(1)

Omrežja in informacijski sistemi ter elektronska komunikacijska omrežja in storitve imajo ključno vlogo v družbi ter so postali temelj gospodarske rasti. Informacijske in komunikacijske tehnologije (IKT) so osnova za kompleksne sisteme, ki podpirajo vsakodnevne družbene dejavnosti, omogočajo, da naša gospodarstva delujejo v ključnih sektorjih, kot so zdravstvo, energetika, finance in promet, ter zlasti podpirajo delovanje notranjega trga.

(2)

Med državljani, organizacijami in podjetji po vsej Uniji je vedno bolj razširjena uporaba omrežij in informacijskih sistemov. Digitalizacija in povezljivost postajata poglavitni značilnosti vse večjega števila proizvodov in storitev, s prihodom interneta stvari (IoT) pa naj bi se v naslednjem desetletju po vsej Uniji začelo uporabljati izredno veliko število povezanih digitalnih naprav. Medtem ko je vse več naprav povezanih z internetom, v njihovo zasnovo nista zadostno vključeni varnost in odpornost, kar vodi v nezadostno kibernetsko varnost. Omejeno certificiranje zato vodi do nezadostnih informacij za posamezne uporabnike, uporabnike v organizacijah in poslovne uporabnike o lastnostih proizvodov IKT, storitev IKT in postopkov IKT glede kibernetske varnosti, kar spodkopava zaupanje v digitalne rešitve. Omrežja in informacijski sistemi so zmožni podpreti vse vidike našega življenja in poganjajo gospodarsko rast Unije. So ključna podlaga za vzpostavitev enotnega digitalnega trga.

(3)

Večja digitalizacija in povezljivost povečujeta tveganja na področju kibernetske varnosti, zaradi česar je družba na splošno bolj ranljiva za kibernetske grožnje, nevarnosti, s katerimi se srečujejo posamezniki, vključno z ranljivimi osebami, kot so otroci, pa so večje. Da bi ublažili tovrstna tveganja za družbo, je treba sprejeti vse potrebne ukrepe, da bi izboljšali kibernetsko varnost v Uniji in tako omrežja in informacijske sisteme, komunikacijska omrežja ter digitalne proizvode, storitve in naprave, ki jih uporabljajo državljani, organizacije in podjetja – od malih in srednjih podjetij (MSP), kot so opredeljena v Priporočilu Komisije 2003/361/ES (4), do upravljavcev kritične infrastrukture –, bolje zaščitili pred kibernetskimi grožnjami.

(4)

Agencija Evropske unije za varnost omrežij in informacij (v nadaljnjem besedilu: agencija ENISA), ustanovljena z Uredbo (EU) št. 526/2013 Evropskega parlamenta in Sveta (5) z dajanjem ustreznih informacij na voljo javnosti pomaga pri razvoju industrije kibernetske varnosti v Uniji, zlasti MSP in zagonskih podjetij. Agencija ENISA bi si morala prizadevati za tesnejše sodelovanje z univerzami in raziskovalnimi ustanovami, da bi prispevala k zmanjšanju odvisnosti od proizvodov in storitev za kibernetsko varnost iz držav zunaj Unije ter okrepila dobavne verige znotraj Unije.

(5)

Kibernetski napadi so vse pogostejši, povezana gospodarstvo in družba, ki sta bolj ranljiva za kibernetske grožnje in napade, pa potrebujeta boljšo obrambo. Čeprav so kibernetski napadi pogosto čezmejni, so pristojnosti in odzivi politike organov za kibernetsko varnost ter organov za preprečevanje za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj večinoma nacionalni. Veliki incidenti bi lahko povzročili motnje pri zagotavljanju bistvenih storitev po vsej Uniji. Zato so potrebni učinkoviti in usklajeni odzivi ter krizno upravljanje na ravni Unije, in sicer na podlagi namenskih politik in širših instrumentov za evropsko solidarnost in medsebojno pomoč. Poleg tega je za oblikovalce politike, industrijo in uporabnike zato pomembno, da se na podlagi zanesljivih podatkov Unije redno ocenjuje stanje kibernetske varnosti in odpornosti v Uniji ter sistematično napovedujejo prihodnji razvoj, izzivi in grožnje, tako na ravni Unije kot na svetovni ravni.

(6)

Glede na večje izzive na področju kibernetske varnosti, s katerimi se spopada Unija, je potreben celovit sklop ukrepov, ki bi temeljili na prejšnjih ukrepih Unije in spodbujali cilje, ki se vzajemno krepijo. Ti cilji vključujejo nadaljnjo krepitev zmogljivosti in pripravljenosti držav članic in podjetij ter boljše sodelovanje, izmenjavo informacij in usklajevanje med državami članicami ter institucijami, organi, uradi in agencijami Unije. Poleg tega je treba glede na to, da kibernetske grožnje ne poznajo meja, povečati zmogljivosti na ravni Unije, ki bi lahko dopolnjevale ukrepe držav članic, zlasti v primerih velikih čezmejnih incidentov in kriz, ob upoštevanju pomena ohranjanja in nadaljnjega izboljševanja nacionalnih zmogljivosti za odzivanje na kibernetske grožnje vseh razsežnosti.

(7)

Potrebna so tudi dodatna prizadevanja za večjo ozaveščenost državljanov, organizacij in podjetij o vprašanjih kibernetske varnosti. Glede na to, da incidenti zmanjšujejo zaupanje v ponudnike digitalnih storitev in sam enotni digitalni trg, zlasti med potrošniki, bi bilo treba zaupanje poleg tega dodatno okrepiti s tem, da bi se na pregleden način nudile informacije o ravni varnosti proizvodov IKT, storitev IKT in postopkov IKT, ki poudarjajo, da tudi visoka raven certificiranja kibernetske varnosti ne more zagotoviti, da je proizvod IKT, storitev IKT ali postopek IKT povsem varen. Večje zaupanje je mogoče lažje doseči s certificiranjem na ravni Unije, ki bi zagotavljalo skupne zahteve in merila za ocenjevanje glede kibernetske varnosti za vse nacionalne trge in sektorje.

(8)

Pri kibernetski varnosti ne gre zgolj za vprašanje, povezano s tehnologijo, ampak za vprašanje, kjer je prav toliko pomembno tudi ravnanje ljudi. Zato bi bilo treba odločno spodbujati „kibernetsko higieno“, in sicer preproste in rutinske ukrepe, ki zmanjšajo izpostavljenost državljanov, organizacij in podjetij tveganjem zaradi kibernetskih groženj, kadar jih ti redno izvajajo.

(9)

Za krepitev struktur kibernetske varnosti Unije je pomembno ohranjati in razvijati zmogljivosti držav članic za celovito odzivanje na kibernetske grožnje, vključno s čezmejnimi incidenti.

(10)

Podjetja in posamezni potrošniki bi morali imeti točne informacije glede ravni zanesljivosti, s katero so bili certificirani njihovi proizvodi IKT, storitve IKT in postopki IKT. Hkrati pa nista noben proizvod IKT ali storitev IKT v celoti kibernetsko varna in je treba osnovna pravila za kibernetsko higieno spodbujati in jih prednostno obravnavati. Glede na vse večjo dostopnost naprav interneta stvari bi lahko zasebni sektor sprejel vrsto prostovoljnih ukrepov, s katerimi bi okrepil zaupanje v varnost proizvodov IKT, storitev IKT in postopkov IKT.

(11)

Sodobni proizvodi in sistemi IKT pogosto vključujejo eno ali več tehnologij in komponent tretjih strani, kot so moduli programske opreme, knjižnice ali vmesniki za aplikacijsko programiranje, ter se nanje opirajo. To opiranje oziroma „odvisnost“ bi lahko povzročilo dodatna tveganja za kibernetsko varnost, saj bi lahko šibke točke, odkrite v komponentah tretje strani, vplivale tudi na varnost proizvodov IKT, storitev IKT in postopkov IKT. Odkrivanje in dokumentiranje takšnih odvisnosti končnim uporabnikom proizvodov IKT, storitev IKT in postopkov IKT pogosto omogoči, da izboljšajo dejavnosti obvladovanja tveganj za kibernetsko varnost, s tem ko na primer izboljšajo postopke uporabniškega obvladovanja šibkih točk na področju kibernetske varnosti in odpravljanja njihovih posledic.

(12)

Organizacije, proizvajalce ali ponudnike, ki sodelujejo pri zasnovi in razvoju proizvodov IKT, storitev IKT ali postopkov IKT, bi bilo treba spodbuditi, naj v čim zgodnejših fazah zasnove in razvoja izvedejo ukrepe, da bo varnost navedenih proizvodov, storitev in postopkov na najvišji možni ravni, in to na način, da bo predpostavljena možnost kibernetskih napadov, njihove posledice pa predvidljive in čim manjše (v nadaljnjem besedilu: vgrajena varnost). Varnost bi bilo treba zagotoviti v celotni življenjski dobi proizvoda IKT, storitve IKT ali postopka IKT, in sicer z zasnovnimi in razvojnimi postopki, ki se nenehno nadgrajujejo, da se zmanjša tveganje za škodo zaradi zlorab.

(13)

Podjetja, organizacije in javni sektor bi morali proizvode IKT, storitve IKT ali postopke IKT, ki so jih zasnovali, konfigurirati tako, da bi zagotovili višjo raven varnosti, kar bi prvemu uporabniku moralo omogočiti, da bi imel privzeto konfiguracijo z najvarnejšimi možnimi nastavitvami (v nadaljnjem besedilu: privzeta varnost), in s tem zmanjšati breme uporabnikov, da morajo poskrbeti za ustrezno konfiguracijo proizvodov IKT, storitev IKT ali postopkov IKT. Pogoj za privzeto varnost ne bi smela biti obsežna konfiguracija oziroma privzeta varnost od uporabnikov ne bi smela zahtevati specifičnega tehničnega znanja ali neintuitivnega ravnanja, ki ni značilno za vsakdanjo uporabo; morala bi delovati preprosto in zanesljivo, kadar koli bi jo uporabljali. Če se na podlagi posameznega primera pri analizi tveganja in uporabnosti ugotovi, da takšna privzeta nastavitev ni izvedljiva, bi bilo treba uporabnike spodbuditi, da se odločijo za najbolj varno nastavitev.

(14)

Z Uredbo (ES) št. 460/2004 Evropskega parlamenta in Sveta (6) je bila ustanovljena agencija ENISA z namenom prispevanja k ciljema, da se zagotovi visoka in učinkovita raven varnosti omrežij in informacij v Uniji ter razvije kultura varnosti omrežij in informacij v korist državljanov, potrošnikov, podjetij in javnih uprav. Z Uredbo (ES) št. 1007/2008 Evropskega parlamenta in Sveta (7) je bil mandat agencije ENISA podaljšan do marca 2012. Z Uredbo (EU) št. 580/2011 Evropskega parlamenta in Sveta (8) je bil mandat agencije ENISA podaljšan do 13. septembra 2013. Z Uredbo (EU) št. 526/2013 je bil mandat agencije ENISA podaljšan do 19. junija 2020.

(15)

Unija je že sprejela pomembne ukrepe za zagotovitev kibernetske varnosti in okrepitev zaupanja v digitalne tehnologije. Leta 2013 je bila sprejeta strategija Evropske unije za kibernetsko varnost, ki naj bi zagotavljala smernice pri oblikovanju odziva Unije, kar zadeva politike, na kibernetske grožnje in tveganja. V prizadevanju za boljšo zaščito državljanov na spletu je Unija leta 2016 sprejela prvi pravni akt na področju kibernetske varnosti, in sicer v obliki Direktive (EU) 2016/1148 Evropskega parlamenta in Sveta (9). Direktiva (EU) 2016/1148 določa zahteve glede nacionalnih zmogljivosti na področju kibernetske varnosti, vzpostavlja prve mehanizme za okrepitev strateškega in operativnega sodelovanja med državami članicami ter uvaja obveznosti glede varnostnih ukrepov in priglasitev incidentov v vseh sektorjih, ki so ključni za gospodarstvo in družbo, kot so energetika, promet, oskrba s pitno vodo in njena distribucija, bančništvo, infrastrukture finančnih trgov, zdravstvo, digitalna infrastruktura, in za ponudnike ključnih digitalnih storitev (iskalniki, storitve računalništva v oblaku in spletne tržnice).

Pri podpori izvajanju navedene direktive je bila ključna vloga dodeljena agenciji ENISA. Poleg tega je učinkovit boj proti kibernetski kriminaliteti pomembna prednostna naloga v evropski agendi za varnost, saj prispeva k skupnemu cilju doseganja visoke ravni kibernetske varnosti. K visoki ravni kibernetske varnosti na enotnem digitalnem trgu prispevajo tudi drugi pravni akti, kot so Uredba (EU) 2016/679 Evropskega parlamenta in Sveta (10) in direktivi 2002/58/ES (11) in (EU) 2018/1972 (12) Evropskega parlamenta in Sveta.

(16)

Po sprejetju strategije Evropske unije za kibernetsko varnost leta 2013 in po zadnji reviziji mandata agencije ENISA se je splošni okvir politike znatno spremenil, saj so svetovne razmere postale bolj negotove in manj varne. Na podlagi tega in ob upoštevanju pozitivnega razvoja vloge agencije ENISA kot referenčne točke za svetovanje in strokovno znanje, kot ustanove, ki podpira sodelovanje in krepitev zmogljivosti, poleg tega pa tudi v okviru nove politike Unije za kibernetsko varnost je treba pregledati mandat agencije ENISA, da bi opredelili njeno vlogo v spremenjenem ekosistemu kibernetske varnosti in zagotovili, da učinkovito prispeva k odzivanju Unije na izzive na področju kibernetske varnosti, ki izhajajo iz korenito spremenjenih kibernetskih groženj in za katere, kot je bilo ugotovljeno med ocenjevanjem agencije ENISA, sedanji mandat ne zadostuje.

(17)

Agencija ENISA, ustanovljena s to uredbo, bi morala nadomestiti agencijo ENISA, ki je bila ustanovljena z Uredbo (EU) št. 526/2013. Agencija ENISA bi morala izvajati naloge, ki so na njo prenesene s to uredbo in pravnimi akti Unije na področju kibernetske varnosti, med drugim zagotavljati svetovanje in strokovno znanje ter delovati kot središče informacij in znanja v Uniji. Spodbujati bi morala izmenjavo najboljših praks med državami članicami in deležniki, zagotavljati predloge politik Evropski komisiji in državam članicam, delovati kot referenčna točka za sektorske pobude politik Unije v zvezi s kibernetsko varnostjo ter spodbujati operativno sodelovanje med državami članicami ter med državami članicami ter institucijami, organi, uradi in agencijami Unije.

(18)

V okviru Soglasnega sklepa (2004/97/ES, Euratom) predstavnikov držav članic, ki so se sestali na ravni voditeljev držav ali vlad (13), so se predstavniki držav članic odločili, da bo sedež agencije ENISA v grškem mestu, ki ga določi grška vlada. Država članica gostiteljica agencije ENISA, bi morala zagotoviti najboljše možne pogoje za nemoteno in učinkovito delovanje agencije ENISA. Za pravilno in učinkovito izvajanje njenih nalog, zaposlovanje in ohranitev osebja ter večjo učinkovitost dejavnosti mreženja je nujno, da je sedež agencije ENISA na ustrezni lokaciji, kjer so denimo na voljo ustrezne prometne povezave in infrastruktura za zakonce in otroke, ki spremljajo člane osebja agencije ENISA. Potrebne podrobnosti bi morale biti določene v sporazumu med agencijo ENISA in državo članico gostiteljico, sklenjenem po odobritvi upravnega odbora agencije ENISA.

(19)

Glede na vse večja tveganja in izzive na področju kibernetske varnosti, s katerimi se spopada Unija, bi bilo treba finančne in človeške vire, dodeljene agenciji ENISA, povečati, da bi ustrezali njeni okrepljeni vlogi in nalogam kot tudi kritičnemu položaju v ekosistemu organizacij, ki varujejo digitalni ekosistem Unije, kar bi agenciji ENISA omogočilo učinkovito izvajanje nalog, ki so na njo prenesene s to uredbo.

(20)

Agencija ENISA bi morala razviti in ohranjati visoko raven strokovnega znanja ter delovati kot referenčna točka, ki vzpostavlja zaupanje v enotni trg zaradi svoje neodvisnosti, kakovosti svetovanja, ki ga zagotavlja, in kakovosti informacij, ki jih razširja, preglednosti svojih postopkov in načina delovanja ter skrbnosti pri izvajanju svojih nalog. Agencija ENISA bi morala dejavno podpirati nacionalna prizadevanja in proaktivno prispevati k prizadevanjem Unije ter obenem opravljati svoje naloge ob popolnem sodelovanju z institucijami, organi, uradi in agencijami Unije ter z državami članicami, pri tem pa preprečevati podvajanje dela in spodbujati sinergijo. Poleg tega bi moralo delo agencije ENISA temeljiti na prispevkih zasebnega sektorja in drugih zadevnih deležnikov ter sodelovanju z njimi. Sklop nalog bi moral določati, kako naj agencija ENISA doseže svoje cilje, ter hkrati dopuščati prožnost pri njenem delovanju.

(21)

Da bi lahko ustrezno podpirala operativno sodelovanje med državami članicami, bi morala agencija ENISA še izboljšati svoje tehnične zmogljivosti ter človeške sposobnosti in veščine. Agencija ENISA bi morala povečati svoje strokovno znanje in sposobnosti. Agencija ENISA in države članice bi lahko prostovoljno oblikovale programe za napotitev nacionalnih strokovnjakov v agencijo ENISA, in sicer za vzpostavljanje nabora strokovnjakov in izmenjavo osebja.

(22)

Agencija ENISA bi morala Komisiji pomagati s svetovanjem, mnenji in analizami v zvezi z vsemi vprašanji Unije, povezanimi z oblikovanjem, posodabljanjem in pregledovanjem politik ter prava na področju kibernetske varnosti in njenih sektorskih vidikov, da bi politike in pravo Unije bolj prilagodili kibernetski razsežnosti in omogočili usklajeno izvajanje teh politik in prava na nacionalni ravni. Agencija ENISA bi morala delovati kot referenčna točka za svetovanje in strokovno znanje za sektorsko politiko in zakonodajne pobude Unije pri zadevah v zvezi s kibernetsko varnostjo. Agencija ENISA bi morala Evropski parlament redno obveščati o svojih dejavnostih.

(23)

Javno jedro odprtega interneta, in sicer njegovi glavni protokoli in infrastruktura, ki so svetovno javno dobro, omogoča uporabo ključnih funkcij interneta kot celote in je podlaga za njegovo normalno delovanje. Agencija ENISA bi morala podpirati varnost javnega jedra odprtega interneta in stabilno delovanje, vključno s ključnimi protokoli (zlasti DNS, BGP in IPv6), ter delovanjem sistema domenskih imen (kot je delovanje vseh vrhnjih domen) in delovanjem korenskega območja.

(24)

Temeljna naloga agencije ENISA je, da spodbuja dosledno izvajanje zadevnega pravnega okvira, zlasti učinkovito izvajanje Direktive (EU) 2016/1148 in drugih ustreznih pravnih instrumentov, ki se nanašajo na vidike kibernetske varnosti, kar je ključno za povečanje kibernetske odpornosti. Glede na hitro razvijajoče se kibernetske grožnje je jasno, da je treba države članice podpirati s celovitejšim medsektorskim pristopom h krepitvi kibernetske odpornosti.

(25)

Agencija ENISA bi morala državam članicam ter institucijam, organom, uradom in agencijam Unije pomagati pri njihovih prizadevanjih za vzpostavljanje in krepitev zmogljivosti in pripravljenosti za preprečevanje, odkrivanje in odzivanje na kibernetske grožnje in incidente kot tudi pri zadevah v zvezi z varnostjo omrežij in informacijskih sistemov. Agencija ENISA bi morala zlasti podpirati razvoj in krepitev skupin za odzivanje na incidente na področju računalniške varnosti (v nadaljnjem besedilu: skupine CSIRT) držav članic in Unije iz Direktive (EU) 2016/1148 za doseganje visoke skupne ravni zrelosti v Uniji. Dejavnosti, ki jih agencija ENISA izvaja v zvezi z operativnimi zmogljivostmi držav članic, bi morale dejavno podpirati ukrepe, ki jih države članice sprejmejo zaradi izpolnjevanja obveznosti iz Direktive (EU) 2016/1148, in jih zato ne bi smele nadomeščati.

(26)

Agencija ENISA bi morala pomagati tudi pri oblikovanju in posodabljanju strategij za varnost omrežij in informacijskih sistemov na ravni Unije, na zahtevo pa tudi na ravni držav članic, zlasti na področju kibernetske varnosti, ter spodbujati razširjanje takih strategij in spremljati napredek pri njihovem izvajanju. Poleg tega bi morala agencija ENISA med drugim tudi pomagati pri pokrivanju potreb za usposabljanje in gradivo za usposabljanje, vključno s potrebami javnih organov, ter po potrebi v precejšnjem obsegu „usposabljati izvajalce usposabljanj“ na podlagi okvira digitalnih kompetenc za državljane, da bi državam članicam, institucijam, organom, uradom in agencijam Unije pomagala pri razvoju lastnih zmogljivosti za usposabljanje.

(27)

Agencija ENISA bi morala z omogočanjem tesnejšega usklajevanja in izmenjave najboljših praks podpirati države članice na področju ozaveščanja in izobraževanja glede kibernetske varnosti. Taka podpora bi lahko vključevala razvoj mreže nacionalnih kontaktnih točk za izobraževanje in platforme za usposabljanje na področju kibernetske varnosti. Mreža nacionalnih kontaktnih točk za izobraževanje bi lahko delovala v okviru mrežo nacionalnih uradnikov za zvezo in bila izhodišče za prihodnje usklajevanje znotraj držav članic.

(28)

Agencija ENISA bi morala skupini za sodelovanje, vzpostavljeni z Direktivo (EU) 2016/1148, pomagati pri izvajanju njenih nalog, zlasti z zagotavljanjem strokovnega znanja in svetovanja ter omogočanjem lažje izmenjave najboljših praks, med drugim glede določitve izvajalcev bistvenih storitev s strani držav članic, ter glede čezmejnih odvisnosti v zvezi s tveganji in incidenti.

(29)

Zaradi spodbujanja sodelovanja med javnim in zasebnim sektorjem ter znotraj zasebnega sektorja, zlasti pa, da bi pripomogla k zaščiti kritičnih infrastruktur, bi morala agencija ENISA podpirati znotrajsektorsko in medsektorsko izmenjavo informacij, zlasti v sektorjih iz Priloge II k Direktivi (EU) 2016/1148, in sicer z zagotavljanjem najboljših praks in navodil o razpoložljivih orodjih in o postopku ter navodil o tem, kako obravnavati regulativna vprašanja, povezana z izmenjavo informacij, na primer z omogočanjem lažjega ustanavljanja sektorskih centrov za izmenjavo in analizo informacij.

(30)

Negativne posledice šibkih točk proizvodov IKT, storitev IKT in postopkov IKT bodo lahko v prihodnje še hujše, zato sta iskanje in odprava teh šibkih točk zelo pomembna za zmanjšanje splošnih tveganj v zvezi s kibernetsko varnostjo. Kot se je pokazalo, je mogoče s sodelovanjem med organizacijami, proizvajalci ali ponudniki proizvodov IKT, storitev IKT in postopkov IKT, pri katerih obstajajo takšne šibke točke, ter raziskovalci s področja kibernetske varnosti in državnimi organi, ki šibke točke odkrivajo, bistveno povečati stopnjo odkrivanja in odpravljanja šibkih točk proizvodov IKT, storitev IKT in postopkov IKT. Usklajeno razkrivanje šibkih točk je strukturiran proces sodelovanja, v katerem je o šibkih točkah najprej seznanjen lastnik informacijskega sistema, s čimer se organizaciji omogoči diagnoza in odprava šibkih točk, še preden se podrobne informacije o šibkih točkah razkrijejo tretjim osebam ali javnosti. Del tega procesa je tudi usklajevanje med odkriteljem in organizacijo v zvezi z seznanjanjem javnosti o teh šibkih točkah. Politike usklajenega razkrivanja šibkih točk bi lahko imele pomembno vlogo pri prizadevanjih držav članic za izboljšanje kibernetske varnosti.

(31)

Agencija ENISA bi morala zbrati in analizirati nacionalna poročila skupin CSIRT in medinstitucionalne skupine za odzivanje na računalniške grožnje za institucije, organe in agencije Unije (v nadaljnjem besedilu: skupina CERT-EU), ustanovljene z Dogovorom med Evropskim parlamentom, Evropskim svetom, Svetom Evropske unije, Evropsko komisijo, Sodiščem Evropske unije, Evropsko centralno banko, Evropskim računskim sodiščem, Evropsko službo za zunanje delovanje, Evropskim ekonomsko-socialnim odborom, Evropskim odborom regij in Evropsko investicijsko banko o organizaciji in delovanju skupine za odzivanje na računalniške grožnje za institucije, organe in agencije Unije (CERT-EU) (14), ki so bila prostovoljno dana v skupno rabo, da bi tako pripomogla k določitvi skupnih postopkov, jezika in terminologije za izmenjavo informacij. V tej zvezi bi morala agencija ENISA v okviru Direktive (EU) 2016/1148, ki določa temelje za prostovoljno izmenjavo tehničnih informacij na operativni ravni znotraj mreže skupin za odzivanje na incidente na področju računalniške varnosti (v nadaljnjem besedilu: mreža skupin CSIRT), vzpostavljene z navedeno direktivo, vključiti tudi zasebni sektor.

(32)

Agencija ENISA bi morala prispevati k odzivom na ravni Unije v primeru velikih čezmejnih incidentov in kriz, povezanih s kibernetsko varnostjo. To nalogo bi morala izvajati v skladu z mandatom agencije ENISA na podlagi te uredbe in pristopom, o katerem se dogovorijo države članice v smislu Priporočila Komisije (EU) 2017/1584 (15) ter sklepov Sveta z dne 26. junija 2018 o usklajenem odzivu EU na velike kibernetske incidente in krize. Ta naloga bi lahko vključevala zbiranje ustreznih informacij ter posredovanje med mrežo skupin CSIRT, tehnično skupnostjo in med nosilci odločitev, pristojnimi za krizno upravljanje. Poleg tega bi morala agencija ENISA, kadar tako zahteva ena ali več držav članic, podpirati operativno sodelovanje med državami članicami pri obvladovanju incidentov s tehničnega vidika, tako da bi olajšala ustrezne izmenjave tehničnih rešitev med državami članicami in zagotavljala informacije za komuniciranje z javnostjo. Agencija ENISA bi morala podpirati operativno sodelovanje s preskušanjem ureditev takšnega sodelovanja v okviru rednih vaj na področju kibernetske varnosti.

(33)

Agencija ENISA bi morala pri podpiranju operativnega sodelovanja uporabljati razpoložljivo tehnično in operativno strokovno znanje skupine CERT-EU prek strukturiranega sodelovanja. Takšno strukturirano sodelovanje bi lahko okrepilo strokovno znanje in sposobnosti agencije ENISA. Po potrebi bi bilo treba sprejeti posebne dogovore med tema dvema subjektoma, s katerimi bi določili praktično izvajanje tega sodelovanja in se izogibali podvajanju dejavnosti.

(34)

Zaradi podpore operativnemu sodelovanju v mreži skupin CSIRT bi morala agencija ENISA v skladu s svojimi nalogami imeti možnost, da države članice na njihovo zahtevo podpira, na primer s svetovanjem o načinih za izboljšanje njihove zmogljivosti za preprečevanje in odkrivanje incidentov ter odzivanje nanje z omogočanjem lažjega tehničnega obvladovanja incidentov, ki imajo pomembne ali znatne posledice, ali z zagotavljanjem analiz kibernetskih groženj in incidentov. Agencija ENISA bi morala olajšati tehnično obvladovanje incidentov, ki imajo pomembne ali znatne posledice, zlasti tako, da bi podpirala prostovoljno izmenjavo tehničnih rešitev med državami članicami ali s pripravo kombiniranih tehničnih informacij, na primer o tehničnih rešitvah, ki si jih države članice prostovoljno izmenjujejo. Priporočilo (EU) 2017/1584 priporoča, naj države članice v dobri veri sodelujejo ter si med seboj in z agencijo ENISA izmenjujejo informacije o velikih incidentih in krizah, povezanih s kibernetsko varnostjo, brez nepotrebnega odlašanja. Take informacije bi nadalje pomagale agenciji ENISA pri izvajanju njenih nalog podpiranja operativnega sodelovanja.

(35)

Kot del rednega sodelovanja na tehnični ravni za podporo situacijskemu zavedanju v Uniji bi morala agencija ENISA ob tesnem sodelovanju z državami članicami redno pripravljati poglobljeno tehnično poročilo o stanju na področju kibernetske varnosti v EU glede incidentov in kibernetskih groženj, ki bi temeljilo na javno dostopnih informacijah, lastni analizi ter poročilih, ki ji jih pošljejo skupine CSIRT držav članic ali nacionalne enotne kontaktne točke za varnost omrežij in informacijskih sistemov (v nadaljnjem besedilu: enotne kontaktne točke) iz Direktive (EU) 2016/1148, v obeh primerih na prostovoljni podlagi, Evropski center za boj proti kibernetski kriminaliteti (EC3) pri Europolu, skupina CERT-EU ter po potrebi Obveščevalni in situacijski center Evropske unije (EU INTCEN) pri Evropski službi za zunanje delovanje. To poročilo bi moralo biti na voljo Svetu, Komisiji, visokemu predstavniku Unije za zunanje zadeve in varnostno politiko ter mreži skupin CSIRT.

(36)

Podpora agencije ENISA pri naknadnih tehničnih preiskavah incidentov, ki imajo pomembne ali znatne posledice, opravljenih na zahtevo zadevnih držav članic, bi morala biti usmerjena na preprečevanje prihodnjih incidentov. Da bi agenciji ENISA omogočile, da učinkovito podpre naknadne tehnične preiskave, bi morale zadevne države članice zagotoviti potrebne informacije in pomoč.

(37)

Države članice lahko podjetja, ki jih je incident prizadel, povabijo, naj sodelujejo z zagotavljanjem potrebnih informacij in pomoči agenciji ENISA, brez poseganja v njihovo pravico do varovanja poslovno občutljivih informacij in informacij, ki so pomembne za javno varnost.

(38)

Potrebno je, da Agencija ENISA za boljše razumevanje izzivov na področju kibernetske varnosti in z namenom zagotavljanja dolgoročnega strateškega svetovanja državam članicam in institucijam, organom, uradom in agencijam Unije analizira sedanja in nastajajoča tveganja za kibernetsko varnost. V ta namen bi morala agencija ENISA v sodelovanju z državami članicami ter po potrebi statističnimi uradi in drugimi organi zbirati ustrezne informacije, ki so javno dostopne ali prostovoljno izmenjane, ter opravljati analize nastajajočih tehnologij in tematske ocene o pričakovanem družbenem, pravnem, gospodarskem in regulativnem vplivu tehnoloških inovacij na varnost omrežij in informacij, zlasti na kibernetsko varnost. Agencija ENISA bi morala poleg tega države članice ter institucije, organe, urade in agencije Unije podpirati pri prepoznavanju novih tveganj za kibernetsko varnost in preprečevanju incidentov z opravljanjem analiz kibernetskih groženj, šibkih točk in incidentov.

(39)

Da bi povečali odpornost Unije, bi morala agencija ENISA razvijati strokovno znanje in izkušnje na področju kibernetske varnosti infrastrukture, zlasti za podporo sektorjev iz Priloge II k Direktivi (EU) 2016/1148, ter infrastrukture, ki jo uporabljajo ponudniki digitalnih storitev iz Priloge III k navedeni direktivi, in sicer z zagotavljanjem svetovanja, izdajanjem smernic in izmenjavo najboljših praks. Agencija ENISA bi morala z namenom zagotavljanja lažjega dostopa do bolje strukturiranih informacij o tveganjih glede kibernetske varnosti in možnih rešitvah razvijati in vzdrževati „informacijsko vozlišče“ Unije, portal „vse na enem mestu“, ki bi javnosti nudil informacije o kibernetski varnosti, ki izhajajo iz institucij, organov, uradov in agencij Unije in nacionalnih institucij, organov, uradov in agencij. Lažji dostop do bolje strukturiranih informacij o tveganjih za kibernetsko varnost in možnih rešitvah bi lahko državam članicam pomagal tudi pri izboljšanju zmogljivosti in usklajevanju praks, s čimer bi se povečala njihova splošna odpornost na kibernetske napade.

(40)

Agencija ENISA bi morala prispevati k ozaveščanju javnosti o tveganjih glede kibernetske varnosti, vključno prek vseevropske kampanje ozaveščanja in s spodbujanjem izobraževanja, ter zagotavljati navodila glede dobrih praks za posamezne uporabnike, ki so namenjene državljanom, organizacijam in podjetjem. Agencija ENISA bi morala prispevati tudi k spodbujanju najboljših praks in rešitev, tudi glede kibernetske higiene in kibernetske pismenosti na ravni državljanov, organizacij in podjetij, in sicer z zbiranjem in analiziranjem javno dostopnih informacij o pomembnih incidentih ter pripravljanjem in objavljanjem poročil in navodil za državljane, organizacije in podjetja ter k izboljšanju splošne ravni pripravljenosti in odpornosti. Agencija ENISA bi si morala prizadevati tudi za to, da bi potrošnikom zagotovila ustrezne informacije o veljavnih certifikacijskih shemah, na primer z zagotavljanjem smernic in priporočil. Agencija ENISA bi morala poleg tega v skladu z akcijskim načrtom za digitalno izobraževanje, določenim s sporočilom Komisije z dne 17. januarja 2018, in v sodelovanju z državami članicami ter institucijami, organi, uradi in agencijami Unije organizirati redne kampanje ozaveščanja in redne javne izobraževalne kampanje za končne uporabnike, katerih namen je spodbujati varnejše ravnanje posameznikov na spletu in digitalno pismenost, da bi povečala ozaveščenost o možnih kibernetskih grožnjah, vključno s spletnimi kriminalnimi dejavnostmi, kot so napadi z zvabljanjem, botneti, finančne in bančne goljufije ter goljufije s podatki, pa tudi spodbujati osnovno svetovanje o večstopenjski avtentikaciji, nameščanju popravkov, šifriranju, anonimizaciji in varstvu podatkov.

(41)

Agencija ENISA bi morala imeti osrednjo vlogo pri pospeševanju ozaveščenosti končnih uporabnikov glede varnosti naprav in varne uporabe storitev, in bi morala spodbujati vgrajeno varnost in vgrajeno zasebnost na ravni Unije. Pri doseganju tega cilja bi morala agencija ENISA čim bolje izkoristiti razpoložljive najboljše prakse in izkušnje, zlasti najboljše prakse in izkušnje akademskih ustanov in raziskovalcev na področju varnosti IT.

(42)

Agencija ENISA bi morala v podporo podjetjem, ki poslujejo v sektorju kibernetske varnosti, in uporabnikom rešitev kibernetske varnosti vzpostaviti in vzdrževati „tržni observatorij“ z izvajanjem rednih analiz in razširjanjem informacij o glavnih trendih na trgu kibernetske varnosti, tako na strani povpraševanja kot na strani ponudbe.

(43)

Agencija ENISA bi morala prispevati k prizadevanjem Unije za sodelovanje z mednarodnimi organizacijami, pa tudi znotraj ustreznih mednarodnih okvirov sodelovanja s področja kibernetske varnosti. Agencija ENISA bi morala, kadar je to ustrezno, zlasti prispevati k sodelovanju z organizacijami, kot so OECD, OVSE in NATO. Takšno sodelovanje bi lahko vključevalo skupne vaje na področju kibernetske varnosti in skupno usklajevanje odzivanja na incidente. Navedene dejavnosti je treba izvajati ob doslednem spoštovanju načel vključenosti, vzajemnosti in avtonomije pri odločanju Unije ter brez poseganja v posebno naravo varnostne in obrambne politike katere koli države članice.

(44)

Da bi lahko agencija ENISA v celoti izpolnila svoje cilje, bi morala sodelovati z ustreznimi nadzornimi organi Unije in drugimi pristojnimi organi v Uniji, institucijami, organi, uradi in agencijami Unije, vključno s skupino CERT-EU, EC3, Evropsko obrambno agencijo (EDA), Agencijo za evropski globalni satelitski navigacijski sistem (v nadaljnjem besedilu: Agencija za evropski GNSS), Organom evropskih regulatorjev za elektronske komunikacije (BEREC), Evropsko agencijo za operativno upravljanje obsežnih informacijskih sistemov s področja svobode, varnosti in pravice (eu-LISA), Evropsko centralno banko (ECB), Evropskim bančnim organom (EBA), Evropskim odborom za varstvo podatkov, Agencijo za sodelovanje energetskih regulatorjev (ACER), Agencijo Evropske unije za varnost v letalstvu (EASA) in vsemi drugimi agencijami Unije, ki se ukvarjajo s kibernetsko varnostjo. Agencija ENISA bi morala prav tako sodelovati z organi, ki se ukvarjajo z varstvom podatkov, da bi izmenjevala tehnično znanje in izkušnje ter najboljše prakse kot tudi nudila svetovanje glede vprašanj kibernetske varnosti, ki bi lahko vplivala na njihovo delo. Predstavniki organov za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj ter organov za varstvo podatkov na ravni držav članic in na ravni Unije bi morali imeti možnost, da so zastopani v svetovalni skupini agencije ENISA. Agencija bi morala pri sodelovanju z organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj v zvezi z vprašanji varnosti omrežij in informacij, ki bi lahko vplivala na njihovo delo, upoštevati obstoječe informacijske poti in vzpostavljena omrežja.

(45)

Vzpostavila bi se lahko partnerstva z akademskimi ustanovami, ki imajo raziskovalne pobude na ustreznih področjih, hkrati pa bi morali obstajati ustrezni kanali za prispevke potrošniških in drugih organizacij, ki bi jih bilo treba upoštevati.

(46)

Agencija ENISA bi morala v vlogi sekretariata za mrežo skupin CSIRT podpirati skupine CSIRT držav članic in skupino CERT-EU pri operativnem sodelovanju v zvezi z ustreznimi nalogah mreže skupin CSIRT, kot so opredeljene v Direktivi (EU) 2016/1148. Nadalje bi morala agencija ENISA spodbujati in podpirati sodelovanje med ustreznimi skupinami CSIRT v primeru incidentov, napadov ali motenj omrežij ali infrastrukture, ki jo upravljajo ali varujejo skupine CSIRT, in ki vključujejo ali so zmožni vključevati najmanj dve skupini CSIRT, ob upoštevanju standardnih operativnih postopkov mreže skupin CSIRT.

(47)

Da bi agencija ENISA povečala pripravljenost Unije pri odzivanju na incidente, bi morala organizirati vaje na področju kibernetske varnosti na ravni Unije in, na njihovo zahtevo, podpirati države članice ter institucije, organe, urade in agencije Unije pri organiziranju takih vaj. Obsežne vsestranske vaje, ki bi vključevale tehnične, operativne ali strateške elemente, bi bilo treba organizirati dvakrat letno. Poleg tega bi moralo biti agenciji ENISA omogočeno, da redno organizira manj vsestranske vaje z istim ciljem povečanja pripravljenosti Unije pri odzivanju na incidente.

(48)

Agencija ENISA bi morala še naprej razvijati in ohranjati svoje strokovno znanje na področju certificiranja kibernetske varnosti z namenom podpiranja politike Unije na tem področju. Agencija ENISA bi se morala opirati na primere najboljše prakse in bi morala spodbujati uporabo certificiranja kibernetske varnosti v Uniji, vključno s prispevanjem k vzpostavitvi in ohranjanju certifikacijskega okvira za kibernetsko varnost na ravni Unije (v nadaljnjem besedilu: evropski certifikacijski okvir za kibernetsko varnost), da bi tako okrepila preglednost zanesljivosti kibernetske varnosti proizvodov IKT, storitev IKT in postopkov IKT ter s tem okrepila zaupanje v digitalni notranji trg in njegovo konkurenčnost.

(49)

Učinkovite politike kibernetske varnosti bi morale v javnem in zasebnem sektorju temeljiti na dobro razvitih metodah za ocenjevanje tveganj. Metode za ocenjevanje tveganj se uporabljajo na različnih ravneh, skupne prakse o tem, kako jih učinkovito izvajati, pa ni. Spodbujanje in razvoj najboljših praks za ocenjevanje tveganj in interoperabilne rešitve za obvladovanje tveganj v javnih in zasebnih organizacijah bosta povečala raven kibernetske varnosti v Uniji. V ta namen bi morala agencija ENISA spodbujati sodelovanje med deležniki na ravni Unije ter jih podpirati v prizadevanjih, da vzpostavijo in uvedejo evropske in mednarodne standarde za obvladovanje tveganj in merljivo varnost elektronskih proizvodov, sistemov, omrežij in storitev, ki skupaj s programsko opremo zajemajo omrežja in informacijske sisteme.

(50)

Agencija ENISA bi morala države članice, proizvajalce ali ponudnike proizvodov IKT, storitev IKT ali postopkov IKT spodbujati, naj zvišajo svoje splošne varnostne standarde, da bi vsi uporabniki interneta lahko ustrezno poskrbeli za svojo osebno kibernetsko varnost in bi bili spodbujeni k temu. Proizvajalci in ponudniki proizvodov IKT, storitev IKT ali postopkov IKT bi zlasti morali zagotavljati vse potrebne posodobitve ter odpoklicati, umakniti s trga ali reciklirati proizvode IKT, storitve IKT ali postopke IKT, ki ne izpolnjujejo standardov kibernetske varnosti, uvozniki in distributerji pa bi morali zagotoviti, da proizvodi IKT, storitve IKT in postopki IKT, ki jih dajejo na trg Unije, izpolnjujejo veljavne zahteve in ne pomenijo tveganja za potrošnike Unije.

(51)

Agenciji ENISA bi moralo biti omogočeno, da lahko v sodelovanju s pristojnimi organi razširja informacije o ravni kibernetske varnosti proizvodov IKT, storitev IKT in postopkov IKT, ki so na voljo na notranjem trgu, ter izdaja opozorila, namenjena proizvajalcem oziroma ponudnikom proizvodov IKT, storitev IKT ali postopkov IKT, in od njih zahteva, da izboljšajo varnost svojih proizvodov IKT, storitev IKT in postopkov IKT, vključno s kibernetsko varnostjo.

(52)

Agencija ENISA bi morala v celoti upoštevati tekoče dejavnosti na področju raziskav, razvoja in tehnološkega ocenjevanja, zlasti tiste dejavnosti, ki potekajo v okviru raznih raziskovalnih pobud Unije, da bi lahko svetovala institucijam, organom, uradom in agencijam Unije ter, po potrebi in na njihovo zahtevo, državam članicam glede potreb pri raziskavah in prednostnih nalogah na področju kibernetske varnosti. Zaradi ugotavljanja raziskovalnih potreb in prednostnih nalog bi se morala agencija ENISA posvetovati tudi z ustreznimi skupinami uporabnikov. Natančneje, vzpostavilo bi se lahko sodelovanje z Evropskim raziskovalnim svetom, Evropskim inštitutom za inovacije in tehnologijo ter Inštitutom Evropske unije za varnostne študije.

(53)

Agencija ENISA bi se morala pri pripravi evropskih certifikacijskih shem za kibernetsko varnost redno posvetovati z organizacijami za standardizacijo, zlasti z evropskimi organizacijami za standardizacijo.

(54)

Kibernetske grožnje imajo svetovno razsežnost. Da bi se izboljšali standardi kibernetske varnosti, je potrebno tesnejše mednarodno sodelovanje, vključno s potrebo po opredelitvi skupnih pravil obnašanja, sprejetjem kodeksov ravnanja, uporabo mednarodnih standardov, izmenjavo informacij, spodbujanjem hitrejše vzpostavitve mednarodnega sodelovanja pri odzivanju na vprašanja varnosti omrežij in informacij, pa tudi spodbujanjem skupnega globalnega pristopa do teh vprašanj. V ta namen bi morala agencija ENISA podpirati nadaljnjo udeležbo in sodelovanje Unije s tretjimi državami in mednarodnimi organizacijami, tako da bi po potrebi ustreznim institucijam, organom, uradom in agencijam Unije zagotavljala potrebno strokovno znanje in izkušnje ter analize.

(55)

Agencija ENISA bi morala imeti možnost, da se odzove na ad hoc zahteve po svetovanju in pomoči s strani držav članic ter institucij, organov, uradov in agencij Unije o zadevah, za katere je agencija ENISA pooblaščena.

(56)

V zvezi z upravljanjem agencije ENISA je smiselno in priporočljivo izvajati nekatera načela za zagotavljanje skladnosti s skupno izjavo in skupnim pristopom, o katerih se je julija 2012 dogovorila medinstitucionalna delovna skupina za decentralizirane agencije EU in ki sta namenjena racionalizaciji dejavnosti decentraliziranih agencij ter izboljšanju njihovega delovanja. Kakor je primerno, bi bilo prav tako treba odraziti priporočila iz skupne izjave in skupnega pristopa v delovnih programih, ocenah ter poročanju in upravnih praksah agencije ENISA..

(57)

Upravni odbor, ki ga sestavljajo predstavniki držav članic in Komisije, bi moral določiti splošno usmeritev dejavnosti agencije ENISA in zagotavljati, da ta naloge opravlja v skladu s to uredbo. Na upravni odbor bi bilo treba prenesti pooblastila, potrebna za pripravo proračuna, preverjanje izvrševanja proračuna, sprejetje ustreznih finančnih pravil, uvedbo preglednih delovnih postopkov za sprejemanje odločitev agencije ENISA, sprejetje enotnega programskega dokumenta agencije ENISA in lastnega poslovnika, imenovanje izvršnega direktorja ter odločitev o podaljšanju in prenehanju mandata izvršnega direktorja.

(58)

Da bi agencija ENISA pravilno in učinkovito delovala, bi morale Komisija in države članice zagotoviti, da imajo osebe, ki so imenovane v upravni odbor, ustrezno strokovno znanje in izkušnje. Komisija in države članice bi si morale prizadevati tudi za omejitev menjav svojih predstavnikov v upravnem odboru, da bi zagotovile njegovo neprekinjeno delovanje.

(59)

Da bi agencija ENISA delovala nemoteno, je treba njenega izvršnega direktorja imenovati na podlagi zaslug ter dokazanih upravnih in vodstvenih sposobnosti ter ustrezne usposobljenosti in izkušenj s področja kibernetske varnosti. Izvršni direktor bi moral svoje naloge opravljati popolnoma neodvisno. Izvršni direktor bi moral po predhodnem posvetovanju s Komisijo pripraviti predlog delovnega programa agencije ENISA ter sprejeti vse ukrepe, potrebne za zagotovitev nemotenega izvajanja tega delovnega programa. Izvršni direktor bi moral pripraviti letno poročilo, ki se predloži upravnemu odboru in zajema izvajanje letnega delovnega programa agencije ENISA, ter osnutek poročila o načrtu prihodkov in odhodkov za agencijo ENISA ter izvrševati proračun. Nadalje bi moral izvršni direktor imeti možnost, da ustanovi ad hoc delovne skupine, da preučijo posamezna vprašanja, zlasti vprašanja znanstvene, tehnološke, pravne ali družbeno-gospodarske narave. Treba bi bilo ustanoviti ad hoc delovno skupino, zlasti v zvezi s pripravo posebne predloge za evropsko certifikacijsko shemo za kibernetsko varnost (v nadaljnjem besedilu: predloga za shemo). Izvršni direktor bi moral zagotoviti, da so člani ad hoc delovnih skupin izbrani v skladu z najvišjimi strokovnimi standardi, pri čemer bi si moral prizadevati za uravnoteženo zastopanost spolov ter glede na posamezna vprašanja ustrezno ravnovesje med predstavniki javnih uprav držav članic, institucij, organov, uradov in agencij Unije in zasebnega sektorja, vključno z industrijo, uporabniki in znanstveniki s področja varnosti omrežij in informacij.

(60)

Izvršni odbor bi moral prispevati k učinkovitemu delovanju upravnega odbora. V okviru pripravljalnega dela v zvezi z odločitvami upravnega odbora bi moral upravni odbor podrobno preučiti ustrezne informacije, raziskati razpoložljive možnosti ter ponuditi nasvete in rešitve za pripravo ustreznih odločitev upravnega odbora.

(61)

Agencija ENISA bi morala imeti svetovalno skupino agencije ENISA, ki bi delovala kot svetovalni organ, da bi zagotovila reden dialog z zasebnim sektorjem, organizacijami združenji potrošnikov in drugimi ustreznimi deležniki. Svetovalna skupina agencije ENISA, ki jo na predlog izvršnega direktorja ustanovi upravni odbor, bi morala obravnavati zadeve, ki so pomembne za deležnike, in o njih obvestiti agencijo ENISA. S svetovalno skupino agencije ENISA bi se bilo treba posvetovati zlasti v zvezi z osnutkom letnega delovnega programa agencije ENISA. Sestava svetovalne skupine agencije ENISA in naloge, dodeljene tej skupini, bi morale zagotoviti zadostno zastopanost deležnikov pri delu agencije ENISA.

(62)

Treba bi bilo ustanoviti certifikacijsko skupino deležnikov za kibernetsko varnost, ki bi agenciji ENISA in Komisiji olajšala posvetovanje z ustreznimi deležniki. Certifikacijsko skupino deležnikov za kibernetsko varnost bi morali sestavljati člani, ki bi uravnoteženo zastopali industrijo, tako na strani povpraševanja kot na strani ponudbe proizvodov IKT in storitev IKT, ter vključevali zlasti MSP, ponudnike digitalnih storitev, evropske in mednarodne organe za standardizacijo, nacionalne akreditacijske organe, nadzorne organe za varstvo podatkov in organe za ugotavljanje skladnosti na podlagi Uredbe (ES) št. 765/2008 Evropskega parlamenta in Sveta (16), znanstveno skupnost in potrošniške organizacije.

(63)

Agencija ENISA bi morala sprejeti pravila za preprečevanje in obvladovanje nasprotij interesov. Agencija ENISA bi morala poleg tega uporabljati ustrezne predpise Unije o dostopu javnosti do dokumentov iz Uredbe Evropskega parlamenta in Sveta (ES) št. 1049/2001 (17). Agencija ENISA bi morala osebne podatke obdelovati v skladu z Uredbo (EU) 2018/1725 Evropskega parlamenta in Sveta (18). Agencija ENISA bi morala spoštovati določbe, ki veljajo za institucije, organe, urade in agencije Unije, in nacionalno zakonodajo o ravnanju s podatki, zlasti občutljivimi netajnimi podatki in tajnimi podatki Evropske unije (EUCI).

(64)

Da se agenciji ENISA zagotovita popolna samostojnost in neodvisnost ter se ji omogoči, da lahko opravlja dodatne naloge, tudi nepredvidene nujne naloge, bi bilo treba agenciji ENISA dodeliti zadostna lastna proračunska sredstva, ki bi se morali večinoma zagotoviti s prispevkom Unije in prispevki tretjih držav, ki sodelujejo pri delu agencije ENISA. Za zagotovitev, da ima agencija ENISA zadostno zmogljivost za izvajanje vseh svojih nalog in doseganje ciljev, ki jih je vedno več, je ustrezen proračun bistvenega pomen. Večina osebja agencije ENISA bi morala neposredno sodelovati pri operativnem izvajanju njenega mandata. Državi članici gostiteljici in vsaki drugi državi članici bi moralo biti dovoljeno, da lahko prostovoljno prispeva k proračunu agencije ENISA. Za subvencije v breme splošnega proračuna Unije bi se moral še vedno uporabljati postopek za sprejemanje proračuna Unije. Revizijo zaključnih računov agencije ENISA bi moralo opraviti Računsko sodišče, da bi bili zagotovljeni preglednost in odgovornost.

(65)

Certificiranje kibernetske varnosti ima pomembno vlogo pri krepitvi zaupanja v proizvode IKT, storitve IKT in postopke IKT ter njihove varnosti. Enotni digitalni trg, zlasti podatkovno gospodarstvo in internet stvari, lahko uspevajo le, če obstaja splošno zaupanje javnosti, da ti proizvodi, storitve in postopki nudijo določeno raven kibernetske varnosti. Povezani in avtomatizirani avtomobili, elektronski medicinski pripomočki, nadzorni sistemi industrijske avtomatizacije ter pametna omrežja so le nekateri primeri sektorjev, v katerih je certificiranje že razširjeno ali se bo verjetno uporabljalo v bližnji prihodnosti. Sektorji, ki jih ureja Direktiva (EU) 2016/1148, so poleg tega sektorji, v katerih je certificiranje kibernetske varnosti ključno.

(66)

V sporočilu z naslovom „Krepitev odpornosti evropskega sistema kibernetske varnosti ter spodbujanje konkurenčne in inovativne industrije kibernetske varnosti“ iz leta 2016 je Komisija opredelila potrebo po visokokakovostnih, cenovno dostopnih in interoperabilnih proizvodih in rešitvah na področju kibernetske varnosti. Dobava proizvodov IKT ter opravljanje storitev IKT in postopkov IKT na enotnem trgu sta geografsko še vedno zelo razdrobljena. Razlog za to je, da se je industrija kibernetske varnosti v Evropi razvila predvsem zaradi povpraševanja nacionalnih vlad. Poleg tega so med drugimi vrzelmi, ki vplivajo na enotni trg na področju kibernetske varnosti, pomanjkanje interoperabilnih rešitev (tehničnih standardov), praks in mehanizmov certificiranja na ravni Unije. Evropska podjetja zato težko konkurirajo na nacionalni ravni, ravni Unije in svetovni ravni. Po drugi strani pa se s tem zmanjšuje izbira učinkovitih in uporabnih tehnologij kibernetske varnosti, do katerih imajo dostop posamezniki in podjetja. Podobno je Komisija v sporočilu iz leta 2017 o vmesnem pregledu izvajanja strategije za enotni digitalni trg - Povezani enotni digitalni trg za vse poudarila potrebo po varnih povezanih proizvodih in sistemih ter navedla, da bi z ustanovitvijo evropskega okvira za varnost IKT s pravili za organizacijo varnostnega certificiranja IKT v Uniji lahko ohranili zaupanje v internet in odpravili sedanjo razdrobljenost notranjega trga.

(67)

Zdaj se certificiranje proizvodov IKT, storitev IKT in postopkov IKT glede kibernetske varnosti uporablja le v omejenem obsegu. Če obstaja, večinoma poteka na ravni držav članic ali v okviru shem, ki jih usmerja industrija. V tem smislu certifikat, ki ga izda nacionalni certifikacijski organ za kibernetsko varnost, praviloma ni priznan v drugih državah članicah. Tako so podjetja lahko prisiljena svoje proizvode IKT, storitve IKT in postopke IKT certificirati v več državah članicah, v katerih poslujejo, da bi na primer lahko sodelovala v nacionalnih postopkih javnega naročanja, zaradi česar imajo višje stroške. Poleg tega se zdi, da ni usklajenega in celovitega pristopa k horizontalnim vidikom kibernetske varnosti, na primer na področju interneta stvari, čeprav se pojavljajo nove sheme. Pri obstoječih shemah se pojavljajo znatne pomanjkljivosti in razlike v smislu pokritosti proizvodov, ravni zanesljivosti, vsebinskih meril in dejanske uporabe, kar ovira delovanje mehanizmov vzajemnega priznavanja znotraj Unije.

(68)

Prizadevanja za zagotovitev vzajemnega priznavanja certifikatov v Uniji so že potekala. Vendar pa so bila le delno uspešna. Najpomembnejši primer zato je sporazum o vzajemnem priznavanju (MRA) skupine visokih uradnikov za varnost informacijskih sistemov (SOG-IS). Čeprav je SOG-IS najpomembnejši model za sodelovanje in vzajemno priznavanje na področju varnostnega certificiranja, pa vključuje le nekatere države članice. To dejstvo omejuje učinkovitost SOG-IS MRA z vidika notranjega trga.

(69)

Zato je treba sprejeti skupni pristop in vzpostaviti evropski certifikacijski okvir za kibernetsko varnost, ki določa glavne horizontalne zahteve za evropske certifikacijske sheme za kibernetsko varnost, ki jih je treba oblikovati, in omogoča, da se evropski certifikati kibernetske varnosti ter izjave EU o skladnosti za proizvode IKT, storitve IKT in postopke IKT priznavajo in uporabljajo v vseh državah članicah. Pri tem je treba nujno temeljiti na obstoječih nacionalnih in mednarodnih shemah ter sistemih vzajemnega priznavanja, zlasti sistemu SOG-IS, pa tudi omogočiti nemoten prehod z obstoječih shem iz teh sistemov na sheme iz novega evropskega certifikacijskega okvira za kibernetsko varnost. Evropski okvir bi moral imeti dvojni cilj: po eni strani bi moral pripomoči k povečanju zaupanja v proizvode IKT, storitve IKT in postopke IKT, ki so bili certificirani v okviru evropskih certifikacijskih shem za kibernetsko varnost. Kot drugo pa bi moral pomagati preprečevati kopičenje nasprotujočih si ali prekrivajočih se nacionalnih certifikacijskih shem za kibernetsko varnost in tako zmanjšati stroške za podjetja, ki poslujejo na enotnem digitalnem trgu. Evropske certifikacijske sheme za kibernetsko varnost bi morale biti nediskriminatorne in temeljiti na evropskih ali mednarodnih standardih, razen če so ti standardi neučinkoviti ali neprimerni za dosego legitimnih ciljev Unije v tej zvezi.

(70)

Evropski certifikacijski okvir za kibernetsko varnost bi moral biti enotno vzpostavljen v vseh državah članicah, da se ne bi zaradi različnih ravni strogosti v različnih državah članicah pojavila praksa „nakupovanja certifikatov“.

(71)

Evropske certifikacijske sheme za kibernetsko varnost bi morale temeljiti na že obstoječih sistemih na mednarodni in nacionalni ravni ter po potrebi tehničnih specifikacijah forumov in konzorcijev, pri čemer bi se bilo treba opirati na obstoječe pozitivne lastnosti ter ocenjevati in odpravljati pomanjkljivosti.

(72)

Prožne rešitve za kibernetsko varnost so nujno potrebne za to, da bi industrija lahko predvidela kibernetske grožnje, zato bi bilo treba vsako certifikacijsko shemo zasnovati na način, da se prepreči, da bi hitro zastarela.

(73)

Komisija bi morala biti pooblaščena za sprejemanje evropskih certifikacijskih shem za kibernetsko varnost za določene skupine proizvodov IKT, storitev IKT in postopkov IKT. Te sheme bi morali izvajati in nadzorovati nacionalni certifikacijski organi za kibernetsko varnost, certifikati, izdani v okviru teh shem, pa bi morali biti veljavni in priznani po vsej Uniji. Certifikacijske sheme, ki jih izvaja industrija ali druge zasebne organizacije, ne bi smele spadati na področje uporabe te uredbe. Vendar pa bi organi, ki izvajajo takšne sheme, morali imeti možnost predlagati Komisiji, naj preuči možnost, da bi te sheme odobrila kot evropsko certifikacijsko shemo za kibernetsko varnost.

(74)

Določbe te uredbe ne bi smele posegati v pravo Unije, ki vsebuje posebne predpise o certificiranju proizvodov IKT, storitev IKT in postopkov IKT. Zlasti Uredba (EU) 2016/679 vsebuje določbe za uvedbo certifikacijskih mehanizmov ter pečatov in označb za varstvo podatkov, katerih namen je dokazovanje, da so postopki obdelave, ki jih uporabljajo upravljavci in obdelovalci, skladni z navedeno uredbo. Taki certifikacijski mehanizmi ter pečati in označbe za varstvo podatkov bi morali posameznikom, na katere se podatki nanašajo, omogočati, da hitro ocenijo raven varstva podatkov zadevnih proizvodov IKT, storitev IKT in postopkov IKT. Ta uredba ne posega v certificiranje postopkov obdelave podatkov na podlagi Uredbe (EU) 2016/679, vključno kadar so taki postopki vgrajeni v proizvode IKT, storitve IKT in postopke IKT.

(75)

Evropske certifikacijske sheme bi morale zagotoviti, da proizvodi IKT, storitve IKT in postopki IKT, ki so bili certificirani v okviru takih shem, izpolnjujejo posebne zahteve, da se zaščitijo razpoložljivost, pristnost, celovitost in zaupnost shranjenih, prenesenih ali obdelanih podatkov ali z njimi povezanih funkcij ali storitev, ki jih ponujajo ali so dostopni prek navedenih proizvodov, storitev in postopkov v celotnem življenjskem ciklu. V tej uredbi ni mogoče podrobno določiti zahtev glede kibernetske varnosti, ki se nanašajo na vse proizvode IKT, storitve IKT in postopke IKT v tej uredbi. Proizvodi IKT, storitve IKT in postopki IKT ter s tem povezane potrebe po kibernetski varnosti so tako raznoliki, da je zelo težko oblikovati splošne zahteve glede kibernetske varnosti, ki bi veljale v vseh okoliščinah. Zato je treba sprejeti širok in splošen pojem kibernetske varnosti za namene certificiranja, ki bi ga moral dopolnjevati sklop posebnih ciljev za kibernetsko varnost, ki jih je treba upoštevati pri oblikovanju evropskih certifikacijskih shem za kibernetsko varnost. Kako bodo takšni cilji doseženi pri posameznih proizvodih IKT, storitvah IKT in postopkih IKT, bi bilo treba nadalje podrobno določiti na ravni posamezne certifikacijske sheme, ki jo sprejme Komisija, na primer s sklicem na standarde ali tehnične specifikacije, če ustrezni standardi niso na voljo.

(76)

Tehnične specifikacije, ki naj bi bile uporabljene v evropskih certifikacijskih shemah za kibernetsko varnost, bi bilo treba upoštevati zahteve iz Priloge II k Uredbi (EU) št. 1025/2012 Evropskega parlamenta in Sveta (19). Toda v ustrezno utemeljenih primerih bi morda bila potrebna nekatera odstopanja od teh zahtev, kadar naj bi bile navedene tehnične specifikacije uporabljene v evropski certifikacijski shemi za kibernetsko varnost, ki se nanaša na „visoko“ raven zanesljivosti. Razlogi za takšna odstopanja bi morali biti objavljeni.

(77)

Ugotavljanje skladnosti je postopek ugotavljanja, ali so posebne zahteve glede proizvoda IKT, storitve IKT ali postopka IKT izpolnjene. Ta postopek izvede neodvisna tretja oseba, ki ni proizvajalec proizvoda ali ponudnik proizvodov IKT, storitev IKT ali postopkov IKT, ki se ocenjujejo. Evropski certifikat kibernetske varnosti bi moral biti izdan na podlagi uspešno opravljene ocene proizvoda IKT, storitve IKT ali postopka IKT. Evropski certifikat kibernetske varnosti bi moral veljati kot potrdilo, da je bila ocena ustrezno opravljena. Evropska certifikacijska shema za kibernetsko varnost bi glede na raven zanesljivosti morala določati, ali mora certifikat izdati zasebni ali javni organ. Ugotavljanje skladnosti in certificiranje samo po sebi ne more jamčiti, da so certificirani proizvodi IKT, storitve IKT in postopki IKT kibernetsko varni. Namesto tega obstajajo postopki in tehnična metodologija za potrditev, da so bili proizvodi IKT, storitve IKT in postopki IKT testirani ter da izpolnjujejo nekatere zahteve glede kibernetske varnosti, določene drugje, na primer v tehničnih standardih.

(78)

Uporabnik evropskega certifikata kibernetske varnosti bi moral izbrati ustrezno certifikacijo in z njo povezane varnostne zahteve na podlagi analize tveganja, povezanega z uporabo proizvodov IKT, storitev IKT ali postopkov IKT. V skladu s tem bi morala raven zanesljivosti ustrezati stopnji tveganja, povezani s predvideno uporabo proizvoda IKT, storitve IKT ali postopka IKT.

(79)

Evropske certifikacijske sheme za kibernetsko varnost bi lahko omogočale, da se ugotavljanje skladnosti izvede na izključno odgovornost proizvajalca ali ponudnika proizvodov IKT, storitev IKT ali postopkov IKT (v nadaljnjem besedilu: samoocenjevanje skladnosti). V takih primerih bi moralo biti dovolj, da proizvajalec ali ponudnik sam izvede vse preglede da bi zagotovil, da so proizvodi IKT, storitve IKT ali postopki IKT skladni z evropsko certifikacijsko shemo za kibernetsko varnost. Ugotavljanje skladnosti bi moralo šteti kot primerno za manj kompleksne proizvode IKT, storitve IKT ali postopke IKT, ki pomenijo nizko tveganje za javni interes, kot so preprosta zasnova in mehanizmi proizvodnje. Poleg tega bi bilo treba samoocenjevanje skladnosti za proizvode IKT, storitve IKT ali postopke IKT dovoliti samo, kadar ustrezajo „osnovni“ ravni zanesljivosti.

(80)

V okviru evropskih certifikacijskih shem za kibernetsko varnost bi se lahko dopustila samoocenjevanja skladnosti in certificiranje proizvodov IKT, storitev IKT ali postopkov IKT. V teh primerih bi morala shema potrošnikom in drugim uporabnikom ponuditi jasne in razumljive načine za razlikovanje med proizvodi IKT, storitvami IKT ali postopki IKT, v zvezi s katerimi je njihov proizvajalec ali ponudnik odgovoren za oceno, in proizvodi IKT, storitvami IKT ali postopki IKT, ki jih je certificirala tretja stran.

(81)

Proizvajalec ali ponudnik proizvodov IKT, storitev IKT ali postopkov IKT, ki izvede samoocenjevanje skladnosti, bi moral imeti možnost v okviru postopka ugotavljanja skladnosti izdati in podpisati izjavo EU o skladnosti. Izjava EU o skladnosti je dokument, v katerem je navedeno, da posamezen proizvod IKT, storitev IKT ali postopek IKT izpolnjuje zahteve evropske certifikacijske sheme za kibernetsko varnost. Proizvajalec ali ponudnik z izdajo in podpisom izjave EU o skladnosti prevzame odgovornost za skladnost proizvoda IKT, storitve IKT ali postopka IKT s pravnimi zahtevami evropske certifikacijske sheme za kibernetsko varnost. Kopijo izjave EU o skladnosti bi bilo treba predložiti nacionalnemu certifikacijskemu organu za kibernetsko varnost in agenciji ENISA.

(82)

Proizvajalci ali ponudniki proizvodov IKT, storitev IKT ali postopkov IKT bi morali za obdobje, opredeljeno v ustrezni evropski certifikacijski shemi za kibernetsko varnost, hraniti izjavo EU o skladnosti, tehnično dokumentacijo in vse druge ustrezne informacije, ki se nanašajo na skladnost proizvodov IKT, storitev IKT ali postopkov IKT z zadevno shemo, tako da je na voljo pristojnemu nacionalnemu certifikacijskemu organu za kibernetsko varnost. V tehnični dokumentaciji bi morale biti določene zahteve, ki se uporabljajo v okviru sheme in morala bi zajemati zasnovo, proizvodnjo in delovanje proizvoda IKT, storitve IKT ali postopka IKT v obsegu, ki je pomemben za tako ugotavljanje. Tehnična dokumentacija bi morala biti pripravljena tako, da bi omogočala ugotavljanje, ali proizvod IKT oziroma storitev IKT izpolnjuje zahteve, ki se uporabljajo v okviru te sheme.

(83)

Pri upravljanju evropskega certifikacijskega okvira za kibernetsko varnost bi bilo treba upoštevati sodelovanje držav članic in ustrezno vključitev deležnikov ter določiti vlogo Komisije med načrtovanjem, vložitvijo predlogov in zahtev ter med pripravo, sprejetjem in pregledovanjem evropskih certifikacijskih shem za kibernetsko varnost.

(84)

Komisija bi morala ob podpori evropske certifikacijske skupine za kibernetsko varnost in certifikacijske skupine deležnikov za kibernetsko varnost ter po odprtem in širokem posvetovanju oblikovati tekoči delovni program Unije za evropske certifikacijske sheme za kibernetsko varnost in ga objaviti v obliki pravno nezavezujočega instrumenta. Tekoči delovni program Unije bi moral biti strateški dokument, ki industriji, nacionalnim organom in organom za standardizacijo omogoča, da se pripravijo zlasti na prihodnje evropske certifikacijske sheme za kibernetsko varnost. Tekoči delovni program Unije bi moral vključevati večletni pregled zahtev za pripravo predlog za sheme, ki jih namerava Komisija nasloviti na agencijo ENISA na podlagi posebnih razlogov. Komisija bi morala ta tekoči delovni program Unije upoštevati pri pripravi svojega tekočega načrta za standardizacijo IKT in zahteve za standardizacijo evropskim organizacijam za standardizacijo. Glede na hitro uvajanje novih tehnologij in naraščanja njene uporabe med uporabniki in podjetji, zaradi pojavljanja prej neznanih tveganj glede kibernetske varnosti in zaradi sprememb v zakonodaji in na trgu bi morala Komisija ali evropska certifikacijska skupina za kibernetsko varnost imeti pravico od agencije ENISA zahtevati, naj pripravi predloge za sheme, ki niso bile vključene v tekoči delovni program Unije. Komisija in evropska certifikacijska skupina za kibernetsko varnost bi morali v takih primerih oceniti tudi upravičenost take zahteve, pri čemer bi upoštevali splošne cilje te uredbe in potrebo po zagotavljanju kontinuitete načrtovanja agencije ENISA in njene uporabe virov.

Agencija ENISA bi morala po prejemu take zahteve brez nepotrebnega odlašanja pripraviti predloge za sheme za posamezne proizvode IKT, storitve IKT ali postopke IKT. Komisija bi morala oceniti pozitivni in negativni učinek svoje zahteve na zadevni specifični trg, zlasti njegov vpliv na MSP, inovacije, ovire za vstop na ta trg in stroške za končne uporabnike. Nadalje bi morali Komisijo pooblastiti, da na podlagi predloge za shemo, ki jo pripravi agencija ENISA, sprejme evropsko certifikacijsko shemo za kibernetsko varnost z izvedbenimi akti. Ob upoštevanju splošnega namena in varnostnih ciljev, določenih v tej uredbi, bi moral biti v evropskih certifikacijskih shemah za kibernetsko varnost, ki jih sprejme Komisija, določen minimalni sklop elementov v zvezi z vsebino, področjem uporabe in delovanjem posamezne sheme. Ti elementi bi morali med drugim vključevati področje uporabe in predmet certificiranja kibernetske varnosti, vključno z zajetimi kategorijami proizvodov IKT, storitev IKT in postopkov IKT, podrobno specifikacijo zahtev glede kibernetske varnosti, na primer s sklicem na standarde ali tehnične specifikacije, posebnimi merili in metodami za ocenjevanje ter predvideno raven zanesljivosti („osnovno“, „znatno“ ali „visoko“) in po potrebi stopnjami ocenjevanja. Agencija ENISA bi morala imeti možnost, da zavrne zahtevo evropske certifikacijske skupine za kibernetsko varnost. Takšne odločitve, ki bi morale biti ustrezno obrazložene, bi moral sprejeti upravni odbor.

(85)

Agencija ENISA bi morala vzdrževati spletišče, ki zagotavlja informacije o evropskih certifikacijskih shemah za kibernetsko varnost in je namenjeno obveščanju javnosti o teh shemah, ki bi med drugim moralo vključevati zahteve za pripravo predloge za shemo, pa tudi povratne informacije, prejete med posvetovalnim postopkom, ki ga je v pripravljalni fazi izvedla agencija ENISA. Spletišče bi moralo vsebovati tudi informacije o evropskih certifikatih kibernetske varnosti in izjavah EU o skladnosti, izdanih na podlagi te uredbe, vključno v zvezi z njihovim odvzemom in potekom. Na spletišču bi morale biti navedene tudi nacionalne certifikacijske sheme za kibernetsko varnost, ki so bile nadomeščene z evropsko certifikacijsko shemo za kibernetsko varnost.

(86)

Raven zanesljivosti evropske certifikacijske sheme za kibernetsko varnost je podlaga za zaupanje, da proizvod IKT, storitev IKT ali postopek IKT izpolnjuje varnostne zahteve določene evropske certifikacijske sheme za kibernetsko varnost. Zaradi skladnosti evropskega certifikacijskega okvira za kibernetsko varnost bi morala evropska certifikacijska shema za kibernetsko varnost določati ravni zanesljivosti za evropske certifikate kibernetske varnosti in izjave EU o skladnosti, izdane v okviru te sheme. Vsak evropski certifikat kibernetske varnosti se morda nanaša na eno od ravni zanesljivosti: „osnovno“, „znatno“, „visoko“, medtem ko bi se izjava EU o skladnosti morda nanašala samo na „osnovno“ raven zanesljivosti. Ravni zanesljivosti bi določale ustrezno strogost in obseg ocene proizvoda IKT, storitve IKT ali postopka IKT in bi bile opredeljene s sklici na zadevne tehnične specifikacije, standarde in postopke, vključno s tehničnim nadzorom, katerih namen je ublažiti ali preprečiti incidente. Vsaka raven zanesljivosti bi morala biti usklajena s posameznimi sektorskimi področji, v katerih se uporablja certificiranje.

(87)

V evropski certifikacijski shemi za kibernetsko varnost bi se lahko določilo več stopenj ocenjevanja, odvisno od strogosti in obsega uporabljene metodologije za ocenjevanje. Stopnje ocenjevanja bi morale ustrezati eni od ravni zanesljivosti in biti povezane z ustrezno kombinacijo elementov zanesljivosti. Proizvod IKT, storitev IKT ali postopek IKT bi moral za vse ravni zanesljivosti vsebovati vrsto varnih funkcij, kot so določene s shemo in ki lahko vključujejo: varno vnaprej določeno konfiguracijo, podpisano kodo, varno posodobitev in ublažitev nevarnosti izkoriščanja ter polne zaščite spomina, organiziranega v skladu ali kopici. Te funkcije bi bilo treba razvijati in vzdrževati z uporabo v varnost usmerjenega razvojnega pristopa in pripadajočih orodij, da bi tako zagotovili zanesljivo vključitev učinkovitih mehanizmov za programsko in strojno opremo.

(88)

Pri „osnovni“ ravni zanesljivosti bi morali biti vodilo ocenjevanja vsaj naslednji elementi zanesljivosti: organ za ugotavljanje skladnosti bi moral pri ocenjevanju najmanj pregledati tehnično dokumentacijo proizvoda IKT, storitve IKT ali postopka IKT. Kadar certifikacija vključuje tudi postopke IKT, bi bilo treba postopek, uporabljen pri zasnovi, razvoju in vzdrževanju proizvoda IKT ali storitve IK podvreči tudi tehničnemu pregledu. Kadar evropska certifikacijska shema za kibernetsko varnost predvideva samoocenjevanje skladnosti, bi moralo zadostovati, da proizvajalec ali ponudnik proizvodov IKT, storitev IKT ali postopkov IKT izvede samooceno skladnosti proizvodov IKT, storitev IKT ali postopkov IKT s certifikacijsko shemo.

(89)

Pri „znatni“ ravni zanesljivosti bi moralo biti vodilo ocenjevanja poleg zahtev iz „osnovne“ ravni zanesljivosti vsaj še preverjanje skladnosti varnostnih funkcionalnosti proizvoda IKT, storitve IKT ali postopka IKT s pripadajočo tehnično dokumentacijo.

(90)

Pri „visoki“ ravni zanesljivosti bi moralo biti vodilo ocenjevanje poleg zahtev iz „znatne“ ravni zanesljivosti vsaj še testiranje učinkovitosti, s katerim se preveri odpornost varnostnih funkcionalnosti proizvoda IKT, storitve IKT ali postopka IKT proti kompleksnim kibernetskim napadom, ki jih izvedejo osebe, ki imajo precejšnje znanje in vire.

(91)

Uporaba evropskega certificiranja za kibernetsko varnost in izjave EU o skladnosti bi morala ostati prostovoljna, razen če je v pravu Unije ali pravu držav članic, sprejetemu v skladu s pravom Unije, določeno drugače. Kadar pravo Unije ni harmonizirano, lahko države članice sprejmejo nacionalne tehnične predpise, ki določajo obvezno certificiranje v okviru evropske certifikacijske sheme za kibernetsko varnost, v skladu z Direktivo (EU) 2015/1535 Evropskega parlamenta in Sveta (20). Države članice lahko evropsko certificiranje za kibernetsko varnost uporabijo tudi v okviru javnega naročanja in Direktive 2014/24/EU Evropskega parlamenta in Sveta (21).

(92)

Za izboljšanje ravni kibernetske varnosti v Uniji bodo posebne zahteve glede kibernetske varnosti in ustreznega certificiranja za nekatere proizvode IKT, storitve IKT ali postopke IKT morda v prihodnosti morale postati obvezne. Komisija bi morala redno spremljati učinek sprejetih evropskih certifikacijskih shem za kibernetsko varnost na razpoložljivost varnih proizvodov IKT, storitev IKT ali postopkov IKT na notranjem trgu ter redno oceniti, v kolikšni meri proizvajalci in ponudniki proizvodov IKT, storitev IKT ali postopkov IKT v Uniji uporabljajo certifikacijske sheme. Učinkovitost evropskih certifikacijskih shem za kibernetsko varnost in vprašanje, ali bi morale določene sheme postati obvezne, bi bilo treba oceniti ob upoštevanju zakonodaje Unije, povezane s kibernetsko varnostjo, zlasti Direktive (EU) 2016/1148, ob upoštevanju varnosti omrežij in informacijskih sistemov, ki jih uporabljajo izvajalci bistvenih storitev.

(93)

Evropski certifikati kibernetske varnosti in izjave EU o skladnosti bi morali pomagati končnim uporabnikom pri sprejemanju ozaveščene odločitve. Zato bi bilo treba certificiranim in samoocenjenim proizvodom IKT, storitvam IKT in postopkom IKT, ki so bili certificirani ali za katere je bila izdana izjava EU o skladnosti, priložiti strukturirane informacije, prilagojene pričakovani tehnični ravni predvidenega končnega uporabnika. Vse takšne informacije bi morale biti na voljo na spletu in po potrebi v fizični obliki. Končni uporabnik bi moral imeti dostop do informacij o referenčni številki certifikacijske sheme, ravni zanesljivosti, opisu tveganj za kibernetsko varnost, povezanih s proizvodom IKT, storitvijo IKT ali postopkom IKT, ter o organu izdajatelju ali bi moral imeti možnost pridobiti kopijo evropskega certifikata kibernetske varnosti. Poleg tega bi moral biti končni uporabnik seznanjen s politiko proizvajalca ali ponudnika proizvodov IKT, storitev IKT ali postopkov IKT glede zagotavljanja podpore v zvezi s kibernetsko varnostjo, in sicer kako dolgo lahko končni uporabniki pričakujejo, da bodo prejemali posodobitve ali popravke v zvezi s kibernetsko varnostjo. Po potrebi bi bilo treba zagotoviti tudi navodila glede ukrepanja ali nastavitev, ki jih lahko končni uporabnik izvede za ohranitev ali povečanje kibernetske varnosti proizvoda IKT ali storitve IKT in kontaktne informacije enotne kontaktne točke za poročanje in podporo v primeru kibernetskih napadov (poleg samodejnega poročanja). Te informacije bi bilo treba redno posodabljati in jih objavljati na spletišču, ki zagotavlja informacije o evropskih certifikacijskih shemah za kibernetsko varnost.

(94)

Da bi dosegli cilje te uredbe in preprečili razdrobljenost notranjega trga, bi nacionalne certifikacijske sheme ali postopki za kibernetsko varnost za proizvode IKT, storitve IKT ali postopke IKT, ki jih zajema evropska certifikacijska shema za kibernetsko varnost, morali prenehati učinkovati od datuma, ki ga določi Komisija z izvedbenimi akti. Poleg tega države članice ne bi smele uvajati novih nacionalnih certifikacijskih shem za kibernetsko varnost za proizvode IKT, storitve IKT ali postopke IKT, ki jih že zajema obstoječa evropska certifikacijska shema za kibernetsko varnost. Vendar državam članicam ne bi smeli preprečiti, da sprejmejo ali ohranjajo nacionalne certifikacijske sheme za kibernetsko varnost za namene nacionalne varnosti. Države članice bi morale Komisijo in evropsko certifikacijsko skupino za kibernetsko varnost obveščati o vsaki nameri priprave novih nacionalnih certifikacijskih shem za kibernetsko varnost. Komisija in evropska certifikacijska skupina za kibernetsko varnost bi morali oceniti, kakšni so učinki novih nacionalnih certifikacijskih shem za kibernetsko varnost na pravilno delovanje notranjega trga, ob upoštevanju kakršnih koli strateških interesov za to, da bi se zahtevalo, da jo nadomesti evropska certifikacijska shema za kibernetsko varnost.

(95)

Namen evropskih certifikacijskih shem za kibernetsko varnost je, da pomagajo harmonizirati prakso na področju kibernetske varnosti v Uniji. Prispevale naj bi tudi k povečanju ravni kibernetske varnosti v Uniji. Pri zasnovi evropskih certifikacijskih shem za kibernetsko varnost bi bilo treba upoštevati in omogočiti razvoj inovacij na področju kibernetske varnosti.

(96)

V evropskih certifikacijskih shemah za kibernetsko varnost bi bilo treba upoštevati obstoječe metode razvoja programske in strojne opreme ter zlasti učinek pogostih posodobitev programske ali vdelane programske opreme na posamezne evropske certifikate kibernetske varnosti. V evropskih certifikacijskih shemah za kibernetsko varnost bi bilo treba določiti pogoje, pod katerimi bi se lahko zaradi posodobitve zahtevalo ponovno certificiranje proizvoda IKT, storitve IKT ali postopka IKT ali zmanjšanje obsega posameznega evropskega certifikata kibernetske varnosti, pri čemer bi se upoštevali morebitni škodljivi učinki posodobitve na skladnost z varnostnimi zahtevami tega certifikata.

(97)

Ko je evropska certifikacijska shema za kibernetsko varnost sprejeta, bi morali proizvajalci ali ponudniki proizvodov IKT, storitev IKT ali postopkov IKT imeti možnost, da vložijo vlogo za certificiranje svojih proizvodov IKT ali storitev IKT pri organu za ugotavljanje skladnosti po lastni izbiri kjer koli v Uniji. Organe za ugotavljanje skladnosti bi moral akreditirati nacionalni akreditacijski organ, če izpolnjujejo nekatere posebne zahteve, določene v tej uredbi. Akreditacija bi morala biti izdana za obdobje največ petih let in bi se morala pod enakimi pogoji podaljšati, če bi organ za ugotavljanje skladnosti še vedno izpolnjeval določene zahteve. Nacionalni akreditacijski organi bi morali omejiti ali začasno oziroma trajno preklicati akreditacijo organa za ugotavljanje skladnosti, če pogoji za akreditacijo niso bili ali niso več izpolnjeni ali kadar organ za ugotavljanje skladnosti krši to uredbo.

(98)

Sklici v nacionalni zakonodaji na nacionalne standarde, ki so prenehali učinkovati zaradi začetka veljavnosti evropske certifikacijske sheme za kibernetsko varnost, lahko povzročijo zmedo. Države članice bi morale zato prilagoditi nacionalno zakonodajo, da se upošteva sprejetje evropske certifikacijske sheme za kibernetsko varnost.

(99)

Da bi po vsej Uniji vzpostavili enakovredne standarde, da bi olajšali vzajemno priznavanje ter spodbudili splošno sprejemanje evropskih certifikatov kibernetske varnosti in izjav EU o skladnosti, bi bilo treba vzpostaviti sistem medsebojnih strokovnih pregledov med nacionalnimi certifikacijskimi organi za kibernetsko varnost. Medsebojni strokovni pregled bi moral zajemati postopke za nadzor nad skladnostjo proizvodov IKT, storitev IKT in postopkov IKT z evropskimi certifikati kibernetske varnosti, za spremljanje obveznosti proizvajalcev ali ponudnikov proizvodov IKT, storitev IKT ali postopkov IKT, ki opravljajo samoocenjevanje skladnosti, za spremljanje organov za ugotavljanje skladnosti ter ustreznosti strokovnega znanja osebja v organih, ki izdajajo certifikate za „visoko“ raven zanesljivosti. Komisija bi morala imeti možnost z izvedbenimi akti določiti vsaj petletni načrt za medsebojne strokovne preglede ter merila in metodologijo za izvajanje medsebojnih strokovnih pregledov.

(100)

Brez poseganja v splošni sistem medsebojnih strokovnih pregledov, ki bi se v certifikacijskem okviru vzpostavil med vsemi nacionalnimi certifikacijskimi organi za kibernetsko varnost, bi lahko nekatere evropske certifikacijske sheme za kibernetsko varnost vključevale mehanizem medsebojnega strokovnega ocenjevanja za organe, ki v okviru takih shem izdajajo evropske certifikate kibernetske varnosti za proizvode IKT, storitve IKT in postopke IKT z „visoko“ ravnjo zanesljivosti. Evropska certifikacijska skupina za kibernetsko varnost bi morala podpirati izvajanje takšnih mehanizmov medsebojnega strokovnega ocenjevanja. Pri medsebojnem strokovnem ocenjevanju bi bilo treba zlasti oceniti, ali zadevni organi svoje naloge izvajajo harmonizirano, mehanizmi pa lahko vključujejo tudi pritožbene mehanizme. Rezultati medsebojnega strokovnega ocenjevanja bi morali biti javno objavljeni. Ti zadevni organi lahko sprejmejo ustrezne ukrepe za ustrezno prilagoditev svojih praks in strokovnega znanja.

(101)

Države članice bi morale imenovati enega ali več nacionalnih certifikacijskih organov za kibernetsko varnost, ki bi nadzoroval skladnost z zahtevami iz te uredbe. Nacionalni certifikacijski organ za kibernetsko varnost je lahko obstoječ ali nov organ. Država članica bi poleg tega morala imeti možnost, da po dogovoru z drugo državo članico imenuje enega ali več nacionalnih certifikacijskih organov za kibernetsko varnost na ozemlju te druge države članice.

(102)

Nacionalni certifikacijski organi za kibernetsko varnosti bi morali zlasti spremljati in izvrševati obveznosti proizvajalcev oziroma ponudnikov proizvodov IKT, storitev IKT ali postopkov IKT s sedežem na njihovem ozemlju, ki se nanašajo na izjavo EU o skladnosti, nacionalnim akreditacijskim organom pomagati pri spremljanju in nadziranju dejavnosti organov za ugotavljanje skladnosti, tako da bi jim zagotavljali strokovno znanje in potrebne informacije, pooblastiti organe za ugotavljanje skladnosti za izvajanje svojih nalog, kadar taki organi izpolnjujejo dodatne zahteve iz evropske certifikacijske sheme za kibernetsko varnost, in spremljati ustrezni razvoj na področju certificiranja kibernetske varnosti. Nacionalni certifikacijski organi za kibernetsko varnost bi morali tudi obravnavati pritožbe, ki jih vložijo fizične ali pravne osebe glede evropskih certifikatov kibernetske varnosti, ki jih izdajo ti organi, ali glede evropskih certifikatov kibernetske varnosti, ki jih izdajo organi za ugotavljanje skladnosti in se nanašajo na „visoko“ raven zanesljivosti, v ustreznem obsegu preučiti vsebino pritožbe ter pritožnika v razumnem roku obvestiti o napredku in izidih preiskave. Poleg tega bi morali nacionalni certifikacijski organi za kibernetsko varnost sodelovati z ostalimi nacionalnimi certifikacijskimi organi za kibernetsko varnost ali drugimi javnimi organi, vključno z izmenjavo informacij o morebitni neskladnosti proizvodov IKT, storitev IKT in postopkov IKT z zahtevami iz te uredbe ali z določenimi evropskimi certifikacijskimi shemami za kibernetsko varnost. Komisija bi morala to izmenjavo informacij omogočiti z vzpostavitvijo splošnega elektronskega sistema informacijske podpore, na primer informacijskega in komunikacijskega sistema za nadzor trga (ICSMS) ter sistema hitrega obveščanja o nevarnih neživilskih proizvodih (RAPEX), ki ju organi za nadzor trga že uporabljajo v skladu z Uredbo (ES) št. 765/2008.

(103)

Da bi zagotovili dosledno uporabo evropskega certifikacijskega okvira za kibernetsko varnost, bi bilo treba ustanoviti evropsko certifikacijsko skupino za kibernetsko varnost, ki jo sestavljajo predstavniki nacionalnih certifikacijskih organov za kibernetsko varnost ali drugih ustreznih nacionalnih organov. Glavne naloge evropske certifikacijske skupine za kibernetsko varnost bi morale biti svetovati in pomagati Komisiji pri njenih prizadevanjih za zagotovitev doslednega izvajanja in uporabe evropskega certifikacijskega okvira za kibernetsko varnost; pomagati in tesno sodelovati z agencijo ENISA pri pripravi predlog za certifikacijske sheme za kibernetsko varnost, v ustrezno utemeljenih primerih predlagati, da Komisija od agencije ENISA zahteva, naj pripravi predlogo za shemo, in sprejeti mnenja, naslovljena na agencijo ENISA glede predlog za sheme in na Komisijo glede ohranjanja in pregledovanja obstoječih evropskih certifikacijskih shem za kibernetsko varnost. Evropska certifikacijska skupina za kibernetsko varnost bi morala olajšati izmenjavo dobrih praks in strokovnega znanja med različnimi nacionalnimi certifikacijskimi organi za kibernetsko varnost, ki so pristojni za odobritev organov za ugotavljanje skladnosti in izdajanje evropskih certifikatov kibernetske varnosti.

(104)

Da bi Komisija okrepila ozaveščenost in olajšala sprejemljivost prihodnjih evropskih certifikacijskih shem za kibernetsko varnost, lahko izda splošne ali sektorske smernice za kibernetsko varnost, na primer o dobrih praksah ali odgovornem ravnanju na področju kibernetske varnosti, pri čemer poudari pozitivni učinek uporabe certificiranih proizvodov IKT, storitev IKT in postopkov IKT.

(105)

Glede na globalni značaj dobavnih verig za IKT bi lahko Unija, da bi še bolj olajšala trgovino, v skladu s členom 218 Pogodbe o delovanju Evropske unije (PDEU) sklepala sporazume o vzajemnem priznavanju glede evropskih certifikatov kibernetske varnosti. Komisija lahko ob upoštevanju mnenja agencije ENISA in evropske certifikacijske skupine za kibernetsko varnost priporoči začetek ustreznih pogajanj. Vsaka evropska certifikacijska shema za kibernetsko varnost bi morala določati posebne pogoje za tako vzajemno priznavanje sporazumov s tretjimi državami.

(106)

Da bi zagotovili enotne pogoje izvajanja te uredbe, bi bilo treba na Komisijo prenesti izvedbena pooblastila. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta (22).

(107)

Postopek pregleda bi bilo treba uporabiti za sprejetje izvedbenih aktov o evropskih certifikacijskih shemah za kibernetsko varnost za proizvode IKT, storitve IKT ali postopke IKT, za sprejetje izvedbenih aktov o načinih izvajanja preiskav s strani agencije ENISA, za sprejetje izvedbenih aktov o načrtu medsebojnih strokovnih pregledov nacionalnih certifikacijskih organov za kibernetsko varnost ter za sprejetje izvedbenih aktov o okoliščinah, oblikah in postopkih priglasitve akreditiranih organov za ugotavljanje skladnosti Komisiji s strani nacionalnih certifikacijskih organov za kibernetsko varnost.

(108)

Dejavnosti agencije ENISA bi bilo treba redno in neodvisno ocenjevati. Pri tej oceni bi bilo treba upoštevati uspešnost agencije ENISA pri doseganju ciljev, njene delovne prakse in relevantnost njenih nalog, zlasti tistih, ki so povezane z operativnim sodelovanjem na ravni Unije. Oceniti pa bi bilo treba tudi učinek, uspešnost in učinkovitost evropskega certifikacijskega okvira za kibernetsko varnost. V primeru pregleda bi morala Komisija oceniti, kako bi bilo mogoče še utrditi vlogo agencije ENISA kot referenčne točke za svetovanje in strokovno znanje, oceniti pa bi morala tudi možnost vloge agencije ENISA pri podpori ocenjevanju proizvodov IKT, storitev IKT in postopkov IKT, ki vstopajo na trg Unije, vendar ne izpolnjujejo predpisov Unije.

(109)

Ker ciljev te uredbe države članice ne morejo zadovoljivo doseči, temveč se ti cilji zaradi njenega obsega in učinkov lažje dosežejo na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji (PEU). V skladu z načelom sorazmernosti iz navedenega člena ta uredba ne presega tistega, kar je potrebno za doseganje navedenih ciljev.

(110)

Uredbo (EU) št. 526/2013 bi bilo treba razveljaviti –