúrnej hodnoty bol označený za možný zdroj financovania terorizmu a prania špinavých peňazí v kontexte nadnárodného posúdenia rizík prania špinavých peňazí a financovania terorizmu, ktoré majú vplyv na vnútorný trh.

(12)

Keďže určité kategórie tovaru kultúrnej hodnoty, konkrétne archeologické predmety a prvky pamiatok môžu obzvlášť podliehať rabovaniu a zničeniu, zdá sa, že je nevyhnutné vytvoriť systém zvýšenej kontroly pred tým, než je tomuto tovaru povolené vstúpiť na colné územie Únie. Takýto systém by mal vyžadovať predkladanie dovoznej licencie vystavenej príslušným orgánom členského štátu pred prepustením takéhoto tovaru kultúrnej hodnoty do voľného obehu v Únii alebo jeho prepustením do iného osobitného colného režimu než colný režim tranzit. Osoby, ktoré sa pokúšajú získať túto licenciu by mali vedieť dokázať, že tovar kultúrnej hodnoty bol z krajiny, v ktorej sa vytvoril alebo objavil, vyvezený zákonne, a to za pomoci príslušných podporných dokladov a dôkazov, ako sú vývozné osvedčenia, vlastnícke tituly, faktúry, zmluvy o predaji, doklady o poistení, prepravné doklady a odborné hodnotenia. Na základe úplnej a pravdivej žiadosti by mal príslušný orgán členského štátu bezodkladne rozhodnúť o vydaní licencie. Všetky dovozné licencie by sa mali uchovávať v elektronickom systéme.

(13)

Ikona je akékoľvek zobrazenie náboženskej postavy alebo náboženskej udalosti. Môže byť vyhotovená na rôznych médiách a v rôznych veľkostiach a môže byť monumentálna alebo prenosná. V prípadoch, keď ikona bola v minulosti súčasťou napríklad interiéru kostola, kláštora, kaplnky, a to buď ako samostatne stojaca ikona alebo ako súčasť architektonického nábytku, napríklad ikonostas alebo ako stojan na ikonu, je životne dôležitou a neoddeliteľnou súčasťou náboženského uctievania a liturgického života a mala by sa považovať za neoddeliteľnú súčasť náboženskej pamiatky, ktorá bola rozobratá. Dokonca aj v prípadoch, keď nie je známa konkrétna pamiatka, ku ktorej ikona patrila, ale keď existujú dôkazy o tom, že kedysi tvorila neoddeliteľnú súčasť pamiatky, najmä ak si zachováva znaky alebo prvky, ktoré naznačujú, že bola kedysi súčasťou ikonostasu alebo stojanu na ikonu, by sa naďalej na ikonu mala vzťahovať kategória „prvky umeleckých alebo historických pamiatok alebo archeologické lokality, ktoré boli rozobrané“ uvedená v prílohe.

(14)

So zreteľom na osobitnú povahu tovaru kultúrnej hodnoty je úloha colných orgánov mimoriadne dôležitá a mali by byť v prípade potreby schopné vyžadovať od deklaranta dodatočné informácie a analyzovať tovar kultúrnej hodnoty prostredníctvom fyzického preskúmania.

(15)

Pri kategóriách tovaru kultúrnej hodnoty, dovoz ktorých nevyžaduje dovoznú licenciu, by osoby, ktoré sa pokúšajú doviezť takýto tovar na colné územie Únie, mali formou vyhlásenia osvedčiť zákonnosť vývozu tohto tovaru z tretej krajiny a prevziať zaň zodpovednosť, ako aj poskytnúť dostatočné údaje o tomto tovare kultúrnej hodnoty tak, aby ho colné orgány mohli identifikovať. Na uľahčenie colného konania a z dôvodu právnej istoty by sa údaje o tovare kultúrnej hodnoty mali poskytovať na štandardizovanom dokumente. Na opísanie tovaru kultúrnej hodnoty by sa mohol používať štandardný dokument na identifikáciu predmetu, ktorý odporúča Unesco. Držiteľ tovaru by mal uvedené údaje zaregistrovať v elektronickom systéme s cieľom uľahčiť colným orgánom identifikáciu tovaru, umožniť analýzu rizika a cielené kontroly, ako aj zabezpečiť vysledovateľnosť po tom, čo tovar kultúrnej hodnoty vstúpi na vnútorný trh.

(16)

V kontexte centrálneho elektronického priečinka EÚ pre colnú oblasť by Komisia mala byť zodpovedná za zriadenie centralizovaného elektronického systému na podávanie žiadostí o dovozné licencie a predkladanie vyhlásení dovozcu, ako aj uchovávanie a výmenu informácií medzi orgánmi členských štátov, najmä pokiaľ ide o vyhlásenia dovozcu a dovozné licencie.

(17)

Malo by byť možné, aby sa spracúvanie údajov podľa tohto nariadenia vzťahovalo aj na osobné údaje a takéto spracúvanie by sa malo uskutočňovať v súlade s právom Únie. Členské štáty a Komisia by mali osobné údaje spracúvať len na účely tohto nariadenia alebo za riadne odôvodnených okolností na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti, ako aj jeho predchádzania. Každé zhromažďovanie, zverejňovanie, prenos, odovzdávanie a ďalšie spracúvanie osobných údajov v rozsahu pôsobnosti tohto nariadenia by malo podliehať požiadavkám uvedeným v nariadeniach Európskeho parlamentu a Rady (EÚ) 2016/679 (6) a (EÚ) 2018/1725 (7). Pri spracúvaní osobných údajov na účely tohto nariadenia by sa mali tiež dodržiavať základné práva na rešpektovanie súkromného a rodinného života uznané v článku 8 Dohovoru Rady Európy o ochrane ľudských práv a základných slobôd, ako aj právo na rešpektovanie súkromného a rodinného života a právo na ochranu osobných údajov, uznané v článkoch 7 a 8 Charty základných práv Európskej únie.

(18)

Tovar kultúrnej hodnoty, ktorý sa nevytvoril alebo neobjavil na colnom území Únie, ale ktorý sa vyviezol ako tovar Únie, by pri návrate na toto územie ako vrátený tovar v zmysle nariadenia (EÚ) č. 952/2013 nemal podliehať povinnosti predložiť dovoznú licenciu alebo vyhlásenie dovozcu.

(19)

Tovar kultúrnej hodnoty v colnom režime dočasné použitie na účely vzdelávania, vedy, konzervácie, reštaurátorstva, výstav, digitalizácie, scénografie, výskumu zo strany akademických inštitúcií alebo spolupráce medzi múzeami alebo podobnými inštitúciami by tiež nemal podliehať povinnosti predložiť dovoznú licenciu alebo vyhlásenie dovozcu.

(20)

Skladovanie tovaru kultúrnej hodnoty z krajín postihnutých ozbrojeným konfliktom alebo prírodnou katastrofou na výlučný účel nájdenia bezpečného miesta na jeho bezpečné uloženie a zachovanie zo strany verejného orgánu alebo pod jeho dohľadom by nemalo podliehať predloženiu dovoznej licencie alebo vyhlásenia dovozcu.

(21)

S cieľom uľahčiť prezentáciu tovaru kultúrnej hodnoty na komerčných veľtrhoch umenia by dovozná licencia nemala byť potrebná v prípade, keď je tovar kultúrnej hodnoty v colnom režime dočasné použitie v zmysle článku 250 nariadenia (EÚ) č. 952/2013 a keď namiesto dovoznej licencie sa predložilo vyhlásenie dovozcu. Predloženie dovoznej licencie by sa však malo vyžadovať v prípade, keď takýto tovar kultúrnej hodnoty má zostať po veľtrhu umenia v Únii.

(22)

S cieľom zabezpečiť jednotné podmienky vykonávania tohto nariadenia by sa mali na Komisiu preniesť vykonávacie právomoci, aby prijala podrobné opatrenia ohľadne tovaru kultúrnej hodnoty, ktorý je vrátený, alebo na dočasné použitie tovaru kultúrnej hodnoty na colnom území Únie a ich bezpečné uloženie, vzory žiadostí o dovoznú licenciu a formuláre dovoznej licencie, vzory vyhlásení dovozcu a ich sprievodné dokumenty, a ďalšie procesné pravidlá na ich predkladanie a spracovanie. Na Komisiu by sa tiež mali preniesť vykonávacie právomoci s cieľom stanoviť opatrenia na zriadenie elektronického systému na podávanie žiadostí o dovoznú licenciu a predkladanie vyhlásení dovozcu a na uchovávanie informácií a ich výmenu medzi členskými štátmi. Uvedené právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/2011 (8).

(23)

S cieľom zabezpečiť účinnú koordináciu a vyhnúť sa zdvojeniu úsilia pri organizovaní odbornej prípravy, činností v oblasti budovania kapacít a kampaní na zvyšovanie povedomia, ako aj na prípadné zadanie realizácie výskumu a vypracovania noriem by Komisia a členské štáty mali spolupracovať s medzinárodnými organizáciami a orgánmi, ako sú Unesco, INTERPOL, EUROPOL, Svetová colná organizácia, Medzinárodné centrum pre štúdium ochrany a reštaurovania kultúrnych pamiatok a Medzinárodná rada múzeí (ICOM).

(24)

S cieľom podporiť účinné vykonávanie tohto nariadenia a poskytnúť základ pre jeho budúce hodnotenie by sa mali elektronicky zhromažďovať a vymieňať medzi členskými štátmi a Komisiou relevantné informácie o obchodných tokoch tovaru kultúrnej hodnoty. V záujme transparentnosti a verejnej kontroly by sa malo čo najviac informácií zverejniť. Obchodné toky tovaru kultúrnej hodnoty sa nemôžu účinne monitorovať len na základe ich hodnoty alebo váhy. Je nevyhnutné elektronicky zhromažďovať údaje o počte deklarovaných položiek. Keďže v kombinovanej nomenklatúre nie je pre tovar kultúrnej hodnoty uvedená žiadna doplnková merná jednotka, treba vyžadovať, aby sa uvádzal počet položiek.

(25)

Stratégia EÚ pre riadenie colných rizík je okrem iného zameraná na posilnenie kapacít colných orgánov s cieľom zvýšiť schopnosť reagovať na riziká v oblasti tovaru kultúrnej hodnoty. Mal by sa využiť spoločný rámec riadenia rizík ustanovený v nariadení (EÚ) č. 952/2013 a colné orgány by si mali vymieňať príslušné informácie o rizikách.

(26)

S cieľom využiť odborné skúsenosti medzinárodných organizácií a orgánov, ktoré pôsobia v kultúrnej oblasti, a ich skúsenosti s nezákonným obchodom s tovarom kultúrnej hodnoty by sa pri identifikovaní rizík súvisiacich s tovarom kultúrnej hodnoty mali v spoločnom rámci riadenia rizík vziať do úvahy odporúčania a usmernenia, ktoré tieto organizácie a orgány vydali. Predovšetkým by ako usmernenie pre identifikovanie tretích krajín, ktorých dedičstvo je najviac ohrozené, a predmetov z nich vyvážaných, ktoré by častejšie mohli byť predmetom nezákonného obchodu, mali slúžiť červené zoznamy uverejnené zo strany ICOM.

(27)

Je potrebné organizovať kampane na zvyšovanie povedomia zamerané na kupujúcich tovaru kultúrnej hodnoty v súvislosti s rizikom nezákonného obchodu a pomôcť účastníkom trhu pri chápaní a uplatňovaní tohto nariadenia. Členské štáty by mali do šírenia uvedených informácií zapojiť príslušné národné kontaktné miesta a iné útvary na poskytovanie informácií.

(28)

Komisia by mala v záujme efektívneho vykonávania tohto nariadenia zabezpečiť, aby mikro, malé a stredné podniky využívali primeranú technickú pomoc, a uľahčiť výmenu informácií s nimi. Malé a stredné podniky usadené v Únii, ktoré dovážajú tovar kultúrnej hodnoty, by preto mali využívať súčasné a budúce programy Únie na podporu konkurencieschopnosti malých a stredných podnikov.

(29)

S cieľom podporovať dodržiavanie ustanovení tohto nariadenia a odrádzať od jeho obchádzania by členské štáty mali zaviesť účinné, primerané a odrádzajúce sankcie za nesplnenie ustanovení tohto nariadenia a oznámiť ich Komisii. Sankcie zavedené členskými štátmi za porušenia tohto nariadenia by mali mať rovnocenný odrádzajúci účinok v celej Únii.

(30)

Členské štáty by mali zabezpečiť, aby sa colné orgány a príslušné orgány dohodli na opatreniach v zmysle článku 198 nariadenia (EÚ) č. 952/2013. Podrobnosti uvedených opatrení by mali podliehať vnútroštátnemu právu.

(31)

Komisia by mala bezodkladne prijať predpisy na vykonávanie tohto nariadenia, predovšetkým predpisy o príslušných elektronických štandardizovaných formulároch, ktoré sa majú použiť pri žiadosti o dovoznú licenciu alebo pri vypracovaní vyhlásenia dovozcu a následne v čo najkratšom možnom čase zriadiť elektronický systém. Uplatňovanie ustanovení týkajúcich sa dovozných licencií a vyhlásení dovozcu by sa preto malo oddialiť.

(32)

V súlade so zásadou proporcionality je na dosiahnutie základných cieľov tohto nariadenia potrebné a vhodné stanoviť pravidlá pre vstup a podmienky a postup pre dovoz tovaru kultúrnej hodnoty na colné územie Únie. V súlade s článkom 5 ods. 4 Zmluvy o Európskej únii toto nariadenie neprekračuje rámec nevyhnutný na dosiahnutie týchto cieľov,

(1)

Siete a informačné systémy a elektronické komunikačné siete a služby sú pre spoločnosť kľúčové a stali sa oporným pilierom hospodárskeho rastu. Na informačných a komunikačných technológiách (ďalej len „IKT“) sú založené komplexné systémy, ktoré podporujú každodenné činnosti spoločnosti, udržujú chod kľúčových odvetví hospodárstva, ako je zdravotníctvo, energetika, financie či doprava, a najmä podporujú fungovanie vnútorného trhu.

(2)

Občania, organizácie a podniky v Únii dnes využívajú siete a informačné systémy na každom kroku. Digitalizácia a pripojiteľnosť sa stávajú základnými vlastnosťami čoraz väčšieho množstva produktov a služieb, pričom sa očakáva, že s nástupom internetu vecí (ďalej len „IoT“ – Internet of Things) sa v Únii bude v najbližšom desaťročí využívať mimoriadne vysoký počet pripojených digitálnych zariadení. Na internet je pripojených čoraz viac zariadení, no ich bezpečnosť a odolnosť nie je do nich dostatočne zabudovaná už vo fáze ich návrhu, čo vedie k nedostatočnej kybernetickej bezpečnosti. Certifikácia sa využíva obmedzene, čo v tejto situácii vedie k tomu, že užívatelia z radov jednotlivcov, organizácií a podnikov nie sú dostatočne informovaní o prvkoch kybernetickej bezpečnosti produktov IKT, služieb IKT a procesov IKT, čo znižuje dôveru v digitálne riešenia. Siete a informačné systémy sú schopné podporovať všetky aspekty nášho života a poháňať hospodársky rast Únie. Sú základným kameňom pre dosiahnutie jednotného digitálneho trhu.

(3)

Rastúca digitalizácia a pripojiteľnosť zvyšujú kybernetickobezpečnostné riziká, takže spoločnosť ako celok sa stáva zraniteľnejšou z hľadiska kybernetických hrozieb a zvyšuje sa nebezpečenstvo, ktorému čelia fyzické osoby, vrátane zraniteľných osôb, ako sú napríklad deti. V záujme zmiernenia uvedených rizík treba prijať všetky potrebné kroky na zvýšenie kybernetickej bezpečnosti v Únii, aby boli siete a informačné systémy, komunikačné siete, digitálne produkty, služby a zariadenia, ktoré využívajú občania, organizácie i podniky – od malých a stredných podnikov (ďalej len „MSP“) v zmysle vymedzenia v odporúčaní Komisie 2003/361/ES (4), až po prevádzkovateľov kritických infraštruktúr lepšie chránené pred kybernetickými hrozbami.

(4)

Agentúra Európskej únie pre sieťovú a informačnú bezpečnosť (ďalej len „ENISA“) zriadená nariadením Európskeho parlamentu a Rady (EÚ) č. 526/2013 (5) sprístupňuje verejnosti relevantné informácie, čím prispieva k rozvoju odvetvia kybernetickej bezpečnosti v Únii, najmä MSP a startupov. Agentúra ENISA by sa mala usilovať o užšiu spoluprácu s univerzitami a výskumnými subjektmi, aby prispela k znižovaniu závislosti od kybernetickobezpečnostných produktov a služieb z krajín mimo Únie a k posilňovaniu dodávateľských reťazcov v Únii.

(5)

Kybernetické útoky sú na vzostupe a prepojené hospodárstvo a spoločnosť, ktoré sú zraniteľnejšie z hľadiska kybernetických hrozieb a útokov, si vyžadujú silnejšiu obranu. Kybernetické útoky sú často cezhraničné, ale právomoc a politická reakcia orgánov zodpovedných za kybernetickú bezpečnosť a presadzovanie práva majú prevažne vnútroštátnu povahu. Rozsiahle incidenty by mohli narušiť poskytovanie základných služieb v celej Únii. To si vyžaduje účinné a koordinované reakcie a krízové riadenie na úrovni Únie, ktoré vychádzajú z osobitných politík a všeobecnejších nástrojov pre európsku solidaritu a vzájomnú pomoc. Okrem toho je pre tvorcov politík, priemysel a používateľov dôležité pravidelné posudzovanie stavu kybernetickej bezpečnosti a odolnosti v Únii založené na spoľahlivých údajoch Únie, ako aj systematických predpovediach budúceho vývoja, výziev a hrozieb na úrovni Únie aj celosvetovo.

(6)

Keďže výzvy, ktorým Únia čelí v oblasti kybernetickej bezpečnosti, sa stupňujú, je potrebný komplexný súbor opatrení, ktorými by sa nadviazalo na predošlé kroky Únie a ktorými by sa podporil synergický účinok cieľov. Uvedené ciele zahŕňajú aj ďalšie posilňovanie spôsobilosti a pripravenosti členských štátov a podnikov, ako aj zlepšovanie spolupráce, výmeny informácií a koordinácie medzi členskými štátmi a inštitúciami, orgánmi, úradmi a agentúrami Únie. Okrem toho, keďže kybernetické hrozby nepoznajú hranice, treba posilniť spôsobilosť na úrovni Únie, ktorá by doplnila opatrenia členských štátov, najmä pri rozsiahlych cezhraničných incidentoch a krízach, a zároveň zohľadniť dôležitosť zachovania a ďalšieho posilnenia vnútroštátnej spôsobilosti reagovať na kybernetické hrozby akýchkoľvek rozmerov.

(7)

Väčšie úsilie je potrebné vyvinúť aj v oblasti informovanosti občanov, organizácií a podnikov o otázkach kybernetickej bezpečnosti. Navyše, vzhľadom na to, že incidenty oslabujú dôveru v poskytovateľov digitálnych služieb a v samotný jednotný digitálny trh, najmä medzi spotrebiteľmi, dôvera by sa mala ešte posilniť transparentným poskytovaním informácií o úrovni bezpečnosti produktov IKT, služieb IKT a procesov IKT, ktoré by malo zdôrazňovať, že dokonca ani vysoká úroveň certifikácie kybernetickej bezpečnosti nezaručuje, že produkt IKT, služba IKT alebo proces IKT sú absolútne bezpečné. Zvýšenie dôvery môže uľahčiť celoúnijná certifikácia, ktorou sa zabezpečia spoločné požiadavky kybernetickej bezpečnosti a hodnotiace kritériá naprieč vnútroštátnymi trhmi a odvetviami.

(8)

Kybernetická bezpečnosť nie je len otázkou technológie, ale rovnako dôležité je aj správanie ľudí. Mala by sa preto významne podporovať tzv. kybernetická hygiena, konkrétne jednoduché rutinné opatrenia, ktoré minimalizujú vystavenie sa rizikám kybernetických hrozieb, ak ich občania, organizácie a podniky vykonávajú pravidelne.

(9)

Pre účely posilnenia kybernetickobezpečnostných štruktúr Únie je dôležité udržiavať a rozvíjať spôsobilosť členských štátov s cieľom komplexne reagovať na kybernetické hrozby vrátane cezhraničných incidentov.

(10)

Podniky a jednotliví spotrebitelia by mali mať presné informácie o stupni dôveryhodnosti, na aký bola certifikovaná bezpečnosť ich produktov IKT, služieb IKT a procesov IKT. Zároveň žiadny produkt nie je úplne kyberneticky bezpečný a treba podporovať a uprednostňovať základné pravidlá kybernetickej hygieny. Vzhľadom na rastúcu dostupnosť zariadení IoT je k dispozícii viacero dobrovoľných opatrení, ktoré môže súkromný sektor prijať na posilnenie dôvery v bezpečnosť produktov IKT, služieb IKT a procesov IKT.

(11)

Moderné produkty a systémy IKT často obsahujú jednu alebo viaceré technológie a komponenty tretích strán, ako napríklad softvérové moduly, knižnice alebo aplikačné programovacie rozhrania, a často sú na ne odkázané. Táto odkázanosť, ktorá sa nazýva „závislosť“, by mohla predstavovať dodatočné kybernetickobezpečnostné riziká, keďže zraniteľnosti komponentov tretích strán by mohli mať vplyv aj na bezpečnosť produktov IKT, služieb IKT a procesov IKT. Určenie a zdokumentovanie takýchto závislostí v mnohých prípadoch umožňuje koncovým užívateľom produktov IKT, služieb IKT a procesov IKT zlepšiť ich činnosť v oblasti riadenia kybernetickobezpečnostných rizík, napríklad tým, že zlepšia riadenie zraniteľnosti užívateľov v oblasti kybernetickej bezpečnosti a nápravné postupy.

(12)

Organizácie, výrobcovia alebo poskytovatelia podieľajúci sa na navrhovaní a vývoji produktov IKT, služieb IKT a procesov IKT by sa mali nabádať na uplatňovanie opatrení počas čo najskorších etáp navrhovania a vývoja, aby sa bezpečnosť týchto produktov, služieb a procesov chránila v najvyššej možnej miere takým spôsobom, že výskyt kybernetických útokov sa bude predpokladať a ich následky sa budú očakávať a minimalizovať („bezpečnosť už v štádiu návrhu“). Bezpečnosť by mala byť zabezpečená počas celej životnosti produktu IKT, služby IKT a procesu IKT prostredníctvom procesov navrhovania a vývoja, ktoré sa neustále vyvíjajú, aby znížili riziko škody spôsobenej zámerným zneužitím.

(13)

Podniky, organizácie a verejný sektor by mali nastaviť produkty IKT, služby IKT alebo procesy IKT, ktoré navrhujú, tak, aby zaistili vyšší stupeň bezpečnosti, ktorým by sa malo umožniť, že ich prvý užívateľ dostane v rámci predvolenej konfigurácie čo najbezpečnejšie nastavenia („bezpečnosť ako štandard“), čím sa zníži zaťaženie užívateľov musieť si produkt IKT, službu IKT alebo proces IKT správne nastaviť. Bezpečnosť ako štandard by si nemala vyžadovať rozsiahle nastavovanie ani osobitné technické znalosti alebo neintuitívne správanie zo strany užívateľa a mala by pri používaní ľahko a spoľahlivo fungovať. Ak sa analýzou rizík a použiteľnosti v konkrétnych prípadoch preukáže, že takéto štandardné nastavenie nie je možné, užívatelia by mali byť vyzvaní, aby sa rozhodli pre najbezpečnejšie nastavenie.

(14)

Nariadenie Európskeho parlamentu a Rady (ES) č. 460/2004 (6) zriadilo agentúru ENISA so zámerom prispieť k cieľom v oblasti zabezpečenia vysokej a účinnej úrovne sieťovej a informačnej bezpečnosti v Únii a k vybudovaniu kultúry sieťovej a informačnej bezpečnosti v prospech občanov, spotrebiteľov, podnikov a verejnej správy. Nariadenie Európskeho parlamentu a Rady (ES) č. 1007/2008 (7) predĺžilo mandát agentúry ENISA do marca 2012. Nariadením Európskeho parlamentu a Rady (EÚ) č. 580/2011 (8) sa mandát agentúry ENISA ďalej predĺžil do 13. septembra 2013. Nariadenie (EÚ) č. 526/2013 predĺžilo mandát agentúry ENISA do 19. júna 2020.

(15)

Únia už prijala dôležité kroky na zaistenie kybernetickej bezpečnosti a zvýšenie dôvery v digitálne technológie. V roku 2013 bola prijatá Stratégia kybernetickej bezpečnosti Európskej únie pre usmerňovanie politickej reakcie Únie na kybernetické hrozby a riziká. V snahe o lepšiu ochranu občanov online prijala Únia v roku 2016 prvý právny akt v oblasti kybernetickej bezpečnosti v podobe smernice Európskeho parlamentu a Rady (EÚ) 2016/1148 (9). V smernici (EÚ) 2016/1148 sa stanovujú požiadavky na vnútroštátnu spôsobilosť v oblasti kybernetickej bezpečnosti, zriaďujú sa prvé mechanizmy na posilnenie strategickej a operačnej spolupráce medzi členskými štátmi a zavádzajú sa povinnosti týkajúce sa bezpečnostných opatrení a oznamovania incidentov v odvetviach, ktoré sú pre hospodárstvo a spoločnosť kľúčové (ako energetika, doprava, dodávka a distribúcia pitnej vody, bankovníctvo, infraštruktúry finančných trhov, zdravotníctvo, digitálna infraštruktúra), ako aj povinnosti kľúčových poskytovateľov digitálnych služieb (vyhľadávače, služby cloud computingu a online trhoviská).

Agentúre ENISA bola priradená kľúčová úloha podpory pri vykonávaní uvedenej smernice. Účinný boj proti počítačovej kriminalite je navyše dôležitou prioritou Európskeho programu v oblasti bezpečnosti a prispieva k celkovému cieľu vysokej úrovne kybernetickej bezpečnosti. Ďalšie právne akty, ako je nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 (10) a smernice Európskeho parlamentu a Rady 2002/58/ES (11) a (EÚ) 2018/1972 (12), takisto prispievajú k vysokej úrovni kybernetickej bezpečnosti na jednotnom digitálnom trhu.

(16)

Od prijatia Stratégie kybernetickej bezpečnosti Európskej únie v roku 2013 a od posledného prehodnotenia mandátu agentúry ENISA sa celkový politický kontext výrazne zmenil, keďže globálne prostredie sa stalo neistejším a menej bezpečným. Vzhľadom na uvedený kontext a v súvislosti s pozitívnym vývojom úlohy agentúry ENISA ako referenčného bodu pre poradenstvo a odborné znalosti a ako subjektu, ktorý uľahčuje spoluprácu a budovanie kapacít v rámci novej kybernetickobezpečnostnej politiky Únie, treba mandát agentúry ENISA zrevidovať s cieľom vymedziť jej úlohu v zmenenom ekosystéme kybernetickej bezpečnosti a zaistiť, aby účinne prispievala k reakcii Únie na výzvy v oblasti kybernetickej bezpečnosti vyplývajúce z radikálne zmenenej povahy kybernetických hrozieb, keďže ako sa potvrdilo v rámci hodnotenia agentúry ENISA, jej súčasný mandát na to nestačí.

(17)

Agentúra ENISA zriadená týmto nariadením by mala byť nástupcom agentúry ENISA zriadenej nariadením (EÚ) č. 526/2013. Agentúra ENISA by mala vykonávať úlohy zverené jej týmto nariadením a inými právnymi aktmi Únie v oblasti kybernetickej bezpečnosti, okrem iného ako zdroj poradenstva a odborných znalostí, a aj ako stredisko Únie pre informácie a znalosti. Mala by podporovať výmenu najlepších postupov medzi členskými štátmi a súkromnými aktérmi, ponúkať Komisii a členským štátom politické návrhy, pôsobiť ako referenčný bod pre iniciatívy v rámci odvetvových politík Únie, pokiaľ ide o otázky kybernetickej bezpečnosti, a podporovať operačnú spoluprácu medzi členskými štátmi navzájom i v ich vzťahu k inštitúciám, orgánom, úradom a agentúram Únie.

(18)

V jednomyseľnom rozhodnutí 2004/97/ES, Euratom prijatom predstaviteľmi členských štátov zasadajúcich na najvyššej štátnej a vládnej úrovni (13) zástupcovia členských štátov rozhodli, že agentúra ENISA bude mať sídlo v gréckom meste, ktoré určí grécka vláda. Hostiteľský členský štát agentúry ENISA by mal zabezpečiť čo najlepšie podmienky pre bezproblémové a efektívne fungovanie agentúry ENISA. Pre riadne a efektívne plnenie jej úloh, nábor a udržanie zamestnancov a zvýšenie efektívnosti budovania sietí vzťahov je nevyhnutné, aby agentúra ENISA sídlila na vhodnom mieste, ktoré okrem iného poskytuje vhodné dopravné spojenia a zariadenia pre manželských partnerov a deti sprevádzajúce personál agentúry ENISA. Potrebné dojednania by sa mali stanoviť v dohode medzi agentúrou ENISA a hostiteľským členským štátom, ktorá sa uzavrie po získaní súhlasu správnej rady agentúry ENISA.

(19)

Keďže Únia čelí narastajúcim kybernetickobezpečnostným rizikám a výzvam, mal by sa zvýšiť objem finančných a ľudských zdrojov pridelených agentúre ENISA, aby sa odzrkadlilo jej posilnené poslanie a úlohy a jej rozhodujúce postavenie v ekosystéme organizácií brániacich digitálny ekosystém Únie a aby sa agentúre ENISA umožnilo účinne plniť úlohy zverené týmto nariadením.

(20)

Agentúra ENISA by mala dosiahnuť a udržiavať si vysokú úroveň odborných znalostí a pôsobiť ako referenčný bod, ktorý buduje dôveru v jednotný trh svojou nezávislosťou, kvalitou poskytovaného poradenstva a šírených informácií, transparentnosťou svojich postupov a pracovných metód a dôslednosťou pri plnení svojich úloh. Agentúra ENISA by mala aktívne podporovať vnútroštátne úsilie a proaktívne prispievať k úsiliu Únie, pričom by mala vykonávať svoje úlohy v plnej spolupráci s inštitúciami, orgánmi, úradmi a agentúrami Únie a s členskými štátmi a zároveň podporovať synergiu a predchádzať akémukoľvek zdvojovaniu práce. Okrem toho by agentúra ENISA mala využívať vstupy od súkromného sektora a od ďalších relevantných zainteresovaných strán a spoluprácu s nimi. Mal by sa stanoviť súbor úloh, ktorým sa určí, ako agentúra ENISA dosiahne svoje ciele, ktorý by však umožnil flexibilitu jej činnosti.

(21)

Aby agentúra ENISA mohla primerane podporovať operačnú spoluprácu medzi členskými štátmi, mala by ďalej posilňovať svoje vlastné technické a ľudské spôsobilosti a zručnosti. Agentúra ENISA by mala zvýšiť svoje odborné znalosti a spôsobilosť. Agentúra ENISA a členské štáty by na dobrovoľnom základe mohli vypracovať programy pre vysielanie národných expertov do agentúry ENISA, združovanie expertov a výmenu personálu.

(22)

Agentúra ENISA by mala pomáhať Komisii poskytovaním poradenstva, stanovísk a analýz týkajúcich sa všetkých záležitostí Únie súvisiacich s vypracúvaním, aktualizáciou a revíziou politík a právnych predpisov v oblasti kybernetickej bezpečnosti a jej odvetvových aspektov s cieľom posilniť relevantnosť politík a právnych predpisov Únie s kybernetickobezpečnostným rozmerom a umožniť konzistentnosť pri vykonávaní uvedených politík a právnych predpisov na vnútroštátnej úrovni. Agentúra ENISA by mala byť referenčným bodom, pokiaľ ide o poradenstvo a odborné znalosti pre iniciatívy v rámci odvetvových politík a právnych predpisov Únie zahŕňajúcich rozmer kybernetickej bezpečnosti. Agentúra ENISA by mala pravidelne informovať Európsky parlament o svojej činnosti.

(23)

Verejným jadrom otvoreného internetu, najmä jeho hlavnými protokolmi a infraštruktúrou, ktoré sú celosvetovým verejným statkom, sa zabezpečuje základná funkčnosť internetu ako celku a jeho bežná prevádzka. Agentúra ENISA by mala podporovať bezpečnosť verejného jadra otvoreného internetu a stabilitu jeho fungovania vrátane napríklad kľúčových protokolov (najmä DNS, BGP a IPv6), prevádzky systému názvov domén (napríklad prevádzky všetkých domén najvyššej úrovne) a prevádzky koreňovej zóny.

(24)

Základnou úlohou agentúry ENISA je presadzovať dôsledné vykonávanie príslušného právneho rámca, najmä účinné vykonávanie smernice (EÚ) 2016/1148 a iných príslušných právnych nástrojov s kybernetickobezpečnostnými aspektmi, čo je kľúčom k posilneniu kybernetickej odolnosti. Keďže situácia v oblasti kybernetickobezpečnostných hrozieb sa rýchlo mení, je jasné, že členské štáty potrebujú podporu v podobe komplexnejšieho, prierezového prístupu k budovaniu kybernetickej odolnosti.

(25)

Agentúra ENISA by mala pomáhať členským štátom a inštitúciám, orgánom, úradom a agentúram Únie v ich úsilí vybudovať a zdokonaľovať spôsobilosť a pripravenosť predchádzať kybernetickým hrozbám a incidentom, odhaľovať ich a reagovať na ne, ako aj vo vzťahu k bezpečnosti sietí a informačných systémov. Agentúra ENISA by mala najmä podporovať rozvoj a posilňovanie vnútroštátnych jednotiek pre riešenie počítačových bezpečnostných incidentov (ďalej len „CSIRT“) a jednotiek CSIRT Únie stanovených v smernici (EÚ) 2016/1148, aby v rámci Únie všetky dosiahli vysoký stupeň vývoja. Činnosťami, ktoré vykonáva agentúra ENISA a ktoré sa týkajú operačných kapacít členských štátov, by sa mali aktívne podporovať opatrenia, ktoré členské štáty prijali, aby si splnili svoje povinnosti podľa smernice (EÚ) 2016/1148, a preto by ich nemali nahrádzať.

(26)

Agentúra ENISA by mala zároveň pomáhať pri príprave a aktualizácii stratégií v oblasti bezpečnosti sietí a informačných systémov na úrovni Únie a na požiadanie na úrovni členských štátov, najmä pokiaľ ide o kybernetickú bezpečnosť, a podporovať šírenie takých stratégií a sledovať pokrok pri ich vykonávaní. Agentúra ENISA by tiež mala prispievať k pokrytiu potrieb v oblasti odbornej prípravy a vzdelávacích materiálov, a to aj potrieb verejných orgánov, a podľa vhodnosti do vysokej miery „školiť školiteľov“ na základe Rámca digitálnych kompetencií pre občanov a s cieľom pomôcť členským štátom a inštitúciám, orgánom, úradom a agentúram Únie pri rozvoji ich vlastných kapacít odbornej prípravy.

(27)

Agentúra ENISA by mala podporovať členské štáty v oblasti zvyšovania povedomia a vzdelávania o kybernetickej bezpečnosti tým, že umožní užšiu koordináciu a výmenu najlepších postupov medzi členskými štátmi. Táto podpora by mohla zahŕňať vytvorenie siete kontaktných miest vnútroštátneho vzdelávania a platformy pre odbornú prípravu v oblasti kybernetickej bezpečnosti. Sieť kontaktných miest vnútroštátneho vzdelávania by mohla fungovať v rámci siete národných styčných úradníkov a byť začiatkom budúcej koordinácie v rámci členských štátov.

(28)

Agentúra ENISA by mala pomáhať skupine pre spoluprácu zriadenej smernicou (EÚ) 2016/1148 pri výkone jej úloh, a to najmä poskytovaním odborných znalostí, poradenstva a uľahčovaním výmeny najlepších postupov, okrem iného pokiaľ ide o určenie prevádzkovateľov základných služieb členskými štátmi z hľadiska rizík a incidentov, a to aj v súvislosti s cezhraničnou previazanosťou.

(29)

Na stimulovanie spolupráce verejného a súkromného sektora a v rámci súkromného sektora, najmä pokiaľ ide o podporu ochrany kritických infraštruktúr, by agentúra ENISA mala podporovať výmenu informácií v odvetviach a medzi nimi, obzvlášť v odvetviach uvedených v prílohe II k smernici (EÚ) 2016/1148, a to poskytovaním najlepších postupov a usmernení k existujúcim nástrojom a postupom, ako aj usmerňovaním v otázke riešenia regulačných problémov spojených s výmenou informácií, napríklad uľahčovaním zriaďovania odvetvových stredísk pre výmenu a analýzu informácií.

(30)

Keďže potenciálny negatívny vplyv zraniteľností produktov IKT, služieb IKT a procesov IKT sa neustále zvyšuje, ich odhalenie a náprava zohrávajú dôležitú úlohu pri znižovaní celkového rizika v oblasti kybernetickej bezpečnosti. Spolupráca medzi organizáciami, výrobcami alebo poskytovateľmi zraniteľných produktov IKT, služieb IKT a procesov IKT a členmi kybernetickobezpečnostnej výskumnej komunity a sektorom verejnej správy, ktorí zraniteľnosti odhaľujú, preukázateľne a výrazne zvyšuje mieru odhaľovania a nápravy zraniteľnosti produktov IKT, služieb IKT a procesov IKT. Koordinované zverejňovanie informácií o zraniteľnosti sa riadi štruktúrovaným procesom spolupráce, v rámci ktorého sa zraniteľnosti hlásia vlastníkovi informačného systému, čím sa danej organizácii dáva príležitosť diagnostikovať zraniteľnosť a zabezpečiť jej nápravu pred tým, ako sa podrobné informácie o zraniteľnosti poskytnú tretím stranám alebo verejnosti. Tento proces tiež upravuje koordináciu objaviteľa a organizácie, pokiaľ ide o zverejnenie uvedenej zraniteľnosti. Politiky koordinovaného zverejňovania informácií o zraniteľnosti by mohli zohrávať dôležitú úlohu v úsilí členských štátov o zvýšenie kybernetickej bezpečnosti.

(31)

Agentúra ENISA by mala zhromažďovať a analyzovať dobrovoľne zdieľané správy vnútroštátnych jednotiek CSIRT a medziinštitucionálneho tímu reakcie na núdzové počítačové situácie v inštitúciách, orgánoch a agentúrach Únie zriadeného Dohodou medzi Európskym parlamentom, Európskou radou, Radou Európskej únie, Európskou komisiou, Súdnym dvorom Európskej únie, Európskou centrálnou bankou, Európskym dvorom audítorov, Európskou službou pre vonkajšiu činnosť, Európskym hospodárskym a sociálnym výborom, Európskym výborom regiónov a Európskou investičnou bankou o organizácii a fungovaní tímu reakcie na núdzové počítačové situácie v inštitúciách, orgánoch a agentúrach Únie (CERT-EU) (14), s cieľom prispievať k stanovovaniu spoločných postupov, jazyka a terminológie na výmenu informácií. V uvedenom kontexte by agentúra ENISA mala zapojiť súkromný sektor v rámci smernice (EÚ) 2016/1148, ktorou sa stanovuje základ pre dobrovoľnú výmenu technických informácií na operačnej úrovni v sieti jednotiek pre riešenie počítačových bezpečnostných incidentov (ďalej len „sieť jednotiek CSIRT“).

(32)

Agentúra ENISA by mala prispievať k reakciám na úrovni Únie v prípade rozsiahlych cezhraničných incidentov a kríz v oblasti kybernetickej bezpečnosti. Uvedená úloha by sa mala vykonávať v súlade s mandátom agentúry ENISA podľa tohto nariadenia a prístupom, na ktorom sa dohodnú členské štáty v kontexte odporúčania Komisie (EÚ) 2017/1584 (15) a záverov Rady z 26. júna 2018 o koordinovanej reakcii EÚ na kybernetické bezpečnostné incidenty a krízy veľkého rozsahu. Uvedená úloha by mohla zahŕňať aj zhromažďovanie relevantných informácií a uľahčovanie interakcie medzi sieťou jednotiek CSIRT a technickou komunitou či subjektmi zodpovednými za krízové riadenie, ktoré prijímajú rozhodnutia. Okrem toho by agentúra ENISA mala podporovať operačnú spoluprácu medzi členskými štátmi na žiadosť jedného alebo viacerých členských štátov pri riešení incidentov z technickej stránky uľahčovaním výmeny relevantných technických riešení medzi členskými štátmi a vypracúvaním príspevkov pre komunikáciu s verejnosťou. Agentúra ENISA by mala podporovať operačnú spoluprácu skúšaním rôznych spôsobov takejto spolupráce na pravidelných kybernetickobezpečnostných cvičeniach.

(33)

Agentúra ENISA by na podporu operačnej spolupráce mala prostredníctvom štruktúrovanej spolupráce využívať dostupné technické a operačné odborné znalosti tímu CERT-EU. Takáto štruktúrovaná spolupráca by mohla viesť k budovaniu odborných znalostí agentúry ENISA. Podľa potreby by sa mali medzi oboma subjektmi vytvoriť účelové dohody o fungovaní tejto spolupráce v praxi a zabránení zdvojovaniu činností.

(34)

Pri plnení svojej úlohy na podporu operačnej spolupráce v rámci siete jednotiek CSIRT by agentúra ENISA mala byť schopná poskytovať členským štátom na ich požiadanie podporu, napríklad tým, že bude poskytovať poradenstvo o tom, ako zlepšiť ich spôsobilosti predchádzať incidentom, odhaľovať ich a reagovať na ne, že bude uľahčovať technické riešenie incidentov, ktoré majú významný alebo závažný vplyv, alebo že zabezpečí analýzy kybernetických hrozieb a incidentov. ENISA by mala uľahčovať technické riešenia incidentov, ktoré majú významný alebo závažný vplyv, najmä podporou zameranou na dobrovoľnú výmenu technických riešení medzi členskými štátmi alebo tým, že bude vypracúvať kombinované technické informácie, ako napríklad technické riešenia, ktoré dali dobrovoľne k dispozícii členské štáty. V odporúčaní (EÚ) 2017/1584 sa odporúča, aby členské štáty v dobrej viere spolupracovali a bez zbytočného odkladu sa vzájomne i s agentúrou ENISA delili o informácie o rozsiahlych incidentoch a krízach v oblasti kybernetickej bezpečnosti. Aj tieto informácie by agentúre ENISA pomohli pri plnení jej úlohy, pokiaľ ide o podporu operačnej spolupráce.

(35)

V rámci bežnej technickej spolupráce na podporu situačného povedomia Únie by mala agentúra ENISA v úzkej spolupráci s členskými štátmi vypracúvať pravidelné podrobné technické situačné správy o kybernetickej bezpečnosti v EÚ, ktoré sa týkajú incidentov a kybernetických hrozieb, a ktoré vychádzajú z verejne dostupných informácií, jej vlastných analýz a správ, ktoré jej poskytli jednotky CSIRT členských štátov alebo národné jednotné kontaktné miesta pre bezpečnosť sietí a informačných systémov (ďalej len „jednotné kontaktné miesta“) stanovené v smernici (EÚ) 2016/1148, v oboch prípadoch na dobrovoľnom základe, Európske centrum boja proti počítačovej kriminalite (EC3) pri Europole, CERT-EU a v náležitých prípadoch spravodajské a situačné centrum Európskej únie (EU INTCEN) v rámci Európskej služby pre vonkajšiu činnosť. Uvedená správa by sa mala sprístupniť Rade, Komisii, vysokému predstaviteľovi Únie pre zahraničné veci a bezpečnostnú politiku a sieti jednotiek CSIRT.

(36)

Podpora pri ex post technickom skúmaní incidentov s významným alebo závažným vplyvom, ktorú agentúra ENISA poskytuje na žiadosť dotknutých členských štátov, by sa mala zameriavať na predchádzanie incidentom v budúcnosti. Dotknuté členské štáty by mali agentúre ENISA poskytnúť potrebné informácie a pomoc, aby mohla účinne podporiť ex post technické skúmanie.

(37)

Členské štáty môžu prizvať podniky dotknuté daným incidentom k spolupráci v podobe poskytnutia potrebných informácií a pomoci agentúre ENISA bez toho, aby tým bolo dotknuté ich právo na ochranu citlivých obchodných informácií a informácií dôležitých z hľadiska verejnej bezpečnosti.

(38)

Na lepšie pochopenie výziev v oblasti kybernetickej bezpečnosti a v záujme dlhodobého strategického poradenstva pre členské štáty a inštitúcie, orgány, úrady a agentúry Únie musí agentúra ENISA analyzovať existujúce i nové kybernetickobezpečnostné riziká. Na to by agentúra ENISA mala v spolupráci s členskými štátmi a podľa potreby so štatistickými orgánmi a ďalšími orgánmi zbierať relevantné verejne dostupné alebo dobrovoľne zdieľané informácie, analyzovať nové technológie a poskytovať tematické posúdenie o očakávanom spoločenskom, právnom, hospodárskom a regulačnom vplyve technologických inovácií na sieťovú a informačnú bezpečnosť, najmä kybernetickú bezpečnosť. Agentúra ENISA by navyše mala členské štáty a inštitúcie, orgány, úrady a agentúry Únie podporovať pri identifikácii nových kybernetickobezpečnostných rizík a pri predchádzaní incidentom, a to analýzou kybernetických hrozieb, zraniteľnosti a incidentov.

(39)

V záujme posilnenia odolnosti Únie by agentúra ENISA mala rozvíjať odborné znalosti v oblasti kybernetickej bezpečnosti infraštruktúr, najmä s cieľom podpory odvetví uvedených v prílohe II k smernici (EÚ) 2016/1148, a infraštruktúr, ktoré používajú poskytovatelia digitálnych služieb uvedených v prílohe III k uvedenej smernici, a to poskytovaním poradenstva, vydávaním usmernení a výmenou najlepších postupov. S cieľom uľahčiť prístup k lepšie štruktúrovaným informáciám o kybernetickobezpečnostných rizikách a možných nápravách by agentúra ENISA mala zriadiť a udržiavať „informačné centrum“ Únie – portál s funkciou jednotného kontaktného miesta, ktorý bude verejnosti sprístupňovať informácie o kybernetickej bezpečnosti pochádzajúce od únijných a vnútroštátnych inštitúcií, orgánov, úradov a agentúr. Uľahčovanie prístupu k lepšie štruktúrovaným informáciám o kybernetickobezpečnostných rizikách a možných nápravách by mohlo tiež pomôcť členským štátom pri posilňovaní ich kapacít a zosúlaďovaní postupov, čo by zvýšilo ich celkovú odolnosť proti kybernetickým útokom.

(40)

Agentúra ENISA by mala prispievať k zvyšovaniu verejného povedomia o kybernetickobezpečnostných rizikách, a to aj celoúnijnou kampaňou a podporou vzdelávania, a poskytovaniu poradenstva o osvedčených postupoch pre jednotlivých užívateľov zameraného na občanov, organizácie a podniky. Agentúra ENISA by mala prispievať aj k propagácii najlepších postupov a riešení vrátane kybernetickej hygieny a kybernetickej gramotnosti na úrovni občanov, organizácii a podnikov, a to zhromažďovaním a analýzou verejne dostupných informácií o významných incidentoch a vypracúvaním a uverejňovaním správ a poradenstva pre občanov, organizácie a podniky s cieľom zvýšiť ich celkovú úroveň pripravenosti a odolnosti. Agentúra ENISA by sa mala takisto usilovať o to, aby spotrebiteľom poskytovala relevantné informácie o platných certifikačných systémoch, napríklad poskytovaním usmernení a odporúčaní. Agentúra ENISA by navyše mala v súlade s Akčným plánom digitálneho vzdelávania stanoveným v oznámení Komisie zo 17. januára 2018 a v spolupráci s členskými štátmi a inštitúciami, orgánmi, úradmi a agentúrami Únie organizovať pravidelné osvetové a vzdelávacie kampane pre verejnosť určené koncovým užívateľom a zamerané na propagáciu bezpečnejšieho správania jednotlivcov na internete a digitálnej gramotnosti, na zvyšovanie povedomia o možných kybernetických hrozbách vrátane internetovej trestnej činnosti, ako sú phishingové útoky, botnety, finančné a bankové podvody, incidenty zahŕňajúce podvody s údajmi, a na propagáciu základných rád v oblasti viacfaktorovej autentifikácie, aplikovania bezpečnostných záplat, šifrovania, anonymizácie a ochrany údajov.

(41)

Agentúra ENISA by mala zohrávať ústrednú úlohu pri urýchlení zvyšovania povedomia koncových užívateľov o bezpečnosti zariadení a bezpečnom využívaní služieb, a mala by na úrovni Únie propagovať zásady „bezpečnosť už v štádiu návrhu“ a „ochrana súkromia už v štádiu návrhu“. Pri sledovaní tohto cieľa by agentúra ENISA mala využívať dostupné najlepšie postupy a skúsenosti, najmä akademických inštitúcií a výskumných pracovníkov v oblasti bezpečnosti informačných technológií.

(42)

Na podporu podnikov pôsobiacich v odvetví kybernetickej bezpečnosti, ako aj užívateľov kybernetickobezpečnostných riešení by agentúra ENISA mala vytvoriť a udržiavať „monitor trhu“, ktorý bude pravidelne analyzovať a šíriť informácie o hlavných trendoch na trhu kybernetickej bezpečnosti, a to na strane dopytu, ako aj ponuky.

(43)

Agentúra ENISA by mala prispievať k úsiliu Únie v oblasti spolupráce s medzinárodnými organizáciami, ako aj v rámci príslušných medzinárodných rámcov spolupráce v oblasti kybernetickej bezpečnosti. Agentúra ENISA by predovšetkým mala podľa vhodnosti prispievať k spolupráci s organizáciami, ako je NATO, OBSE a OECD. Takáto spolupráca by mohla zahŕňať spoločné kybernetickobezpečnostné cvičenia a koordináciu spoločnej reakcie na incidenty. Uvedené činnosti sa majú vykonávať pri plnom rešpektovaní zásad inkluzívnosti, reciprocity a rozhodovacej autonómie Únie bez toho, aby bola dotknutá osobitná povaha bezpečnostnej a obrannej politiky ktoréhokoľvek členského štátu.

(44)

S cieľom zaistiť úplné splnenie svojich cieľov by agentúra ENISA mala udržiavať kontakty s relevantnými dozornými orgánmi Únie a inými príslušnými orgánmi v Únii, inštitúciami, orgánmi, úradmi a agentúrami Únie vrátane tímu CERT-EU, EC3, Európskej obrannej agentúry (EDA), Agentúry pre európsky globálny navigačný satelitný systém (Agentúry pre európsky GNSS), Orgánu európskych regulátorov pre elektronické komunikácie (BEREC), Európskej agentúry na prevádzkové riadenie rozsiahlych informačných systémov v priestore slobody, bezpečnosti a spravodlivosti (eu-LISA), Európskej centrálnej banky (ECB), Európskeho orgánu pre bankovníctvo (EBA), Európskeho výboru pre ochranu údajov, Agentúry pre spoluprácu regulačných orgánov v oblasti energetiky (ACER), Agentúry Európskej únie pre bezpečnosť letectva (EASA) a všetkých ďalších agentúr Únie angažovaných v otázkach kybernetickej bezpečnosti. Okrem toho by agentúra ENISA mala udržiavať kontakty aj s orgánmi zodpovednými za ochranu údajov s cieľom vymieňať si know-how a najlepšie postupy a poskytovať poradenstvo o otázkach kybernetickej bezpečnosti, ktoré môžu ovplyvniť ich prácu. Zástupcovia vnútroštátnych orgánov a orgánov Únie v oblasti presadzovania práva a ochrany údajov by mali byť oprávnení na zastúpenie v poradnej skupine agentúry ENISA. Pri styku s orgánmi presadzovania práva v otázkach sieťovej a informačnej bezpečnosti, ktoré by mohli mať vplyv na ich prácu, by agentúra ENISA mala rešpektovať existujúce informačné kanály a zavedené siete.

(45)

Mohli by sa vytvárať partnerstvá s akademickými inštitúciami, ktoré majú výskumné iniciatívy v relevantných oblastiach, pričom pre vstupy od spotrebiteľských a iných organizácií by mali byť k dispozícii vhodné kanály a mali by sa zohľadňovať.

(46)

Agentúra ENISA by vo svojej funkcii sekretariátu siete jednotiek CSIRT mala podporovať jednotky CSIRT členských štátov a tím CERT-EU v operačnej spolupráci v súvislosti s relevantnými úlohami siete jednotiek CSIRT uvedenými v smernici (EÚ) 2016/1148. Ďalej by agentúra ENISA mala presadzovať a podporovať spoluprácu medzi príslušnými jednotkami CSIRT v prípade incidentov, útokov alebo narušení sietí alebo infraštruktúr pod ich správou alebo ochranou, ktoré zahŕňajú alebo môžu zahŕňať aspoň dve jednotky CSIRT, pričom sa riadne zohľadnia štandardné operačné postupy siete jednotiek CSIRT.

(47)

V záujme lepšej pripravenosti Únie reagovať na incidenty by agentúra ENISA mala pravidelne organizovať kybernetickobezpečnostné cvičenia na úrovni Únie a na žiadosť by mala podporovať členské štáty a inštitúcie, orgány, úrady a agentúry Únie pri organizácii takých cvičení. Raz za dva roky by sa mali organizovať rozsiahle komplexné cvičenia, ktoré by zahŕňali technické, operačné alebo strategické prvky. Okrem toho agentúra ENISA by mala pravidelne organizovať menej komplexné cvičenia s rovnakým cieľom lepšej pripravenosti Únie reagovať na incidenty.

(48)

Agentúra ENISA by mala ďalej rozvíjať a udržiavať odborné znalosti, ktoré sa týkajú certifikácie kybernetickej bezpečnosti, v záujme podpory politiky Únie v tejto oblasti. Agentúra ENISA by mala stavať na existujúcich najlepších postupoch a podporovať zavádzanie certifikácie kybernetickej bezpečnosti v Únii, a to aj tým, že prispeje k vytvoreniu a udržiavaniu rámca certifikácie kybernetickej bezpečnosti na úrovni Únie (Európsky rámec certifikácie kybernetickej bezpečnosti), aby sa posilnila transparentnosť dôveryhodnosti kybernetickej bezpečnosti produktov IKT, služieb IKT a procesov IKT, a tým sa posilnila dôvera v digitálny vnútorný trh a jeho konkurencieschopnosť.

(49)

Účinné politiky kybernetickej bezpečnosti by mali vychádzať z podrobne vyvinutých metód posudzovania rizika vo verejnom i v súkromnom sektore. Metódy posudzovania rizika sa používajú na rôznych úrovniach bez spoločného postupu ich účinného uplatňovania. Podpora a vývoj najlepších postupov v oblasti posudzovania rizika a interoperabilných riešení riadenia rizika v organizáciách verejného a súkromného sektora zvýšia úroveň kybernetickej bezpečnosti v Únii. S týmto cieľom by agentúra ENISA mala podporovať spoluprácu zainteresovaných strán na úrovni Únie a uľahčovať ich úsilie o tvorbu a zavádzanie európskych a medzinárodných noriem pre riadenie rizika a merateľnú bezpečnosť elektronických produktov, systémov, sietí a služieb, ktoré spolu so softvérom tvoria sieťové a informačné systémy.

(50)

Agentúra ENISA by mala podnecovať členské štáty, výrobcov alebo poskytovateľov produktov IKT, služieb IKT alebo procesov IKT k sprísňovaniu ich všeobecných bezpečnostných noriem tak, aby všetci užívatelia internetu mohli podniknúť kroky potrebné na zaistenie svojej osobnej kybernetickej bezpečnosti a boli k tomu motivovaní. Najmä výrobcovia a poskytovatelia produktov IKT, služieb IKT alebo procesov IKT by mali poskytovať potrebné aktualizácie a sťahovať od spotrebiteľov alebo z trhu či prepracúvať produkty IKT, služby IKT alebo procesy IKT, ktoré nespĺňajú kybernetickobezpečnostné normy, zatiaľ čo dovozcovia a distribútori by mali zabezpečiť, aby produkty IKT, služby IKT a procesy IKT, ktoré uvádzajú na trh Únie, boli v súlade s príslušnými požiadavkami a nepredstavovali riziko pre spotrebiteľov Únie.

(51)

V spolupráci s príslušnými orgánmi by agentúra ENISA mala šíriť informácie o úrovni kybernetickej bezpečnosti produktov IKT, služieb IKT a procesov IKT ponúkaných na vnútornom trhu, varovať pred určitými výrobcami alebo poskytovateľmi produktov IKT, služieb IKT alebo procesov IKT a žiadať ich o zvýšenie bezpečnosti ich produktov IKT, služieb IKT a procesov IKT vrátane kybernetickej bezpečnosti.

(52)

Pri poskytovaní poradenstva inštitúciám, orgánom, úradom a agentúram Únie a na požiadanie prípadne aj členským štátom o potrebách a prioritách výskumu v oblasti kybernetickej bezpečnosti by agentúra ENISA mala plne zohľadňovať výskum, vývoj a technologické posudzovanie, ktoré prebiehajú najmä v rámci rôznych výskumných iniciatív Únie. S cieľom určiť výskumné potreby a priority by agentúra ENISA mala konzultovať aj príslušné skupiny užívateľov. Konkrétnejšie by sa mohla nadviazať spolupráca s Európskou radou pre výskum, Európskym inovačným a technologickým inštitútom a Inštitútom Európskej únie pre bezpečnostné štúdie.

(53)

Agentúra ENISA by mala pri príprave európskych systémov certifikácie kybernetickej bezpečnosti pravidelne viesť konzultácie s normalizačnými organizáciami, najmä európskymi normalizačnými organizáciami.

(54)

Kybernetické hrozby sú globálnym problémom. Je potrebná užšia medzinárodná spolupráca s cieľom zlepšiť kybernetickobezpečnostné normy vrátane potreby vymedzenia spoločných noriem správania, prijatia kódexov správania, uplatňovania medzinárodných noriem a výmeny informácií, presadzovania rýchlejšej medzinárodnej spolupráce pri reakcii na problémy týkajúce sa sieťovej a informačnej bezpečnosti, ako aj presadzovania spoločného globálneho prístupu k týmto problémom. Agentúra ENISA by na tento účel mala podporovať výraznejšie kontakty a spoluprácu Únie s tretími krajinami a medzinárodnými organizáciami tým, že vo vhodných prípadoch poskytne potrebné odborné znalosti a analýzu príslušným inštitúciám, orgánom, úradom a agentúram Únie.

(55)

Agentúra ENISA by mala byť schopná reagovať na ad hoc žiadosti členských štátov a inštitúcií, orgánov, úradov a agentúr Únie o poradenstvo a pomoc v záležitostiach, na ktoré sa vzťahuje mandát agentúry ENISA.

(56)

Je rozumné a odporúča sa uplatňovať určité zásady týkajúce sa správy agentúry ENISA s cieľom dodržiavať spoločné vyhlásenie a spoločný prístupu, ktoré boli dohodnuté medziinštitucionálnou pracovnou skupinou pre decentralizované agentúry EÚ v júli 2012, ktorých cieľom je zefektívniť činnosti decentralizovaných agentúr a zlepšiť ich výkonnosť. Odporúčania v spoločnom vyhlásení a spoločnom prístupe by sa mali podľa potreby odraziť aj v pracovných programoch agentúry ENISA, jej hodnoteniach a jej praxi v oblasti podávania správ a administratívy.

(57)

Správna rada zložená zo zástupcov členských štátov a Komisie by mala stanoviť všeobecné smerovanie činnosti agentúry ENISA a zabezpečiť, aby agentúra ENISA vykonávala svoje úlohy v súlade s týmto nariadením. Správna rada by mala mať potrebné právomoci na zostavovanie rozpočtu, overovanie plnenia rozpočtu, prijatie vhodných rozpočtových pravidiel, stanovenie transparentných pracovných postupov rozhodovania agentúry ENISA, prijatie jednotného programového dokumentu agentúry ENISA, prijatie vlastného rokovacieho poriadku, menovanie výkonného riaditeľa a rozhodovanie o predĺžení a ukončení jeho funkčného obdobia.

(58)

Aby agentúra ENISA mohla riadne a efektívne fungovať, Komisia a členské štáty by mali zabezpečiť, aby osoby, ktoré majú byť vymenované za členov správnej rady, mali zodpovedajúce odborné znalosti a skúsenosti. Komisia a členské štáty by mali vynaložiť úsilie aj na obmedzenie obmeny svojich zástupcov v správnej rade s cieľom zabezpečiť kontinuitu jej práce.

(59)

V záujme bezproblémového fungovania agentúry ENISA je nevyhnutné, aby bol jej výkonný riaditeľ vymenovaný na základe zásluh a zdokumentovaných administratívnych a riadiacich schopností, ako aj na základe spôsobilosti a skúseností v oblasti kybernetickej bezpečnosti. Výkonný riaditeľ by mal vykonávať svoje povinnosti úplne nezávisle. Výkonný riaditeľ by mal pripraviť návrh ročného pracovného programu agentúry ENISA po predchádzajúcej konzultácii s Komisiou a prijať všetky potrebné opatrenia na zabezpečenie riadneho vykonávania uvedeného pracovného programu. Výkonný riaditeľ by mal vypracovať výročnú správu, ktorej súčasťou bude plnenie ročného pracovného programu agentúry ENISA a ktorá sa predloží správnej rade, vypracovať návrh výkazu odhadov príjmov a výdavkov agentúry ENISA a plniť rozpočet. Výkonný riaditeľ by okrem toho mal mať možnosť zriadiť ad hoc pracovné skupiny zamerané na osobitné záležitosti najmä vedeckej, technickej, právnej či sociálno-ekonomickej povahy. Zriadenie ad hoc pracovnej skupiny sa považuje za potrebné najmä v súvislosti s vypracovaním konkrétneho kandidátskeho európskeho systému certifikácie kybernetickej bezpečnosti (ďalej len „kandidátsky systém“). Výkonný riaditeľ by mal zabezpečiť, aby sa členovia ad hoc pracovných skupín vyberali podľa najprísnejších požiadaviek na odbornosť s cieľom zabezpečiť rodovú rovnováhu a primeranú rovnováhu medzi verejnými správami členských štátov, inštitúciami, orgánmi, úradmi a agentúrami Únie, súkromným sektorom vrátane príslušného priemyselného odvetvia, užívateľmi a akademickými expertmi v oblasti sieťovej a informačnej bezpečnosti, a to podľa konkrétnej tematiky.

(60)

Výkonná rada by mala prispievať k efektívnej činnosti správnej rady. V rámci prípravných prác spojených s rozhodnutiami správnej rady by výkonná rada mala podrobne skúmať relevantné informácie a dostupné možnosti, radiť a ponúkať riešenia na prípravu rozhodnutí správnej rady.

(61)

Agentúra ENISA by mala mať poradnú skupinu ENISA ako poradný orgán s cieľom zabezpečiť pravidelný dialóg so súkromným sektorom, spotrebiteľskými organizáciami a inými príslušnými zainteresovanými stranami. Poradná skupina ENISA zriadená správnou radou na návrh výkonného riaditeľa by sa mala zameriavať na otázky dôležité pre zainteresované strany a mala by na ne upriamovať pozornosť agentúry ENISA. Poradná skupina ENISA by mala byť konzultovaná najmä v súvislosti s návrhom ročného pracovného programu agentúry ENISA. Zloženie poradnej skupiny ENISA a úlohy zverené tejto skupine by mali zabezpečiť dostatočné zastúpenie zainteresovaných strán na práci agentúry ENISA.

(62)

S cieľom pomáhať agentúre ENISA a Komisii pri uľahčovaní konzultácií s príslušnými zainteresovanými stranami by sa mala zriadiť skupina zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti. Skupina zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti by mala byť zložená z členov, ktorí vo vyváženom pomere zastupujú príslušné priemyselné odvetvie vrátane najmä malých a stredných podnikov, a to tak na strane dopytu, ako aj na strane ponuky produktov IKT a služieb IKT, poskytovateľov digitálnych služieb, európske a medzinárodné normalizačné orgány, vnútroštátne akreditačné orgány, dozorné orgány pre ochranu údajov a orgány posudzovania zhody podľa nariadenia Európskeho parlamentu a Rady (ES) č. 765/2008 (16), a akademickú obec, ako aj spotrebiteľské organizácie.

(63)

Agentúra ENISA by mala zaviesť pravidlá na predchádzanie konfliktov záujmov a ich riešenie. Agentúra ENISA by mala tiež uplatňovať príslušné pravidlá Únie týkajúce sa prístupu verejnosti k dokumentom, ako sa stanovujú v nariadení Európskeho parlamentu a Rady (ES) č. 1049/2001 (17). Na spracúvanie osobných údajov agentúrou ENISA by sa malo vzťahovať nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 (18). Agentúra ENISA by mala dodržiavať ustanovenia platné pre inštitúcie, orgány, úrady a agentúry Únie, ako aj vnútroštátne právne predpisy o manipulácii s informáciami, najmä s citlivými neutajovanými skutočnosťami a utajovanými skutočnosťami Európskej únie.

(64)

S cieľom zaručiť úplnú autonómiu a nezávislosť agentúry ENISA a umožniť jej plniť ďalšie úlohy vrátane nepredvídaných naliehavých úloh by sa mal agentúre ENISA udeliť dostatočný a nezávislý rozpočet, ktorého príjmy by mali pochádzať predovšetkým z príspevku Únie a príspevkov tretích krajín, ktoré sa podieľajú na práci agentúry ENISA. Primeraný rozpočet je rozhodujúci na zabezpečenie toho, aby agentúra ENISA mala dostatočné kapacity na plnenie všetkých svojich pribúdajúcich úloh a na dosahovanie svojich cieľov. Väčšina personálu agentúry ENISA by mala byť priamo zapojená do operačného plnenia mandátu agentúry ENISA. Hostiteľský členský štát a akýkoľvek iný členský štát by mali mať možnosť dobrovoľne prispievať do rozpočtu agentúry ENISA. Pokiaľ ide o akékoľvek dotácie hradené zo všeobecného rozpočtu Únie, naďalej by sa mal uplatňovať rozpočtový postup Únie. Okrem toho by Dvor audítorov mal vykonávať audit účtov agentúry ENISA v záujme transparentnosti a zodpovednosti.

(65)

Certifikácia kybernetickej bezpečnosti zohráva významnú úlohu pri posilňovaní dôvery v produkty IKT, služby IKT a procesy IKT, ako aj ich bezpečnosti. Digitálny jednotný trh, a najmä dátové hospodárstvo a IoT môžu prosperovať, iba ak široká verejnosť verí, že takéto produkty, služby a procesy zaručujú určitú mieru kybernetickej bezpečnosti. Prepojené a automatizované vozidlá, elektronické zdravotnícke pomôcky, riadiace systémy priemyselnej automatizácie a inteligentné siete sú iba niekoľkými príkladmi odvetví, kde už sa certifikácia bežne využíva alebo sa začne využívať v blízkej budúcnosti. Aj v odvetviach, ktoré upravuje smernica (EÚ) 2016/1148, je certifikácia kybernetickej bezpečnosti kľúčová.

(66)

Vo svojom oznámení s názvom Posilnenie odolnosti kybernetického systému a podpora konkurencieschopného a inovačného odvetvia kybernetickej bezpečnosti v Európe z roku 2016 Komisia načrtla potrebu kvalitných, cenovo dostupných a interoperabilných produktov a riešení v oblasti kybernetickej bezpečnosti. Ponuka produktov IKT, služieb IKT a procesov IKT na jednotnom trhu je geograficky stále veľmi fragmentovaná. Dôvodom je, že vývoj odvetvia kybernetickej bezpečnosti v Európe sa do značnej miery riadil dopytom verejných správ jednotlivých štátov. Medzi ďalšie nedostatky ovplyvňujúce jednotný trh v oblasti kybernetickej bezpečnosti patrí absencia interoperabilných riešení (technických noriem), postupov a celoúnijných mechanizmov certifikácie. Európskym podnikom to sťažuje možnosť konkurovať si na národnej úrovni, na úrovni Únie i na svetovej úrovni. Na druhej sa tým okliešťuje ponuka reálne využiteľných technológií kybernetickej bezpečnosti, ku ktorým majú fyzické osoby a podniky prístup. Podobne Komisia vo svojom oznámení z roku 2017 o preskúmaní vykonávania stratégie digitálneho jednotného trhu v polovici trvania – Prepojený digitálny jednotný trh pre všetkých zdôraznila potrebu bezpečných pripojených produktov a systémov a naznačila, že vytvorenie európskeho rámca bezpečnosti IKT, v ktorom sa stanovia pravidlá organizovania certifikácie bezpečnosti IKT v Únii, by mohlo zachovať dôveru v internet a zároveň vyriešiť súčasnú fragmentáciu vnútorného trhu.

(67)

Certifikácia kybernetickej bezpečnosti produktov IKT, služieb IKT a procesov IKT sa v súčasnosti využíva iba obmedzene. Ak sa uplatňuje, je to zväčša na úrovni členských štátov alebo z iniciatívy príslušného priemyselného odvetvia. V tejto súvislosti certifikát vystavený niektorým vnútroštátnym orgánom pre certifikáciu kybernetickej bezpečnosti v zásade iné členské štáty neuznávajú. Môže sa teda stať, že spoločnosti musia svoje produkty IKT, služby IKT a procesy IKT certifikovať v niekoľkých členských štátoch, v ktorých pôsobia, napríklad ak sa chcú zapojiť do ich vnútroštátnych postupov obstarávania, čím sa im zvyšujú náklady. Okrem toho, hoci sa objavujú nové systémy, zdá sa, že neexistuje koherentný a holistický prístup k horizontálnym otázkam kybernetickej bezpečnosti, ako napríklad v oblasti IoT. Existujúce systémy vykazujú výrazné nedostatky a rozdiely z hľadiska škály pokrytia produktov, stupňov dôveryhodnosti, vecných kritérií a samotného využitia, v dôsledku čoho sa v rámci Únie nemôžu využívať mechanizmy vzájomného uznávania.

(68)

Boli určité snahy s cieľom zabezpečiť vzájomné uznávanie certifikátov v Únii. Úspešné však boli iba sčasti. Najvýznamnejším príkladom v tomto smere je dohoda skupiny vysokých úradníkov pre bezpečnosť informačných systémov (SOG-IS) o vzájomnom uznávaní (DVU). Hoci ide o najvýznamnejší model spolupráce a vzájomného uznávania v oblasti bezpečnostnej certifikácie, do SOG-IS je zapojených len niekoľko členských štátov. Táto skutočnosť obmedzila účinnosť dohody SOG-IS DVU z hľadiska vnútorného trhu.

(69)

Je preto potrebné zaujať spoločný prístup a zriadiť európsky rámec certifikácie kybernetickej bezpečnosti, v ktorom sa stanovia základné horizontálne požiadavky kladené na európske systémy certifikácie kybernetickej bezpečnosti, ktoré sa majú vytvoriť, a ktorým sa umožní uznávanie a využívanie európskych certifikátov kybernetickej bezpečnosti a EÚ vyhlásení o zhode pre produkty IKT, služby IKT alebo procesy IKT vo všetkých členských štátoch. Pri tom je nevyhnutné stavať na súčasných vnútroštátnych a medzinárodných systémoch, ako aj na systémoch vzájomného uznávania, najmä na SOG-IS, a umožniť plynulý prechod z týchto existujúcich systémov na systémy v novom európskom rámci certifikácie kybernetickej bezpečnosti. Tento európsky rámec certifikácie kybernetickej bezpečnosti by mal plniť dvojaký účel. Po prvé, mal by prispievať k posilneniu dôvery v produkty IKT, služby IKT a procesy IKT certifikované podľa európskych systémov certifikácie kybernetickej bezpečnosti. Po druhé, mal by pomôcť zabrániť množeniu odporujúcich si či prekrývajúcich sa vnútroštátnych systémov certifikácie kybernetickej bezpečnosti, čím by sa znížili náklady podnikov pôsobiacich na digitálnom jednotnom trhu. Európske systémy certifikácie kybernetickej bezpečnosti by mali byť nediskriminačné a založené na európskych alebo medzinárodných normách, pokiaľ tieto normy nie sú neúčinné alebo nevhodné na plnenie legitímnych cieľov Únie v tomto ohľade.

(70)

Európsky rámec certifikácie kybernetickej bezpečnosti by sa mal zaviesť jednotne vo všetkých členských štátoch, aby sa zabránilo praxi tzv. nakupovania certifikátov v dôsledku rozdielnych úrovní prísnosti v rôznych členských štátoch.

(71)

Európske systémy certifikácie kybernetickej bezpečnosti by mali vychádzať z toho, čo už existuje na medzinárodnej a vnútroštátnej úrovni, a v prípade potreby z technických špecifikácií z fór a konzorcií, pričom by sa zužitkovali skúseností zo súčasných silných stránok a tiež posúdili a odstránili nedostatky.

(72)

Aby si dané odvetvie udržiavalo náskok pred kybernetickými hrozbami, sú potrebné pružné riešenia v oblasti kybernetickej bezpečnosti, a preto by každý systém certifikácie mal byť navrhnutý tak, aby nemohol byť skoro zastaraný.

(73)

Komisia by mala byť splnomocnená na prijímanie európskych systémov certifikácie kybernetickej bezpečnosti v súvislosti s konkrétnymi skupinami produktov IKT, služieb IKT a procesov IKT. Implementáciu týchto systémov a dozor nad nimi by mali vykonávať vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti, pričom certifikáty vydané podľa týchto systémov by mali byť platné a uznávané v celej Únii. Toto nariadenie by sa nemalo vzťahovať na certifikačné systémy, ktoré prevádzkuje príslušné odvetvie alebo iné súkromné organizácie. Orgánom, ktoré takéto systémy prevádzkujú, by sa však malo umožniť Komisii navrhnúť, aby zvážila použitie týchto systémov ako základu pre ich schválenie ako európskeho systému certifikácie kybernetickej bezpečnosti.

(74)

Ustanoveniami tohto nariadenia by nemali byť dotknuté právne predpisy Únie stanovujúce konkrétne pravidlá certifikácie produktov IKT, služieb IKT a procesov IKT. Konkrétne v nariadení (EÚ) 2016/679 sa stanovuje zavedenie certifikačných mechanizmov, ako aj pečatí a značiek ochrany údajov na preukázanie súladu spracovateľských operácií prevádzkovateľov a sprostredkovateľov s uvedeným nariadením. Tieto certifikačné mechanizmy, ako aj pečate a značky ochrany údajov, by mali dotknutým osobám umožniť rýchle vyhodnotiť, nakoľko príslušné produkty IKT, služby IKT a procesy IKT chránia údaje. Týmto nariadením nie je dotknutá certifikácia operácií spracúvania údajov podľa nariadenia (EÚ) 2016/679, čo platí aj pre prípady, keď sú takéto operácie súčasťou produktov IKT, služieb IKT a procesov IKT.

(75)

Účelom európskych systémov certifikácie kybernetickej bezpečnosti by malo byť, že sa zabezpečí, aby produkty IKT, služby IKT a procesy IKT, ktoré boli certifikované takýmto systémom, spĺňali uvedené požiadavky s cieľom chrániť dostupnosť, pravosť, integritu a dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich funkcií či služieb, ktoré tieto produkty, služby a procesy poskytujú alebo sprístupňujú, a to počas ich celého životného cyklu. V tomto nariadení nie je možné stanoviť podrobné požiadavky kybernetickej bezpečnosti pre všetky produkty IKT, služby IKT a procesy IKT. Produkty IKT, služby IKT a procesy IKT, ako aj potreby v oblasti kybernetickej bezpečnosti týkajúce sa uvedených produktov, služieb a procesov, sú také rozmanité, že je veľmi ťažké stanoviť všeobecné požiadavky kybernetickej bezpečnosti, ktoré by sa dali uplatniť za každých okolností. Je preto potrebné prijať široký a všeobecný koncept kybernetickej bezpečnosti na účely certifikácie, ktorý by mal byť doplnený súborom špecifických cieľov kybernetickej bezpečnosti, ktoré treba zohľadniť pri navrhovaní európskych systémov certifikácie kybernetickej bezpečnosti. Spôsoby, ktorými sa tieto ciele majú dosiahnuť pri konkrétnych produktoch IKT, službách IKT a procesoch IKT, by sa potom mali podrobne vymedziť na úrovni príslušného certifikačného systému prijatého Komisiou, napríklad odkazom na normy alebo technické špecifikácie, ak vhodné normy nie sú k dispozícii.

(76)

Pri určovaní technických špecifikácií, ktoré sa majú použiť v európskych systémoch certifikácie kybernetickej bezpečnosti, by sa mali dodržiavať požiadavky stanovené v prílohe II k nariadeniu Európskeho parlamentu a Rady (EÚ) č. 1025/2012 (19). Niektoré odchýlky od týchto požiadaviek by sa však mohli považovať za potrebné v riadne odôvodnených prípadoch, ak sa tieto technické špecifikácie majú využívať v európskom systéme certifikácie kybernetickej bezpečnosti, ktorý sa vzťahuje na stupeň dôveryhodnosti „vysoký“. Dôvody týchto odchýlok by sa mali zverejniť.

(77)

Certifikované posudzovanie zhody je proces hodnotenia, či boli uvedené požiadavky týkajúce sa produktu IKT, služby IKT alebo procesu IKT splnené. Tento proces vykonáva nezávislá tretia strana, ktorá nie je výrobcom ani poskytovateľom produktov IKT, služieb IKT alebo procesov IKT, ktoré sa posudzujú. Európsky certifikát kybernetickej bezpečnosti by mal byť vydaný po úspešnom hodnotení produktu IKT, služby IKT alebo procesu IKT. Európsky certifikát kybernetickej bezpečnosti by sa mal považovať za potvrdenie, že hodnotenie bolo vykonané správne. V závislosti od stupňa dôveryhodnosti by mal európsky systém certifikácie kybernetickej bezpečnosti uvádzať, či európsky certifikát kybernetickej bezpečnosti vydal súkromný alebo verejný subjekt. Posudzovanie zhody a certifikácia nemôžu samy osebe zaručiť, že certifikované produkty IKT, služby IKT a procesy IKT sú kyberneticky bezpečné. Namiesto toho ide o postupy a technické metodiky na potvrdenie toho, že produkty IKT, služby IKT a procesy IKT boli preskúšané a spĺňajú určité požiadavky kybernetickej bezpečnosti stanovené inde, napríklad v technických normách.

(78)

Užívatelia európskych certifikátov kybernetickej bezpečnosti by si mali vhodnú certifikáciu a súvisiace bezpečnostné požiadavky vyberať na základe analýzy rizika spojeného s využívaním produktu IKT, služby IKT alebo procesu IKT. Stupeň dôveryhodnosti by mal zodpovedať úrovni rizika spojeného s plánovaným využívaním daného produktu IKT, služby IKT alebo procesu IKT.

(79)

Európske systémy certifikácie kybernetickej bezpečnosti by mohli umožňovať, aby sa posudzovanie zhody vykonávalo na výhradnú zodpovednosť výrobcu alebo poskytovateľa produktov IKT, služieb IKT alebo procesov IKT (ďalej len „vlastné posúdenie zhody“). V takýchto prípadoch by malo stačiť, aby výrobca alebo poskytovateľ produktov IKT, služieb IKT alebo procesov IKT vykonal všetky kontroly sám s cieľom zabezpečiť zhodu produktov IKT, služieb IKT alebo procesov IKT s európskym systémom certifikácie kybernetickej bezpečnosti. Vlastné posúdenie zhody by sa malo považovať za vhodné pre menej zložité produkty IKT, služby IKT alebo procesy IKT, ktoré predstavujú nízke riziko z hľadiska verejného záujmu, napríklad z dôvodu jednoduchého dizajnu a produkčných mechanizmov. Okrem toho by vlastné posúdenie zhody malo byť dovolené len pre produkty IKT, služby IKT alebo procesy IKT, ktoré zodpovedajú stupňu dôveryhodnosti „základný“.

(80)

Európske systémy certifikácie kybernetickej bezpečnosti by mohli umožňovať vlastné posúdenia zhody a certifikácie produktov IKT, služieb IKT alebo procesov IKT. V takomto prípade by mal systém poskytovať jasné a zrozumiteľné prostriedky, ktoré by spotrebiteľom alebo iným užívateľom umožnili rozlišovať medzi produktmi IKT, službami IKT alebo procesmi IKT, v súvislosti s ktorými je výrobca alebo poskytovateľ produktov IKT, služieb IKT alebo procesov IKT zodpovedný za posúdenie, a produktmi IKT, službami IKT a procesmi IKT, ktoré certifikuje tretia strana.

(81)

Výrobcovi alebo poskytovateľovi produktov IKT, služieb IKT alebo procesov IKT, ktorý vykonáva vlastné posúdenie zhody, by sa malo umožniť vydávať a podpisovať EÚ vyhlásenie o zhode ako súčasť postupu posudzovania zhody. EÚ vyhlásenie o zhode je dokument, v ktorom sa uvádza, že konkrétny produkt IKT, služba IKT alebo proces IKT spĺňa požiadavky európskeho systému certifikácie kybernetickej bezpečnosti. Vydaním a podpisom EÚ vyhlásenia o zhode preberá výrobca alebo poskytovateľ produktov IKT, služieb IKT alebo procesov IKT zodpovednosť za súlad produktu IKT, služby IKT alebo procesu IKT s právnymi požiadavkami európskeho systému certifikácie kybernetickej bezpečnosti. Kópia EÚ vyhlásenia o zhode by sa mala odovzdať vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti a agentúre ENISA.

(82)

Výrobcovia alebo poskytovatelia produktov IKT, služieb IKT alebo procesov IKT by mali mať EÚ vyhlásenie o zhode, technickú dokumentáciu a všetky ďalšie relevantné informácie, ktoré sa týkajú zhody produktov IKT, služieb IKT alebo procesov IKT s európskym systémom certifikácie kybernetickej bezpečnosti, k dispozícii pre príslušný vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti počas obdobia stanoveného v príslušnom európskom systéme certifikácie kybernetickej bezpečnosti. V technickej dokumentácii by sa mali uviesť uplatniteľné požiadavky podľa systému a mala by zahŕňať návrh, výrobu a používanie produktu IKT, služby IKT alebo procesu IKT v rozsahu relevantnom pre vlastné posúdenie zhody. Technická dokumentácia by mala byť zostavená tak, aby bolo možné vykonať posúdenie súladu produktu IKT, služby IKT alebo procesu IKT s požiadavkami uplatniteľnými podľa uvedeného systému.

(83)

Pri správe európskeho rámca certifikácie kybernetickej bezpečnosti sa zohľadňuje zapojenie členských štátov, ako aj vhodné zapojenie zainteresovaných strán a stanovuje sa úloha Komisie počas plánovania a navrhovania európskych systémov certifikácie kybernetickej bezpečnosti, podávania žiadosti o ne, ich prípravy, prijímania a preskúmavania.

(84)

Komisia by mala pripraviť priebežný pracovný program Únie pre európske systémy certifikácie kybernetickej bezpečnosti, a to s podporou európskej skupiny pre certifikáciu kybernetickej bezpečnosti (ďalej len „ECCG“ – European Cybersecurity Certification Group) a skupiny zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti a po otvorených a rozsiahlych konzultáciách, a mala by ho uverejniť vo forme nezáväzného nástroja. Priebežný pracovný program Únie by mal byť strategickým dokumentom, ktorý by najmä príslušnému odvetviu, vnútroštátnym orgánom a orgánom pre normalizáciu umožnil vopred sa pripraviť na budúce európske systémy certifikácie kybernetickej bezpečnosti. Priebežný pracovný program Únie by mal zahŕňať viacročný prehľad žiadostí, ktoré sa týkajú kandidátskych systémov a ktoré má Komisia v úmysle predložiť agentúre ENISA na účely prípravy na základe špecifických dôvodov. Komisia by mala priebežný pracovný program Únie zohľadniť pri príprave priebežného plánu normalizácie IKT a normalizačných žiadostí adresovaných európskym normalizačným organizáciám. Vzhľadom na rýchle zavádzanie nových technológií a ich využívanie užívateľmi a spoločnosťami, vznik predtým neznámych kybernetickobezpečnostných rizík a legislatívny vývoj a vývoj trhu by Komisia alebo ECCG mala byť oprávnená požiadať agentúru ENISA o prípravu kandidátskych systémov, ktoré neboli zahrnuté do priebežného pracovného programu Únie. V takýchto prípadoch by Komisia a ECCG mali tiež posúdiť nevyhnutnosť takejto žiadosti, pričom zohľadnia celkové zámery a ciele tohto nariadenia a potrebu zabezpečiť kontinuitu agentúry ENISA z hľadiska plánovania a využívania zdrojov.

Po predložení takej žiadosti by agentúra ENISA mala bez zbytočného odkladu pripraviť kandidátske systémy pre konkrétne produkty IKT, služby IKT a procesy IKT. Komisia by mala vyhodnotiť pozitívny a negatívny vplyv svojej žiadosti na konkrétny dotknutý trh, najmä na MSP, inováciu, prekážky vstupu na uvedený trh a náklady koncových užívateľov. Komisia by mala byť splnomocnená prijať prostredníctvom vykonávacích aktov európsky systém certifikácie kybernetickej bezpečnosti, ktorý by sa zakladal na kandidátskom systéme pripravenom agentúrou ENISA. Európske systémy certifikácie kybernetickej bezpečnosti prijaté Komisiou by mali uvádzať minimálny súbor prvkov, ktoré sa vzťahujú na zameranie, rozsah a fungovanie daného systému, pričom sa v nich zohľadní všeobecný účel a bezpečnostné ciele stanovené v tomto nariadení. Medzi uvedené prvky by mal okrem iného patriť rozsah a predmet certifikácie kybernetickej bezpečnosti vrátane kategórií pokrytých produktov IKT, služieb IKT a procesov IKT, podrobného vymedzenia požiadaviek kybernetickej bezpečnosti (napríklad v podobe odkazu na normy alebo technické špecifikácie), konkrétnych hodnotiacich kritérií a hodnotiacich metód, ako aj cieľového stupňa dôveryhodnosti („základný“, „pokročilý“ alebo „vysoký“) a prípadných stupňov hodnotenia. Agentúre ENISA by sa malo umožniť odmietnuť žiadosť ECCG. Takéto rozhodnutia by mala prijímať správna rada a malo by byť riadne odôvodnené.

(85)

Agentúra ENISA by mala udržiavať webové sídlo, na ktorom by sa poskytovali informácie o európskych systémoch certifikácie kybernetickej bezpečnosti a prostredníctvom ktorého by sa propagovali, pričom by sa na ňom okrem iného uvádzali žiadosti o prípravu kandidátskeho systému, ako aj spätná väzba v rámci procesu konzultácií, ktorý uskutočňuje agentúra ENISA v prípravnej fáze. Toto webové sídlo by malo poskytovať aj informácie o európskych certifikátoch kybernetickej bezpečnosti a EÚ vyhláseniach o zhode vydaných podľa tohto nariadenia vrátane informácií o odňatí a skončení platnosti takýchto európskych certifikátov kybernetickej bezpečnosti a EÚ vyhlásení o zhode. Na tomto webovom sídle by sa tiež mali uvádzať vnútroštátne systémy certifikácie kybernetickej bezpečnosti, ktoré boli nahradené európskym systémom certifikácie kybernetickej bezpečnosti.

(86)

Stupeň dôveryhodnosti európskeho systému certifikácie je základ pre presvedčenie, že produkt IKT, služba IKT alebo proces IKT spĺňa bezpečnostné požiadavky konkrétneho európskeho systému certifikácie kybernetickej bezpečnosti. S cieľom zabezpečiť konzistentnosť európskeho rámca certifikácie kybernetickej bezpečnosti by sa európskemu systému certifikácie kybernetickej bezpečnosti malo umožniť špecifikovať stupne dôveryhodnosti pre európske certifikáty kybernetickej bezpečnosti a EÚ vyhlásenia o zhode vydané v rámci daného systému. Každý európsky certifikát kybernetickej bezpečnosti by mohol uvádzať jeden zo stupňov dôveryhodnosti: „základný“, „pokročilý“ alebo „vysoký“, pričom EÚ vyhlásenie o zhode by mohlo uvádzať len stupeň dôveryhodnosti „základný“. Stupne dôveryhodnosti by uvádzali zodpovedajúcu prísnosť a hĺbku hodnotenia produktu IKT, služby IKT alebo procesu IKT a boli by charakterizované odkazom na súvisiace technické špecifikácie, normy a postupy vrátane technických kontrol, ktorých účelom je predchádzať incidentom alebo zmierňovať ich následky. Všetky stupne dôveryhodnosti by sa mali používať konzistentne v jednotlivých sektorových oblastiach, v ktorých sa uplatňuje certifikácia.

(87)

Európsky systém certifikácie kybernetickej bezpečnosti by mohol špecifikovať niekoľko stupňov hodnotenia v závislosti od prísnosti a hĺbky použitej metodiky hodnotenia. Stupne hodnotenia by mali zodpovedať jednému zo stupňov dôveryhodnosti a mali by byť spojené s vhodnou kombináciou zložiek dôveryhodnosti. Produkt IKT, služba IKT alebo proces IKT by mali v prípade všetkých stupňov dôveryhodnosti obsahovať niekoľko zabezpečených funkcií stanovených v systéme, ktoré by mohli zahŕňať: konfiguráciu zabezpečenia na priame použitie, podpísaný programovací kód, zabezpečenú aktualizáciu a zmierňovanie následkov zneužitia bezpečnostných dier (exploits) a plnú ochranu dynamicky alebo staticky prideľovanej pamäte (stack/heap). Tieto funkcie by sa mali vyvinúť a potom udržiavať vývojovým prístupom zameraným na bezpečnosť a súvisiacimi nástrojmi s cieľom zaručiť spoľahlivé zapracovanie účinných softvérových a hardvérových mechanizmov.

(88)

Pri stupni dôveryhodnosti „základný“ by sa hodnotenie malo riadiť aspoň týmito zložkami dôveryhodnosti: hodnotenie by malo zahŕňať aspoň preskúmanie technickej dokumentácie k produktu IKT, službe IKT alebo procesu IKT orgánom posudzovania zhody. Ak certifikácia zahŕňa procesy IKT, technické preskúmanie by sa malo vzťahovať aj na proces navrhovania, vývoja a údržby produktu IKT alebo služby IKT. Ak európsky systém certifikácie kybernetickej bezpečnosti stanovuje vlastné posúdenie zhody, malo by stačiť, že výrobca alebo poskytovateľ produktov IKT, služieb IKT alebo procesov IKT vykonal vlastné posúdenie súladu produktu IKT, služby IKT alebo procesu IKT s certifikačným systémom.

(89)

Pri stupni dôveryhodnosti „pokročilý“ by sa hodnotenie malo okrem požiadaviek stupňa dôveryhodnosti „základný“ riadiť aspoň overením súladu bezpečnostných funkcií produktu IKT, služby IKT alebo procesu IKT s ich technickou dokumentáciou.

(90)

Pri stupni dôveryhodnosti „vysoký“ by sa hodnotenie malo okrem požiadaviek stupňa dôveryhodnosti „pokročilý“ riadiť aspoň skúškou účinnosti, ktorou sa posúdi odolnosť bezpečnostných funkcií produktu IKT, služby IKT alebo procesu IKT proti zložitým kybernetickým útokom, ktoré sú vedené osobami s významnými zručnosťami a zdrojmi.

(91)

Využívanie európskej certifikácie kybernetickej bezpečnosti a EÚ vyhlásenia o zhode by malo ostať dobrovoľné, pokiaľ sa nestanovuje inak v práve Únie alebo v práve členských štátov prijatom v súlade s právom Únie. Ak neexistuje harmonizované právo Únie, členským štátom by sa malo umožniť prijať vnútroštátne technické predpisy, ktorými stanovia povinnú certifikáciu podľa európskeho systému certifikácie kybernetickej bezpečnosti v súlade so smernicou Európskeho parlamentu a Rady (EÚ) 2015/1535 (20). Členské štáty tiež majú k dispozícii európsku certifikáciu kybernetickej bezpečnosti aj v súvislosti s verejným obstarávaním a so smernicou Európskeho parlamentu a Rady 2014/24/EÚ (21).

(92)

V niektorých oblastiach by mohlo byť v budúcnosti nevyhnutné v prípade určitých produktov IKT, služieb IKT alebo procesov IKT stanoviť špecifické požiadavky kybernetickej bezpečnosti a stanoviť povinnosť ich certifikácie s cieľom zvýšiť úroveň kybernetickej bezpečnosti v Únii. Komisia by mala pravidelne sledovať vplyv prijatých európskych systémov certifikácie kybernetickej bezpečnosti na dostupnosť bezpečných produktov IKT, služieb IKT a procesov IKT na vnútornom trhu a vyhodnocovať úroveň využívania certifikačných systémov výrobcami alebo poskytovateľmi produktov IKT, služieb IKT alebo procesov IKT v Únii. Účinnosť európskych systémov certifikácie kybernetickej bezpečnosti a to, či by konkrétne systémy mali byť záväzné, by sa malo posudzovať z hľadiska právnych predpisov Únie týkajúcich sa kybernetickej bezpečnosti, najmä smernice (EÚ) 2016/1148, pričom sa zohľadní bezpečnosť sietí a informačných systémov, ktoré používajú prevádzkovatelia základných služieb.

(93)

Európske certifikáty kybernetickej bezpečnosti a EÚ vyhlásenia o zhode by mali pomôcť koncovým užívateľom robiť informované rozhodnutia. K produktom IKT, službám IKT a procesom IKT, ktoré boli certifikované alebo pre ktoré bolo vydané EÚ vyhlásenie o zhode, by mali byť pripojené štruktúrované informácie prispôsobené očakávanej technickej úrovni koncového užívateľa, ktorému sú určené. Všetky takéto informácie by mali byť k dispozícii online a prípadne vo fyzickej podobe. Koncový užívateľ by mal mať prístup k informáciám týkajúcim sa referenčného čísla certifikačného systému, stupňa dôveryhodnosti, opisu kybernetickobezpečnostných rizík spojených s produktom IKT, službou IKT alebo procesom IKT a vydávajúceho orgánu alebo subjektu, alebo by sa mu malo umožniť získať kópiu európskeho certifikátu kybernetickej bezpečnosti. Okrem toho by koncový užívateľ mal byť informovaný o podpornom programe výrobcu alebo poskytovateľa produktov IKT, služieb IKT alebo procesov IKT v oblasti kybernetickej bezpečnosti, najmä ako dlho bude môcť koncový užívateľ dostávať kybernetickobezpečnostné aktualizácie alebo opravy. V príslušných prípadoch by sa malo poskytovať poradenstvo o opatreniach alebo nastaveniach, ktoré môže koncový užívateľ vykonať na zachovanie alebo posilnenie kybernetickej bezpečnosti produktu IKT alebo služby IKT, a kontaktné informácie o jednotnom kontaktnom mieste na oznamovanie kybernetických útokov a získanie podpory, keď sa vyskytnú (okrem automatického oznamovania). Uvedené informácie by sa mali pravidelne aktualizovať a sprístupňovať na webovom sídle poskytujúcom informácie o európskych systémoch certifikácie kybernetickej bezpečnosti.

(94)

Aby sa dosiahli ciele tohto nariadenia a aby sa predišlo fragmentácii vnútorného trhu, účinnosť vnútroštátnych systémov alebo postupov certifikácie kybernetickej bezpečnosti produktov IKT, služieb IKT alebo procesov IKT, na ktoré sa vzťahuje európsky systém certifikácie kybernetickej bezpečnosti, by mala skončiť k dátumu, ktorý stanoví Komisia vo vykonávacích aktoch. Okrem toho by členské štáty nemali zavádzať nové vnútroštátne systémy certifikácie kybernetickej bezpečnosti produktov IKT, služieb IKT alebo procesov IKT, na ktoré sa už vzťahuje existujúci európsky systém certifikácie kybernetickej bezpečnosti. Členským štátom by sa však nemalo brániť prijímať alebo zachovať vnútroštátne systémy certifikácie kybernetickej bezpečnosti na účely národnej bezpečnosti. Členské štáty by mali informovať Komisiu a ECCG o každom úmysle vypracovať nové vnútroštátne systémy certifikácie kybernetickej bezpečnosti. Komisia a ECCG by mali posúdiť vplyv nových vnútroštátnych systémov certifikácie kybernetickej bezpečnosti na riadne fungovanie vnútorného trhu a vzhľadom na strategický záujem požadovať namiesto nich európsky systém certifikácie kybernetickej bezpečnosti.

(95)

Európske systémy certifikácie kybernetickej bezpečnosti sú určené na harmonizáciu postupov kybernetickej bezpečnosti v Únii. Majú prispieť k zvýšeniu úrovne kybernetickej bezpečnosti v Únii. Koncepcia európskych systémov certifikácie kybernetickej bezpečnosti by mala zohľadňovať a umožňovať rozvoj inovácií v oblasti kybernetickej bezpečnosti.

(96)

Európske systémy certifikácie kybernetickej bezpečnosti by mali zohľadňovať súčasné metódy vývoja softvéru a hardvéru, a najmä vplyv častých softvérových alebo firmvérových aktualizácií na jednotlivé európske certifikáty kybernetickej bezpečnosti. Európske systémy certifikácie kybernetickej bezpečnosti by mali špecifikovať podmienky, za ktorých si môže aktualizácia vyžadovať novú certifikáciu produktu IKT, služby IKT alebo procesu IKT alebo zúženie rozsahu konkrétneho európskeho certifikátu kybernetickej bezpečnosti pri zohľadnení akýchkoľvek nepriaznivých účinkov aktualizácie na súlad s bezpečnostnými požiadavkami uvedeného certifikátu.

(97)

Po prijatí európskeho systému certifikácie kybernetickej bezpečnosti by výrobcovia alebo poskytovatelia produktov IKT, služieb IKT alebo procesov IKT mali mať možnosť podávať žiadosti o certifikáciu svojich produktov IKT alebo služieb IKT ktorémukoľvek nimi zvolenému orgánu posudzovania zhody kdekoľvek v Únii. Orgány posudzovania zhody by mal akreditovať vnútroštátny akreditačný orgán, ak spĺňajú určité konkrétne požiadavky stanovené v tomto nariadení. Akreditácia by sa mala vydávať najviac na päť rokov a malo by byť možné ju obnoviť za rovnakých podmienok, pokiaľ orgán posudzovania zhody naďalej spĺňa požiadavky. Vnútroštátne akreditačné orgány by mali akreditáciu orgánu posudzovania zhody obmedziť, pozastaviť jej platnosť alebo ju zrušiť, ak orgán posudzovania zhody nespĺňa alebo prestal spĺňať akreditačné podmienky, alebo ak porušuje toto nariadenie.

(98)

Existencia odkazov vo vnútroštátnych právnych predpisoch na vnútroštátne normy, ktorých účinnosť sa skončila v dôsledku nadobudnutia účinnosti európskeho systému certifikácie kybernetickej bezpečnosti, môže byť zdrojom nejasností. Členské štáty by preto mali prijatie európskeho systému certifikácie kybernetickej bezpečnosti premietnuť do svojich vnútroštátnych právnych predpisov.

(99)

S cieľom dosiahnuť uplatňovanie rovnocenných noriem v celej Únii, uľahčiť vzájomné uznávanie a podporovať celkovú akceptáciu európskych certifikátov kybernetickej bezpečnosti a EÚ vyhlásení o zhode je potrebné zaviesť systém partnerského preskúmania medzi vnútroštátnymi orgánmi pre certifikáciu kybernetickej bezpečnosti. Partnerské preskúmanie by sa malo vzťahovať na postupy pre dozor nad súladom produktov IKT, služieb IKT a procesov IKT s európskymi certifikátmi kybernetickej bezpečnosti, pre monitorovanie povinností výrobcov alebo poskytovateľov produktov IKT, služieb IKT alebo procesov IKT, ktorí vykonávajú vlastné posúdenie zhody, pre monitorovanie orgánov posudzovania zhody, ako aj primeranosti odborných znalostí personálu orgánov, ktoré vydávajú certifikáty pre stupeň dôveryhodnosti „vysoký“. Komisii by sa malo umožniť vo vykonávacích aktoch stanoviť minimálne päťročný plán pre partnerské preskúmanie a tiež stanoviť kritéria a metodiky fungovania systému partnerského preskúmania.

(100)

Bez toho, aby bol dotknutý všeobecný systém partnerského preskúmania, ktorý majú v rámci európskeho rámca certifikácie kybernetickej bezpečnosti zaviesť všetky vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti, niektoré európske systémy certifikácie kybernetickej bezpečnosti môžu zahŕňať mechanizmus partnerského preskúmania určený orgánom, ktoré v rámci týchto systémov vydávajú európske certifikáty kybernetickej bezpečnosti pre produkty IKT, služby IKT a procesy IKT so stupňom dôveryhodnosti „vysoký“. ECCG by mala podporovať implementáciu takýchto mechanizmov partnerského preskúmania. Takýmito partnerskými preskúmaniami by sa malo najmä posudzovať, či dotknuté orgány vykonávajú svoje úlohy harmonizovane, pričom môžu zahŕňať mechanizmy odvolania. Výsledky partnerských preskúmaní by sa mali uverejniť. Dotknuté orgány môžu prijať vhodné opatrenia na prispôsobenie svojich postupov a odborných znalostí.

(101)

Členské štáty by mali určiť jeden alebo viacero vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti na účely dozoru nad plnením povinností vyplývajúcich z tohto nariadenia. Vnútroštátnym orgánom pre certifikáciu kybernetickej bezpečnosti môže byť existujúci alebo novozriadený orgán. Členský štát by tiež mal mať možnosť určiť po vzájomnej dohode s iným členským štátom jeden alebo viacero vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti na území takéhoto iného členského štátu.

(102)

Vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti by mali najmä monitorovať a presadzovať plnenie povinností výrobcov alebo poskytovateľov produktov IKT, služieb IKT alebo procesov IKT usadených na ich príslušných územiach, ktoré súvisia s EÚ vyhlásením o zhode, mali by pomáhať vnútroštátnym akreditačným orgánom pri monitorovaní činnosti orgánov posudzovania zhody a dozore nad nimi tým, že im poskytujú odborné znalosti a relevantné informácie, mali by oprávňovať orgány posudzovania zhody vykonávať ich úlohy, ak orgány posudzovania zhody spĺňajú dodatočné požiadavky stanovené v európskom systéme certifikácie kybernetickej bezpečnosti, a mali by monitorovať relevantný vývoj v oblasti certifikácie kybernetickej bezpečnosti. Vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti by tiež mali vybavovať sťažnosti fyzických alebo právnických osôb v súvislosti s európskymi certifikátmi kybernetickej bezpečnosti, ktoré uvedené orgány vydali, alebo v súvislosti s európskymi certifikátmi kybernetickej bezpečnosti, ktoré vydali orgány posudzovania zhody, ak takéto certifikáty uvádzajú stupeň dôveryhodnosti „vysoký“, mali by v primeranom rozsahu prešetriť predmet danej sťažnosti a sťažovateľa v primeranej lehote informovať o pokroku a výsledku tohto prešetrenia. Okrem toho by vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti mali spolupracovať s inými vnútroštátnymi orgánmi pre certifikáciu kybernetickej bezpečnosti alebo ďalšími orgánmi verejnej moci vrátane poskytovania informácií o možnom nesúlade produktov IKT, služieb IKT a procesov IKT s požiadavkami tohto nariadenia alebo konkrétnymi európskymi systémami certifikácie kybernetickej bezpečnosti. Komisia by mala uľahčiť toto zdieľanie informácií tým, že sprístupní všeobecný elektronický podporný informačný systém, napríklad Informačný a komunikačný systém pre dohľad nad trhom (ICSMS) a systém na rýchlu výmenu informácií o nebezpečných nepotravinových výrobkoch (RAPEX), ktoré už používajú orgány dohľadu nad trhom podľa nariadenia (ES) č. 765/2008.

(103)

V záujme konzistentného uplatňovania európskeho rámca certifikácie kybernetickej bezpečnosti by sa mala zriadiť ECCG zložená zo zástupcov vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti alebo iných príslušných vnútroštátnych orgánov. Medzi hlavné úlohy ECCG by mali patriť poradenstvo a pomoc Komisii v jej úsilí o zabezpečenie konzistentného vykonávania a uplatňovania európskeho rámca certifikácie kybernetickej bezpečnosti, pomoc agentúre ENISA a úzka spolupráca s ňou pri príprave kandidátskych systémov certifikácie kybernetickej bezpečnosti, v riadne odôvodnených prípadoch požadovanie od agentúry ENISA, aby pripravila kandidátsky systém, prijímanie stanovísk pre agentúru ENISA, pokiaľ ide o kandidátske systémy, a prijímanie stanovísk pre Komisiu k udržiavaniu a prehodnocovaniu existujúcich európskych systémov certifikácie kybernetickej bezpečnosti. ECCG by mala uľahčovať výmenu osvedčených postupov a odborných znalostí medzi rôznymi vnútroštátnymi orgánmi pre certifikáciu kybernetickej bezpečnosti zodpovednými za oprávňovanie orgánov posudzovania zhody a vydávanie európskych certifikátov kybernetickej bezpečnosti.

(104)

Na zvýšenie povedomia o budúcich európskych systémoch certifikácie kybernetickej bezpečnosti a uľahčenie ich akceptácie môže Komisia vydať všeobecné či odvetvové kybernetickobezpečnostné usmernenia, napríklad o osvedčených postupoch alebo zodpovednom správaní sa v oblasti kybernetickej bezpečnosti, pričom sa zdôrazní pozitívny účinok využívania certifikovaných produktov IKT, služieb IKT a procesov IKT.

(105)

S cieľom ďalej uľahčovať obchod a uznávajúc, že dodávateľské reťazce IKT sú globálne, môže Únia v súlade s článkom 218 Zmluvy o fungovaní Európskej únie (ďalej len „ZFEÚ“) uzatvárať dohody o vzájomnom uznávaní týkajúce sa európskych certifikátov kybernetickej bezpečnosti. Komisia môže s prihliadnutím na poradenstvo od agentúry ENISA a európskej skupiny pre certifikáciu kybernetickej bezpečnosti odporučiť začatie príslušných rokovaní. V rámci každého európskeho systému certifikácie kybernetickej bezpečnosti by sa mali stanoviť konkrétne podmienky takéhoto vzájomného uznávania dohôd s tretími krajinami.

(106)

S cieľom zabezpečiť jednotné podmienky vykonávania tohto nariadenia by sa mali na Komisiu preniesť vykonávacie právomoci. Uvedené právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/2011 (22).

(107)

Postup preskúmania by sa mal uplatniť pri prijímaní vykonávacích aktov o európskych systémoch certifikácie kybernetickej bezpečnosti produktov IKT, služieb IKT alebo procesov IKT; pri prijímaní vykonávacích aktov o spôsoboch vykonávania šetrenia zo strany agentúry ENISA; pri prijímaní vykonávacích aktov o pláne partnerského preskúmania vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti, ako aj pri prijímaní vykonávacích aktov o okolnostiach, formátoch a postupoch, ktoré uplatňujú vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti, keď Komisii oznamujú akreditované orgány posudzovania zhody.

(108)

Činnosť agentúry ENISA by sa mala pravidelne a nezávisle vyhodnocovať. Toto hodnotenie by sa malo vzťahovať na plnenie cieľov agentúry ENISA, jej pracovné postupy a relevantnosť jej úloh, najmä tých, ktoré sa týkajú operačnej spolupráce na úrovni Únie. Zároveň by sa v uvedenom hodnotení mal posúdiť dosah, efektívnosť a účinnosť európskeho rámca certifikácie kybernetickej bezpečnosti. V prípade preskúmania by Komisia mala posúdiť, akým spôsobom možno posilniť úlohu agentúry ENISA ako referenčného bodu pre poradenstvo a odborné znalosti a tiež by mala posúdiť možnú úlohu agentúry ENISA pri podpore hodnotenia produktov IKT, služieb IKT a procesov IKT tretích krajín, keď takéto produkty, služby a procesy vstupujú do Únie a nie sú v súlade s pravidlami Únie.

(109)

Keďže ciele tohto nariadenia nie je možné uspokojivo dosiahnuť na úrovni členských štátov, ale z dôvodu ich rozsahu a dôsledkov ich možno lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa článku 5 Zmluvy o Európskej únii (ďalej len „Zmluva o EÚ“). V súlade so zásadou proporcionality podľa uvedeného článku toto nariadenie neprekračuje rámec nevyhnutný na dosiahnutie týchto cieľov.

(110)

Nariadenie (EÚ) č. 526/2013 by sa malo zrušiť,

(1)

Účelom tejto smernice je prispieť k riadnemu fungovaniu vnútorného trhu aproximáciou zákonov, iných právnych predpisov a správnych opatrení členských štátov, pokiaľ ide o požiadavky na prístupnosť určitých výrobkov a služieb, najmä odstraňovaním prekážok voľného pohybu určitých prístupných výrobkov a služieb a predchádzaním týmto prekážkam vyplývajúcim z nesúrodých požiadaviek na prístupnosť, ktoré existujú v členských štátoch. Tým by sa zvýšila dostupnosť prístupných výrobkov a služieb na vnútornom trhu a zlepšila prístupnosť príslušných informácií.

(2)

Dopyt po prístupných výrobkoch a službách je vysoký a počet osôb so zdravotným postihnutím sa podľa očakávaní výrazne zvýši. Prostredie, v ktorom sú výrobky a služby prístupnejšie, umožňuje vytvárať inkluzívnejšiu spoločnosť a uľahčuje nezávislý život osobám so zdravotným postihnutím. V tejto súvislosti treba mať na pamäti, že zdravotné postihnutia sú v Únii rozšírenejšie medzi ženami než medzi mužmi.

(3)

V tejto smernici sa vymedzujú osoby so zdravotným postihnutím v súlade s Dohovorom OSN o právach osôb so zdravotným postihnutím prijatým 13. decembra 2006 (ďalej len „dohovor UN CRPD“), ktorého zmluvnou stranou je od 21. januára 2011 aj Únia a ktorý ratifikovali všetky členské štáty. V dohovore UN CRPD sa uvádza, že osoby so zdravotným postihnutím „zahŕňajú osoby s dlhodobými telesnými, mentálnymi, intelektuálnymi alebo zmyslovými postihnutiami, ktoré v súčinnosti s rôznymi prekážkami môže brániť ich plnému a účinnému zapojeniu do života spoločnosti na rovnakom základe s ostatnými“. Touto smernicou sa podporuje úplná a skutočná rovnaká účasť prostredníctvom zlepšenia prístupu k bežným výrobkom a službám, ktoré vďaka svojmu pôvodnému dizajnu alebo následnej adaptácii riešia osobitné potreby osôb so zdravotným postihnutím.

(4)

Z tejto smernice by mali prospech aj ďalšie osoby s funkčnými obmedzeniami, napríklad staršie osoby, tehotné ženy alebo cestujúci s batožinou. Pojem „osoby s funkčnými obmedzeniami“ uvádzaný v tejto smernici označuje osoby, ktoré majú trvalé alebo dočasné telesné, mentálne, intelektuálne alebo zmyslové postihnutia, postihnutia súvisiace s vekom alebo iné trvalé či dočasné poškodenie súvisiace s výkonnosťou ľudského tela, ktoré v súčinnosti s rôznymi prekážkami môže obmedzovať ich prístup k výrobkom a službám, čo vedie k situácii, keď je potrebné prispôsobiť takéto výrobky a služby ich osobitným potrebám.

(5)

Rozdiely medzi zákonmi, inými právnymi predpismi a správnymi opatreniami členských štátov týkajúcimi sa prístupnosti výrobkov a služieb pre osoby so zdravotným postihnutím vytvárajú prekážky voľného pohybu výrobkov a služieb a narúšajú účinnú hospodársku súťaž na vnútornom trhu. Pokiaľ ide o niektoré výrobky a služby, po nadobudnutí platnosti dohovoru UN CRPD sa tieto rozdiely v Únii pravdepodobne prehĺbia. Uvedenými prekážkami sú obzvlášť zasiahnuté hospodárske subjekty, predovšetkým malé a stredné podniky (ďalej len „MSP“).

(6)

Rozdiely vo vnútroštátnych požiadavkách na prístupnosť odrádzajú najmä jednotlivých odborníkov, MSP a mikropodniky od podnikania mimo vlastných národných trhov. Vnútroštátne alebo dokonca regionálne či miestne požiadavky na prístupnosť, ktoré členské štáty zaviedli, sa v súčasnosti líšia nielen pokiaľ ide o rozsah, ale aj v miere podrobnosti. Tieto rozdiely majú nepriaznivý vplyv na konkurencieschopnosť a rast, a to z dôvodu dodatočných nákladov na vývoj a propagáciu prístupných výrobkov a služieb na trh v jednotlivých krajinách.

(7)

Spotrebitelia prístupných výrobkov a služieb, ako aj asistenčných technológií čelia vysokým cenám v dôsledku obmedzenej hospodárskej súťaže medzi dodávateľmi. Rozdrobenosť spôsobená rozdielmi medzi vnútroštátnymi predpismi má za následok zníženie potenciálnych prínosov, ktoré by prinieslo spoločné využívanie skúseností na vnútroštátnej a medzinárodnej úrovni v reakcii na spoločenský a technologický vývoj.

(8)

V záujme riadneho fungovania vnútorného trhu je preto nevyhnutná aproximácia vnútroštátnych opatrení na úrovni Únie, ktorej cieľom je odstrániť fragmentáciu trhu s prístupnými výrobkami a službami, vytvoriť úspory z rozsahu, uľahčiť cezhraničný obchod a mobilitu a pomôcť hospodárskym subjektom sústrediť zdroje na inovácie namiesto toho, aby sa tieto zdroje vynakladali na pokrytie výdavkov vyplývajúcich z rozdrobených právnych predpisov v rámci Únie.

(9)

Prínosy harmonizácie požiadaviek na prístupnosť pre vnútorný trh sa preukázali pri uplatňovaní smernice Európskeho parlamentu a Rady 2014/33/EÚ (3) o výťahoch a nariadenia Európskeho parlamentu a Rady (ES) č. 661/2009 (4) týkajúceho sa oblasti dopravy.

(10)

Vo vyhlásení č. 22 týkajúcom sa osôb so zdravotným postihnutím a pripojenom k Amsterdamskej zmluve sa konferencia zástupcov vlád členských štátov dohodla na tom, že inštitúcie Únie majú pri vypracovávaní opatrení podľa článku 114 Zmluvy o fungovaní Európskej únie (ďalej len „ZFEÚ“) zohľadňovať potreby osôb so zdravotným postihnutím.

(11)

Hlavným cieľom oznámenia Komisie zo 6. mája 2015 s názvom Stratégia pre jednotný digitálny trh v Európe je zabezpečiť udržateľné hospodárske a sociálne prínosy plynúce z prepojeného jednotného digitálneho trhu, čím sa uľahčí obchodná výmena a posilní zamestnanosť v rámci Únie. Spotrebitelia v Únii ešte stále nemajú v plnej miere úžitok z cien a výberu, ktoré môže ponúknuť jednotný trh, pretože cezhraničné online transakcie sú stále veľmi obmedzené. Fragmentácia trhu takisto obmedzuje dopyt po cezhraničných transakciách elektronického obchodu. Potrebné sú aj koordinované opatrenia na zaistenie toho, aby bol elektronický obsah, elektronické komunikačné služby a prístup k audiovizuálnym mediálnym službám v celom rozsahu dostupný osobám so zdravotným postihnutím. Preto je potrebné harmonizovať požiadavky na prístupnosť na jednotnom digitálnom trhu a zabezpečiť, aby jeho výhody mohli využívať všetci občania Únie bez ohľadu na schopnosti.

(12)

Odkedy sa Únia stala zmluvnou stranou dohovoru UN CRPD, sa ustanovenia tohto dohovoru stali neoddeliteľnou súčasťou právneho poriadku Únie a záväznými pre inštitúcie Únie a jej členské štáty.

(13)

V dohovore UN CRPD sa vyžaduje, aby jeho zmluvné strany prijali príslušné opatrenia, ktoré zabezpečia osobám so zdravotným postihnutím na rovnakom základe s ostatnými prístup k fyzickému prostrediu, k doprave, k informáciám a komunikácii vrátane informačných a komunikačných technológií a systémov, ako aj k ďalším prostriedkom a službám dostupným alebo poskytovaným verejnosti, a to tak v mestských, ako aj vo vidieckych oblastiach. Výbor OSN pre práva osôb so zdravotným postihnutím identifikoval potrebu vytvoriť legislatívny rámec s konkrétnymi, vynútiteľnými a časovo viazanými ukazovateľmi, ktoré umožňujú sledovať postupné zavádzanie prístupnosti.

(14)

V dohovore UN CRPD sa jeho zmluvné strany vyzývajú, aby vykonávali alebo podporovali výskum, vývoj, dostupnosť a využívanie nových technológií vrátane informačných a komunikačných technológií, mobilných pomôcok, zariadení a asistenčných technológií vhodných pre osoby so zdravotným postihnutím. Dohovor UN CRPD takisto vyzýva, aby sa uprednostňovali cenovo dostupné technológie.

(15)

Vzhľadom na nadobudnutie platnosti dohovoru UN CRPD v rámci právnych poriadkov členských štátov vzniká potreba prijať ďalšie vnútroštátne predpisy v oblasti prístupnosti výrobkov a služieb. Bez opatrení na úrovni Únie by tieto predpisy viedli k ďalšiemu prehĺbeniu rozdielov medzi zákonmi, predpismi a správnymi opatreniami členských štátov.

(16)

Preto je nevyhnutné uľahčiť implementáciu dohovoru UN CRPD v Únii stanovením spoločných pravidiel Únie. Touto smernicou sa zároveň členské štáty podporujú v úsilí o harmonizované splnenie svojich vnútroštátnych záväzkov, ako aj svojich povinností podľa dohovoru UN CRPD, pokiaľ ide o prístupnosť.

(17)

Oznámenie Komisie z 15. novembra 2010 s názvom Európska stratégia pre oblasť zdravotného postihnutia 2010 – 2020: obnovený záväzok vybudovať Európu bez bariér identifikuje prístupnosť v súlade s dohovorom UN CRPD ako jednu z ôsmich oblastí, v ktorých je potrebné prijať opatrenia, označuje ju za základný predpoklad účasti na spoločnosti, a zameriava sa na zabezpečenie prístupnosti výrobkov a služieb.

(18)

Určenie výrobkov a služieb, ktoré patria do rozsahu pôsobnosti tejto smernice, vychádza z prieskumu, ktorý bol vykonaný počas prípravy posúdenia vplyvu, v rámci ktorého sa identifikovali výrobky a služby relevantné pre ľudí so zdravotným postihnutím, v súvislosti s ktorými členské štáty prijali alebo pravdepodobne prijmú odlišné vnútroštátne požiadavky na prístupnosť, ktoré narúšajú fungovanie vnútorného trhu.

(19)

S cieľom zabezpečiť prístupnosť služieb, ktoré patria do rozsahu pôsobnosti tejto smernice, by uplatniteľné požiadavky na prístupnosť stanovené v tejto smernici mali spĺňať aj výrobky, ktoré sa používajú pri poskytovaní týchto služieb a s ktorými prichádza spotrebiteľ do styku.

(20)

Aj v prípade, keď je služba alebo časť služby zadaná tretej strane formou subdodávky, by prístupnosť tejto služby nemala byť ohrozená a poskytovatelia služby by mali dodržiavať povinnosti stanovené v tejto smernici. Poskytovatelia služby by mali tiež zabezpečiť riadnu a priebežnú odbornú prípravu svojich zamestnancov, aby zaistili, že majú poznatky o tom, ako používať prístupné výrobky a služby. Táto odborná príprava by mala zahŕňať oblasti týkajúce sa poskytovania informácií, poradenstva a propagácie.

(21)

Požiadavky na prístupnosť by sa mali zaviesť čo najmenej zaťažujúcim spôsobom pre hospodárske subjekty a členské štáty.

(22)

Je potrebné špecifikovať požiadavky na prístupnosť pre uvádzanie na trh týkajúce sa výrobkov a služieb, ktoré patria do rozsahu pôsobnosti tejto smernice, aby sa zabezpečil ich voľný pohyb na vnútornom trhu.

(23)

Touto smernicou by sa mala zaviesť povinnosť uplatňovať funkčné požiadavky na prístupnosť a mali by byť sformulované ako všeobecné ciele. Uvedené požiadavky by mali byť dostatočne presné na to, aby zakladali právne záväzné povinnosti, a dostatočne podrobné na to, aby umožnili posúdenie zhody s cieľom zabezpečiť dobré fungovanie vnútorného trhu v prípade výrobkov a služieb, na ktoré sa vzťahuje táto smernica, pričom by zároveň mali ponechať určitý stupeň flexibility umožňujúci inováciu.

(24)

Táto smernica obsahuje viacero kritérií funkčnej výkonnosti týkajúcich sa prevádzkových režimov výrobkov a služieb. Zámerom nie je, aby uvedené kritériá boli všeobecnou alternatívou k požiadavkám na prístupnosť stanoveným v tejto smernici, ale mali by sa uplatňovať len za veľmi špecifických okolností. Uvedené kritériá by sa mali vzťahovať na špecifické funkcie alebo vlastnosti výrobkov alebo služieb, aby boli prístupnými, ak požiadavky na prístupnosť stanovené v tejto smernici neriešia jednu či viaceré uvedené špecifické funkcie alebo vlastnosti. Okrem toho, ak by požiadavka na prístupnosť obsahovala špecifické technické požiadavky a vo výrobku alebo v službe by sa poskytovalo alternatívne technické riešenie pre tieto technické požiadavky, toto alternatívne technické riešenie by malo stále spĺňať súvisiace požiadavky na prístupnosť a jeho výsledkom by mala byť rovnaká alebo zvýšená prístupnosť na základe uplatnenia relevantných kritérií funkčnej výkonnosti.

(25)

Táto smernica by sa mala vzťahovať na počítačové hardvérové systémy na všeobecné účely určené pre spotrebiteľov. Aby uvedené systémy fungovali prístupným spôsobom, mali by byť prístupné aj ich operačné systémy. Takéto počítačové hardvérové systémy sa vyznačujú viacúčelovým charakterom a schopnosťou vykonávať pomocou príslušného softvéru najbežnejšie výpočtové úlohy, ktoré spotrebitelia požadujú, a sú určené na používanie zo strany spotrebiteľov. Príkladmi takýchto počítačových hardvérových systémov sú osobné počítače vrátane stolových počítačov, notebookov, inteligentných telefónov a tabletov. Špecializované počítače zabudované v spotrebnej elektronike nepredstavujú počítačové hardvérové systémy na všeobecné účely určené pre spotrebiteľov. Táto smernica by sa na individuálnom základe nemala vzťahovať na jednotlivé komponenty s osobitnými funkciami, ako je napríklad základná doska alebo pamäťový čip, ktoré sa v takýchto systémoch používajú alebo by sa mohli použiť.

(26)

Táto smernica by sa mala vzťahovať aj na platobné terminály vrátane ich hardvéru a softvéru, a určité interaktívne samoobslužné terminály vrátane ich hardvéru a softvéru určené na poskytovanie služieb, na ktoré sa vzťahuje táto smernica: napríklad bankomaty, automaty na predaj fyzických lístkov umožňujúcich prístup k službám, ako napríklad automaty na vydávanie cestovných lístkov; stroje na vydávanie poradových lístkov v pobočkách bánk; odbavovacie zariadenia a interaktívne samoobslužné terminály poskytujúce informácie vrátane interaktívnych informačných obrazoviek.

(27)

Určité interaktívne samoobslužné terminály poskytujúce informácie inštalované ako integrované súčasti vozidiel, lietadiel, lodí alebo železničných koľajových vozidiel by sa však mali vylúčiť z rozsahu pôsobnosti tejto smernice, pretože tvoria súčasť týchto vozidiel, lietadiel, lodí alebo železničných koľajových vozidiel, na ktoré sa táto smernica nevzťahuje.

(28)

Táto smernica by sa tiež mala vzťahovať na elektronické komunikačné služby vrátane tiesňovej komunikácie, ako sa vymedzuje v smernici Európskeho parlamentu a Rady (EÚ) 2018/1972 (5). V súčasnosti sú opatrenia členských štátov zamerané na poskytovanie prístupu osobám so zdravotným postihnutím rozdielne a v rámci celého vnútorného trhu nie sú harmonizované. Zabezpečenie toho, aby sa v celej Únii uplatňovali rovnaké požiadavky na prístupnosť, povedie k úsporám z rozsahu pre hospodárske subjekty, ktoré pôsobia vo viac ako jednom členskom štáte, a uľahčí efektívny prístup osôb so zdravotným postihnutím, tak v ich vlastných členských štátoch ako aj pri cestovaní medzi členskými štátmi. V záujme prístupnosti elektronických komunikačných služieb vrátane tiesňovej komunikácie by poskytovatelia služby mali okrem hlasu poskytnúť text v reálnom čase a úplné konverzačné služby, ak poskytujú video, pričom sa zabezpečí synchronizácia všetkých týchto komunikačných prostriedkov. Členské štáty by popri požiadavkách tejto smernice v súlade so smernicou (EÚ) 2018/1972 mali mať možnosť určiť poskytovateľa konverznej služby, ktorú by mohli používať osoby so zdravotným postihnutím.

(29)

Touto smernicou sa harmonizujú požiadavky na prístupnosť pre elektronické komunikačné služby a súvisiace výrobky a dopĺňa sa ňou smernica (EÚ) 2018/1972, ktorou sa stanovujú požiadavky na rovnaký prístup a výber pre koncových používateľov so zdravotným postihnutím. V smernici (EÚ) 2018/1972 sa zároveň na základe povinností univerzálnej služby stanovujú požiadavky týkajúce sa cenovej dostupnosti internetového prístupu a hlasovej komunikácie, ako aj cenovej dostupnosti a dostupnosti súvisiaceho koncového zariadenia, špecifického zariadenia a služieb pre spotrebiteľov so zdravotným postihnutím.

(30)

Táto smernica by sa mala vzťahovať aj na spotrebiteľské koncové zariadenia s interaktívnou výpočtovou schopnosťou, ktoré sú primárne určené na pristupovanie k elektronickým komunikačným službám. Na účely tejto smernice by mali uvedené zariadenia zahŕňať zariadenia používané ako súčasť zostavy pri prístupe k elektronickým komunikačným službám, ako je smerovač alebo modem.

(31)

Na účely tejto smernice by mal prístup k audiovizuálnym mediálnym službám znamenať, že prístup k audiovizuálnemu obsahu je prístupný, rovnako ako aj mechanizmy, ktoré umožňujú používateľom so zdravotným postihnutím používať ich asistenčné technológie. Služby poskytujúce prístup k audiovizuálnym mediálnym službám by mohli zahŕňať webové sídla, online aplikácie, aplikácie založené na set-top boxe, sťahovateľné aplikácie, služby poskytované prostredníctvom mobilných zariadení vrátane mobilných aplikácií a súvisiacich mediálnych prehrávačov, ako aj služby hybridnej televízie. Prístupnosť audiovizuálnych mediálnych služieb upravuje smernica Európskeho parlamentu a Rady 2010/13/EÚ (6) s výnimkou prístupnosti elektronických programových sprievodcov (electronic programe guides – EPG), ktorí sú zahrnutí vo vymedzení pojmu služieb poskytujúcich prístup k audiovizuálnym mediálnym službám, na ktoré sa vzťahuje táto smernica.

(32)

V rámci služieb leteckej, autobusovej, železničnej a vodnej osobnej dopravy by sa táto smernica mala vzťahovať okrem iného na poskytovanie dopravných informácií vrátane cestovných informácií v reálnom čase prostredníctvom webových sídiel, služieb poskytovaných prostredníctvom mobilných zariadení, interaktívnych informačných obrazoviek a interaktívnych samoobslužných terminálov, ktoré cestujúci so zdravotným postihnutím potrebujú na to, aby mohli cestovať. Mohlo by to zahŕňať informácie o produktoch a službách poskytovateľa služby v oblasti osobnej dopravy, informácie pred cestou, počas cesty a informácie v prípade zrušenia spoja alebo jeho meškania. Ďalšie informácie by mohli zahŕňať aj informácie o cenách a reklamných akciách.

(33)

Táto smernica by sa mala vzťahovať aj na služby poskytované prostredníctvom webových sídiel, mobilných zariadení vrátane mobilných aplikácií, ktoré vyvinuli alebo sprístupnili prevádzkovatelia služieb osobnej dopravy v rámci rozsahu pôsobnosti tejto smernice, alebo ktoré boli vyvinuté alebo sprístupnené v ich mene, služby elektronického predaja cestovných lístkov, elektronické cestovné lístky a interaktívne samoobslužné terminály.

(34)

Pri stanovení rozsahu pôsobnosti tejto smernice, pokiaľ ide o služby leteckej, autobusovej, železničnej a vodnej osobnej dopravy, by sa malo vychádzať z existujúcich odvetvových právnych predpisov týkajúcich sa práv cestujúcich. V prípade, že sa táto smernica neuplatňuje na niektoré druhy dopravných služieb, členské štáty by mali podnecovať poskytovateľov služby, aby uplatňovali príslušné požiadavky na prístupnosť stanovené v tejto smernici.

(35)

Smernicou Európskeho parlamentu a Rady (EÚ) 2016/2102 (7) sa už stanovujú povinnosti subjektov verejného sektora poskytujúcich dopravné služby vrátane služieb mestskej a prímestskej dopravy a služieb regionálnej dopravy, aby sa dosiahla dostupnosť ich webových sídiel. Táto smernica obsahuje výnimky pre mikropodniky poskytujúce služby vrátane služieb mestskej a prímestskej dopravy a služieb regionálnej dopravy. Okrem toho táto smernica obsahuje povinnosti na zabezpečenie prístupnosti webových sídiel elektronického obchodu. Vzhľadom na to, že táto smernica obsahuje povinnosti pre veľkú väčšinu súkromných poskytovateľov dopravných služieb, aby zaistili dostupnosť ich webových sídiel pri predaji lístkov online, nie je potrebné zavádzať v tejto smernici ďalšie požiadavky na webové sídla poskytovateľov služieb mestskej a prímestskej dopravy a poskytovateľov služieb regionálnej dopravy.

(36)

Niektoré prvky požiadaviek na prístupnosť, najmä vo vzťahu k poskytovaniu informácií, ako sa stanovujú v tejto smernici, sú už obsiahnuté v existujúcich právnych predpisoch Únie v oblasti osobnej dopravy. Patria medzi ne prvky nariadenia Európskeho parlamentu a Rady (ES) č. 261/2004 (8), nariadenia Európskeho parlamentu a Rady (ES) č. 1107/2006 (9), nariadenia Európskeho parlamentu a Rady (ES) č. 1371/2007 (10), nariadenia Európskeho parlamentu a Rady (EÚ) č. 1177/2010 (11) a nariadenia Európskeho parlamentu a Rady (EÚ) č. 181/2011 (12). Rovnako medzi ne patria príslušné akty prijaté na základe smernice Európskeho parlamentu a Rady 2008/57/ES (13). S cieľom zabezpečiť regulačný súlad by sa požiadavky na prístupnosť stanovené v uvedených nariadeniach a uvedených aktoch mali naďalej uplatňovať tak, ako doteraz. Dodatočnými požiadavkami stanovenými v tejto smernici by sa však doplnili už existujúce požiadavky, čím by sa zlepšilo fungovanie vnútorného trhu v oblasti dopravy a vznikli prínosy pre osoby so zdravotným postihnutím.

(37)

Táto smernica by sa nemala vzťahovať na určité prvky dopravných služieb, ak sa poskytujú mimo územia členských štátov, a to aj v prípade, že služba bola určená na trh Únie. Pokiaľ ide o tieto prvky, prevádzkovateľ služby osobnej dopravy by mal byť povinný zabezpečiť splnenie požiadaviek tejto smernice len v súvislosti s časťou služieb ponúkanou na území Únie. Avšak v prípade leteckej dopravy by leteckí dopravcovia Únie mali zabezpečiť, aby sa uplatniteľné požiadavky tejto smernice splnili aj pri letoch z letiska v tretej krajine na letisko, ktoré sa nachádza na území členského štátu. Okrem toho by všetci leteckí dopravcovia vrátane tých, ktorí nemajú licenciu v Únii, mali zabezpečiť, aby sa uplatniteľné požiadavky tejto smernice plnili v prípade letov s odletom z územia Únie na územie tretej krajiny.

(38)

Mestské orgány by sa mali nabádať k tomu, aby začleňovali bezbariérovú prístupnosť k službám mestskej dopravy do plánov udržateľnej mestskej mobility, a tiež k tomu, aby pravidelne uverejňovali zoznamy osvedčených postupov týkajúcich sa bezbariérovej prístupnosti k verejnej mestskej doprave a mobilite.

(39)

Právo Únie týkajúce sa bankových a finančných služieb sa zameriavajú na ochranu spotrebiteľov týchto služieb a na ich informovanie v celej Únii, ale nezahŕňajú požiadavky na prístupnosť. S cieľom umožniť osobám so zdravotným postihnutím využívať tieto služby v celej Únii vrátane prípadov, keď sú poskytované prostredníctvom webových sídiel a služieb poskytovaných prostredníctvom mobilných zariadení vrátane mobilných aplikácií, prijímať rozhodnutia založené na dobrej informovanosti a dodať im istotu, že sú primerane chránení na rovnakom základe ako ostatní spotrebitelia, ako aj zabezpečiť rovnaké podmienky pre poskytovateľov služby, by sa touto smernicou mali stanoviť spoločné požiadavky na prístupnosť pre určité bankové a finančné služby poskytované spotrebiteľom.

(40)

Príslušné požiadavky na prístupnosť by sa mali uplatňovať aj na spôsoby identifikácie, elektronický podpis a platobné služby, pretože sú potrebné na realizáciu transakcií v rámci bankových služieb pre spotrebiteľov.

(41)

Súbory elektronických kníh sú založené na elektronickom počítačovom kódovaní, ktoré umožňuje šírenie a čítanie duševného diela vo zväčša textovej alebo grafickej podobe. Stupeň presnosti tohto kódovania určuje prístupnosť súborov elektronických kníh, najmä pokiaľ ide o kvalifikáciu rôznych konštitutívnych prvkov diela a normalizovaný opis jeho štruktúry. Interoperabilitou z hľadiska prístupnosti by sa mala optimalizovať kompatibilita týchto súborov s používateľskými agentmi a so súčasnými a s budúcimi asistenčnými technológiami. Špecifické vlastnosti zvláštnych publikácií, ako sú komiksy, detské knihy a umelecké knižné publikácie, by sa mali zohľadniť v súvislosti so všetkými požiadavkami na prístupnosť. Nesúrodé požiadavky na prístupnosť v členských štátoch by vydavateľom a iným hospodárskym subjektom sťažovali využívanie výhod vnútorného trhu, mohli by spôsobovať problémy s interoperabilitou elektronických čítačiek a obmedzovali by prístup pre spotrebiteľov so zdravotným postihnutím. V kontexte elektronických kníh by pojem poskytovateľ služby mohol zahŕňať vydavateľov a iné hospodárske subjekty, ktoré sa podieľajú na ich distribúcii.

Vie sa, že osoby so zdravotným postihnutím naďalej čelia prekážkam v prístupe k obsahu, ktorý je chránený autorskými právami a súvisiacimi právami, a že na riešenie tejto situácie sa už prijali určité opatrenia, napríklad prostredníctvom prijatia smernice Európskeho parlamentu a Rady (EÚ) 2017/1564 (14) a nariadenia Európskeho parlamentu a Rady (EÚ) 2017/1563 (15), a že v budúcnosti by sa v tejto oblasti mohli prijať ďalšie opatrenia Únie.

(42)

V tejto smernici sa vymedzujú služby elektronického obchodu ako služby poskytované na diaľku, prostredníctvom webových sídiel a služieb poskytovaných prostredníctvom mobilných zariadení elektronickými prostriedkami a na základe individuálnej žiadosti spotrebiteľa s cieľom uzavrieť spotrebiteľskú zmluvu. Na účely tohto vymedzenia „na diaľku“ znamená, že služba sa poskytuje bez toho, aby pri tom boli obe strany súčasne prítomné; „elektronickými prostriedkami“ znamená, že služba sa najprv odošle a na mieste jej určenia sa prijme prostredníctvom elektronického zariadenia na spracovávanie (vrátane digitálnej kompresie) a ukladanie údajov a ako celok sa vysiela, prenáša a prijíma po drôte, rádiovými vlnami, optickými alebo inými elektromagnetickými prostriedkami; „na základe individuálnej žiadosti spotrebiteľa“ znamená, že služba sa poskytuje na individuálnu žiadosť. Vzhľadom na zvýšený význam služieb elektronického obchodu a ich vysoko technologickú povahu je dôležité mať harmonizované požiadavky na ich prístupnosť.

(43)

Povinnosti v oblasti prístupnosti služieb elektronického obchodu stanovené v tejto smernici by sa mali uplatňovať na online predaj akéhokoľvek výrobku alebo služby, a preto by sa mali uplatňovať aj na predaj výrobku alebo služby, ktoré sú osobitne upravené touto smernicou.

(44)

Opatrenia týkajúce sa prístupnosti odpovedania na tiesňovú komunikáciu by sa mali prijať bez toho, aby bola dotknutá a ovplyvnená organizácia záchranných služieb, ktorá zostáva vo výlučnej právomoci členských štátov.

(45)

V súlade so smernicou (EÚ) 2018/1972 členské štáty majú zabezpečiť, aby mali koncoví používatelia so zdravotným postihnutím rovnaký prístup k záchranným službám dostupným prostredníctvom tiesňovej komunikácie, aký majú ostatní koncoví používatelia v súlade s právom Únie, ktorým sa harmonizujú požiadavky na prístupnosť výrobkov a služieb. Komisia a národné regulačné orgány alebo iné príslušné orgány majú prijať vhodné opatrenia na zabezpečenie toho, aby mali koncoví používatelia so zdravotným postihnutím prístup k záchranným službám za rovnakých podmienok ako ostatní koncoví používatelia aj počas cestovania v inom členskom štáte, ak je to uskutočniteľné, bez akejkoľvek predregistrácie. Cieľom uvedených opatrení je zabezpečenie interoperability medzi členskými štátmi a majú vychádzať v čo najväčšej možnej miere z európskych noriem alebo špecifikácií stanovených v súlade s článkom 39 smernice (EÚ) 2018/1972. Takéto opatrenia nebránia členským štátom v prijímaní ďalších požiadaviek s cieľom plniť ciele stanovené v uvedenej smernici. Ako alternatívu k splneniu požiadaviek na prístupnosť, pokiaľ ide o odpovedanie na tiesňové komunikácie pre používateľov so zdravotným postihnutím stanovené v tejto smernici, členské štáty by mali mať možnosť určiť poskytovateľa konverznej služby, ktorý je treťou stranou, ktorého majú používať osoby so zdravotným postihnutím na komunikáciu so strediskom tiesňového volania, kým tieto strediská nebudú môcť využívať elektronické komunikačné služby cez internetové protokoly na zabezpečenie prístupnosti odpovedania na tiesňovú komunikáciu. V žiadnom prípade by sa povinnosti stanovené v tejto smernici nemali chápať ako obmedzenie alebo oslabenie akýchkoľvek povinností v prospech koncových používateľov so zdravotným postihnutím, vrátane rovnakého prístupu k elektronickým komunikačným službám a záchranným službám, ako aj povinností v oblasti prístupnosti, ako je stanovené v smernici (EÚ) 2018/1972.

(46)

V smernici (EÚ) 2016/2102 sa vymedzujú požiadavky na prístupnosť webových sídel a mobilných aplikácií subjektov verejného sektora a iné súvisiace aspekty, najmä požiadavky týkajúce sa súladu príslušných webových sídel a mobilných aplikácií. Uvedená smernica však obsahuje osobitný zoznam výnimiek. Podobné výnimky sa vzťahujú aj na túto smernicu. Niektoré činnosti, ktoré sa uskutočňujú prostredníctvom webových sídel a mobilných aplikácií subjektov verejného sektora, ako napríklad služby osobnej dopravy alebo služby elektronického obchodu, ktoré patria do rozsahu pôsobnosti tejto smernice, by mali byť navyše v súlade s uplatniteľnými požiadavkami na prístupnosť stanovenými v tejto smernici s cieľom zabezpečiť, aby bol online predaj výrobkov a služieb prístupný pre osoby so zdravotným postihnutím bez ohľadu na to, či je predávajúcim verejný alebo súkromný hospodársky subjekt. Požiadavky na prístupnosť stanovené v tejto smernici by sa mali zosúladiť s požiadavkami smernice (EÚ) 2016/2102, napriek rozdielom napríklad v oblasti monitorovania, podávania správ a presadzovania.

(47)

Štyri zásady prístupnosti webových sídiel a mobilných aplikácií, ako sa používajú v smernici (EÚ) 2016/2102, sú: vnímateľnosť, ktorá znamená, že informácie a súčasti používateľského rozhrania sa musia dať prezentovať používateľovi v takej podobe, ktorú dokáže vnímať; ovládateľnosť, ktorá znamená, že súčasti používateľského rozhrania a navigácia sa musia dať ovládať; zrozumiteľnosť, ktorá znamená, že informácie a ovládanie používateľského rozhrania musia byť zrozumiteľné, a robustnosť, ktorá znamená, že obsah musí byť dostatočne robustný pre spoľahlivú interpretáciu širokým spektrom používateľských agentov vrátane podporných technológií. Uvedené zásady sú takisto relevantné pre túto smernicu.

(48)

Členské štáty by mali prijať všetky vhodné opatrenia na zabezpečenie toho, aby voľný pohyb výrobkov a služieb, na ktoré sa vzťahuje táto smernica a ktoré spĺňajú uplatniteľné požiadavky na prístupnosť, nebol v rámci Únie sťažený z dôvodov súvisiacich s požiadavkami na prístupnosť.

(49)

V niektorých situáciách by spoločné požiadavky na prístupnosť zastavaného prostredia uľahčili voľný pohyb príslušných služieb a osôb so zdravotným postihnutím. Táto smernica by preto mala umožniť členským štátom, aby zahrnuli zastavané prostredie, ktoré sa používa pri poskytovaní príslušných služieb, do rozsahu pôsobnosti tejto smernice, čim sa zabezpečí dodržiavanie požiadaviek na prístupnosť stanovených v prílohe III.

(50)

Prístupnosť by sa mala dosiahnuť systematickým odstraňovaním prekážok a predchádzaním ich vzniku, a to pokiaľ možno prostredníctvom koncepcie univerzálneho dizajnu alebo „dizajnu pre všetkých“, ktorá prispieva k zabezpečeniu rovnakého prístupu pre osoby so zdravotným postihnutím ako pre ostatných. Podľa dohovoru UN CRPD tento prístup „znamená navrhovanie výrobkov, zariadení, programov a služieb tak, aby ich mohli využívať v najväčšej možnej miere všetci ľudia bez nutnosti úprav alebo špeciálneho dizajnu“. V súlade s dohovorom UN CRPD „univerzálny dizajn“ nevylučuje asistenčné zariadenia pre určité skupiny osôb so zdravotným postihnutím, ak je to potrebné. Okrem toho by prístupnosť nemala vylučovať poskytovanie primeraných úprav, ak sa to vyžaduje v práve Únie alebo vo vnútroštátnom práve. Prístupnosť a univerzálny dizajn by sa mali vykladať v súlade so všeobecnou pripomienkou č. 2 (2014) k článku 9: Prístupnosť v znení, ktoré vypracoval Výbor OSN pre práva osôb so zdravotným postihnutím.

(51)

Výrobky a služby patriace do rozsahu pôsobnosti tejto smernice automaticky nepatria do rozsahu pôsobnosti smernice Rady 93/42/EHS (16). Niektoré asistenčné technológie, ktoré sú zdravotníckymi pomôckami, by však mohli patriť do rozsahu pôsobnosti uvedenej smernice.

(52)

Väčšinu pracovných miest v Únii poskytujú MSP a mikropodniky. Tieto podniky majú kľúčový význam pre budúci rast, ale veľmi často narážajú na prekážky a problémy pri rozvíjaní svojich výrobkov alebo služieb, a to najmä v cezhraničnom kontexte. Preto je potrebné uľahčiť činnosť MSP a mikropodnikov prostredníctvom harmonizácie vnútroštátnych ustanovení týkajúcich sa prístupnosti, avšak pri zachovaní potrebných záruk.

(53)

Aby mohli mikropodniky a MSP využívať výhody plynúce z tejto smernice, musia skutočne spĺňať požiadavky odporúčania Komisie 2003/361/ES (17) a príslušnej judikatúry, ktorej cieľom je zamedziť obchádzaniu jeho pravidiel.

(54)

S cieľom zabezpečiť konzistentnosť práva Únie by táto smernica mala vychádzať z rozhodnutia Európskeho parlamentu a Rady č. 768/2008/ES (18), pretože sa týka výrobkov, ktoré už patria do rozsahu pôsobnosti iných aktov Únie, pričom by sa mali uznať osobitné črty požiadaviek na prístupnosť stanovených v tejto smernici.

(55)

Všetky hospodárske subjekty, ktoré patria do rozsahu pôsobnosti tejto smernice a ktoré sú zapojené do dodávateľského a distribučného reťazca, by mali zabezpečiť, aby sa na trhu sprístupňovali iba výrobky, ktoré sú v zhode s touto smernicou. To isté by malo platiť pre hospodárske subjekty, ktoré poskytujú služby. Je potrebné stanoviť jasné a primerané rozdelenie povinností, ktoré by zodpovedalo úlohe každého hospodárskeho subjektu v dodávateľskom a distribučnom procese.

(56)

Hospodárske subjekty by mali niesť zodpovednosť za súlad výrobkov a služieb s právnymi predpismi v súvislosti s úlohou, ktorú zohrávajú v dodávateľskom reťazci, aby sa dosiahla vysoká úroveň ochrany prístupnosti a zabezpečila sa spravodlivá hospodárska súťaž na trhu Únie.

(57)

Povinnosti stanovené v tejto smernici by sa mali rovnako uplatňovať na hospodárske subjekty vo verejnom a súkromnom sektore.

(58)

Výrobca dokáže vďaka svojim podrobným znalostiam o procese projektovania a výroby výrobku najlepšie vykonať úplné posúdenie zhody. Hoci zodpovednosť za zhodu výrobkov nesie výrobca, orgány dohľadu nad trhom by mali zohrávať kľúčovú úlohu pri kontrole toho, či výrobky sprístupnené v Únii sú vyrobené v súlade s právom Únie.

(59)

Dovozcovia a distribútori by mali byť zapojení do úloh spojených s dohľadom nad trhom, ktoré vykonávajú vnútroštátne orgány, a mali by sa aktívne zapájať a príslušným orgánom poskytovať všetky potrebné informácie týkajúce sa príslušného výrobku.

(60)

Dovozcovia by mali zabezpečiť, aby výrobky z tretích krajín, ktoré vstupujú na trh Únie, boli v súlade s touto smernicou, a najmä aby výrobcovia uvedené výrobky podrobili náležitým postupom posúdenia zhody.

(61)

Pri uvádzaní výrobku na trh by mali dovozcovia uviesť na výrobku svoje meno, registrované obchodné meno alebo registrovanú obchodnú známku a adresu, na ktorej ich možno kontaktovať.

(62)

Distribútori by mali zabezpečiť, aby pri nakladaní s výrobkom negatívne neovplyvnili súlad výrobku s požiadavkami na prístupnosť stanovenými v tejto smernici.

(63)

Každý hospodársky subjekt, ktorý buď uvedie výrobok na trh pod vlastným menom alebo ochrannou známkou, alebo upraví výrobok, ktorý už bol uvedený na trh, takým spôsobom, že by to mohlo mať vplyv na súlad s uplatniteľnými požiadavkami, by sa mal považovať za výrobcu a prevziať záväzky výrobcu.

(64)

Požiadavky na prístupnosť by sa z dôvodu proporcionality mali uplatňovať len do tej miery, pokiaľ pre hospodársky subjekt nepredstavujú neprimeranú záťaž alebo do tej miery, pokiaľ si nevyžadujú významnú zmenu výrobkov a služieb, ktorá by na základe tejto smernice viedla k ich zásadnej zmene. Napriek tomu by sa však mali zaviesť kontrolné mechanizmy s cieľom overiť nárok na výnimky z uplatňovania požiadaviek na prístupnosť.

(65)

Táto smernica by mala vychádzať zo zásady „najskôr myslieť na MSP“ a zohľadňovať administratívnu záťaž, ktorej MSP čelia. Namiesto stanovenia všeobecných výnimiek a odchýlok pre uvedené podniky by sa v nej skôr mali stanoviť menej prísne pravidlá, pokiaľ ide o posudzovanie zhody, a mali by sa v nej zaviesť ochranné doložky pre hospodárske subjekty. V dôsledku toho by sa pri stanovovaní pravidiel pre výber a vykonávanie najvhodnejších postupov posudzovania zhody mala zohľadňovať situácia MSP a povinnosti posudzovať zhodu s požiadavkami na prístupnosť by sa mali obmedziť tak, aby pre MSP nepredstavovali neprimeranú záťaž. Orgány dohľadu nad trhom by okrem toho mali svoju činnosť vykonávať proporčne k veľkosti podnikov a podľa toho, či ide o výrobky vyrábané v malých sériách alebo o nesériovú výrobu, nemali by pre MSP vytvárať neprimerané prekážky a nemali by narúšať ochranu verejných záujmov.

(66)

Vo výnimočných prípadoch, keď by súlad s požiadavkami na prístupnosť stanovenými v tejto smernici predstavoval pre hospodárske subjekty neprimeranú záťaž, malo by sa od hospodárskych subjektov vyžadovať dodržiavanie týchto požiadaviek v rozsahu, v akom im nespôsobujú neprimeranú záťaž. V takýchto náležite odôvodnených prípadoch by nebolo pre hospodársky subjekt reálne možné, aby v plnej miere uplatňoval jednu alebo viacero požiadaviek na prístupnosť stanovených v tejto smernici. Hospodársky subjekt by však mal službu alebo výrobok, ktoré patria do rozsahu pôsobnosti tejto smernice, čo najviac sprístupniť uplatňovaním uvedených požiadaviek do rozsahu, do akého nespôsobujú neprimeranú záťaž. Požiadavky na prístupnosť, ktoré hospodársky subjekt nepovažuje za neprimeranú záťaž, by sa mali uplatňovať v plnom rozsahu. Výnimky z povinnosti dodržiavať jednu alebo viacero požiadaviek na prístupnosť v dôsledku neprimeranej záťaže, ktorú spôsobujú, by nemali prekračovať rámec toho, čo je nevyhnutne potrebné na obmedzenie uvedenej záťaže v súvislosti s konkrétnym výrobkom alebo službou v každom jednotlivom prípade. Opatrenia, ktoré by predstavovali neprimeranú záťaž, by sa mali chápať ako opatrenia, ktoré by znamenali dodatočnú nadmernú organizačnú alebo finančnú záťaž pre hospodársky subjekt, a to pri zohľadnení pravdepodobného výsledného prínosu pre osoby so zdravotným postihnutím v súlade s kritériami stanovenými v tejto smernici. Mali by sa vymedziť kritériá založené na týchto faktoroch, aby mohli hospodárske subjekty aj príslušné orgány porovnať rôzne situácie a systematickým spôsobom posúdiť prípadnú existenciu neprimeranej záťaže. Pri každom posudzovaní miery, do akej nie je možné splniť požiadavky na prístupnosť, pretože by spôsobovali neprimeranú záťaž, by sa mali zohľadňovať iba legitímne dôvody. Nedostatočná priorita, nedostatok času alebo znalostí by sa nemali považovať za legitímne dôvody.

(67)

Celkové posúdenie neprimeranej záťaže by sa malo vykonať pomocou kritérií stanovených v prílohe VI. Posúdenie neprimeranej záťaže by mal hospodársky subjekt zdokumentovať s prihliadnutím na príslušné kritériá. Poskytovatelia služieb by mali obnoviť ich posúdenie neprimeranej záťaže minimálne každých päť rokov.

(68)

Hospodársky subjekt by mal informovať príslušné orgány o tom, že sa odvoláva na ustanovenia tejto smernice týkajúce sa zásadnej zmeny a/alebo neprimeranej záťaže. Hospodársky subjekt by mal predložiť kópiu posúdenia vysvetľujúceho, prečo jeho výrobok alebo služba nie je v plnej miere prístupná, spolu s dôkazmi o neprimeranej záťaži alebo zásadnej zmene prípadne oboch iba na základe žiadosti príslušných orgánov.

(69)

Ak na základe požadovaného posúdenia dospeje poskytovateľ služieb k záveru, že vyžadovať, aby všetky samoobslužné terminály, ktoré sa používajú na poskytovanie služieb, na ktoré sa vzťahuje táto smernica, spĺňali požiadavky na prístupnosť stanovené v tejto smernici, by predstavovalo neprimeranú záťaž, poskytovateľ služby by mal napriek tomu uplatňovať tieto požiadavky v rozsahu, v akom mu nespôsobujú takúto neprimeranú záťaž. Preto by mali poskytovatelia služieb posúdiť rozsah, v ktorom by im obmedzená úroveň prístupnosti vo všetkých samoobslužných termináloch alebo obmedzený počet plne prístupných samoobslužných terminálov umožnila vyhnúť sa neprimeranej záťaži, ktorá by im inak bola spôsobená, a malo by sa od nich požadovať, aby dodržiavali požiadavky na prístupnosť stanovené v tejto smernici len v tomto rozsahu.

(70)

Mikropodniky sa odlišujú od všetkých ostatných podnikov svojimi obmedzenými ľudskými zdrojmi, ročným obratom alebo ročnou súvahou. Záťaž vyplývajúca z dodržiavania požiadaviek na prístupnosť si v prípade mikropodnikov preto vo všeobecnosti vyžaduje väčší podiel ich finančných a ľudských zdrojov než v prípade iných podnikov a s väčšou pravdepodobnosťou bude predstavovať neprimeraný podiel na nákladoch. Značná časť nákladov mikropodnikov vyplýva z vypĺňania a archivovania dokladov a záznamov na preukázanie súladu s rôznymi požiadavkami stanovenými v práve Únie. Hoci všetky hospodárske subjekty, na ktoré sa vzťahuje táto smernica, by mali byť schopné posúdiť primeranosť dodržiavania požiadaviek na prístupnosť stanovených v tejto smernici a mali by ich dodržiavať len v tom rozsahu, v akom nie sú neprimerané, požadovať takéto posúdenie od mikropodnikov poskytujúcich služby by samo osebe predstavovalo neprimeranú záťaž. Požiadavky a povinnosti stanovené v tejto smernici by sa preto nemali vzťahovať na mikropodniky, ktoré poskytujú služby v rozsahu pôsobnosti tejto smernice.

(71)

Na mikropodniky, ktoré pracujú s výrobkami patriacimi do rozsahu pôsobnosti tejto smernice, by sa mali uplatňovať miernejšie požiadavky a povinnosti stanovené v tejto smernice s cieľom znížiť administratívnu záťaže.

(72)

I keď sú niektoré mikropodniky oslobodené od povinností stanovených v tejto smernici, všetky mikropodniky treba podnecovať k tomu, aby vyrábali, dovážali alebo distribuovali výrobky a poskytovali služby, ktoré spĺňajú požiadavky na prístupnosť stanovené v tejto smernici, v záujme zvýšenia ich konkurencieschopnosti, ako ich aj potenciálu rastu na vnútornom trhu. Členské štáty by preto mali mikropodnikom poskytnúť usmernenia a nástroje s cieľom uľahčiť uplatňovanie vnútroštátnych opatrení na transpozíciu tejto smernice.

(73)

Všetky hospodárske subjekty by mali pri uvádzaní výrobkov na trh alebo sprístupňovaní výrobkov na trhu konať zodpovedne a v plnom súlade s uplatniteľnými zákonnými požiadavkami.

(74)

S cieľom uľahčiť posúdenie zhody s uplatniteľnými požiadavkami na prístupnosť je potrebné stanoviť predpoklad zhody výrobkov a služieb, ktoré spĺňajú dobrovoľné harmonizované normy prijaté v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 1025/2012 (19), na účely vypracovania podrobných technických špecifikácií týchto požiadaviek. Komisia už európskym organizáciám pre normalizáciu podala niekoľko žiadostí o normalizáciu v oblasti prístupnosti, napríklad mandáty na vypracovanie noriem M/376, M/473 a M/420, ktoré by boli relevantné pre vypracovanie harmonizovaných noriem.

(75)

V nariadení (EÚ) č. 1025/2012 sa stanovuje postup týkajúci sa formálnych námietok proti harmonizovaným normám, o ktorých sa usudzuje, že nespĺňajú požiadavky stanovené v tejto smernici.

(76)

Európske normy by mali byť trhovo orientované, zohľadňovať verejný záujem, ako aj politické ciele jasne uvedené v žiadosti Komisie jednej alebo viacerým európskym normalizačným organizáciám o navrhnutie harmonizovaných noriem a založené na konsenze. V prípade, že neexistujú harmonizované normy, Komisia by mala mať, ak je to potrebné na účely harmonizácie vnútorného trhu, možnosť prijať v určitých prípadoch vykonávacie akty, ktorými by sa ustanovili technické špecifikácie požiadaviek na prístupnosť stanovených v tejto smernici. Použitie technických špecifikácií by sa malo obmedziť na takéto prípady. Komisia by mala mať možnosť prijať technické špecifikácie napríklad v prípade, ak je proces normalizácie zablokovaný pre nedostatočný konsenzus medzi zainteresovanými stranami alebo kvôli zbytočným prieťahom pri stanovení harmonizovanej normy, napríklad z dôvodu nedosiahnutej požadovanej kvality. Komisia by mala ponechať dostatočný čas medzi prijatím žiadosti na jednu alebo viaceré európske normalizačné organizácie o vypracovanie návrhov harmonizovaných noriem a prijatím technických špecifikácií týkajúcich sa tej istej požiadavky na prístupnosť. Komisia by nemala mať možnosť prijať technickú špecifikáciu, ak sa predtým nesnažila riešiť danú požiadavku na prístupnosť cez európsky systém normalizácie, s výnimkou prípadu, keď môže preukázať, že technické špecifikácie spĺňajú požiadavky stanovené v prílohe II k nariadeniu (EÚ) č. 1025/2012.

(77)

S cieľom vytvorenia harmonizovaných noriem a technických špecifikácií, ktoré spĺňajú požiadavky na prístupnosť výrobkov a služieb stanovené v tejto smernici, najefektívnejším spôsobom, by Komisia v možných prípadoch mala do tohto procesu zapojiť európske organizácie zastrešujúce osoby so zdravotným postihnutím a všetky ostatné významné zainteresované strany.

(78)

S cieľom zabezpečiť účinný prístup k informáciám na účely dohľadu nad trhom by sa informácie požadované na preukázanie súladu so všetkými uplatniteľnými aktmi Únie mali dať k dispozícii v jedinom EÚ vyhlásení o zhode. Hospodárske subjekty by v záujme zníženia svojho administratívneho zaťaženia mali mať možnosť začleniť všetky jednotlivé príslušné vyhlásenia o zhode do jediného EÚ vyhlásenia o zhode.

(79)

Pokiaľ ide o posudzovanie zhody výrobkov, v rámci tejto smernice by sa mal uplatňovať „modul A“, t. j. vnútorná kontrola výroby, ktorá je stanovená v prílohe II k rozhodnutiu č. 768/2008/ES, pretože umožňuje hospodárskym subjektom preukázať a príslušným orgánom zaistiť, že výrobky sprístupňované na trhu spĺňajú požiadavky na prístupnosť, ale nepredstavujú nepatričnú záťaž.

(80)

Orgány by pri vykonávaní dohľadu nad trhom s výrobkami a kontroly súladu v prípade služieb mali tiež overiť posudzovania zhody vrátane toho, či sa riadne vykonalo relevantné posudzovanie zásadnej zmeny alebo neprimeranej záťaže. Tieto orgány by pri vykonávaní svojich povinností mali konať tiež v spolupráci s osobami so zdravotným postihnutím a s organizáciami, ktoré tieto osoby a ich záujmy zastupujú.

(81)

V prípade služieb by informácie potrebné na posúdenie zhody s požiadavkami na prístupnosť stanovenými v tejto smernici mali byť uvedené vo všeobecných podmienkach alebo v rovnocennom dokumente bez toho, aby tým bola dotknutá smernica Európskeho parlamentu a Rady 2011/83/EÚ (20).

(82)

Označenie CE, ktoré preukazuje zhodu výrobku s požiadavkami na prístupnosť stanovenými v tejto smernici, je viditeľným výsledkom celého procesu, ktorého súčasťou je posudzovanie zhody v širšom zmysle. Táto smernica by mala byť koncipovaná v súlade so všeobecnými zásadami, ktorými sa riadi označenie CE a ktoré sú uvedené v nariadení Európskeho parlamentu a Rady (ES) č. 765/2008 (21), ktorým sa stanovujú požiadavky na akreditáciu a dohľad nad trhom v súvislosti s uvádzaním výrobkov na trh. Okrem vypracovania EÚ vyhlásenia o zhode by výrobca mal nákladovo efektívnym spôsobom informovať spotrebiteľov o prístupnosti svojich výrobkov.

(83)

V súlade s nariadením (ES) č. 765/2008 výrobca umiestnením označenia CE na výrobku vyhlasuje, že výrobok je v zhode so všetkými uplatniteľnými požiadavkami na prístupnosť a že výrobca za to nesie plnú zodpovednosť.

(84)

V súlade s rozhodnutím č. 768/2008/ES sú členské štáty zodpovedné za zabezpečenie dôrazného a účinného dohľadu nad trhom s výrobkami na svojom území a svojim orgánom dohľadu nad trhom by mali prideliť dostatočné právomoci a zdroje.

(85)

Členské štáty by mali kontrolovať súlad služieb s povinnosťami stanovenými v tejto smernici a mali by sledovať sťažnosti alebo správy týkajúce sa nesúladu s cieľom zabezpečiť, aby sa prijali nápravné opatrenia.

(86)

V prípade potreby by Komisia mohla po konzultácii so zainteresovanými stranami prijať nezáväzné usmernenia, ktorými sa podporí koordinácia medzi orgánmi dohľadu nad trhom a orgánmi zodpovednými za kontrolu súladu služieb. Komisia a členské štáty by mali mať možnosť vytvárať iniciatívy na účely spoločného využívania zdrojov a odborných znalostí orgánov.

(87)

Členské štáty by mali zabezpečiť, aby orgány dohľadu nad trhom a orgány zodpovedné za kontrolu súladu služieb kontrolovali, či hospodárske subjekty spĺňajú kritériá stanovené v prílohe VI, v súlade s kapitolami VIII a IX. Členské štáty by mali mať možnosť v zmysle tejto smernice určiť osobitný orgán na vykonávanie povinností orgánov dohľadu nad trhom alebo orgánov zodpovedných za kontrolu súladu služieb. Členské štáty by mali mať možnosť rozhodnúť, že právomoci takého osobitného orgánu by sa mali obmedziť na rozsah pôsobnosti tejto smernice alebo niektorých jej častí bez toho, aby boli dotknuté povinnosti členských štátov podľa nariadenia (ES) č. 765/2008.

(88)

Mal by sa zaviesť ochranný postup, ktorý by sa uplatňoval iba v prípade rozporu medzi členskými štátmi, pokiaľ ide o opatrenia prijaté členským štátom, na základe ktorého by sa zainteresované strany informovali o zamýšľaných opatreniach, pokiaľ ide o výrobky, ktoré nespĺňajú požiadavky na prístupnosť stanovené v tejto smernici. Ochranný postup by mal orgánom dohľadu nad trhom umožniť, aby v spolupráci s príslušnými hospodárskymi subjektmi začali v súvislosti s týmito výrobkami konať skôr.

(89)

Ak sa členské štáty a Komisia zhodujú v tom, že opatrenie prijaté členským štátom je oprávnené, nemal by byť potrebný ďalší zásah Komisie, okrem prípadu, keď nesúlad s právnymi predpismi vyplýva z nedostatkov v harmonizovaných normách alebo technických špecifikáciách.

(90)

V smerniciach Európskeho parlamentu a Rady 2014/24/EÚ (22) a 2014/25/EÚ (23) o verejnom obstarávaní, v ktorých sa vymedzujú postupy obstarávania verejných zákaziek a súťaží návrhov na dodávku niektorých tovarov (výrobkov), služieb a prác, sa stanovuje, že v prípade každého obstarávania, ktoré je určené na použitie fyzickými osobami, či už ide o širokú verejnosť alebo zamestnancov verejného obstarávateľa alebo obstarávateľa, sa technické špecifikácie s výnimkou náležite odôvodnených prípadov majú vypracovať so zohľadnením kritérií prístupnosti pre osoby so zdravotným postihnutím alebo dizajnu vhodného pre všetkých používateľov. Ďalej sa v uvedených smerniciach vyžaduje, aby v prípade, že sa právnym aktom Únie prijali záväzné požiadavky na prístupnosť, technické špecifikácie vzťahujúce sa na kritériá prístupnosti pre osoby so zdravotným postihnutím alebo dizajn vhodný pre všetkých používateľov sa vymedzia odkazom na daný akt. V tejto smernici by sa mali stanoviť povinné požiadavky na prístupnosť výrobkov a služieb, na ktoré sa vzťahuje. V prípade výrobkov a služieb, ktoré nepatria do rozsahu pôsobnosti tejto smernice, požiadavky na prístupnosť stanovené v tejto smernici nie sú záväzné. Využitie týchto požiadaviek na prístupnosť na splnenie príslušných povinností stanovených v aktoch Únie iných ako táto smernica by však uľahčilo implementáciu prístupnosti a prispelo k právnej istote a zbližovaniu požiadaviek na prístupnosť v celej Únii. Orgánom by sa nemalo brániť v stanovení požiadaviek na prístupnosť prekračujúcich rámec požiadaviek na prístupnosť stanovených v prílohe I k tejto smernici.

(91)

Touto smernicou by sa nemal zmeniť povinný alebo dobrovoľný charakter ustanovení týkajúcich sa prístupnosti v ďalších právnych aktoch Únie.

(92)

Táto smernica by sa mala vzťahovať len na postupy obstarávania, pri ktorých sa výzva na súťaž už zaslala alebo v prípade, ak výzva na súťaž nie je plánovaná, ak verejný obstarávateľ alebo obstarávateľ začal postup obstarávania po dátume začiatku uplatňovania tejto smernice.

(93)

S cieľom zabezpečiť riadne uplatňovanie tejto smernice by sa právomoc prijímať akty v súlade s článkom 290 ZFEÚ mala delegovať na Komisiu, pokiaľ ide o: bližšie špecifikovanie požiadaviek na prístupnosť, ktoré svojou povahou nemôžu priniesť zamýšľaný účinok, pokiaľ sa podrobnejšie nešpecifikujú v záväzných právnych aktoch Únie; zmenu obdobia, počas ktorého musia byť hospodárske subjekty schopné identifikovať každý iný hospodársky subjekt, ktorý im dodal výrobok, alebo ktorému oni dodali výrobok; ďalšie špecifikácie príslušných kritérií, ktoré má hospodársky subjekt zohľadniť pri posúdení, či by dodržiavanie požiadaviek na prístupnosť predstavovalo neprimeranú záťaž. Je osobitne dôležité, aby Komisia počas prípravných prác uskutočnila príslušné konzultácie, a to aj na úrovni odborníkov, a aby sa tieto konzultácie vykonávali v súlade so zásadami stanovenými v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva (24). Predovšetkým v záujme rovnakého zastúpenia pri príprave delegovaných aktov sa všetky dokumenty doručujú Európskemu parlamentu a Rade v rovnakom čase ako odborníkom z členských štátov a odborníci Európskeho parlamentu a Rady majú systematicky prístup na zasadnutia expertných skupín Komisie, ktoré sa zaoberajú prípravou delegovaných aktov.

(94)

S cieľom zabezpečiť jednotné podmienky vykonávania tejto smernice by sa mali na Komisiu preniesť vykonávacie právomoci, pokiaľ ide o technické špecifikácie. Uvedené právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/2011 (25).

(95)

Členské štáty by mali zabezpečiť, aby existovali primerané a účinné prostriedky na zabezpečenie súladu s touto smernicou, a preto by mali vytvoriť vhodné kontrolné mechanizmy, ako napríklad následnú kontrolu zo strany orgánov dohľadu nad trhom s cieľom overiť, či je žiadosť o výnimku z uplatňovania požiadaviek odôvodnená. Pri riešení sťažností súvisiacich s prístupnosťou by členské štáty mali dodržiavať všeobecné zásady dobrej správy, a najmä povinnosť úradníkov zabezpečiť, aby sa rozhodnutie o každej sťažnosti prijalo v primeranej časovej lehote.

(96)

S cieľom uľahčiť jednotné vykonávanie tejto smernice by Komisia mala vytvoriť z príslušných orgánov a zainteresovaných strán pracovnú skupinu, aby sa uľahčila výmena informácií a najlepších postupov a poskytlo poradenstvo. Mala by sa podporovať spolupráca medzi orgánmi a príslušnými zainteresovanými stranami vrátane osôb so zdravotným postihnutím a organizácií, ktoré ich zastupujú, okrem iného preto, aby sa súdržnejšie uplatňovali ustanovenia tejto smernice týkajúce sa požiadaviek na prístupnosť a monitorovania vykonávania jej ustanovení o zásadnej zmene a neprimeranej záťaži.

(97)

Vzhľadom na existujúci právny rámec týkajúci sa nápravných opatrení v oblastiach, na ktoré sa vzťahujú smernice 2014/24/EÚ a 2014/25/EÚ, by sa však ustanovenia tejto smernice týkajúce sa presadzovania právnych predpisov a sankcií nemali uplatňovať pri postupoch verejného obstarávania, na ktoré sa vzťahujú povinnosti uložené touto smernicou. Takýmto vylúčením nie sú dotknuté povinnosti členských štátov vyplývajúce zo zmlúv prijať všetky potrebné opatrenia na zabezpečenie uplatňovania a účinnosti práva Únie.

(98)

Sankcie by mali byť primerané povahe porušení a okolnostiam, aby neslúžili hospodárskemu subjektu ako alternatíva k splneniu povinnosti sprístupniť výrobky alebo služby.

(99)

Členské štáty by mali zabezpečiť, aby boli v súlade s platnými právnymi predpismi Únie zavedené alternatívne mechanizmy riešenia sporov, ktoré umožnia riešenie akéhokoľvek údajného nesúladu s touto smernicou pred tým, ako sa vec predloží súdu alebo príslušnému správnemu orgánu.

(100)

V súlade so spoločným politickým vyhlásením členských štátov a Komisie z 28. septembra 2011 o vysvetľujúcich dokumentoch (26) sa členské štáty zaviazali, že v odôvodnených prípadoch k svojim oznámeniam o transpozičných opatreniach pripoja jeden alebo viacero dokumentov vysvetľujúcich vzťah medzi prvkami smernice a zodpovedajúcimi časťami vnútroštátnych transpozičných nástrojov. V súvislosti s touto smernicou sa zákonodarca domnieva, že zasielanie takýchto dokumentov je odôvodnené.

(101)

S cieľom poskytnúť poskytovateľom služieb dostatok času na prispôsobenie sa požiadavkám stanoveným v tejto smernici je potrebné poskytnúť prechodné obdobie piatich rokov od dátumu uplatňovania tejto smernice, počas ktorého výrobky používané na poskytovanie služby, ktoré boli uvedené na trh pred týmto dátumom, nemusia spĺňať požiadavky na prístupnosť stanovené v tejto smernici, pokiaľ ich poskytovatelia služieb počas prechodného obdobia nenahradia. Vzhľadom na náklady a dlhý životný cyklus samoobslužných terminálov je vhodné stanoviť, že v prípade, že sa tieto terminály používajú pri poskytovaní služieb, môžu sa používať do konca ich úžitkovej životnosti, pokiaľ sa počas tohto obdobia nenahradia, nie však dlhšie ako 20 rokov.

(102)

Požiadavky na prístupnosť stanovené v tejto smernici by sa mali vzťahovať na výrobky uvádzané na trh a služby poskytované po dátume začiatku uplatňovania vnútroštátnych opatrení na transpozíciu tejto smernice vrátane použitých výrobkov a výrobkov z druhej ruky dovážaných z tretích krajín a uvádzaných na trh po tomto dátume.

(103)

Táto smernica rešpektuje základné práva a dodržiava zásady, ktoré uznáva najmä Charta základných práv Európskej únie (ďalej len „charta“). Cieľom tejto smernice je najmä zabezpečiť plné rešpektovanie práv osôb so zdravotným postihnutím využívať opatrenia, ktoré sú určené na zabezpečenie ich nezávislosti, sociálnej integrácie a integrácie v zamestnaní a účasti na spoločenskom živote, a podporiť uplatňovanie článkov 21, 25 a 26 charty.

(104)

Keďže cieľ tejto smernice, a to odstránenie prekážok voľného pohybu určitých prístupných výrobkov a služieb s cieľom prispieť k riadnemu fungovaniu vnútorného trhu, nie je možné uspokojivo dosiahnuť na úrovni členských štátov, pretože si vyžaduje harmonizáciu rôznych predpisov, ktoré v súčasnosti existujú v ich právnych systémoch, ale možno ho vymedzením spoločných požiadaviek na prístupnosť a pravidlá fungovania vnútorného trhu lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa článku 5 Zmluvy o Európskej únii. V súlade so zásadou proporcionality podľa uvedeného článku táto smernica nepresahuje rámec nevyhnutný na dosiahnutie tohto cieľa,