To besedilo je zgolj informativne narave in nima pravnega učinka. Institucije Unije za njegovo vsebino ne prevzemajo nobene odgovornosti. Verodostojne različice zadevnih aktov, vključno z uvodnimi izjavami, so objavljene v Uradnem listu Evropske unije. Na voljo so na portalu EUR-Lex. Uradna besedila so neposredno dostopna prek povezav v tem dokumentu

UREDBA (EU) 2019/881 EVROPSKEGA PARLAMENTA IN SVETA

z dne 17. aprila 2019

o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti)

(Besedilo velja za EGP)

NASLOV I

SPLOŠNE DOLOČBE

Člen 1

Predmet urejanja in področje uporabe

Da bi zagotovili pravilno delovanje notranjega trga in obenem dosegli visoko raven kibernetske varnosti, kibernetske odpornosti in zaupanja v Uniji, ta uredba določa:

(a)

cilje, naloge in organizacijske zadeve, povezane z Agencijo Evropske unije za kibernetsko varnost (v nadaljnjem besedilu: agencija ENISA), ter

▼M1

(b)

okvir za vzpostavitev evropskih certifikacijskih shem za kibernetsko varnost za namene zagotavljanja ustrezne ravni kibernetske varnosti za proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve v Uniji, pa tudi za namene preprečevanja razdrobljenosti notranjega trga v zvezi s certifikacijskimi shemami za kibernetsko varnost v Uniji.

▼B

Okvir iz točke (b) prvega pododstavka se uporablja brez poseganja v posebne določbe v drugih pravnih aktih Unije glede prostovoljnega ali obveznega certificiranja.

Ta uredba ne posega v pristojnosti držav članic v zvezi z dejavnostmi, ki se nanašajo na javno varnost, obrambo in nacionalno varnost, kot tudi ne v dejavnosti države na področju kazenskega prava.

Člen 2

Opredelitev pojmov

V tej uredbi se uporabljajo naslednje opredelitve pojmov:

(1)

„kibernetska varnost“ pomeni dejavnosti, ki so potrebne za zaščito omrežij in informacijskih sistemov, uporabnikov takih sistemov in drugih oseb, na katere vplivajo kibernetske grožnje;

(2)

„omrežje in informacijski sistem“ pomeni omrežje in informacijski sistem, kot sta opredeljena v točki 1 člena 4 Direktive (EU) 2016/1148;

(3)

„nacionalna strategija za varnost omrežij in informacijskih sistemov“ pomeni nacionalno strategijo za varnost omrežij in informacijskih sistemov, kot je opredeljena v točki 3 člena 4 Direktive (EU) 2016/1148;

(4)

„izvajalec bistvenih storitev“ pomeni izvajalca bistvenih storitev, kot je opredeljen v točki 4 člena 4 Direktive (EU) 2016/1148;

(5)

„ponudnik digitalnih storitev“ pomeni ponudnika digitalnih storitev, kot je opredeljen v točki 6 člena 4 Direktive (EU) 2016/1148;

(6)

„incident“ pomeni incident, kot je opredeljen v točki 7 člena 4 Direktive (EU) 2016/1148;

(7)

„obvladovanje incidentov“ pomeni obvladovanje incidentov, kot je opredeljeno v točki 8 člena 4 Direktive (EU) 2016/1148;

(8)

„kibernetska grožnja“ pomeni vsako potencialno okoliščino, dogodek ali dejanje, ki bi lahko poškodovalo, prekinilo ali drugače škodljivo vplivalo na omrežja in informacijske sisteme, uporabnike takih sistemov in druge osebe;

▼M1

(9)

„evropska certifikacijska shema za kibernetsko varnost“ pomeni celovit sklop pravil, tehničnih zahtev, standardov in postopkov, ki so vzpostavljeni na ravni Unije in se uporabljajo za certificiranje ali ugotavljanje skladnosti posameznih proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev;

(10)

„nacionalna certifikacijska shema za kibernetsko varnost“ pomeni celovit sklop pravil, tehničnih zahtev, standardov in postopkov, ki so jih oblikovali in sprejeli nacionalni javni organi in se uporabljajo za certificiranje ali ugotavljanje skladnosti proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev, ki spadajo na področje uporabe določene sheme;

(11)

„evropski certifikat kibernetske varnosti“ pomeni dokument, ki ga izda ustrezen organ in potrjuje, da je bil zadevni proizvod IKT, storitev IKT, postopek IKT ali upravljana varnostna storitev ocenjena glede skladnosti s posebnimi varnostnimi zahtevami, določenimi v evropski certifikacijski shemi za kibernetsko varnost;

▼B

(12)

„proizvod IKT“ pomeni element ali skupino elementov omrežja ali informacijskega sistema;

(13)

„storitev IKT“ pomeni storitev, ki v celoti ali pretežno sestoji iz prenosa, shranjevanja, priklica ali obdelave informacij prek omrežij in informacijskih sistemov;

(14)

„postopek IKT“ pomeni sklop dejavnosti, ki se izvaja za zasnovo, razvoj, dobavo ali vzdrževanje proizvoda IKT ali storitve IKT;

▼M1

(14a)

„upravljana varnostna storitev“ pomeni storitev, ki se zagotavlja tretji osebi in vključuje izvajanje dejavnosti, povezanih z obvladovanjem tveganj za kibernetsko varnost, ali za zagotavljanje pomoči pri takih dejavnostih, kot so odzivanje na incidente, penetracijsko testiranje, varnostne presoje in svetovanje, vključno s strokovnim svetovanjem, povezanim s tehnično podporo;

▼B

(15)

„akreditacija“ pomeni akreditacijo, kot je opredeljena v točki 10 člena 2 Uredbe (ES) št. 765/2008;

(16)

„nacionalni akreditacijski organ“ pomeni nacionalni akreditacijski organ, kot je opredeljen v točki 11 člena 2 Uredbe (ES) št. 765/2008;

(17)

„ugotavljanje skladnosti“ pomeni ugotavljanje skladnosti, kot je opredeljeno v točki 12 člena 2 Uredbe (ES) št. 765/2008;

(18)

„organ za ugotavljanje skladnosti“ pomeni organ za ugotavljanje skladnosti, kot je opredeljen v točki 13 člena 2 Uredbe (ES) št. 765/2008;

(19)

„standard“ pomeni standard, kot je opredeljen v točki 1 člena 2 Uredbe (EU) št. 1025/2012;

▼M1

(20)

„tehnična specifikacija“ pomeni dokument, ki določa tehnične zahteve, ki jih mora izpolnjevati proizvod IKT, storitev IKT, postopek IKT ali upravljana varnostna storitev, ali postopke ugotavljanja skladnosti v zvezi s proizvodom IKT, storitvijo IKT, postopkom IKT ali upravljano varnostno storitvijo;

(21)

„raven zanesljivosti“ pomeni podlago za zaupanje, da proizvod IKT, storitev IKT, postopek IKT ali upravljana varnostna storitev izpolnjuje varnostne zahteve določene evropske certifikacijske sheme za kibernetsko varnost, navaja pa tudi raven, na kateri je bil proizvod IKT, storitev IKT, postopek IKT ali upravljana varnostna storitev ocenjena, vendar kot taka ne meri varnosti zadevnega proizvoda IKT, storitve IKT, postopka IKT ali upravljane varnostne storitve;

(22)

„samoocenjevanje skladnosti“ pomeni dejavnost proizvajalca ali ponudnika proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev, s katero se oceni, ali ti proizvodi IKT, storitve IKT, postopki IKT ali upravljane varnostne storitve izpolnjujejo zahteve iz določene evropske certifikacijske sheme za kibernetsko varnost.

▼B

NASLOV II

Agencija ENISA

POGLAVJE I

Mandat in cilji

Člen 3

Mandat

Agencija ENISA opravlja naloge, ki so ji dodeljene na podlagi te uredbe, da bi se dosegla visoka skupna raven kibernetske varnosti v vsej Uniji, vključno z dejavnim podpiranjem držav članic ter institucij, organov, uradov in agencij Unije za izboljšanje kibernetske varnosti. Agencija ENISA deluje kot referenčna točka za svetovanje in strokovno znanje v zvezi s kibernetsko varnostjo za institucije, organe, urade in agencije Unije ter za druge ustrezne deležnike Unije.

Agencija ENISA z opravljanjem nalog, ki so ji dodeljene na podlagi te uredbe, prispeva k zmanjšanju razdrobljenosti notranjega trga.

Agencija ENISA izvaja naloge, ki so ji dodeljene s pravnimi akti Unije, ki določajo ukrepe za približevanje zakonov in drugih predpisov držav članic, ki se nanašajo na kibernetsko varnost.

Agencija ENISA pri opravljanju svojih nalog deluje neodvisno, pri tem pa se izogiba podvajanju dejavnosti držav članic in upošteva že obstoječe strokovno znanje držav članic.

Agencija ENISA pridobi lastne vire, vključno s tehničnimi zmogljivostmi ter človeškimi sposobnostmi in veščinami, potrebnimi za opravljanje nalog, ki so ji dodeljene s to uredbo.

Člen 4

Cilji

Agencija ENISA je središče strokovnega znanja na področju kibernetske varnosti zaradi svoje neodvisnosti, znanstvene in tehnične kakovosti svetovanja in pomoči, ki ju zagotavlja, informacij, ki jih zagotavlja, preglednosti svojih postopkov, načina delovanja ter skrbnosti pri izvajanju svojih nalog.

Agencija ENISA institucijam, organom, uradom in agencijam Unije ter državam članicam pomaga pri oblikovanju in izvajanju politik Unije, ki se nanašajo na kibernetsko varnost, vključno s sektorskimi politikami na področju kibernetske varnosti.

Agencija ENISA podpira krepitev zmogljivosti in pripravljenosti v vsej Uniji, tako da institucijam, organom, uradom in agencijam Unije, pa tudi državam članicam ter javnim in zasebnim deležnikom pomaga krepiti zaščito njihovih omrežij in informacijskih sistemov, razvijati in izboljševati kibernetsko odpornost in odzivne zmogljivosti ter razvijati znanja in spretnosti na področju kibernetske varnosti.

Agencija ENISA pri vprašanjih, ki se nanašajo na kibernetsko varnost, spodbuja sodelovanje, vključno z izmenjavo informacij, in usklajevanje na ravni Unije med državami članicami, institucijami, organi, uradi in agencijami Unije ter ustreznimi zasebnimi in javnimi deležniki.

Agencija ENISA prispeva h krepitvi zmogljivosti na področju kibernetske varnosti na ravni Unije, da bi podprla dejavnosti držav članic pri preprečevanju kibernetskih groženj in odzivanju nanje, zlasti v primeru čezmejnih incidentov.

▼M1

Agencija ENISA spodbuja uporabo evropskega certificiranja na področju kibernetske varnosti, da se prepreči razdrobljenost notranjega trga. Agencija ENISA prispeva k vzpostavitvi in vzdrževanju evropskega certifikacijskega okvira za kibernetsko varnost v skladu z naslovom III te uredbe, da bi se izboljšala preglednost kibernetske varnosti proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev ter s tem okrepila zaupanje v digitalni notranji trg in njegova konkurenčnost.

▼B

Agencija ENISA spodbuja visoko raven ozaveščenosti o kibernetski varnosti, vključno s kibernetsko higieno in kibernetsko pismenostjo med državljani, organizacijami in podjetji.

POGLAVJE II

Naloge

Člen 5

Oblikovanje in izvajanje politike in prava Unije

Agencija ENISA prispeva k oblikovanju in izvajanju politike in prava Unije s:

(1)

pomočjo in svetovanjem glede oblikovanja in pregleda politike in prava Unije na področju kibernetske varnosti ter glede sektorske politike in pravnih pobud, kadar gre za zadeve, povezane s kibernetsko varnostjo, zlasti z zagotavljanjem neodvisnega mnenja in analize ter z izvajanjem pripravljalnega dela;

(2)

pomočjo državam članicam pri doslednem izvajanju politike in prava Unije na področju kibernetske varnosti, zlasti v zvezi z Direktivo (EU) 2016/1148, vključno z izdajo mnenj, smernic, svetovanjem in najboljšimi praksami na področjih, kot so obvladovanje tveganj, poročanje o incidentih in izmenjava informacij, ter z omogočanjem lažje izmenjave najboljših praks med pristojnimi organi v zvezi s tem;

(3)

pomočjo državam članicam ter institucijam, organom, uradom in agencijam Unije pri oblikovanju in spodbujanju politik kibernetske varnosti, povezanih z ohranjanjem splošne dostopnosti oziroma celovitosti javnega jedra odprtega interneta;

(4)

prispevanjem k delu skupine za sodelovanje na podlagi člena 11 Direktive (EU) 2016/1148, in sicer z zagotavljanjem strokovnega znanja in pomoči;

(5)

podporo:

(a)

oblikovanju in izvajanju politike Unije na področju elektronske identifikacije in storitev zaupanja, zlasti z zagotavljanjem svetovanja in izdajo tehničnih smernic, ter z omogočanjem lažje izmenjave najboljših praks med pristojnimi organi;

(b)

spodbujanju višje ravni varnosti elektronskih komunikacij, vključno z zagotavljanjem svetovanja in strokovnega znanja, ter z omogočanjem lažje izmenjave najboljših praks med pristojnimi organi;

(c)

državam članicam pri izvajanju posebnih vidikov kibernetske varnosti v okviru politike in prava Unije v zvezi z varstvom podatkov in zasebnostjo, vključno s svetovanjem Evropskemu odboru za varstvo podatkov na njegovo zahtevo;

(6)

podpiranjem rednega pregleda dejavnosti politike Unije s pripravo letnega poročila o stanju izvajanja zadevnega pravnega okvira glede:

(a)

informacij o priglasitvah incidentov s strani držav članic, ki jih skupini za sodelovanje zagotovijo enotne kontaktne točke na podlagi člena 10(3) Direktive (EU) 2016/1148;

(b)

povzetkov uradnih obvestil o kršitvi varnosti ali izgubi celovitosti, prejetih od ponudnikov storitev zaupanja, ki jih agenciji ENISA zagotovijo nadzorni organi na podlagi člena 19(3) Uredbe (EU) št. 910/2014 Evropskega parlamenta in Sveta ( 1 );

(c)

uradnih obvestil o varnostnih incidentih, ki jih pošljejo ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev, agenciji ENISA pa jih predložijo pristojni organi na podlagi člena 40 Direktive (EU) 2018/1972.

Člen 6

Krepitev zmogljivosti

Agencija ENISA pomaga:

(a)

državam članicam pri njihovih prizadevanjih za izboljšanje preprečevanja, odkrivanja in analiziranja kibernetskih groženj in incidentov ter zmogljivosti odzivanja nanje, tako da jim zagotavlja potrebno strokovno znanje in izkušnje;

(b)

državam članicam ter institucijam, organom, uradom in agencijam Unije pri vzpostavljanju in izvajanju politik razkrivanja šibkih točk na prostovoljni podlagi;

(c)

institucijam, organom, uradom in agencijam Unije pri njihovih prizadevanjih za izboljšanje preprečevanja, odkrivanja in analiziranja kibernetskih groženj in incidentov ter izboljšanje zmogljivosti odzivanja na take kibernetske grožnje in incidente, zlasti z ustrezno podporo skupini CERT-EU;

(d)

državam članicam pri oblikovanju nacionalnih skupin CSIRT, kadar za to zaprosijo na podlagi člena 9(5) Direktive (EU) 2016/1148;

(e)

državam članicam pri oblikovanju nacionalnih strategij za varnost omrežij in informacijskih sistemov, kadar za to zaprosijo na podlagi člena 7(2) Direktive (EU) 2016/1148, ter spodbuja razširjanje teh strategij in se seznanja z napredkom pri njihovem izvajanju po vsej Uniji, da bi spodbujala najboljše prakse;

(f)

institucijam Unije pri oblikovanju in pregledovanju strategij Unije na področju kibernetske varnosti s spodbujanjem razširjanja teh strategij in spremljanjem napredka pri njihovem izvajanju;

(g)

skupinam CSIRT na nacionalni ravni in ravni Unije pri povečevanju ravni njihovih zmogljivosti, vključno s podpiranjem dialoga in izmenjave informacij, z namenom zagotavljanja, da ima vsaka skupina CSIRT v skladu s tehničnim razvojem skupni sklop minimalnih zmogljivosti in deluje skladno z najboljšimi praksami;

(h)

državam članicam z rednim organiziranjem vaj na področju kibernetske varnosti na ravni Unije iz člena 7(5) vsaj na vsaki dve leti in z oblikovanjem političnih priporočil, ki temeljijo na postopku ocenjevanja vaj in izkušnjah, pridobljenih z njimi;

(i)

ustreznim javnim organom z zagotavljanjem usposabljanja na področju kibernetske varnosti, po potrebi v sodelovanju z deležniki;

(j)

skupini za sodelovanje pri izmenjavi najboljših praks, zlasti glede določitve izvajalcev bistvenih storitev s strani držav članic na podlagi točke (l) člena 11(3) Direktive (EU) 2016/1148,vključno glede čezmejnih odvisnosti v zvezi s tveganji in incidenti.

Agencija ENISA podpira znotrajsektorsko in medsektorsko izmenjavo informacij, zlasti v sektorjih, ki so navedeni v Prilogi II k Direktivi (EU) 2016/1148, in sicer z zagotavljanjem najboljših praks in navodil v zvezi z razpoložljivimi orodji in postopki ter glede tega, kako obravnavati regulativna vprašanja, povezana z izmenjavo informacij.

Člen 7

Operativno sodelovanje na ravni Unije

Agencija ENISA podpira operativno sodelovanje med državami članicami ter institucijami, organi, uradi in agencijami Unije ter med deležniki.

Agencija ENISA na operativni ravni sodeluje in vzpostavi sinergije z institucijami, organi, uradi in agencijami Unije, tudi s skupino CERT-EU, s službami, ki se ukvarjajo s kibernetsko kriminaliteto, in z nadzornimi organi, ki se ukvarjajo z varstvom zasebnosti in osebnih podatkov, da bi obravnavala zadeve skupnega interesa, med drugim z:

(a)

izmenjavo strokovnega znanja in najboljših praks;

(b)

zagotavljanjem svetovanja in izdajanjem smernic o pomembnih vprašanjih glede kibernetske varnosti;

(c)

oblikovanjem praktičnih ureditev za izvajanje posebnih nalog po posvetovanju s Komisijo.

Agencija ENISA zagotovi sekretariat mreže skupin CSIRT na podlagi člena 12(2) Direktive (EU) 2016/1148 ter v tej funkciji dejavno podpira izmenjavo informacij in sodelovanje med njenimi člani.

Agencija ENISA podpira države članice v zvezi z operativnim sodelovanjem v mreži skupin CSIRT, in sicer s:

(a)

svetovanjem o načinih za izboljšanje njihovih zmogljivosti za preprečevanje in odkrivanje incidentov ter odzivanje nanje, na zahtevo ene ali več držav članic pa tudi s svetovanjem v zvezi s specifično kibernetsko grožnjo;

(b)

pomočjo, na zahtevo ene ali več držav članic, pri ocenjevanju incidentov, ki imajo pomembne ali znatne posledice, z zagotavljanjem strokovnega znanja in omogočanjem lažjega tehničnega obvladovanja takih incidentov, med drugim zlasti s podpiranjem prostovoljne izmenjave zadevnih informacij in tehničnih rešitev med državami članicami;

(c)

analiziranjem šibkih točk in incidentov na podlagi javno dostopnih informacij ali informacij, ki jih v ta namen prostovoljno sporočijo države članice, ter

(d)

zagotavljanjem podpore, na zahtevo ene ali več držav članic, v zvezi z naknadnimi tehničnimi preiskavami incidentov, ki imajo pomembne ali znatne posledice, v smislu Direktive (EU) 2016/1148.

Agencija ENISA in skupina CERT-EU pri opravljanju teh nalog strukturirano sodelujeta, da bi izkoristili sinergije in se izognili podvajanju dejavnosti.

Agencija ENISA redno organizira vaje na področju kibernetske varnosti na ravni Unije ter države članice in institucije, organe, urade in agencije Unije podpira pri organiziranju vaj na področju kibernetske varnosti na podlagi njihovih zahtev. Takšne vaje na področju kibernetske varnosti na ravni Unije lahko vključujejo tehnične, operativne ali strateške elemente. Agencija ENISA vsaj na vsaki dve leti organizira obsežno vsestransko vajo.

Po potrebi agencija ENISA prispeva tudi k sektorskim vajam na področju kibernetske varnosti in jih pomaga organizirati skupaj z ustreznimi organizacijami, ki prav tako sodelujejo pri vajah na področju kibernetske varnosti na ravni Unije.

Agencija ENISA v tesnem sodelovanju z državami članicami pripravi redno poglobljeno tehnično poročilo o stanju na področju kibernetske varnosti v EU glede incidentov in kibernetskih groženj, in sicer na podlagi javno dostopnih informacij, lastne analize in poročil, ki jih med drugim predložijo skupine CSIRT držav članic ali enotne kontaktne točke, vzpostavljene z Direktivo (EU) 2016/1148, v obeh primerih na prostovoljni podlagi, EC3 ter skupine CERT-EU.

Agencija ENISA prispeva k razvoju sodelovalnega odziva na ravni Unije in ravni držav članic na velike čezmejne incidente ali krize, povezane s kibernetsko varnostjo, in sicer predvsem z:

(a)

združevanjem in analiziranjem poročil iz nacionalnih virov, ki so dostopna javnosti ali so bila prostovoljno dana v skupno rabo, da bi prispevala k vzpostavitvi skupnega situacijskega zavedanja;

(b)

zagotavljanjem učinkovitega pretoka informacij in stopnjevalnih mehanizmov med mrežo skupin CSIRT ter tehničnimi in političnimi nosilci odločanja na ravni Unije;

(c)

olajševanjem, na zahtevo, tehničnega obravnavanja takih incidentov ali kriz, vključno zlasti s podpiranjem prostovoljne izmenjave tehničnih rešitev med državami članicami;

(d)

podpiranjem institucij, organov, uradov in agencij Unije, na njihovo zahtevo pa tudi držav članic, pri komuniciranju z javnostjo v zvezi s takimi incidenti ali krizami;

(e)

preskušanjem načrtov za sodelovanje za odzivanje na take incidente ali krize na ravni Unije, na zahtevo pa tudi podpiranjem držav članic pri preskušanju takih načrtov na nacionalni ravni.

Člen 8

Trg, certificiranje kibernetske varnosti in standardizacija

▼M1

Agencija ENISA podpira in spodbuja oblikovanje in izvajanje politike Unije o certificiranju proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev glede kibernetske varnosti, kot je določeno v naslovu III te uredbe, in sicer s:

▼B

(a)

stalnim spremljanjem razvoja na področjih, povezanih s standardizacijo, in dajanjem priporočil glede ustreznih tehničnih specifikacij, namenjenih razvoju evropske certifikacijske sheme za kibernetsko varnost na podlagi točke (c) člena 54(1), kadar standardi niso na voljo;

▼M1

(b)

pripravo predlog za evropske certifikacijske sheme za kibernetsko varnost (v nadaljnjem besedilu: predloge za sheme) za proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve v skladu s členom 49;

▼B

(c)

ocenjevanjem sprejetih evropskih certifikacijskih shem za kibernetsko varnost v skladu s členom 49(8);

(d)

sodelovanjem pri medsebojnih strokovnih pregledih na podlagi člena 59(4);

(e)

podporo Komisiji pri zagotavljanju sekretariata evropski certifikacijski skupini za kibernetsko varnost na podlagi člena 62(5).

Agencija ENISA zagotovi sekretariat certifikacijski skupini deležnikov za kibernetsko varnost na podlagi člena 22(4).

▼M1

Agencija ENISA pripravi in objavi smernice ter razvije dobre prakse glede zahtev na področju kibernetske varnosti za proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve v sodelovanju z nacionalnimi certifikacijskimi organi za kibernetsko varnost in industrijo na formalen, strukturiran in pregleden način.

▼B

Agencija ENISA podpira krepitev zmogljivosti v zvezi s postopki ocenjevanja in certificiranja, tako da pripravi in izda smernice, ter s podpiranjem držav članic na njihovo zahtevo.

▼M1

Agencija ENISA omogoča lažjo vzpostavitev in uvedbo evropskih in mednarodnih standardov za obvladovanje tveganja in za varnost proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev.

▼B

Agencija ENISA v sodelovanju z državami članicami in industrijo pripravi nasvete in smernice za tehnična področja, povezana z varnostnimi zahtevami za izvajalce bistvenih storitev in ponudnike digitalnih storitev, ter za že obstoječe standarde, vključno z nacionalnimi standardi držav članic, na podlagi člena 19(2) Direktive (EU) 2016/1148.

Agencija ENISA izvaja in razširja redne analize glavnih trendov na trgu kibernetske varnosti tako na strani povpraševanja kot tudi ponudbe, da bi spodbujala trg kibernetske varnosti v Uniji.

Člen 9

Znanje in informacije

Agencija ENISA:

(a)

izvaja analize nastajajočih tehnologij in zagotavlja tematske ocene o pričakovanih družbenih, pravnih, ekonomskih in regulativnih učinkih tehnoloških inovacij na kibernetsko varnost;

(b)

izvaja dolgoročne strateške analize kibernetskih groženj in incidentov, da bi opredelila nastajajoče trende in pripomogla k preprečevanju incidentov;

(c)

v sodelovanju s strokovnjaki iz organov držav članic in ustreznimi deležniki zagotavlja svetovanje, navodila in najboljše prakse za varnost omrežij in informacijskih sistemov, zlasti za varnost infrastruktur, ki podpirajo sektorje, navedene v Prilogi II k Direktivi (EU) 2016/1148, in infrastruktur, ki jih uporabljajo ponudniki digitalnih storitev, navedeni v Prilogi III k navedeni direktivi;

(d)

prek namenskega portala združuje, organizira in daje javnosti na voljo informacije o kibernetski varnosti, ki jih sporočijo institucije, organi, uradi in agencije Unije, ter informacije o kibernetski varnosti, ki jih prostovoljno sporočijo države članice ter zasebni in javni deležniki;

(e)

zbira in analizira javno dostopne informacije o pomembnih incidentih ter pripravlja poročila, da bi zagotovila navodila za državljane, organizacije in podjetja po vsej Uniji;

Člen 10

Ozaveščanje in izobraževanje

Agencija ENISA:

(a)

javnost ozavešča o tveganjih za kibernetsko varnost in zagotavlja navodila o dobrih praksah za posamezne uporabnike, ki so namenjene državljanom, organizacijam in podjetjem, vključno s kibernetsko higieno in kibernetsko pismenostjo;

(b)

v sodelovanju z državami članicami, institucijami, organi, uradi in agencijami Unije ter industrijo organizira redne kampanje ozaveščanja za izboljšanje kibernetske varnosti in njene prepoznavnosti v Uniji ter spodbuja široko javno razpravo;

(c)

državam članicam pomaga pri prizadevanjih za ozaveščanje o kibernetski varnosti in spodbujanju izobraževanja o kibernetski varnosti;

(d)

podpira tesnejše usklajevanje in izmenjavo najboljših praks med državami članicami na področju ozaveščenosti o kibernetski varnosti in izobraževanja.

Člen 11

Raziskave in inovacije

Agencija ENISA v zvezi z raziskavami in inovacijami:

(a)

svetuje institucijam, organom, uradom in agencijam Unije ter državam članicam o potrebah po raziskavah in prednostnih nalogah na področju kibernetske varnosti, da bi omogočila učinkovito odzivanje na aktualna in nastajajoča tveganja in kibernetske grožnje, vključno z upoštevanjem novih in nastajajočih informacijskih in komunikacijskih tehnologij, ter učinkovito uporabo tehnologij za preprečevanje tveganj;

(b)

sodeluje v fazi izvajanja programov za financiranje raziskav in inovacij ali kot upravičenec, kadar je Komisija nanjo prenesla ustrezna pooblastila;

(c)

prispeva k strateškemu načrtu raziskav in inovacij na ravni Unije na področju kibernetske varnosti.

Člen 12

Mednarodno sodelovanje

Agencija ENISA prispeva k prizadevanjem Unije za sodelovanje s tretjimi državami in mednarodnimi organizacijami, pa tudi znotraj ustreznih mednarodnih okvirov sodelovanja, ter tako spodbuja mednarodno sodelovanje o zadevah, ki se nanašajo na kibernetsko varnost, in sicer s:

(a)

sodelovanjem v vlogi opazovalke pri organizaciji mednarodnih vaj ter analiziranjem in poročanjem o rezultatih teh vaj upravnemu odboru, kadar je to primerno;

(b)

olajševanjem izmenjave najboljših praks, na zahtevo Komisije;

(c)

zagotavljanjem strokovnega znanja Komisiji na njeno zahtevo;

(d)

svetovanjem in pomočjo Komisiji pri zadevah, povezanih s sporazumi o vzajemnem priznavanju certifikatov kibernetske varnosti s tretjimi državami, v sodelovanju z evropsko certifikacijsko skupino za kibernetsko varnost, ustanovljeno na podlagi člena 62.

POGLAVJE III

Organizacija agencije ENISA

Člen 13

Struktura agencije ENISA

Upravno in vodstveno strukturo agencije ENISA sestavljajo:

(a)

upravni odbor;

(b)

izvršni odbor;

(c)

izvršni direktor;

(d)

svetovalna skupina agencije ENISA;

(e)

mreža nacionalnih uradnikov za zvezo.

Oddelek 1

Upravni odbor

Člen 14

Sestava upravnega odbora

Upravni odbor sestavljajo po en član, ki ga imenuje vsaka država članica, ter dva člana, ki ju imenuje Komisija. Vsi člani imajo glasovalno pravico.

Vsak član upravnega odbora ima namestnika. Ta člana predstavlja med njegovo odsotnostjo.

Člani upravnega odbora in njihovi namestniki so imenovani zaradi svojega znanja na področju kibernetske varnosti ob upoštevanju ustreznih vodstvenih, upravnih in proračunskih spretnosti in znanj. Komisija in države članice si prizadevajo za omejitev menjav svojih predstavnikov v upravnem odboru, da bi zagotovile neprekinjeno delovanje upravnega odbora. Komisija in države članice si prizadevajo za uravnoteženo zastopanost moških in žensk v upravnem odboru.

Mandat članov upravnega odbora in njihovih namestnikov traja štiri leta. Ta mandat se lahko podaljša.

Člen 15

Funkcije upravnega odbora

Upravni odbor:

(a)

oblikuje splošno usmeritev delovanja agencije ENISA in zagotavlja, da agencija ENISA deluje v skladu s pravili in načeli iz te uredbe. Prav tako zagotovi, da je delo agencije ENISA v skladu z dejavnostmi držav članic in dejavnostmi na ravni Unije;

(b)

sprejme osnutek enotnega programskega dokumenta agencije ENISA iz člena 24, preden ga predloži Komisiji, ki o njem poda mnenje;

(c)

sprejme enotni programski dokument agencije ENISA, pri čemer upošteva mnenje Komisije;

(d)

nadzira izvajanje večletnega in letnega programa dejavnosti, vključenega v enotni programski dokument;

(e)

sprejme letni proračun agencije ENISA in izvaja druge funkcije, povezane s proračunom agencije ENISA, v skladu s poglavjem IV;

(f)

oceni in sprejme konsolidirano letno poročilo o dejavnostih agencije ENISA, vključno z zaključnim računom in opisom, kako je agencija ENISA dosegla svoje kazalnike uspešnosti, letno poročilo in njegovo oceno do 1. julija naslednjega leta predloži Evropskemu parlamentu, Svetu, Komisiji in Računskemu sodišču ter objavi letno poročilo;

(g)

sprejme finančna pravila, ki se uporabljajo za agencijo ENISA v skladu s členom 32;

(h)

sprejme strategijo za boj proti goljufijam, ki je sorazmerna s tveganji goljufije, upoštevanju analize stroškov in koristi ukrepov, ki jih je treba izvesti;

(i)

sprejme pravila za preprečevanje in upravljanje nasprotij interesov, ki se uporabljajo za njegove člane;

(j)

zagotovi, da se sprejmejo ustrezni nadaljnji ukrepi v zvezi z ugotovitvami in priporočili na podlagi preiskav Evropskega urada za boj proti goljufijam (OLAF) ter različnih notranjih ali zunanjih revizijskih poročil in ocen;

(k)

sprejme svoj poslovnik, vključno s pravili za začasne odločitve o prenosu posameznih nalog v skladu s členom 19(7);

(l)

v zvezi z osebjem agencije ENISA izvaja pooblastila, ki jih Kadrovski predpisi za uradnike (v nadaljnjem besedilu: Kadrovski predpisi za uradnike) in Pogoji za zaposlitev drugih uslužbencev Evropske unije (v nadaljnjem besedilu: Pogoji za zaposlitev drugih uslužbencev), določeni v Uredbi Sveta (EGS, Euratom, ESPJ) št. 259/68 ( 2 ) podeljujejo organu za imenovanja in organu, pooblaščenemu za sklenitev pogodbe o zaposlitvi (v nadaljnjem besedilu: pooblastila organa za imenovanja) v skladu z odstavkom 2 tega člena;

(m)

sprejme izvedbena pravila za Kadrovske predpise za uradnike in Pogoje za zaposlitev drugih uslužbencev v skladu s postopkom iz člena 110 Kadrovskih predpisov za uradnike;

(n)

imenuje izvršnega direktorja in po potrebi podaljša njegov mandat ali ga razreši s položaja v skladu s členom 36;

(o)

imenuje računovodjo, ki je lahko računovodja Komisije in je pri opravljanju svojih dolžnosti popolnoma neodvisen;

(p)

sprejme vse odločitve glede vzpostavitve notranjih struktur agencije ENISA in po potrebi sprememb teh notranjih struktur, pri čemer upošteva potrebe pri dejavnostih agencije ENISA in dobro proračunsko upravljanje;

(q)

odobri vzpostavitev delovnih dogovorov v skladu s členom 7;

(r)

odobri vzpostavitev ali sklenitev delovnih dogovorov v skladu s členom 42.

Upravni odbor v skladu s členom 110 Kadrovskih predpisov ter na podlagi člena 2(1) Kadrovskih predpisov za uradnike in člena 6 Pogojev za zaposlitev drugih uslužbencev sprejme odločitev o prenosu ustreznih pooblastil organa za imenovanja na izvršnega direktorja in določitvi pogojev, pod katerimi se lahko ta prenos pooblastil začasno prekliče. Izvršni direktor lahko nadalje prenese ta pooblastila.

Zaradi izjemnih okoliščin lahko upravni odbor sprejme odločitev o začasnem preklicu prenosa pooblastil organa za imenovanja na izvršnega direktorja in njegovega morebitnega nadaljnjega prenosa pooblastil organa za imenovanja ter jih namesto tega izvaja sam ali jih prenese na enega od svojih članov ali uslužbenca, ki ni izvršni direktor.

Člen 16

Predsednik upravnega odbora

Upravni odbor izmed članov izvoli predsednika in njegovega namestnika z dvotretjinsko večino glasov članov. Njun mandat traja štiri leta z možnostjo enkratnega podaljšanja. Če njuno članstvo v upravnem odboru preneha kadar koli med njunim mandatom, na isti datum samodejno preneha tudi njun mandat. Namestnik predsednika po uradni dolžnosti nadomešča predsednika, kadar slednji ne more opravljati svojih dolžnosti.

Člen 17

Seje upravnega odbora

Seje upravnega odbora sklicuje predsednik.

Upravni odbor ima vsaj dve redni seji na leto. Na zahtevo predsednika, Komisije ali najmanj tretjine svojih članov se sestane tudi na izrednih sejah.

Izvršni direktor se udeležuje sej upravnega odbora, vendar nima glasovalne pravice.

Člani svetovalne skupine agencije ENISA lahko na povabilo predsednika sodelujejo na sejah upravnega odbora, vendar nimajo glasovalne pravice.

Članom upravnega odbora in njihovim namestnikom lahko na sejah upravnega odbora pomagajo svetovalci ali strokovnjaki, če to omogoča poslovnik upravnega odbora.

Agencija ENISA upravnemu odboru zagotovi sekretariat.

Člen 18

Pravila glasovanja v upravnem odboru

Upravni odbor sprejema odločitve z večino svojih članov.

Dvotretjinska večina članov upravnega odbora je potrebna za sprejetje enotnega programskega dokumenta in letnega proračuna ter za imenovanje, podaljšanje mandata ali razrešitev izvršnega direktorja.

Vsak član ima en glas. V odsotnosti člana ima glasovalno pravico njegov namestnik.

Predsednik upravnega odbora se udeleži glasovanja.

Izvršni direktor se glasovanja ne udeleži.

V poslovniku upravnega odbora se natančneje določijo pravila glasovanja, zlasti pogoji, pod katerimi lahko član deluje v imenu drugega člana.

Oddelek 2

Izvršni odbor

Člen 19

Izvršni odbor

Upravnemu odboru pomaga izvršni odbor.

Izvršni odbor:

(a)

pripravlja odločitve, ki jih sprejme upravni odbor;

(b)

skupaj z upravnim odborom zagotovi ustrezne nadaljnje ukrepe v zvezi z ugotovitvami in priporočili na podlagi preiskav urada OLAF ter različnih notranjih ali zunanjih revizijskih poročil in ocen;

(c)

brez poseganja v odgovornosti izvršnega direktorja iz člena 20 pomaga in svetuje izvršnemu direktorju pri izvajanju odločitev upravnega odbora o upravnih in proračunskih zadevah na podlagi člena 20.

Izvršni odbor sestavlja pet članov. Ti so imenovani izmed članov upravnega odbora. Eden od članov je predsednik upravnega odbora, ki lahko predseduje tudi izvršnemu odboru, eden od članov pa je predstavnik Komisije. Pri imenovanju članov izvršnega odbora se prizadeva zagotoviti uravnoteženo zastopanost spolov v izvršnem odboru. Izvršni direktor se udeležuje sej izvršnega odbora, vendar nima glasovalne pravice.

Mandat članov izvršnega odbora traja štiri leta. Ta mandat se lahko podaljša.

Izvršni odbor se sestane vsaj enkrat na tri mesece. Predsednik izvršnega odbora na zahtevo njegovih članov skliče dodatne seje.

Upravni odbor določi poslovnik izvršnega odbora.

Izvršni odbor lahko po potrebi in v nujnih primerih sprejme določene začasne odločitve v imenu upravnega odbora, zlasti o zadevah v zvezi z upravnim poslovodenjem, vključno z začasnim preklicem prenosa pooblastil organa za imenovanja in proračunskimi zadevami. Vse takšne začasne odločitve se brez nepotrebnega odlašanja sporočijo upravnemu odboru. Upravni odbor se potem odloči, ali odobri oziroma zavrne začasno odločitev, najpozneje tri mesece po sprejetju odločitve. Izvršni odbor v imenu upravnega odbora ne sprejema odločitev, za sprejetje katerih je potrebna dvotretjinska večina članov upravnega odbora.

Oddelek 3

Izvršni direktor

Člen 20

Dolžnosti izvršnega direktorja

Agencijo ENISA upravlja izvršni direktor, ki svoje dolžnosti opravlja neodvisno. Izvršni direktor odgovarja upravnemu odboru.

Izvršni direktor na poziv poroča Evropskemu parlamentu o opravljanju svojih dolžnosti. Svet lahko izvršnega direktorja pozove, naj poroča o opravljanju svojih dolžnosti.

Izvršni direktor je odgovoren za:

(a)

vsakodnevno upravljanje agencije ENISA;

(b)

izvajanje odločitev, ki jih sprejme upravni odbor;

(c)

pripravo osnutka enotnega programskega dokumenta in njegovo predložitev v odobritev upravnemu odboru, preden se predloži Komisiji;

(d)

izvajanje enotnega programskega dokumenta in poročanje upravnemu odboru o njem;

(e)

pripravo konsolidiranega letnega poročila o dejavnostih agencije ENISA, vključno z izvajanjem letnega delovnega programa, ter njegovo predložitev v oceno in sprejetje upravnemu odboru;

(f)

pripravo akcijskega načrta ob upoštevanju zaključkov naknadnih ocen in poročanje Komisiji o napredku vsaki dve leti;

(g)

pripravo akcijskega načrta ob upoštevanju zaključkov notranjih ali zunanjih revizijskih poročil in preiskav urada OLAF ter poročanje o napredku, in sicer Komisiji dvakrat letno, upravnemu odboru pa redno;

(h)

pripravo osnutka finančnih pravil, ki se uporabljajo za agencijo ENISA iz člena 32;

(i)

pripravo osnutka poročila o oceni prihodkov in odhodkov agencije ENISA ter izvrševanje njenega proračuna;

(j)

zaščito finančnih interesov Unije z uporabo preventivnih ukrepov proti goljufijam, korupciji in kakršnim koli drugim nezakonitim dejavnostim z učinkovitimi pregledi ter, v primeru ugotovitve nepravilnosti, z izterjavo nepravilno izplačanih zneskov ter po potrebi z učinkovitimi, sorazmernimi in odvračalnimi upravnimi in denarnimi kaznimi;

(k)

pripravo strategije agencije ENISA za boj proti goljufijam in njeno predložitev v odobritev upravnemu odboru;

(l)

vzpostavljanje in ohranjanje stika s poslovno skupnostjo in potrošniškimi organizacijami za zagotavljanje rednega dialoga z ustreznimi deležniki;

(m)

redno izmenjavo mnenj in informacij z institucijami, organi, uradi in agencijami Unije v zvezi z njihovimi dejavnostmi, povezanimi s kibernetsko varnostjo, da se zagotovi skladnost pri razvoju in izvajanju politike Unije;

(n)

izvajanje drugih nalog, ki so izvršnemu direktorju dodeljene s to uredbo.

Izvršni direktor lahko po potrebi ter v okviru s cilji in nalogami agencije ENISA ustanovi ad hoc delovne skupine, ki jih sestavljajo strokovnjaki, vključno s strokovnjaki iz pristojnih organov držav članic. Izvršni direktor o tem vnaprej obvesti upravni odbor. Postopki, ki se nanašajo zlasti na sestavo delovnih skupin, imenovanje strokovnjakov delovnih skupin s strani izvršnega direktorja in delovanje delovnih skupin, se določijo v statutu agencije ENISA.

Izvršni direktor lahko za učinkovito in uspešno izvajanje nalog agencije ENISA ter na podlagi ustrezne analize stroškov in koristi po potrebi odloči, da se ustanovi en ali več lokalnih uradov v eni ali več državah članicah. Izvršni direktor pred odločitvijo o ustanovitvi lokalnega urada zaprosi za mnenje zadevne države članice, vključno z državo članico, v kateri je sedež agencije ENISA, ter pridobi predhodno soglasje Komisije in upravnega odbora. V primeru nesoglasja v posvetovalnem postopku med izvršnim direktorjem in zadevnimi državami članicami o zadevi razpravlja Svet. Skupno število zaposlenih v vseh lokalnih uradih mora biti čim manjše in ne sme presegati 40 % skupnega števila osebja agencije ENISA v državi članici, v kateri je sedež agencije ENISA. Število zaposlenih v posameznem lokalnem uradu ne sme presegati 10 % skupnega števila osebja agencije ENISA v državi članici, v kateri je sedež agencije ENISA.

Z odločitvijo o ustanovitvi lokalnega urada se določi obseg dejavnosti, ki naj bi se izvajale v zadevnem lokalnem uradu, in sicer tako, da se preprečijo nepotrebni stroški in podvajanje upravnih funkcij agencije ENISA.

Oddelek 4

Svetovalna skupina agencije ENISA, certifikacijska skupina deležnikov za kibernetsko varnost in mreža nacionalnih uradnikov za zvezo

Člen 21

Svetovalna skupina agencije ENISA

Na predlog izvršnega direktorja upravni odbor na pregleden način ustanovi svetovalno skupino agencije ENISA, ki jo sestavljajo priznani strokovnjaki, ki zastopajo ustrezne deležnike, kot so predstavniki industrije IKT, ponudniki elektronskih komunikacijskih omrežij ali storitev, dostopnih javnosti, MSP, izvajalci bistvenih storitev, skupine potrošnikov, znanstveniki s področja kibernetske varnosti in predstavniki pristojnih organov, ki so uradno obveščeni v skladu z Direktivo (EU) 2018/1972, evropske organizacije za standardizacijo ter organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj ter nadzorni organi za varstvo podatkov. Upravni odbor si prizadeva zagotoviti uravnoteženo zastopanost spolov in geografskih območij, pa tudi ravnovesje med različnimi skupinami deležnikov.

Postopki svetovalne skupine agencije ENISA, ki se nanašajo zlasti na njeno sestavo, predlog s strani izvršnega direktorja iz odstavka 1, število in imenovanje njenih članov ter delovanje svetovalne skupine ENISA, se določijo v statutu agencije ENISA in objavijo.

Svetovalni skupini agencije ENISA predseduje izvršni direktor ali katera koli oseba, ki jo izvršni direktor imenuje za vsak primer posebej.

Mandat članov svetovalne skupine agencije ENISA traja dve leti in pol. Člani upravnega odbora ne smejo biti člani svetovalne skupine agencije ENISA. Strokovnjaki iz Komisije in držav članic imajo pravico biti prisotni na sejah svetovalne skupine agencije ENISA in sodelovati pri njenem delu. Na seje svetovalne skupine agencije ENISA in k sodelovanju pri njenem delu so lahko povabljeni predstavniki drugih organov, ki niso člani svetovalne skupine agencije ENISA, za katere izvršni direktor meni, da so relevantni.

Svetovalna skupina agencije ENISA svetuje agenciji ENISA v zvezi z opravljanjem njenih nalog, razen glede uporabe določb naslova III te uredbe. Zlasti svetuje izvršnemu direktorju pri pripravi predloga letnega delovnega programa agencije ENISA in pri komuniciranju z ustreznimi deležniki o zadevah, ki se nanašajo na letni delovni program.

Svetovalna skupina agencije ENISA o svojih dejavnostih redno obvešča upravni odbor.

Člen 22

Certifikacijska skupina deležnikov za kibernetsko varnost

Ustanovi se certifikacijska skupina deležnikov za kibernetsko varnost.

Certifikacijsko skupino deležnikov za kibernetsko varnost sestavljajo člani, izbrani izmed priznanih strokovnjakov, ki zastopajo ustrezne deležnike. Komisija člane certifikacijske skupine deležnikov za kibernetsko varnost izbere na predlog agencije ENISA prek preglednega in odprtega razpisa, pri čemer zagotovi ravnovesje med različnimi skupinami deležnikov ter uravnoteženo zastopanost spolov in geografskih območij.

Certifikacijska skupina deležnikov za kibernetsko varnost:

(a)

svetuje Komisiji glede strateških vprašanj v zvezi z evropskim certifikacijskim okvirom za kibernetsko varnost;

(b)

agenciji ENISA na zahtevo svetuje glede splošnih in strateških vprašanj v zvezi z nalogami agencije ENISA, ki se nanašajo na trg, certificiranje kibernetske varnosti in standardizacijo;

(c)

Komisiji pomaga pri pripravi tekočega delovnega programa Unije iz člena 47;

(d)

izda mnenje o tekočem delovnem programu Unije na podlagi člena 47(4) in

(e)

v nujnih primerih svetuje Komisiji in evropski certifikacijski skupini za kibernetsko varnost glede potrebe po dodatnih certifikacijskih shemah, ki niso vključene v tekoči delovni program Unije, kot je navedeno v členih 47 in 48.

Certifikacijski skupini deležnikov sopredsedujeta predstavnika Komisije in agencije ENISA, sekretariat pa zagotovi agencija ENISA.

Člen 23

Mreža nacionalnih uradnikov za zvezo

Upravni odbor na predlog izvršnega direktorja ustanovi mrežo nacionalnih uradnikov za zvezo, ki jo sestavljajo predstavniki vseh držav članic (v nadaljnjem besedilu: nacionalni uradniki za zvezo). Vsaka država članica imenuje enega predstavnika v mrežo nacionalnih uradnikov za zvezo. Sestanki mreže nacionalnih uradnikov za zvezo lahko potekajo v različnih sestavah strokovnjakov.

Mreža nacionalnih uradnikov za zvezo predvsem omogoča lažjo izmenjavo informacij med agencijo ENISA in državami članicami ter podpira agencijo ENISA pri razširjanju njenih dejavnosti, ugotovitev in priporočil zadevnim deležnikom po vsej Uniji.

Nacionalni uradniki za zvezo delujejo kot kontaktne točke na nacionalni ravni, da se olajša sodelovanje med agencijo ENISA in nacionalnimi strokovnjaki v okviru izvajanja letnega delovnega programa agencije ENISA.

Medtem ko nacionalni uradniki za zvezo tesno sodelujejo s predstavniki svojih držav članic v upravnem odboru, pa mreža nacionalnih uradnikov za zvezo sama ne podvaja dela upravnega odbora ali drugih forumov Unije.

Funkcije in postopki mreže nacionalnih uradnikov za zvezo se določijo v statutu agencije ENISA in se objavijo.

Oddelek 5

Delovanje

Člen 24

Enotni programski dokument

Agencija ENISA deluje v skladu z enotnim programskim dokumentom, ki zajema letni in večletni program dejavnosti ter vsebuje vse načrtovane dejavnosti.

Izvršni direktor vsako leto pripravi osnutek enotnega programskega dokumenta, ki zajema letni in večletni program dejavnosti ter ustrezno načrtovanje finančnih in človeških virov v skladu s členom 32 Delegirane uredbe Komisije (EU) št. 1271/2013 ( 3 ), pri čemer upošteva smernice Komisije.

Upravni odbor do 30. novembra vsako leto sprejme enotni programski dokument iz odstavka 1 in ga pošlje Evropskemu parlamentu, Svetu in Komisiji do 31. januarja naslednje leto, pošlje pa tudi morebitne pozneje posodobljene različice navedenega dokumenta.

Enotni programski dokument postane dokončen po dokončnem sprejetju splošnega proračuna Unije in se po potrebi prilagodi.

Letni delovni program vsebuje podrobne cilje in pričakovane rezultate, vključno s kazalniki uspešnosti. Vsebuje tudi opis ukrepov, ki se bodo financirali, ter navedbo finančnih in človeških virov, dodeljenih vsakemu ukrepu, v skladu z načeli oblikovanja in upravljanja proračuna po dejavnostih. Letni delovni program je skladen z večletnim delovnim programom iz odstavka 7. V njem so jasno navedene naloge, ki so bile v primerjavi s predhodnim proračunskim letom dodane, spremenjene ali črtane.

Upravni odbor spremeni sprejeti letni delovni program, kadar se agenciji ENISA dodeli nova naloga. Vse bistvene spremembe letnega delovnega programa se sprejmejo po enakem postopku kot prvotni letni delovni program. Upravni odbor lahko na izvršnega direktorja prenese pooblastilo, da v letni delovni program vnese nebistvene spremembe.

Večletni delovni program določa splošno strateško načrtovanje, vključno s cilji, pričakovanimi rezultati in kazalniki uspešnosti. Določa tudi načrtovanje virov, vključno z večletnim proračunom in osebjem.

Načrtovanje virov se letno posodablja. Strateško načrtovanje dejavnosti se posodablja po potrebi, zlasti zaradi upoštevanja rezultatov ocene iz člena 67.

Člen 25

Izjava o interesih

Člani upravnega odbora, izvršni direktor in iz držav članic začasno napoteni uradniki podajo izjavo o zavezah in izjavo, v kateri navedejo, ali imajo ali nimajo neposrednih ali posrednih interesov, ki bi lahko ogrozili njihovo neodvisnost. Izjavi sta natančni in izčrpni, se pisno podata vsako leto in se po potrebi posodobita.

Člani upravnega odbora, izvršni direktor in zunanji strokovnjaki, ki sodelujejo v ad hoc delovnih skupinah, najpozneje na začetku vsake seje podajo natančno in izčrpno izjavo o kakršnih koli interesih, ki bi lahko ogrozili njihovo neodvisnost pri obravnavi točk dnevnega reda, ter se vzdržijo sodelovanja pri razpravah in glasovanja o takih točkah.

Agencija ENISA v statutu določi praktično ureditev za pravila o izjavah o interesih iz odstavkov 1 in 2.

Člen 26

Preglednost

Agencija ENISA svoje dejavnosti izvaja z visoko stopnjo preglednosti in v skladu s členom 28.

Agencija ENISA zagotovi, da javnost in vse zainteresirane strani dobijo ustrezne, objektivne, zanesljive in lahko dostopne informacije, zlasti glede rezultatov njenega dela. Objavi tudi izjave o interesih, ki so bile podane v skladu s členom 25.

Upravni odbor lahko na predlog izvršnega direktorja dovoli, da zainteresirane strani pri nekaterih dejavnostih agencije ENISA sodelujejo kot opazovalci.

Agencija ENISA v statutu določi praktično ureditev za izvajanje pravil o preglednosti iz odstavkov 1 in 2.

Člen 27

Zaupnost

Brez poseganja v člen 28 Agencija ENISA tretjim stranem ne razkrije informacij, ki jih obdeluje ali prejme in v zvezi s katerimi je bilo z obrazložitvijo zahtevano, da se z njimi ravna zaupno.

Člani upravnega odbora, izvršni direktor, člani svetovalne skupine agencije ENISA, zunanji strokovnjaki, ki sodelujejo v ad hoc delovnih skupinah, in osebje agencije ENISA, vključno z iz držav članic začasno napoteni uradniki, upoštevajo zahteve glede zaupnosti v skladu s členom 339 PDEU tudi po prenehanju opravljanja svojih dolžnosti.

Agencija ENISA v statutu določi praktično ureditev za izvajanje pravil o zaupnosti iz odstavkov 1 in 2.

Upravni odbor agenciji ENISA dovoli, da ravna z zaupnimi informacijami, če je to potrebno za izvajanje nalog agencije ENISA. V tem primeru agencija ENISA v soglasju s Komisijo sprejme varnostna pravila, pri čemer upošteva varnostna načela iz sklepov Komisije (EU, Euratom) 2015/443 ( 4 ) in 2015/444 ( 5 ). Navedena varnostna pravila vključujejo določbe za izmenjavo, obdelavo in hrambo tajnih podatkov.

Člen 28

Dostop do dokumentov

Za dokumente agencije ENISA se uporablja Uredba (ES) št. 1049/2001.

Upravni odbor do 28. decembra 2019 sprejme ureditev za izvajanje Uredbe (ES) št. 1049/2001.

Zoper odločitve, ki jih agencija ENISA sprejme na podlagi člena 8 Uredbe (ES) št. 1049/2001, je v skladu s členom 228 PDEU možna pritožba pri Evropskem varuhu človekovih pravic ali tožba pred Sodiščem Evropske unije v skladu s členom 263 PDEU.

POGLAVJE IV

Določitev in sestava proračuna agencije ENISA

Člen 29

Določitev proračuna agencije ENISA

Izvršni direktor vsako leto pripravi osnutek poročila o oceni prihodkov in odhodkov agencije ENISA za naslednje proračunsko leto in ga skupaj z osnutkom kadrovskega načrta pošlje upravnemu odboru. Prihodki in odhodki so uravnoteženi.

Upravni odbor vsako leto na podlagi osnutka poročila o oceni pripravi poročilo o oceni prihodkov in odhodkov agencije ENISA za naslednje proračunsko leto.

Upravni odbor vsako leto do 31. januarja pošlje poročilo o oceni, ki je del osnutka enotnega programskega dokumenta, Komisiji in tretjim državam, s katerimi je Unija sklenila sporazume, kot je določeno v členu 42(2).

Komisija na podlagi poročila o oceni v osnutek splošnega proračuna Unije, ki ga predloži Evropskemu parlamentu in Svetu v skladu s členom 314 PDEU, vnese ocene, ki so po njenem mnenju potrebne za kadrovski načrt, in znesek prispevka v breme splošnega proračuna Unije.

Evropski parlament in Svet odobrita proračunska sredstva za prispevek Unije, namenjen agenciji ENISA.

Evropski parlament in Svet sprejmeta kadrovski načrt agencije ENISA.

Upravni odbor sprejme proračun agencije ENISA skupaj z enotnim programskim dokumentom. Proračun agencije ENISA je dokončen po dokončnem sprejetju splošnega proračuna Unije. Upravni odbor po potrebi prilagodi proračun in enotni programski dokument agencije ENISA v skladu s splošnim proračunom Unije.

Člen 30

Sestava proračuna agencije ENISA

Prihodki agencije ENISA brez poseganja v druge vire zajemajo:

(a)

prispevek iz splošnega proračuna Unije;

(b)

prihodke, dodeljene za posebne odhodkovne postavke v skladu z njenimi finančnimi pravili iz člena 32;

(c)

sredstva Unije v obliki sporazumov o prenosu pooblastil ali ad hoc nepovratnih sredstev v skladu z njenimi finančnimi pravili iz člena 32 in določbami zadevnih instrumentov, ki podpirajo politike Unije;

(d)

prispevke iz tretjih držav, ki sodelujejo pri delu agencije ENISA, kot je določeno v členu 42;

(e)

vse prostovoljne prispevke držav članic, denarne ali v naravi.

Države članice, ki zagotovijo prostovoljne prispevke v skladu s točko (e) prvega pododstavka, v zameno za to ne smejo zahtevati nobenih posebnih pravic ali storitev.

Odhodke agencije ENISA sestavljajo odhodki za osebje, upravno in tehnično podporo, infrastrukturo in poslovanje ter odhodki, ki izhajajo iz pogodb s tretjimi stranmi.

Člen 31

Izvrševanje proračuna agencije ENISA

Za izvrševanje proračuna agencije ENISA je odgovoren izvršni direktor.

Notranji revizor Komisije ima za agencijo ENISA enaka pooblastila kot za oddelke Komisije.

Računovodja agencije ENISA do 1. marca po vsakem proračunskem letu (leto N + 1) računovodji Komisije in Računskemu sodišču pošlje začasni zaključni račun za proračunsko leto (leto N).

Računovodja agencije ENISA po prejemu pripomb Računskega sodišča k začasnemu zaključnemu računu agencije ENISA v skladu s členom 246 Uredbe (EU, Euratom) 2018/1046 Evropskega parlamenta in Sveta ( 6 ) pripravi končni zaključni račun agencije ENISA na lastno odgovornost in ga predloži v mnenje upravnemu odboru.

Upravni odbor izda mnenje o zaključnem računu agencije ENISA.

Izvršni direktor do 31. marca leta N + 1 Evropskemu parlamentu, Svetu, Komisiji in Računskemu sodišču pošlje poročilo o upravljanju proračuna in finančnem poslovodenju.

Računovodja agencije ENISA do 1. julija leta N + 1 Evropskemu parlamentu, Svetu, računovodji Komisije in Računskemu sodišču pošlje končni zaključni račun agencije ENISA skupaj z mnenjem upravnega odbora.

Računovodja agencije ENISA pošlje Računskemu sodišču in v vednost računovodji Komisije na isti dan, ko pošlje končni zaključni račun agencije ENISA, tudi spremni dopis z dodatnimi obrazložitvami k temu računu.

Izvršni direktor do 15. novembra leta N + 1 objavi končni zaključni račun agencije ENISA v Uradnem listu Evropske unije.

10.

Izvršni direktor do 30. septembra leta N + 1 Računskemu sodišču pošlje odgovor na njegove pripombe, upravnemu odboru in Komisiji pa pošlje izvod tega odgovora.

11.

Izvršni direktor Evropskemu parlamentu na njegovo zahtevo v skladu s členom 261(3) Uredbe (EU, Euratom) 2018/1046 predloži vse informacije, potrebne za nemoten potek postopka razrešnice za zadevno proračunsko leto.

12.

Na priporočilo Sveta Evropski parlament izvršnemu direktorju pred 15. majem leta N + 2 podeli razrešnico za izvrševanje proračuna za leto N.

Člen 32

Finančna pravila

Finančna pravila, ki se uporabljajo za agencijo ENISA, sprejme upravni odbor po posvetovanju s Komisijo. Pravila ne odstopajo od Delegirane uredbe (EU) št. 1271/2013, razen če je tako odstopanje posebej potrebno za delovanje agencije ENISA in je Komisija dala predhodno soglasje.

Člen 33

Boj proti goljufijam

Da bi olajšali boj proti goljufijam, korupciji in drugim nezakonitim dejavnostim v skladu z Uredbo (EU, Euratom) št. 883/2013 Evropskega parlamenta in Sveta ( 7 ) agencija ENISA do 28. decembra 2019 pristopi k Medinstitucionalnemu sporazumu z dne 25. maja 1999 med Evropskim parlamentom, Svetom Evropske unije in Komisijo Evropskih skupnosti notranjih preiskavah Evropskega urada za boj proti goljufijam (OLAF) ( 8 ). Agencija ENISA sprejme ustrezne predpise, ki se uporabljajo za vse zaposlene agencije ENISA, pri čemer uporabi obrazec iz Priloge k navedenemu sporazumu.

Računsko sodišče je pooblaščeno za izvajanje revizij na podlagi dokumentacije in inšpekcij na kraju samem pri vseh upravičencih do nepovratnih sredstev, izvajalcih in podizvajalcih, ki so od agencije ENISA prejeli sredstva Unije.

Urad OLAF lahko izvaja preiskave, vključno s pregledi in inšpekcijami na kraju samem, v skladu z določbami in postopki iz Uredbe (EU, Euratom) št. 883/2013 ter Uredbe Sveta (Euratom, ES) št. 2185/96 ( 9 ), da bi ugotovil, ali je prišlo do goljufije, korupcije ali katere koli druge nezakonite dejavnosti, ki vpliva na finančne interese Unije v povezavi z nepovratnimi sredstvi ali pogodbo, ki jo je financirala agencija ENISA.

Brez poseganja v odstavke 1, 2 in 3 sporazumi o sodelovanju s tretjimi državami ali mednarodnimi organizacijami, pogodbe, sporazumi in sklepi o nepovratnih sredstvih agencije ENISA vsebujejo določbe, s katerimi Računsko sodišče in urad OLAF izrecno pooblaščajo za izvajanje takšnih revizij in preiskav v skladu z njunimi pristojnostmi.

POGLAVJE V

Osebje

Člen 34

Splošne določbe

Za osebje agencije ENISA veljajo Kadrovski predpisi za uradnike in Pogoji za zaposlitev drugih uslužbencev ter pravila za izvajanje Kadrovskih predpisov za uradnike in Pogojev za zaposlitev drugih uslužbencev, sprejeta z dogovorom med institucijami Unije.

Člen 35

Privilegiji in imunitete

Za agencijo ENISA in njeno osebje se uporablja Protokol št. 7 o privilegijih in imunitetah Evropske unije, ki je priložen PEU in PDEU.

Člen 36

Izvršni direktor

Izvršni direktor je zaposlen kot začasni uslužbenec agencije ENISA v skladu s točko (a) člena 2 Pogojev za zaposlitev drugih uslužbencev.

Izvršnega direktorja na podlagi odprtega in preglednega izbirnega postopka imenuje upravni odbor s seznama kandidatov, ki ga predlaga Komisija.

Agencijo ENISA pri sklenitvi pogodbe o zaposlitvi z izvršnim direktorjem zastopa predsednik upravnega odbora.

Kandidat, ki ga izbere upravni odbor, je pred imenovanjem pozvan, da pred zadevnim odborom Evropskega parlamenta poda izjavo in odgovarja na vprašanja poslancev.

Mandat izvršnega direktorja traja pet let. Komisija do konca tega obdobja pripravi oceno uspešnosti dela izvršnega direktorja ter prihodnjih nalog in izzivov agencije ENISA.

Upravni odbor sprejme odločitve o imenovanju, podaljšanju mandata ali razrešitvi izvršnega direktorja v skladu s členom 18(2).

Upravni odbor lahko na predlog Komisije, ki upošteva oceno iz odstavka 5, podaljša mandat izvršnega direktorja enkrat za pet let.

Upravni odbor obvesti Evropski parlament, da namerava podaljšati mandat izvršnega direktorja. Izvršni direktor v treh mesecih pred vsakim takim podaljšanjem mandata na poziv poda izjavo pred zadevnim odborom Evropskega parlamenta in odgovarja na vprašanja poslancev.

Izvršni direktor, katerega mandat je bil podaljšan, ne sme sodelovati pri drugem izbirnem postopku za isto delovno mesto.

10.

Izvršni direktor se lahko razreši samo z odločitvijo upravnega odbora, sprejeto na predlog Komisije.

Člen 37

Napoteni nacionalni strokovnjaki in drugo osebje

Agencija ENISA lahko uporabi napotene nacionalne strokovnjake ali drugo osebje, ki ni zaposleno v agenciji ENISA. Za to osebje ne veljajo Kadrovski predpisi za uradnike in Pogoji za zaposlitev drugih uslužbencev.

Upravni odbor sprejme sklep, v katerem določi pravila za napotitev nacionalnih strokovnjakov na agencijo ENISA.

POGLAVJE VI

Splošne določbe v zvezi z agencijo ENISA

Člen 38

Pravni status agencije ENISA

Agencija ENISA je organ Unije in ima pravno osebnost.

Agencija ENISA ima v vseh državah članicah kar najširšo pravno in poslovno sposobnost, ki jo pravnim osebam priznava nacionalno pravo. Zlasti lahko pridobiva premičnine in nepremičnine ali z njimi razpolaga ter je lahko stranka v sodnem postopku ali oboje.

Agencijo ENISA zastopa izvršni direktor.

Člen 39

Odgovornost agencije ENISA

Pogodbeno odgovornost agencije ENISA ureja pravo, ki se uporablja za zadevno pogodbo.

Za odločanje na podlagi katere koli arbitražne klavzule iz pogodb, ki jih sklene agencija ENISA, je pristojno Sodišče Evropske unije.

Pri nepogodbeni odgovornosti agencija ENISA povrne vsakršno škodo, ki jo pri opravljanju nalog povzroči sama ali jo povzročijo njeni uslužbenci, v skladu s splošnimi načeli, ki so skupni zakonodaji držav članic.

Sodišče Evropske unije je pristojno za odločanje v vseh odškodninskih sporih za škodo iz odstavka 3.

Osebno odgovornost uslužbencev agencije ENISA do agencije ENISA urejajo ustrezni pogoji, ki se uporabljajo za osebje agencije ENISA.

Člen 40

Jezikovna ureditev

Za agencijo ENISA se uporablja Uredba Sveta št. 1 ( 10 ). Države članice in drugi organi, ki jih imenujejo države članice, lahko pišejo agenciji ENISA in prejmejo odgovor v uradnem jeziku institucij Unije, ki ga izberejo.

Prevajalske storitve, potrebne za delovanje agencije ENISA, zagotavlja Prevajalski center za organe Evropske unije.

Člen 41

Varstvo osebnih podatkov

Agencija ENISA obdeluje osebne podatke v skladu z Uredbo (EU) 2018/1725.

Upravni odbor sprejme izvedbena pravila iz člena 45(3) Uredbe (EU) 2018/1725. Upravni odbor lahko sprejme dodatne ukrepe, ki so potrebni, da agencija ENISA uporablja Uredbo (EU) 2018/1725.

Člen 42

Sodelovanje s tretjimi državami in mednarodnimi organizacijami

Agencija ENISA lahko sodeluje s pristojnimi organi tretjih držav ali mednarodnimi organizacijami ali obojimi, kolikor je to potrebno za dosego ciljev iz te uredbe. V ta namen lahko agencija ENISA na podlagi predhodne odobritve Komisije vzpostavi delovne dogovore z organi tretjih držav in mednarodnimi organizacijami. Ti delovni dogovori ne ustvarjajo novih pravnih obveznosti za Unijo in njene države članice.

Agencija ENISA je odprta za udeležbo tretjih držav, ki so v ta namen z Unijo sklenile sporazume. Na podlagi ustreznih določb teh sporazumov se vzpostavijo delovni dogovori, v katerih so določeni zlasti značaj, obseg in način udeležbe vsake izmed teh tretjih držav pri delu agencije ENISA, ter vključujejo določbe glede udeležbe pri pobudah agencije ENISA, finančnih prispevkov in osebja. Glede kadrovskih zadev so ti delovni dogovori v vseh pogledih skladni s Kadrovskimi predpisi za uradnike in Pogoji za zaposlitev drugih uslužbencev.

Upravni odbor sprejme strategijo o odnosih s tretjimi državami in mednarodnimi organizacijami glede vprašanj, ki so v pristojnosti agencije ENISA. Komisija zagotovi, da agencija ENISA deluje v skladu s svojim mandatom in veljavnim institucionalnim okvirom, tako da z izvršnim direktorjem sklene ustrezne delovne dogovore.

Člen 43

Varnostni predpisi za varovanje občutljivih netajnih podatkov in tajnih podatkov

Agencija ENISA po posvetovanju s Komisijo sprejme varnostne predpise, ki upoštevajo varnostna načela, vsebovana v varnostnih predpisih Komisije za varovanje občutljivih netajnih podatkov in tajnih podatkov Evropske unije, kot so določeni v sklepih (EU, Euratom) 2015/443 in 2015/444. Varnostni predpisi agencije ENISA vsebujejo določbe o izmenjavi, obdelavi in hrambi takih podatkov.

Člen 44

Sporazum o sedežu in pogoji delovanja

Potrebni dogovori glede namestitve, ki jo je treba agenciji ENISA zagotoviti v državi članici gostiteljici, in infrastrukture, ki ji jo navedena država članica da na voljo, ter posebni predpisi, ki v državi članici gostiteljici veljajo za izvršnega direktorja, člane upravnega odbora, osebje agencije ENISA in njihove družinske člane, so določeni v sporazumu o sedežu, ki ga agencija ENISA in država članica gostiteljica skleneta po pridobitvi odobritve upravnega odbora.

Država članica gostiteljica agencije ENISA zagotovi optimalne pogoje za zagotovitev uspešnega delovanja agencije ENISA, ob upoštevanju dostopnosti lokacije, obstoja ustreznih šol za otroke uslužbencev ter ustreznega dostopa do trga dela, socialne varnosti in zdravstvenega varstva za otroke in zakonce članov osebja.

Člen 45

Upravni nadzor

Delovanje agencije ENISA nadzoruje Evropski varuh človekovih pravic v skladu s členom 228 PDEU.

NASLOV III

CERTIFIKACIJSKI OKVIR ZA KIBERNETSKO VARNOST

▼M1

Člen 46

Evropski certifikacijski okvir za kibernetsko varnost

Evropski certifikacijski okvir za kibernetsko varnost se vzpostavi za izboljšanje pogojev za delovanje notranjega trga z zvišanjem ravni kibernetske varnosti v Uniji in omogočanjem harmoniziranega pristopa na ravni Unije glede evropskih certifikacijskih shem za kibernetsko varnost, da bi se oblikoval enotni digitalni trg za proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve.

Evropski certifikacijski okvir za kibernetsko varnost zagotavlja mehanizem za vzpostavitev evropskih certifikacijskih shem za kibernetsko varnost in za potrjevanje, da proizvodi IKT, storitve IKT in postopki IKT, ki so bili ocenjeni v skladu s takimi shemami, izpolnjujejo določene varnostne zahteve, da se zaščitijo razpoložljivost, pristnost, celovitost ali zaupnost shranjenih, prenesenih ali obdelanih podatkov ali funkcij ali storitev, ki jih ti proizvodi, storitve in postopki ponujajo ali so prek njih dostopni v celotnem življenjskem ciklu. Z njim se potrjuje tudi, da upravljane varnostne storitve, ki so bile ocenjene v skladu s takimi shemami, izpolnjujejo določene varnostne zahteve, da se zaščitijo razpoložljivost, pristnost, celovitost in zaupnost podatkov, do katerih se dostopa ali ki se obdelujejo, shranjujejo ali prenašajo v zvezi z izvajanjem teh storitev, ter da te storitve vedno izvaja osebje z ustreznimi kompetencami, strokovnim znanjem in izkušnjami ter zadostno in primerno ravnjo ustreznega tehničnega znanja in poklicne integritete.

▼B

Člen 47

Tekoči delovni program Unije za evropsko certificiranje kibernetske varnosti

Komisija objavi tekoči delovni program Unije za evropsko certificiranje kibernetske varnosti (v nadaljnjem besedilu: tekoči delovni program Unije), v katerem so opredeljene strateške prednostne naloge za prihodnje evropske certifikacijske sheme za kibernetsko varnost.

▼M1

Tekoči delovni program Unije vključuje predvsem seznam proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev ali njihovih kategorij, za katere je lahko koristno, če so vključeni v področje uporabe evropske certifikacijske sheme za kibernetsko varnost.

Vključitev posameznih proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev ali njihovih kategorij v tekoči delovni program Unije se utemelji z enim ali več od naslednjih razlogov:

(a)

razpoložljivost in oblikovanje nacionalnih certifikacijskih shem za kibernetsko varnost, ki zajemajo posamezno kategorijo proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev, zlasti kar zadeva tveganje razdrobljenosti;

▼B

(b)

ustrezna politika ali pravo Unije ali nacionalna politika ali pravo;

(c)

povpraševanje na trgu;

▼M1

(ca)

tehnološki razvoj ter razpoložljivost in razvoj mednarodnih certifikacijskih shem za kibernetsko varnost ter mednarodnih standardov in standardov, ki jih uporablja industrija;

▼B

(d)

razvoj kibernetskih groženj;

(e)

zahteva za pripravo posebne predloge sheme, ki jo predlaga evropska certifikacijska skupina za kibernetsko varnost.

Komisija ustrezno upošteva mnenja, ki jih glede osnutka tekočega delovnega programa Unije izdata evropska certifikacijska skupina za kibernetsko varnost in certifikacijska skupina deležnikov.

Prvi tekoči delovni program Unije se objavi do 28. junija 2020. Posodablja se vsaj vsaka tri leta in, če je potrebno, pogosteje.

Člen 48

Zahteva za evropsko certifikacijsko shemo za kibernetsko varnost

Komisija lahko od agencije ENISA zahteva, naj pripravi predlogo za shemo ali pregleda obstoječo evropsko certifikacijsko shemo za kibernetsko varnost na podlagi tekočega delovnega programa Unije.

Komisija ali evropska certifikacijska skupina za kibernetsko varnost lahko v ustrezno utemeljenih primerih od agencije ENISA zahteva, naj pripravi predlogo za shemo ali pregleda obstoječo shemo, ki ni vključena v tekoči delovni program Unije. Tekoči delovni program Unije se ustrezno posodobi.

Člen 49

Priprava, sprejetje in pregled evropske certifikacijske sheme za kibernetsko varnost

▼M1

Agencija ENISA na zahtevo Komisije na podlagi člena 48 pripravi predlogo za shemo, ki izpolnjuje veljavne zahteve iz členov 51, 51a, 52 in 54.

Agencija ENISA lahko na zahtevo evropske certifikacijske skupine za kibernetsko varnost na podlagi člena 48(2) pripravi predlogo za shemo, ki izpolnjuje veljavne zahteve iz členov 51, 51a, 52 in 54. Če agencija ENISA tako zahtevo zavrne, mora to obrazložiti. Vsako odločitev o zavrnitvi take zahteve sprejme upravni odbor.

Pri pripravi predloge za shemo se agencija ENISA pravočasno posvetuje z vsemi ustreznimi deležniki v okviru formalnega, odprtega, preglednega in vključujočega posvetovalnega postopka. Agencija ENISA pri posredovanju predloge za shemo Komisiji na podlagi odstavka 6 zagotovi informacije o tem, kako je ravnala v skladu s tem odstavkom.

Agencija ENISA za vsako predlogo za shemo ustanovi ad hoc delovno skupino v skladu s členom 20(4), da agenciji ENISA pomaga s specifičnimi nasveti ter strokovnim znanjem in izkušnjami. Te ad hoc delovne skupine, po potrebi in brez poseganja v postopke in diskrecijsko pravico iz člena 20(4) vključujejo strokovnjake iz javnih uprav držav članic, institucij, organov, uradov in agencij Unije ter iz zasebnega sektorja.

▼B

Agencija ENISA tesno sodeluje z evropsko certifikacijsko skupino za kibernetsko varnost. Ta skupina agenciji ENISA zagotavlja pomoč in strokovno svetovanje pri pripravi predloge za shemo ter sprejme mnenje o predlogi za shemo.

Agencija ENISA v največji možni meri upošteva mnenje evropske certifikacijske skupine za kibernetsko varnost, preden predlogo za shemo, pripravljeno v skladu z odstavki 3, 4 in 5, pošlje Komisiji. Mnenje evropske certifikacijske skupine za kibernetsko varnost za agencijo ENISA ni zavezujoče in agencija ENISA lahko predlogo za shemo pošlje Komisiji tudi brez takega mnenja.

▼M1

Komisija lahko na podlagi predloge za shemo, ki jo pripravi agencija ENISA, sprejme izvedbene akte, ki določajo evropsko certifikacijsko shemo za kibernetsko varnost za proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve, ki izpolnjujejo ustrezne zahteve iz členov 51, 51a, 52 in 54. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 66(2).

▼B

Agencija ENISA najmanj vsakih pet let oceni vsako sprejeto evropsko certifikacijsko shemo za kibernetsko varnost ob upoštevanju povratnih informacij, ki jih prejme od zainteresiranih strani. Komisija ali evropska certifikacijska skupina za kibernetsko varnost lahko po potrebi zaprosi agencijo ENISA, da začne postopek oblikovanja revidirane predloge za shemo v skladu s členom 48 in tem členom.

▼M1

Člen 49a

Informacije in posvetovanje o evropskih certifikacijskih shemah za kibernetsko varnost

Komisija javno objavi informacije o svoji zahtevi agenciji ENISA, naj pripravi predlogo za shemo ali pregleda obstoječo evropsko certifikacijsko shemo za kibernetsko varnost iz člena 48.

V času, ko agencija ENISA na podlagi člena 49 pripravlja predlogo za shemo, lahko Evropski parlament, Svet ali oba od Komisije kot predsedujoče evropski certifikacijski skupini za kibernetsko varnost (ECCG) in agencije ENISA zahtevata, naj vsako četrtletje predstavita ustrezne informacije o osnutku predloge. Agencija ENISA lahko na zahtevo Evropskega parlamenta ali Sveta v soglasju s Komisijo in brez poseganja v člen 27 Evropskemu parlamentu in Svetu da na voljo ustrezne dele osnutka predloge za shemo na način, ki ustreza zahtevani ravni zaupnosti, in, kadar je primerno, v omejenem obsegu.

Da bi se okrepil dialog med institucijami Unije ter da bi se izboljšal formalen, odprt, pregleden in vključujoč posvetovalni postopek, lahko Evropski parlament, Svet ali oba Komisijo in agencijo ENISA pozoveta k razpravi o zadevah v zvezi z delovanjem evropskih certifikacijskih shem za kibernetsko varnost za proizvode IKT, storitve IKT, postopke IKT ali upravljane varnostne storitve.

Kadar je primerno, Komisija pri ocenjevanju te uredbe na podlagi člena 67 upošteva elemente, ki izhajajo iz stališč Evropskega parlamenta in stališč Sveta o zadevah iz odstavka 3 tega člena.

▼B

Člen 50

Spletišče evropskih certifikacijskih shem za kibernetsko varnost

Agencija ENISA vzdržuje posebno spletišče, namenjeno informiranju in obveščanju javnosti o evropskih certifikacijskih shemah za kibernetsko varnost, evropskih certifikatih kibernetske varnosti in izjavah EU o skladnosti, vključno z informacijami v zvezi z evropskimi certifikacijskimi shemami za kibernetsko varnost, ki niso več veljavne, odvzetimi in poteklimi evropskimi certifikati kibernetske varnosti in izjavami EU o skladnosti ter repozitorijem povezav do informacij o kibernetski varnosti, zagotovljenih v skladu s členom 55.

Na spletišču iz odstavka 1 so po potrebi navedene tudi nacionalne certifikacijske sheme za kibernetsko varnost, ki so bile nadomeščene z evropsko certifikacijsko shemo za kibernetsko varnost.

Člen 51

▼M1

Varnostni cilji evropskih certifikacijskih shem za kibernetsko varnost za proizvode IKT, storitve IKT in postopke IKT

Evropska certifikacijska shema za kibernetsko varnost za proizvode IKT, storitve IKT ali postopke IKT je oblikovana tako, da se ustrezno dosežejo najmanj naslednji varnostni cilji:

▼B

(a)

zaščititi shranjene, prenesene ali kako drugače obdelane podatke pred naključno ali nepooblaščeno hrambo, obdelavo, dostopom ali razkritjem med celotnim življenjskim ciklom proizvoda IKT, storitve IKT ali postopka IKT;

(b)

zaščititi shranjene, prenesene ali kako drugače obdelane podatke pred naključnim ali nepooblaščenim uničenjem, izgubo ali spremembo ali slabo razpoložljivostjo med celotnim življenjskim ciklom proizvoda IKT, storitve IKT ali postopka IKT;

(c)

pooblaščene osebe, programi ali stroji imajo dostop zgolj do podatkov, storitev ali funkcij, na katere se nanašajo njihove pravice do dostopa;

(d)

opredeliti in evidentirati znane odvisnosti in šibke točke;

(e)

beležiti, do katerih podatkov, storitev ali funkcij se je dostopalo ali kateri podatki, funkcije ali storitve so se uporabljali oziroma kako drugače obdelovali ter kdaj in kdo je do njih dostopal oziroma jih je uporabljal ali obdeloval;

(f)

omogočiti preverjanje, do katerih podatkov, storitev ali funkcij se je dostopalo ali kateri podatki, storitve ali funkcije so se uporabljali oziroma kako drugače obdelovali ter kdaj in kdo je do njih dostopal oziroma jih je uporabljal ali obdeloval;

(g)

preveriti, da proizvodi IKT, storitve IKT in postopki IKT ne vsebujejo znanih šibkih točk;

(h)

v primeru fizičnega ali tehničnega incidenta pravočasno povrniti razpoložljivost in dostop do podatkov, storitev in funkcij;

(i)

proizvodi IKT, storitve IKT in postopki IKT so razviti v skladu z načelom privzete in vgrajene varnosti;

(j)

proizvodi IKT, storitve IKT in postopki IKT so opremljeni s posodobljeno programsko in strojno opremo, ki ne vsebuje javno znanih šibkih točk, in na voljo so mehanizmi, ki zagotavljajo varno posodabljanje.

▼M1

Člen 51a

Varnostni cilji evropskih certifikacijskih shem za kibernetsko varnost za upravljane varnostne storitve

Evropska certifikacijska shema za kibernetsko varnost za upravljane varnostne storitve je oblikovana tako, da se ustrezno dosežejo najmanj naslednji varnostni cilji:

(a)

da se upravljane varnostne storitve izvajajo z ustreznimi kompetencami, strokovnim znanjem in izkušnjami, vključno s tem, da ima osebje, odgovorno za izvajanje teh storitev, zadostno in ustrezno raven tehničnega znanja in kompetenc na določenem področju, zadostne in ustrezne izkušnje ter najvišjo stopnjo poklicne integritete;

(b)

da ima ponudnik vzpostavljene ustrezne notranje postopke za zagotovitev, da se upravljane varnostne storitve vedno izvajajo na zadostni in ustrezni ravni kakovosti;

(c)

da se zaščitijo podatki, do katerih se dostopa ali ki se shranjujejo, prenašajo ali kako drugače obdelujejo v zvezi z izvajanjem upravljanih varnostnih storitev pred naključnim ali nepooblaščenim dostopom, hrambo, razkritjem, uničenjem, drugo obdelavo ali izgubo ali spremembo ali slabo razpoložljivostjo;

(d)

da se v primeru fizičnega ali tehničnega incidenta zagotovi pravočasna povrnitev razpoložljivosti in dostopa do podatkov, storitev in funkcij;

(e)

da imajo pooblaščene osebe, programi ali stroji dostop zgolj do podatkov, storitev ali funkcij, na katere se nanašajo njihove pravice do dostopa;

(f)

da se evidentira in omogoči ocena, do katerih podatkov, storitev ali funkcij se je dostopalo ali kateri podatki, storitve ali funkcije so se uporabljali oziroma kako drugače obdelovali ter kdaj in kdo je do njih dostopal oziroma jih je uporabljal ali obdeloval;

(g)

da so proizvodi IKT, storitve IKT in postopki IKT, ki se uporabljajo pri zagotavljanju upravljanih varnostnih storitev, razviti v skladu z načelom privzete in vgrajene varnosti, ter, kadar je ustrezno, vključujejo najnovejše varnostne posodobitve in ne vsebujejo javno znanih šibkih točk.

▼B

Člen 52

Ravni zanesljivosti evropskih certifikacijskih shem za kibernetsko varnost

▼M1

Evropska certifikacijska shema za kibernetsko varnost lahko določa eno ali več naslednjih ravni zanesljivosti za proizvode IKT, storitve IKT in postopke IKT ter upravljane varnostne storitve: „osnovno“, „znatno“ ali „visoko“. Raven zanesljivosti ustreza stopnji tveganja, povezani s predvideno uporabo proizvoda IKT, storitve IKT, postopka IKT ali upravljane varnostne storitve v smislu verjetnosti in vpliva incidenta.

▼B

Evropski certifikati kibernetske varnosti in izjave EU o skladnosti se nanašajo na katero koli raven zanesljivosti, določeno v evropski certifikacijski shemi za kibernetsko varnost, v okviru katere se evropski certifikat kibernetske varnosti ali izjava EU o skladnosti izda.

▼M1

Varnostne zahteve, ki ustrezajo vsaki ravni zanesljivosti, so določene v ustrezni evropski certifikacijski shemi za kibernetsko varnost, vključno z ustreznimi varnostnimi funkcionalnostmi in ustrezno strogostjo in obsegom ocenjevanja, ki se izvede za proizvod IKT, storitev IKT, postopek IKT ali upravljano varnostno storitev.

▼B

Certifikat ali izjava EU o skladnosti se nanaša na zadevne tehnične specifikacije, standarde in postopke, vključno s tehničnim nadzorom, katerih namen je zmanjšati tveganje za incidente, povezane s kibernetsko varnostjo, ali jih preprečiti.

▼M1

Evropski certifikat kibernetske varnosti ali izjava EU o skladnosti, ki se nanaša na „osnovno“ raven zanesljivost, zagotavlja, da proizvodi IKT, storitve IKT, postopki IKT ali upravljane varnostne storitve, za katere se izda ta certifikat ali ta izjava EU o skladnosti, izpolnjujejo ustrezne varnostne zahteve, vključno z varnostnimi funkcionalnostmi, in da so bili ocenjeni na ravni za kar najbolj zmanjšana znana osnovna tveganja incidentov in kibernetskih napadov. Ocenjevalne dejavnosti, ki se izvedejo, vključujejo vsaj pregled tehnične dokumentacije. Kadar tak pregled ni primeren, se izvedejo nadomestne ocenjevalne dejavnosti z enakovrednim učinkom.

Evropski certifikat kibernetske varnosti, ki se nanaša na „znatno“ raven zanesljivosti, zagotavlja, da proizvodi IKT, storitve IKT, postopki IKT ali upravljane varnostne storitve, za katere se izda ta certifikat, izpolnjujejo ustrezne varnostne zahteve, vključno z varnostnimi funkcionalnostmi, in da so bili ocenjeni na ravni za kar najbolj zmanjšana znana kibernetska tveganja ter tveganja incidentov in kibernetskih napadov, ki jih izvajajo akterji z omejenim znanjem in viri. Ocenjevalne dejavnosti, ki se izvedejo, vključujejo najmanj naslednje: pregled za dokazovanje, da se javno znane šibke točke ne pojavljajo, in testiranje za dokazovanje, da se pri proizvodih IKT, storitvah IKT, postopkih IKT ali upravljanih varnostnih storitev pravilno izvajajo potrebne varnostne funkcionalnosti. Kadar katera izmed takih ocenjevalnih dejavnosti ni primerna, se izvedejo nadomestne ocenjevalne dejavnosti z enakovrednim učinkom.

Evropski certifikat kibernetske varnosti, ki se nanaša na „visoko“ raven zanesljivosti, zagotavlja, da proizvodi IKT, storitve IKT, postopki IKT ali upravljane varnostne storitve, za katere se izda ta certifikat, izpolnjujejo ustrezne varnostne zahteve, vključno z varnostnimi funkcionalnostmi, in da so bili ocenjeni na ravni za kar najbolj zmanjšano tveganje naprednih kibernetskih napadov, ki jih izvajajo akterji z obsežnim znanjem in viri. Ocenjevalne dejavnosti, ki se izvedejo, vključujejo najmanj naslednje: pregled za dokazovanje, da se javno znane šibke točke ne pojavljajo; testiranje za dokazovanje, da se pri proizvodih IKT, storitvah IKT, postopkih IKT ali upravljanih varnostnih storitvah pravilno izvajajo potrebne najsodobnejše varnostne funkcionalnosti, ter ocenjevanje njihove odpornosti proti izurjenim napadalcem z uporabo penetracijskega testiranja. Kadar katera izmed takih ocenjevalnih dejavnosti ni primerna, se izvedejo nadomestne dejavnosti z enakovrednim učinkom.

▼B

V evropski certifikacijski shemi za kibernetsko varnost se lahko določi več stopenj ocenjevanja, odvisno od strogosti in obsega metodologije za ocenjevanje, ki se uporabi. Vsaka od stopenj ocenjevanja ustreza eni od ravni zanesljivosti in je opredeljena z ustrezno kombinacijo elementov zanesljivosti.

Člen 53

Samoocenjevanje skladnosti

▼M1

V okviru evropske certifikacijske sheme za kibernetsko varnost se lahko dopusti samoocenjevanje skladnosti, za katero je v celoti odgovoren proizvajalec ali ponudnik proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev. Samoocenjevanje skladnosti se dopusti samo v zvezi s proizvodi IKT, storitvami IKT, postopki IKT ali upravljanimi varnostnimi storitvami, ki predstavljajo nizko tveganje, ki ustreza „osnovni“ ravni zanesljivosti.

Proizvajalec ali ponudnik proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev lahko izda izjavo EU o skladnosti, v kateri je navedeno, da je dokazano izpolnjevanje zahtev iz sheme. Z izdajo take izjave proizvajalec ali ponudnik proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev prevzame odgovornost za skladnost proizvoda IKT, storitve IKT, postopka IKT ali upravljane varnostne storitve z zahtevami iz te sheme.

Proizvajalec ali ponudnik proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev za obdobje, določeno v ustrezni evropski certifikacijski shemi za kibernetsko varnost, nacionalnemu certifikacijskemu organu za kibernetsko varnost, imenovanemu na podlagi člena 58, da na voljo izjavo EU o skladnosti, tehnično dokumentacijo in vse druge ustrezne informacije, ki se nanašajo na skladnost proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev s shemo. Kopija izjave EU o skladnosti se predloži nacionalnemu certifikacijskemu organu za kibernetsko varnost in agenciji ENISA.

▼B

Izjava EU o skladnosti se izda prostovoljno, razen če je v pravu Unije ali države članice določeno drugače.

Izjave EU o skladnosti se priznajo v vseh državah članicah.

Člen 54

Elementi evropskih certifikacijskih shem za kibernetsko varnost

Evropska certifikacijska shema za kibernetsko varnost vključuje vsaj naslednje elemente:

▼M1

(a)

predmet urejanja in področje uporabe certifikacijske sheme, vključno z vrsto ali kategorijami zajetih proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev;

▼B

(b)

jasen opis namena sheme ter tega, kako izbrani standardi, metode za ocenjevanje in ravni zanesljivosti ustrezajo potrebam predvidenih uporabnikov sheme;

(c)

sklic na mednarodne, evropske ali nacionalne standarde, uporabljene pri ocenjevanju, ali, kadar taki standardi niso na voljo ali niso ustrezni, sklic na tehnične specifikacije, ki izpolnjujejo zahteve iz Priloge II k Uredbi (EU) št. 1025/2012, ali, če take specifikacije niso na voljo, sklic na tehnične specifikacije ali druge zahteve glede kibernetske varnosti, določene v evropski certifikacijski shemi za kibernetsko varnost;

(d)

eno ali več ravni zanesljivosti, kadar je to ustrezno;

(e)

navedbo, ali je samoocenjevanje skladnosti dovoljeno v okviru sheme;

(f)

kadar je ustrezno, posebne ali dodatne zahteve, ki se uporabljajo za organe za ugotavljanje skladnosti, da se zagotovi njihova tehnična usposobljenost za ocenjevanje zahtev glede kibernetske varnosti;

▼M1

(g)

posebna merila in metode za ocenjevanje, vključno z vrstami ocene, ki se uporabljajo za dokazovanje, da so veljavni varnostni cilji iz členov 51 in 51a doseženi;

▼B

(h)

kadar je ustrezno, informacije, ki so potrebne za certificiranje in ki jih vložnik predloži ali kako drugače da na voljo organom za ugotavljanje skladnosti;

(i)

če shema zajema oznake ali znake, pogoje, pod katerimi se te oznake ali znaki lahko uporabijo;

▼M1

(j)

pravila za spremljanje skladnosti proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev z zahtevami evropskih certifikatov kibernetske varnosti ali izjave EU o skladnosti, vključno z mehanizmi za dokazovanje stalnega izpolnjevanja določenih zahtev glede kibernetske varnosti;

▼B

(k)

kadar je ustrezno, pogoje za izdajo, ohranitev, nadaljevanje in obnovitev evropskih certifikatov kibernetske varnosti ter pogojev za razširitev ali zmanjšanje področja uporabe certificiranja;

▼M1

(l)

pravila glede posledic za proizvode IKT, storitve IKT, postopke IKT ali upravljane varnostne storitve, ki so bili certificirani ali za katere se je izdala izjava EU o skladnosti, vendar niso skladni z zahtevami sheme;

▼B

(m)

pravila glede tega, kako je treba predhodno neodkrite šibke točke proizvodov IKT, storitev IKT in postopkov IKT na področju kibernetske varnosti prijaviti in obravnavati;

(n)

kadar je ustrezno, pravila glede hrambe evidenc s strani organov za ugotavljanje skladnosti;

▼M1

(o)

opredelitev nacionalnih ali mednarodnih certifikacijskih shem za kibernetsko varnost, ki zadeva isto vrsto ali kategorije proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev, varnostnih zahtev, meril in metod za ocenjevanje ter ravni zanesljivosti;

▼B

(p)

vsebino in obliko evropskih certifikatov kibernetske varnosti in izjav EU o skladnosti, ki jih je treba izdati;

▼M1

(q)

obdobje razpoložljivosti izjave EU o skladnosti, tehnične dokumentacije in vseh drugih ustreznih informacij, ki jih da na voljo proizvajalec ali ponudnik proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev;

▼B

(r)

najdaljši rok veljavnosti evropskih certifikatov kibernetske varnosti, izdanih v okviru sheme;

(s)

politiko razkritja za evropske certifikate kibernetske varnosti, izdane, spremenjene oziroma odvzete v okviru sheme;

(t)

pogoje za vzajemno priznavanje certifikacijskih shem s tretjimi državami;

(u)

kadar je ustrezno, pravila glede vsakršnega mehanizma medsebojnega strokovnega ocenjevanja, vzpostavljenega s shemo, za organe, ki izdajajo evropske certifikate kibernetske varnosti, za „visoko“ raven zanesljivosti v skladu s členom 56(6). Takšen mehanizem ne vpliva na medsebojni strokovni pregled iz člena 59;

(v)

obliko in postopke, ki jih morajo upoštevati proizvajalci in ponudniki proizvodov IKT, storitev IKT ali postopkov IKT pri zagotavljanju in posodabljanju dodatnih informacij o kibernetski varnosti v skladu s členom 55.

Določene zahteve evropske certifikacijske sheme za kibernetsko varnost so v skladu z veljavnimi pravnimi zahtevami, zlasti zahtevami, ki izhajajo iz harmoniziranega prava Unije.

Kadar tako določa posebni pravni akt Unije, se certifikat ali izjava EU o skladnosti, izdana v okviru evropske certifikacijske sheme za kibernetsko varnost lahko uporabi za dokazovanje domneve o skladnosti z zahtevami navedenega pravnega akta.

Če ni harmoniziranega prava Unije, lahko pravo države članice določa tudi, da se evropska certifikacijska shema za kibernetsko varnost lahko uporabi za oblikovanje domneve o skladnosti s pravnimi zahtevami.

Člen 55

Dodatne informacije o kibernetski varnosti za certificirane proizvode IKT, storitve IKT in postopke IKT

Proizvajalec ali ponudnik certificiranih proizvodov IKT, storitev IKT in postopkov IKT ali proizvodov IKT, storitev IKT in postopkov IKT, za katere je bila izdala izjava EU o skladnosti, da na voljo naslednje dodatne informacije o kibernetski varnosti:

(a)

navodila in priporočila za pomoč končnim uporabnikom pri varni konfiguraciji, namestitvi, uvajanju, delovanju in vzdrževanju proizvodov IKT ali storitev IKT;

(b)

obdobje, v katerem bo končnim uporabnikom na voljo varnostna podpora, zlasti kar zadeva razpoložljivost posodobitev, povezanih s kibernetsko varnostjo;

(c)

kontaktne informacije proizvajalca ali ponudnika in sprejete metode za prejemanje informacij o šibkih točkah od končnih uporabnikov in raziskovalcev na področju varnosti;

(d)

o dostopu do spletnih seznamov javno znanih šibkih točk v zvezi s proizvodom IKT, storitvijo IKT ali postopkom IKT in ustreznih nasvetov s področja kibernetske varnosti.

Informacije iz odstavka 1 so na voljo v elektronski obliki ter ostanejo na voljo in se po potrebi posodabljajo vsaj do izteka veljavnosti ustreznega evropskega certifikata kibernetske varnosti ali izjave EU o skladnosti.

Člen 56

Certificiranje kibernetske varnosti

▼M1

Za proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve, ki so bili certificirani na podlagi evropske certifikacijske sheme za kibernetsko varnost, sprejete na podlagi člena 49, se domneva, da so skladni z zahtevami take sheme.

▼B

Certificiranje za kibernetsko varnost je prostovoljno, razen če je v pravu Unije ali države članice določeno drugače.

►M1 Komisija redno ocenjuje učinkovitost in uporabo sprejetih evropskih certifikacijskih shem za kibernetsko varnost ter ali bi morala posamezna evropska certifikacijska shema za kibernetsko varnost postati obvezna na podlagi ustreznega prava Unije, da bi zagotovili ustrezno raven kibernetske varnosti proizvodov IKT, storitev IKT, postopkov IKT in od 4. februarja 2025 upravljanih varnostnih storitev v Uniji ter izboljšali delovanje notranjega trga. Prva taka ocena se izvede do 31. decembra 2023, poznejše ocene pa se izvedejo vsaj vsaki dve leti po tem. Komisija na podlagi rezultatov teh ocen opredeli proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve, zajete v obstoječi certifikacijski shemi, ki bi morali biti zajeti v obvezni certifikacijski shemi. ◄

Komisija se prednostno osredotoča na sektorje iz Priloge II k Direktivi (EU) 2016/1148, ki jih je treba oceniti najpozneje dve leti po sprejetju prve evropske certifikacijske sheme za kibernetsko varnost.

Komisija pri pripravi ocene:

▼M1

(a)

upošteva učinek ukrepov na proizvajalce ali ponudnike takih proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev ter na uporabnike v smislu stroška teh ukrepov, pa tudi družbene ali gospodarske koristi zaradi pričakovane višje ravni varnosti ciljnih proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev;

▼B

(b)

upošteva obstoj in izvajanje ustreznega prava države članice in prava tretje države;

(c)

izvede odprto, pregledno in vključujoče posvetovanje z vsemi ustreznimi deležniki in državami članicami;

▼M1

(d)

upošteva roke za izvajanje, prehodne ukrepe in obdobja, zlasti glede morebitnega učinka ukrepov na proizvajalce ali ponudnike proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev, tudi s posebnimi interesi in potrebami MSP, vključno z mikro podjetji;

▼B

(e)

predlaga najhitrejši in najučinkovitejši način za izvedbo prehoda s prostovoljnih na obvezne certifikacijske sheme.

Organi za ugotavljanje skladnosti iz člena 60 na podlagi tega člena izdajo evropski certifikat kibernetske varnosti, ki se nanaša na „osnovno“ ali „znatno“ raven zanesljivosti, na podlagi meril, vključenih v evropsko certifikacijsko shemo za kibernetsko varnost, ki jo je na podlagi člena 49 sprejela Komisija.

Z odstopanjem od odstavka 4 in v ustrezno utemeljenih primerih lahko evropska certifikacijska shema za kibernetsko varnost določa, da mora evropske certifikate kibernetske varnosti, ki izhajajo iz te sheme, izdati le javni organ. Tak organ je eden od naslednjih:

(a)

nacionalni organ za certificiranje kibernetske varnosti, kot je določen v členu 58(1), ali

(b)

javni organ, ki je akreditiran kot organ za ugotavljanje skladnosti na podlagi člena 60(1).

Kadar evropska certifikacijska shema za kibernetsko varnost na podlagi člena 49 zahteva „visoko“ raven zanesljivosti, lahko evropski certifikat kibernetske varnosti na podlagi te sheme izda samo nacionalni certifikacijski organ za kibernetsko varnost, v naslednjih primerih pa tudi organ za ugotavljanje skladnosti:

(a)

po predhodni odobritvi s strani nacionalnega certifikacijskega organa za kibernetsko varnost za vsak posamezen evropski certifikat kibernetske varnosti, ki ga izda organ za ugotavljanje skladnosti, ali

(b)

na podlagi splošnega prenosa naloge izdajanja takih evropskih certifikatov kibernetske varnosti na organ za ugotavljanje skladnosti s strani nacionalnega certifikacijskega organa za kibernetsko varnost.

▼M1

Fizična ali pravna oseba, ki predloži proizvode IKT, storitve IKT, postopke IKT ali upravljane varnostne storitve za certifikacijo, nacionalnemu certifikacijskemu organu za kibernetsko varnost, imenovanim na podlagi člena 58, kadar je to organ, ki je izdal evropski certifikat kibernetske varnosti, ali organu za ugotavljanje skladnosti iz člena 60 da na voljo vse informacije, ki so potrebne za izvedbo certifikacije.

Imetnik evropskega certifikata kibernetske varnosti obvesti nacionalni certifikacijski organ za kibernetsko varnost ali organ za ugotavljanje skladnosti iz odstavka 7 o vseh pozneje odkritih šibkih točkah ali nepravilnostih v zvezi z varnostjo certificiranega proizvoda IKT, storitve IKT, postopka IKT ali upravljane varnostne storitve, ki bi lahko vplivale na njegovo skladnost z zahtevami, povezanimi s certifikacijo. Navedeni organ te informacije brez nepotrebnega odlašanja posreduje zadevnemu nacionalnemu certifikacijskemu organu za kibernetsko varnost.

▼B

Evropski certifikat kibernetske varnosti se izda za obdobje, določeno v evropski certifikacijski shemi za kibernetsko varnost, in se lahko podaljša, če so zadevne zahteve še vedno izpolnjene.

10.

Evropski certifikat kibernetske varnosti, izdan na podlagi tega člena, se prizna v vseh državah članicah.

Člen 57

Nacionalne certifikacijske sheme za kibernetsko varnost in nacionalni certifikati kibernetske varnosti

▼M1

Brez poseganja v odstavek 3 tega člena nacionalne certifikacijske sheme za kibernetsko varnost ter z njimi povezani postopki za proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve, ki so zajeti v evropski certifikacijski shemi za kibernetsko varnost, prenehajo učinkovati z datumom, določenim v izvedbenem aktu, sprejetem na podlagi člena 49(7). Nacionalne certifikacijske sheme za kibernetsko varnost ter z njimi povezani postopki za proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve, ki niso zajeti v evropski certifikacijski shemi za kibernetsko varnost, še naprej obstajajo.

Države članice ne uvedejo novih nacionalnih certifikacijskih shem za kibernetsko varnost za proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve, ki so že zajeti v veljavni evropski certifikacijski shemi za kibernetsko varnost.

▼B

Obstoječi certifikati, ki so bili izdani na podlagi nacionalnih certifikacijskih shem za kibernetsko varnost in so zajeti v evropski certifikacijski shemi za kibernetsko varnost, ostanejo veljavni do datuma izteka veljavnosti.

Države članice z namenom preprečevanja razdrobljenosti notranjega trga Komisijo in evropsko certifikacijsko skupino za kibernetsko varnost obveščajo o kakršnih koli pobudah za pripravo novih nacionalnih certifikacijskih shem za kibernetsko varnost.

Člen 58

Nacionalni certifikacijski organi za kibernetsko varnost

Vsaka država članica na svojem ozemlju imenuje enega ali več nacionalnih certifikacijskih organov za kibernetsko varnost ali pa v dogovoru z drugo državo članico imenuje enega ali več nacionalnih certifikacijskih organov za kibernetsko varnost s sedežem v tej drugi državi članici, ki so odgovorni za nadzorne naloge v državi članici, ki organe imenuje.

Vsaka država članica obvesti Komisijo o identiteti imenovanih nacionalnih certifikacijskih organov za kibernetsko varnost. Kadar država članica imenuje več kot en organ, pa Komisijo obvesti tudi o nalogah, ki so dodeljene vsakemu posameznemu organu.

Vsak nacionalni certifikacijski organ za kibernetsko varnost je brez poseganja v točko (a) člena 56(5) in člen 56(6) glede svoje organizacije, odločitev o financiranju, pravne strukture in sprejemanja odločitev neodvisen od subjektov, ki jih nadzoruje.

Države članice zagotovijo, da so dejavnosti nacionalnega certifikacijskega organu za kibernetsko varnost, ki se nanašajo na izdajanje evropskih certifikatov kibernetske varnosti iz točke (a) člena 56(5) in člena 56(6), strogo ločene od njihovih nadzornih dejavnosti iz tega člena ter da se te dejavnosti izvajajo neodvisno druga od druge.

Države članice zagotovijo, da imajo nacionalni certifikacijski organi za kibernetsko varnost ustrezne vire za izvajanje svojih pooblastil ter učinkovito in uspešno izvajanje svojih nalog.

Za učinkovito izvajanje te uredbe je primerno, da nacionalni certifikacijski organi za kibernetsko varnost sodelujejo v evropski certifikacijski skupini za kibernetsko varnost na dejaven, učinkovit, uspešen in varen način.

Nacionalni organi za certificiranje kibernetske varnosti:

▼M1

(a)

nadzirajo in uveljavljajo pravila iz evropskih certifikacijskih shem za kibernetsko varnost na podlagi člena 54(1), točka (j), za spremljanje skladnosti proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev z zahtevami evropskih certifikatov kibernetske varnosti, ki so bili izdani na njihovem ozemlju, v sodelovanju z drugimi zadevnimi organi za nadzor trga;

(b)

spremljajo izpolnjevanje obveznosti proizvajalcev ali ponudnikov proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev, ki imajo sedež na njihovem ozemlju in izvajajo samoocenjevanje skladnosti, in jih izvršujejo, ter zlasti spremljajo izpolnjevanje obveznosti takih proizvajalcev ali ponudnikov, določenih v členu 53(2) in (3) in v ustrezni evropski certifikacijski shemi za kibernetsko varnost, in jih izvršujejo;

▼B

(c)

brez poseganja v člen 60(3) nacionalnim akreditacijskim organom dejavno pomagajo in jih podpirajo pri spremljanju in nadziranju dejavnosti organov za ugotavljanje skladnosti za namene te uredbe;

(d)

spremljajo in nadzirajo dejavnosti javnih organov iz člena 56(5);

(e)

kadar je ustrezno, pooblastijo organe za ugotavljanje skladnosti v skladu s členom 60(3) ter omejijo, začasno prekličejo ali odvzamejo obstoječe pooblastilo, kadar organi za ugotavljanje skladnosti kršijo zahteve iz te uredbe;

(f)

obravnavajo pritožbe fizičnih ali pravnih oseb glede evropskih certifikatov kibernetske varnosti, ki jih izdajo nacionalni certifikacijski organi za kibernetsko varnost, ali glede evropskih certifikatov kibernetske varnosti, ki jih izdajo organi za ugotavljanje skladnosti v skladu s členom 56(6), ali glede izjav EU o skladnosti, izdanih na podlagi člena 53, ter v ustreznem obsegu preučijo vsebino takih pritožb ter pritožnika v razumnem roku obvestijo o napredku in izidih preiskave;

(g)

agenciji ENISA in evropski certifikacijski skupini za kibernetsko varnost posredujejo letno zbirno poročilo o dejavnostih, izvedenih na podlagi točk (b), (c) in (d) tega odstavka ali na podlagi odstavka 8;

▼M1

(h)

sodelujejo z drugimi nacionalnimi certifikacijskimi organi za kibernetsko varnost ali drugimi javnimi organi, vključno z izmenjavo informacij o morebitni neskladnosti proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev z zahtevami iz te uredbe ali z zahtevami posameznih evropskih certifikacijskih shem za kibernetsko varnost, ter

▼B

(i)

spremljajo ustrezen razvoj na področju certificiranja kibernetske varnosti.

Vsak nacionalni certifikacijski organ za kibernetsko varnost ima vsaj naslednja pooblastila:

(a)

od organov za ugotavljanje skladnosti, imetnikov evropskih certifikatov kibernetske varnosti in izdajateljev izjav EU o skladnosti lahko zahteva vse informacije, ki jih potrebuje za opravljanje svojih nalog;

(b)

v obliki revizij izvaja preiskave organov za ugotavljanje skladnosti, imetnikov evropskih certifikatov kibernetske varnosti in izdajateljev izjav EU o skladnosti, da preveri njihovo skladnost s tem naslovom;

(c)

v skladu z nacionalnim pravom sprejme ustrezne ukrepe, da zagotovi, da organi za ugotavljanje skladnosti, imetniki evropskih certifikatov kibernetske varnosti certifikata in izdajatelji izjav EU o skladnosti izpolnjujejo zahteve iz te uredbe ali evropske certifikacijske sheme za kibernetsko varnost;

(d)

pridobi dostop do prostorov organov za ugotavljanje skladnosti ali imetnikov evropskih certifikatov kibernetske varnosti, da izvede preiskave v skladu s postopkovnim pravom Unije ali države članice;

(e)

v skladu z nacionalnim pravom odvzame evropske certifikate kibernetske varnosti, ki jih izdajo nacionalni certifikacijski organi za kibernetsko varnost, ali evropske certifikate kibernetske varnosti, ki jih izdajo organi za ugotavljanje skladnosti v skladu s členom 56(6), kadar taki certifikati niso skladni s to uredbo ali z evropsko certifikacijsko shemo za kibernetsko varnost;

(f)

v skladu z nacionalnim pravom izreče kazni, kot je določeno v členu 65, in zahteva takojšnje prenehanje kršitev obveznosti iz te uredbe.

▼M1

Nacionalni certifikacijski organi za kibernetsko varnost sodelujejo med seboj in s Komisijo, zlasti z izmenjavo informacij, izkušenj in dobrih praks glede certificiranja kibernetske varnosti in tehničnih vprašanj, ki zadevajo kibernetsko varnost proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev.

▼B

Člen 59

Medsebojni strokovni pregled

Da bi po vsej Uniji vzpostavili enakovredne standarde v zvezi z evropskimi certifikati kibernetske varnosti in izjavami EU o skladnosti, se za nacionalne certifikacijske organe za kibernetsko varnost izvajajo medsebojni strokovni pregledi.

Medsebojni strokovni pregled se izvede na podlagi zanesljivih in preglednih meril in postopkov vrednotenja, zlasti v zvezi z zahtevami glede strukture, človeških virov in postopkov, zaupnosti ter pritožb.

Z medsebojnim strokovnim pregledom se ocenjuje:

(a)

kadar je ustrezno, ali so dejavnosti nacionalnih certifikacijskih organov za kibernetsko varnost, ki se nanašajo na izdajanje evropskih certifikatov kibernetske varnosti iz točke (a) člena 56(5) in člena 56(6), strogo ločene od njihovih nadzornih dejavnosti iz člena 58 ter ali se te dejavnosti izvajajo neodvisno druga od druge;

▼M1

(b)

postopke za nadziranje in uveljavljanje pravil za spremljanje skladnosti proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev z evropskimi certifikati kibernetske varnosti na podlagi člena 58(7), točka (a);

(c)

postopke za spremljanje in izvrševanje obveznosti proizvajalcev ali ponudnikov proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev na podlagi člena 58(7), točka (b);

▼B

(d)

postopke za spremljanje, odobritev in nadziranje dejavnosti organov za ugotavljanje skladnosti;

(e)

kadar je ustrezno, ali ima osebje organov, ki izdajajo certifikate za „visoko“ raven zanesljivosti v skladu s členom 56(6), ustrezno strokovno znanje in izkušnje.

Medsebojni strokovni pregled opravijo vsaj dva nacionalna certifikacijska organa za kibernetsko varnost iz drugih držav članic in Komisija, izvede pa se najmanj vsakih pet let. Pri medsebojnem strokovnem pregledu lahko sodeluje agencija ENISA.

Komisija lahko sprejme izvedbene akte za določitev načrta medsebojnih strokovnih pregledov, ki zajema vsaj petletno obdobje, ter določa merila v zvezi s sestavo skupine za medsebojni strokovni pregled, zanj uporabljeno metodologijo, roke, pogostost in druge naloge, povezane z njim. Komisija pri sprejemanju izvedbenih aktov ustrezno upošteva mnenja evropske certifikacijske skupine za kibernetsko varnost. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 66(2).

Rezultate medsebojnih strokovnih pregledov preuči evropska certifikacijska skupina za kibernetsko varnost, ki pripravi povzetke, ki se lahko objavijo, ter po potrebi izda smernice ali priporočila za ukrepe, ki naj bi jih sprejeli zadevni subjekti.

Člen 60

Organi za ugotavljanje skladnosti

Organe za ugotavljanje skladnosti akreditirajo nacionalni akreditacijski organi, imenovani na podlagi Uredbe (ES) št. 765/2008. Taka akreditacija se izda samo, kadar organ za ugotavljanje skladnosti izpolnjuje zahteve, določene v Prilogi k tej uredbi.

Kadar evropski certifikat kibernetske varnosti izda nacionalni certifikacijski organ za kibernetsko varnost na podlagi točke (a) člena 56(5) in člena 56(6), se certifikacijski organ nacionalnega certifikacijskega organa za kibernetsko varnost akreditira kot organ za ugotavljanje skladnosti na podlagi odstavka 1 tega člena.

Kadar evropske certifikacijske sheme za kibernetsko varnost določajo posebne ali dodatne zahteve na podlagi točke (f) člena 54(1), lahko nacionalni certifikacijski organ za kibernetsko varnost za izvajanje nalog iz takih shem pooblasti samo organe za ugotavljanje skladnosti, ki izpolnjujejo navedene zahteve.

Akreditacija iz odstavka 1 se izda organom za ugotavljanje skladnosti za največ pet let in se lahko pod enakimi pogoji podaljša, če organ za ugotavljanje skladnosti še vedno izpolnjuje zahteve iz tega člena. Nacionalni akreditacijski organi sprejmejo vse ustrezne ukrepe, da v razumnem roku omejijo ali začasno oziroma trajno prekličejo akreditacijo organa za ugotavljanje skladnosti, izdano na podlagi odstavka 1, kadar pogoji za akreditacijo niso bili izpolnjeni ali niso več izpolnjeni ali kadar organ za ugotavljanje skladnosti krši to uredbo.

Člen 61

Priglasitev

Nacionalni certifikacijski organi za kibernetsko varnost za vsako evropsko certifikacijsko shemo za kibernetsko varnost, Komisiji priglasijo organe za ugotavljanje skladnosti, ki so bili akreditirani in po potrebi pooblaščeni na podlagi člena 60(3), za izdajo evropskih certifikatov kibernetske varnosti na določenih ravneh zanesljivosti iz člena 52. Nacionalni certifikacijski organi za kibernetsko varnost Komisiji brez nepotrebnega odlašanja priglasijo kakršne koli naknadne spremembe glede njih.

Komisija eno leto po začetku veljavnosti evropske certifikacijske sheme za kibernetsko varnost seznam organov za ugotavljanje skladnosti, priglašenih na podlagi te sheme, objavi v Uradnem listu Evropske unije.

Če Komisija prejme priglasitev po izteku obdobja iz odstavka 2, objavi spremembe seznama priglašenih organov za ugotavljanje skladnosti v Uradnem listu Evropske unije v dveh mesecih od datuma prejema priglasitve.

Nacionalni certifikacijski organ za kibernetsko varnost lahko Komisiji predloži zahtevek za črtanje organa za ugotavljanje skladnosti, ki ga je priglasil ta organ, s seznama iz odstavka 2. Komisija objavi ustrezne spremembe tega seznama v Uradnem listu Evropske unije v enem mesecu po datumu prejema zahtevka nacionalnega certifikacijskega organa za kibernetsko varnost.

Komisija lahko sprejme izvedbene akte, s katerimi se določijo okoliščine, oblike in postopki za priglasitev iz odstavka 1 tega člena. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 66(2).

Člen 62

Evropska certifikacijska skupina za kibernetsko varnost

Ustanovi se evropska certifikacijska skupina za kibernetsko varnost.

Evropsko certifikacijsko skupino za kibernetsko varnost sestavljajo predstavniki nacionalnih certifikacijskih organov za kibernetsko varnost ali predstavniki drugih ustreznih nacionalnih organov. Član skupine ne sme zastopati več kot dveh držav članic.

Na seje evropske certifikacijske skupine za kibernetsko varnost so lahko povabljeni deležniki in zadevne tretje strani, ki lahko tudi sodelujejo pri njenem delu.

Evropska certifikacijska skupina za kibernetsko varnost opravlja naslednje naloge:

(a)

svetuje in pomaga Komisiji pri njenem delu, da zagotovi dosledno izvajanje in uporabo tega naslova, zlasti glede tekočega delovnega programa Unije, vprašanj politike certificiranja kibernetske varnosti, usklajevanja pristopov politike in priprave evropskih certifikacijskih shem za kibernetsko varnost;

(b)

podpira in svetuje agenciji ENISA ter z njo sodeluje pri pripravi predloge za shemo na podlagi člena 49;

(c)

sprejme mnenje o predlogah za sheme, ki jih pripravi agencija ENISA na podlagi člena 49;

(d)

od agencije ENISA zahteva, naj pripravi predloge za sheme na podlagi člena 48(2);

(e)

sprejme mnenja, naslovljena na Komisijo, glede ohranjanja in pregledovanja obstoječih evropskih certifikacijskih shem za kibernetsko varnost;

(f)

preuči ustrezni razvoj na področju certificiranja kibernetske varnosti ter izmenjuje informacije in primere dobrih praks na področju certifikacijskih shem za kibernetsko varnost;

(g)

olajšuje sodelovanje med nacionalnimi certifikacijskimi organi za kibernetsko varnost na podlagi tega naslova s krepitvijo zmogljivosti in izmenjavo informacij, zlasti z določitvijo metod za učinkovito izmenjavo informacij o vprašanjih v zvezi s certificiranjem kibernetske varnosti;

(h)

podpira izvajanje mehanizmov medsebojnega strokovnega ocenjevanja v skladu s pravili, določenimi v evropski certifikacijski shemi za kibernetsko varnost na podlagi točke (u) člena 54(1);

(i)

pospešuje usklajevanje evropskih certifikacijskih shem za kibernetsko varnost z mednarodno priznanimi standardi, vključno s pregledom obstoječih evropskih certifikacijskih shem za kibernetsko varnost, in po potrebi daje priporočila agenciji ENISA v zvezi s sodelovanjem z ustreznimi mednarodnimi organizacijami za standardizacijo, da bi odpravili pomanjkljivosti ali vrzeli v razpoložljivih mednarodno priznanih standardih;

Ob pomoči agencije ENISA Komisija predseduje evropski certifikacijski skupini za kibernetsko varnost in ji zagotovi sekretariat v skladu s točko (e) člena 8(1).

Člen 63

Pravica do vložitve pritožbe

Fizične in pravne osebe imajo pravico, da vložijo pritožbo pri izdajatelju evropskega certifikata kibernetske varnosti ali, kadar se pritožba nanaša na evropski certifikat kibernetske varnosti, ki ga je izdal organ za ugotavljanje skladnosti v skladu s členom 56(6), pri zadevnem nacionalnem certifikacijskem organu za kibernetsko varnost.

Organ, pri katerem je bila vložena pritožba, obvesti pritožnika o napredku postopka in sprejeti odločitvi ter obvesti pritožnika o pravici do učinkovitega sodnega pravnega sredstva iz člena 64.

Člen 64

Pravica do učinkovitega sodnega pravnega sredstva

Ne glede na morebitna upravna ali druga izvensodna pravna sredstva imajo fizične in pravne osebe pravico do učinkovitega sodnega pravnega sredstva v zvezi z:

(a)

odločitvami, ki jih sprejme organ iz člena 63(1), po potrebi tudi v zvezi z nepravilno izdajo, opustitvijo izdaje ali priznanjem evropskega certifikata kibernetske varnosti, ki ga imajo v lasti zadevne fizične ali pravne osebe;

(b)

opustitvijo ukrepanja glede pritožbe, vložene pri organu iz člena 63(1).

Za postopke v skladu s tem členom so pristojna sodišča države članice, v kateri ima sedež organ, zoper katerega je bilo sodno pravno sredstvo vloženo.

Člen 65

Kazni

Države članice določijo pravila o kaznih, ki se uporabljajo v primeru kršitev določb tega naslova in kršitev evropskih certifikacijskih shem za kibernetsko varnost, ter sprejmejo vse potrebne ukrepe za zagotovitev, da se te kazni izvajajo. Te kazni morajo biti učinkovite, sorazmerne in odvračilne. Države članice Komisijo nemudoma obvestijo o navedenih pravilih in ukrepih ter o morebitnih poznejših spremembah, ki vplivajo nanje.

NASLOV IV

KONČNE DOLOČBE

Člen 66

Postopek v odboru

Komisiji pomaga odbor. Ta odbor je odbor v smislu Uredbe (EU) št. 182/2011.

Pri sklicevanju na ta odstavek se uporablja točka (b) člena 5(4) Uredbe (EU) št. 182/2011.

Člen 67

Ocena in pregled

Komisija do 28. junija 2024, nato pa vsakih pet let oceni učinek, uspešnost in učinkovitost agencije ENISA in njenih delovnih praks ter morebitno potrebo po spremembi mandata agencije ENISA kot tudi finančne posledice vsake take spremembe. Pri oceni se upoštevajo vse povratne informacije, ki jih agencija ENISA prejme kot odziv na svoje dejavnosti. Kadar Komisija meni, da nadaljnje delovanje agencije ENISA glede na dodeljene cilje, mandat in naloge ni več upravičen, lahko predlaga spremembo določb te uredbe, ki se nanašajo na agencijo ENISA.

▼M1

Oceni se tudi vpliv, učinkovitost in uspešnost določb naslova III te uredbe – vključno s postopki za uvedbo evropskih certifikacijskih shem za kibernetsko varnost in njihovih evidenčnih baz – glede ciljev zagotavljanja ustrezne ravni kibernetske varnosti proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev v Uniji ter izboljšanja delovanja notranjega trga.

Med ocenjevanjem se presodi, ali so za dostop do notranjega trga potrebne bistvene zahteve glede kibernetske varnosti, da se prepreči vstop proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev, ki ne izpolnjujejo osnovnih zahtev glede kibernetske varnosti, na notranji trg.

▼B

Komisija do 28. junija 2024, nato pa vsakih pet let pošlje poročilo o oceni skupaj s svojimi zaključki Evropskemu parlamentu, Svetu in upravnemu odboru. Ugotovitve iz poročila o oceni se objavijo.

Člen 68

Razveljavitev in nasledstvo

Uredba (EU) št. 526/2013 se razveljavi z učinkom od 27. junija 2019.

Sklici na Uredbo (EU) št. 526/2013 in agencijo ENISA, kot je ustanovljena z navedeno uredbo, se štejejo kot sklici na to uredbo in agencijo ENISA, kot je ustanovljena s to uredbo.

Agencija ENISA, kot je ustanovljena s to uredbo, je pravna naslednica agencije ENISA, kot je bila ustanovljena z Uredbo (EU) št. 526/2013, kar zadeva lastništvo, dogovore, pravne obveznosti, pogodbe o zaposlitvi, finančne obveznosti in odgovornosti. Vse obstoječe odločitve upravnega odbora in izvršnega odbora, sprejete v skladu z Uredbo (EU) št. 526/2013, ostanejo veljavne, če so skladne s to uredbo.

Agencija ENISA se ustanovi za nedoločeno obdobje od 27. junija 2019.

Izvršni direktor, imenovan na podlagi člena 24(4) Uredbe (EU) št. 526/2013, ostane na položaju in izvaja svoje naloge iz člena 20 te uredbe do konca svojega mandata. Drugi pogoji njegove pogodbe ostanejo nespremenjeni.

Člani in namestniki članov upravnega odbora, imenovani na podlagi člena 6 Uredbe (EU) št. 526/2013, ostanejo na položaju in izvajajo naloge upravnega odbora iz člena 15 te uredbe do konca svojega mandata.

Člen 69

Začetek veljavnosti

Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

Členi 58, 60, 61, 63, 64 in 65 se uporabljajo od 28. junija 2021.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

PRILOGA

ZAHTEVE, KI JIH MORAJO IZPOLNJEVATI ORGANI ZA UGOTAVLJANJE SKLADNOSTI

Organi za ugotavljanje skladnosti, ki želijo biti akreditirani, izpolnjujejo naslednje zahteve:

Organ za ugotavljanje skladnosti se ustanovi v skladu z nacionalnim pravom in je pravna oseba.

▼M1

Organ za ugotavljanje skladnosti je organ tretje strani, neodvisen od organizacije ali proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev, katerih skladnost ugotavlja.

Organ, ki je del poslovnega združenja ali strokovne zveze, ki zastopa podjetja, vključena v zasnovo, proizvodnjo, dobavo oziroma opravljanje, sestavljanje, uporabo ali vzdrževanje proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev, katerih skladnost ugotavlja, se lahko šteje kot organ za ugotavljanje skladnosti, če je zagotovljena njegova neodvisnost in ni nasprotja interesov.

Organi za ugotavljanje skladnosti, njihovo najvišje vodstvo in osebe, odgovorne za izvajanje nalog ugotavljanja skladnosti, niso snovalci, proizvajalci, dobavitelji oziroma ponudniki, monterji, kupci, lastniki, uporabniki ali vzdrževalci proizvoda IKT, storitve IKT, postopka IKT ali upravljane varnostne storitve, katerih skladnost ugotavljajo, niti niso pooblaščeni zastopniki katere koli od navedenih strani. Ta prepoved ne onemogoča uporabe proizvodov IKT, za katere se ugotavlja skladnost in ki so nujno potrebni za delovanje organa za ugotavljanje skladnosti, ali uporabe takih proizvodov IKT za osebne namene.

Organi za ugotavljanje skladnosti, njihovo najvišje vodstvo in osebe, odgovorne za izvajanje nalog ugotavljanja skladnosti, ne sodelujejo neposredno pri snovanju, proizvodnji ali izdelavi, dobavi, trženju, montaži, uporabi ali vzdrževanju proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev, katerih skladnost ugotavljajo, niti ne zastopajo strani, ki sodelujejo pri teh dejavnostih. Organi za ugotavljanje skladnosti, njihovo najvišje vodstvo in osebe, odgovorne za izvajanje nalog ugotavljanja skladnosti, ne sodelujejo pri nobenih dejavnostih, ki bi lahko bile v nasprotju z njihovo neodvisno presojo ali integriteto v zvezi z njihovimi dejavnostmi za ugotavljanje skladnosti. Ta prepoved velja zlasti za svetovalne storitve.

▼B

Če je organ za ugotavljanje skladnosti v lasti ali upravljanju javne osebe ali ustanove, sta zagotovljeni in dokumentirani neodvisnost in odsotnost morebitnega nasprotja interesov med nacionalnim certifikacijskim organom za kibernetsko varnost in organom za ugotavljanje skladnosti.

Organi za ugotavljanje skladnosti zagotovijo, da dejavnosti njihovih odvisnih družb ali podizvajalcev ne vplivajo na zaupnost, objektivnost ali nepristranskost njihovih dejavnosti za ugotavljanje skladnosti.

Organi za ugotavljanje skladnosti in njihovo osebje izvajajo dejavnosti za ugotavljanje skladnosti z največjo poklicno integriteto in potrebno tehnično usposobljenostjo na določenem področju brez kakršnih koli pritiskov in spodbud, ki bi lahko vplivali na njihovo presojo ali rezultate njihovih dejavnosti za ugotavljanje skladnosti, vključno s pritiski in spodbudami finančne narave, zlasti od oseb ali skupin oseb, za katere so rezultati navedenih dejavnosti pomembni.

Organ za ugotavljanje skladnosti je zmožen izvajati vse naloge ugotavljanja skladnosti, ki so mu dodeljene s to uredbo, ne glede na to, ali te naloge izvaja organ za ugotavljanje skladnosti sam ali se izvajajo v njegovem imenu in pod njegovo odgovornostjo. Vsako podizvajanje s strani zunanjega oseba ali posvetovanje z zunanjim osebjem se ustrezno dokumentira, ne vključuje posrednikov in je predmet pisnega sporazuma, ki med drugim zajema zaupnost in nasprotja interesov. Zadevni organ za ugotavljanje skladnosti prevzame polno odgovornost za opravljene naloge.

10.

▼M1

Vedno ter za vsak postopek ugotavljanja skladnosti in vsako vrsto, kategorijo ali podkategorijo proizvoda IKT, storitve IKT, postopka IKT ali upravljane varnostne storitve ima organ za ugotavljanje skladnosti na razpolago:

▼B

(a)

osebje s tehničnim znanjem ter zadostnimi in ustreznimi izkušnjami za izvajanje nalog ugotavljanja skladnosti;

(b)

opise postopkov, v skladu s katerimi se mora izvajati ugotavljanje skladnosti, za zagotovitev preglednost in zmožnost reprodukcije navedenih postopkov. Izvaja ustrezne politike in postopke, na podlagi katerih se ločijo naloge, ki jih izvaja kot organ, priglašen na podlagi člena 61, in njegove druge dejavnosti;

▼M1

(c)

postopke za izvajanje dejavnosti, pri katerih je ustrezno upoštevana velikost podjetja, sektor, v katerem deluje, njegova struktura, stopnja zahtevnosti tehnologije proizvoda IKT, storitve IKT, postopka IKT ali upravljane varnostne storitve in masovna ali serijska narava proizvodnega postopka.

▼B

11.

Organ za ugotavljanje skladnosti ima potrebna sredstva za ustrezno izvajanje tehničnih in upravnih nalog, povezanih z dejavnostmi za ugotavljanje skladnosti, ter dostop do vse potrebne opreme in prostorov.

12.

Osebe, odgovorne za izvajanje dejavnosti za ugotavljanje skladnosti, imajo:

(a)

dobro tehnično in poklicno usposobljenost, ki zajema vse dejavnosti za ugotavljanje skladnosti;

(b)

zadovoljivo znanje o zahtevah glede ugotavljanja skladnosti, ki jih izvaja, in ustrezna pooblastila za izvedbo teh ugotavljanj skladnosti;

(c)

primerno znanje in razumevanje veljavnih zahtev in standardov preskušanja;

(d)

zmožnost, ki je potrebna za pripravo certifikatov, zapisov in poročil, ki dokazujejo, da so bila ugotavljanja skladnosti izvedena.

13.

Zagotovi se nepristranskost organa za ugotavljanje skladnosti, njegovega najvišjega vodstva in oseb, odgovornih za izvajanje dejavnosti ugotavljanja skladnosti ter kakršnih koli podizvajalcev.

14.

Plačilo najvišjega vodstva in oseb, odgovornih za dejavnosti ugotavljanja skladnosti, ni odvisno od števila opravljenih ugotavljanj skladnosti ali rezultatov navedenih ugotavljanj skladnosti.

15.

Organi za ugotavljanje skladnosti sklenejo zavarovanje odgovornosti, razen če odgovornost prevzame država članica v skladu z nacionalnim pravom ali če je država članica sama neposredno odgovorna za ugotavljanje skladnosti.

16.

Organ za ugotavljanje skladnosti in njegovo osebje, odbori, odvisne družbe, podizvajalci ter povezani organi ali osebje zunanjih organov organa za ugotavljanje skladnosti spoštujejo zaupnost informacij in so zavezani k poklicni molčečnosti v zvezi z vsemi informacijami, pridobljenimi med izvajanjem nalog ugotavljanja skladnosti iz te uredbe ali na podlagi katere koli določbe nacionalnega prava za izvajanje te uredbe, razen kadar njihovo razkritje zahteva pravo Unije ali države članice, ki velja za te osebe, in razen pred pristojnimi organi držav članic, v katerih se izvajajo njegove dejavnosti. Pravice intelektualne lastnine so zaščitene. Organ za ugotavljanje skladnosti vzpostavi dokumentirane postopke v zvezi z zahtevami iz te točke.

17.

Z izjemo točke 16 zahteve iz te priloge ne izključujejo izmenjave tehničnih informacij in regulativnih navodil med organom za ugotavljanje skladnosti in osebo, ki zaprosi za certifikacijo ali preučuje možnost, da bi to storila.

18.

Organi za ugotavljanje skladnosti delujejo v skladu z vrsto doslednih, poštenih in razumnih pogojev, ob upoštevanju interesov MSP v zvezi s pristojbinami.

▼M1

19.

Organi za ugotavljanje skladnosti izpolnjujejo zahteve ustreznega harmoniziranega standarda, kakor je opredeljen v členu 2, točka 9, Uredbe (ES) št. 765/2008, za akreditacijo organov za ugotavljanje skladnosti, ki izvajajo certificiranje proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev.

20.

Organi za ugotavljanje skladnosti zagotovijo, da preskuševalni laboratoriji, v katerih se izvaja ugotavljanje skladnosti, izpolnjujejo zahteve ustreznega harmoniziranega standarda, kakor je opredeljen v členu 2, točka 9, Uredbe (ES) št. 765/2008, za akreditacijo laboratorijev, ki izvajajo preskuse.

( 1 ) Uredba (EU) št. 910/2014 Evropskega parlamenta in Sveta z dne 23. julija 2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in o razveljavitvi Direktive 1999/93/ES (UL L 257, 28.8.2014, str. 73).

( 3 ) Delegirana uredba Komisije (EU) št. 1271/2013 z dne 30. septembra 2013 o okvirni finančni uredbi za organe iz člena 208 Uredbe (EU, Euratom) št. 966/2012 Evropskega parlamenta in Sveta (UL L 328, 7.12.2013, str. 42).

( 4 ) Sklep Komisije (EU, Euratom) 2015/443 z dne 13. marca 2015 o varnosti v Komisiji (UL L 72, 17.3.2015, str. 41).

( 5 ) Sklep Komisije (EU, Euratom) 2015/444 z dne 13. marca 2015 o varnostnih predpisih za varovanje tajnih podatkov EU (UL L 72, 17.3.2015, str. 53).

( 6 ) Uredba (EU, Euratom) 2018/1046 Evropskega parlamenta in Sveta z dne 18. julija 2018 o finančnih pravilih, ki se uporabljajo za splošni proračun Unije, spremembi uredb (EU) št. 1296/2013, (EU) št. 1301/2013, (EU) št. 1303/2013, (EU) št. 1304/2013, (EU) št. 1309/2013, (EU) št. 1316/2013, (EU) št. 223/2014, (EU) št. 283/2014 in Sklepa št. 541/2014/EU ter razveljavitvi Uredbe (EU, Euratom) št. 966/2012 (UL L 193, 30.7.2018, str. 1).

( 7 ) Uredba (EU, Euratom) št. 883/2013 Evropskega parlamenta in Sveta z dne 11. septembra 2013 o preiskavah, ki jih izvaja Evropski urad za boj proti goljufijam (OLAF), ter razveljavitvi Uredbe (ES) št. 1073/1999 Evropskega parlamenta in Sveta in Uredbe Sveta (Euratom) št. 1074/1999 (UL L 248, 18.9.2013, str. 1).

( 9 ) Uredba Sveta (Euratom, ES) št. 2185/96 z dne 11. novembra 1996 o pregledih in inšpekcijah na kraju samem, ki jih opravlja Komisija za zaščito finančnih interesov Evropskih skupnosti pred goljufijami in drugimi nepravilnostmi (UL L 292, 15.11.1996, str. 2).

( 10 ) Uredba Sveta št. 1 o določitvi jezikov, ki se uporabljajo v Evropski gospodarski skupnosti (UL 17, 6.10.1958, str. 385/58).

		Uradni list
		št.	stran	datum
►M1	UREDBA (EU) 2025/37 EVROPSKEGA PARLAMENTA IN SVETA z dne 19. decembra 2024	L 37	1	15.1.2025