(1)

Ob upoštevanju sklepov Sveta z dne 12. februarja 2016 o boju proti financiranju terorizma, Sporočila Komisije Evropskemu parlamentu in Svetu z dne 2. februarja 2016 o akcijskem načrtu za okrepitev boja proti financiranju terorizma ter Direktive (EU) 2017/541 Evropskega parlamenta in Sveta (2) bi bilo treba sprejeti skupna pravila o trgovini s tretjimi državami, da bi se zagotovila učinkovita zaščita pred nezakonito trgovino s predmeti kulturne dediščine in pred njihovo izgubo ali uničenjem, ohranjanje kulturne dediščine človeštva ter preprečevanje financiranja terorizma in pranja denarja s prodajo ukradenih predmetov kulturne dediščine kupcem v Uniji.

(2)

Izkoriščanje narodov in ozemelj lahko vodi v nezakonito trgovino s predmeti kulturne dediščine, zlasti kadar je taka nezakonita trgovina posledica oboroženih spopadov. V tej zvezi bi morala ta uredba upoštevati regionalne in lokalne značilnosti narodov in ozemelj, ne pa tržne vrednosti predmetov kulturne dediščine.

(3)

Predmeti kulturne dediščine so del kulturne dediščine in so pogosto velikega kulturnega, umetniškega, zgodovinskega in znanstvenega pomena. Kulturna dediščina predstavlja enega od osnovnih elementov civilizacije ter ima med drugim simbolno vrednost in je kulturni spomin človeštva. Bogati kulturno življenje vseh narodov ter združuje ljudi v skupnem spominu, poznavanju in razvoju civilizacije. Zato bi jo bilo treba zaščititi pred protipravno prisvojitvijo in krajo. Že vedno je prihajalo do kraj na arheoloških najdiščih, a zdaj je to doseglo industrijske razsežnosti in je skupaj s trgovanjem z nezakonito izkopanimi predmeti kulturne dediščine hudo kaznivo dejanje, ki povzroča veliko trpljenja tistim, ki jih to neposredno ali posredno prizadene. Nezakonita trgovina s predmeti kulturne dediščine v mnogih primerih prispeva k nasilni akulturaciji ali nasilni izgubi kulturne identitete, kraja predmetov kulturne dediščine pa med drugim vodi v razpad kultur. Dokler je mogoče dobičkonosno trgovati z nezakonito izkopanimi predmeti kulturne dediščine in se z njimi okoriščati brez večjih tveganj, se bodo takšna izkopavanja in kraje nadaljevala. Zaradi gospodarske in umetniške vrednosti predmetov kulturne dediščine je zanje povpraševanje na mednarodnem trgu veliko. Zaradi pomanjkanja odločnih mednarodnih pravnih ukrepov in neučinkovitega izvrševanja morebitnih ukrepov, ki obstajajo, pa ti predmeti prehajajo v sivo ekonomijo. Unija bi zato morala prepovedati vnos predmetov kulturne dediščine, ki so bili protipravno izvoženi iz tretjih držav, na carinsko območje Unije, pri čemer bi bilo treba posebni poudarek nameniti predmetom kulturne dediščine iz tretjih držav, v katerih poteka oborožen spopad, zlasti kadar s temi predmeti kulturne dediščine nezakonito trgujejo teroristične organizacije ali druge kriminalne združbe. Ta splošna prepoved ne bi smela pomeniti sistematičnih kontrol, vendar pa bi bilo treba državam članicam dovoliti, da ukrepajo, kadar so na podlagi obveščevalne dejavnosti seznanjene glede sumljivih pošiljk, in sprejmejo vse ustrezne ukrepe, s katerimi prestrežejo nezakonito izvoženi predmeti kulturne dediščine.

(4)

Zaradi različnih pravil, ki se uporabljajo v državah članicah glede uvoza predmetov kulturne dediščine na carinsko območje Unije, bi bilo treba sprejeti ukrepe, s katerimi bi zlasti zagotovili, da za določen uvoz predmetov kulturne dediščine veljajo enotne kontrole ob njihovem vstopu na carinsko območje Unije, in sicer na podlagi obstoječih procesov, postopkov in upravnih orodij, katerih namen je doseči enotno izvajanje Uredbe (EU) št. 952/2013 Evropskega parlamenta in Sveta (3).

(5)

Varstvo predmetov kulturne dediščine, ki veljajo za nacionalno bogastvo držav članic, že urejata Uredba Sveta (ES) št. 116/2009 (4) ter Direktiva 2014/60/EU Evropskega parlamenta in Sveta (5). Ta uredba se zato ne bi smela uporabljati za predmete kulturne dediščine, ki so bili ustvarjeni ali odkriti na carinskem območju Unije. Skupna pravila, ki jih uvaja ta uredba, bi morala zajemati carinsko obravnavo predmetov kulturne dediščine, ki niso predmeti kulturne dediščine Unije in ki vstopajo na carinsko območje Unije. Relevantno carinsko območje za namene te uredbe bi moralo biti carinsko območje Unije v času uvoza.

(6)

Kontrolni ukrepi, ki jih je treba vzpostaviti v zvezi s prostimi conami in tako imenovanimi „prostocarinskimi območji“ bi morali imeti čim širše področje uporabe v smislu zadevnih carinskih postopkov, da bi preprečili izogibanje tej uredbi prek izkoriščanja teh prostih con, ki imajo potencial, da se uporabijo za nadaljnje širjenje nezakonite trgovine. Ti kontrolni ukrepi bi se torej morali nanašati ne le na predmete kulturne dediščine, ki se sprostijo v prosti promet, temveč tudi na predmete kulturne dediščine v posebnem carinskem postopku. Vendar pa področje uporabe ne bi smelo presegati cilja preprečevanja vstopa nezakonito izvoženih predmetov kulturne dediščine na carinsko območje Unije. V skladu s tem sistematični kontrolni ukrepi zajemajo sprostitev v prosti promet in nekatere posebne carinske postopke, po katerih se lahko obravnavajo predmeti ob vstopu na carinsko območje Unije, izključevati pa bi morali tranzit.

(7)

Veliko tretjih držav in večina držav članic je seznanjenih z opredelitvami pojmov, ki se uporabljajo v Konvenciji Unesca o ukrepih za prepoved in preprečevanje nedovoljenega uvoza in izvoza kulturnih dobrin ter prenosa lastninske pravice na njih, podpisani 14. novembra 1970 v Parizu (v nadaljnjem besedilu: Konvencija Unesca iz leta 1970), h kateri je pristopilo veliko število držav članic, ter v Konvenciji UNIDROIT o ukradenih ali nezakonito izvoženih predmetih kulturne dediščine, podpisani 24. junija 1995 v Rimu. Zato opredelitve pojmov, ki se uporabljajo v tej uredbi, temeljijo na navedenih opredelitvah pojmov.

(8)

Zakonitost izvoza predmetov kulturne dediščine bi bilo treba presoditi predvsem na podlagi zakonov in drugih predpisov države, v kateri so bili ti predmeti kulturne dediščine ustvarjeni ali odkriti. Da pa ne bi nerazumno ovirali zakonite trgovine, bi bilo treba osebi, ki želi predmete kulturne dediščine uvoziti na carinsko območje Unije, v določenih primerih izjemoma dovoliti, da namesto tega dokaže zakonit izvoz iz druge tretje države, v kateri so se predmeti kulturne dediščine nahajali, preden so bili odpremljeni v Unijo. Ta izjema bi se morala uporabljati v primerih, ko države, v katerih so bili predmeti kulturne dediščine ustvarjeni ali odkriti, ni mogoče zanesljivo določiti, ali kadar so bili predmeti kulturne dediščine izvoženi pred začetkom veljavnosti Konvencije Unesca iz leta 1970, in sicer 24. aprila 1972. Da bi preprečili izogibanje tej uredbi s tem, da bi se nezakonito izvoženi predmeti kulturne dediščine pred njihovim uvozom v Unijo enostavno prenesli v drugo tretjo državo, bi se izjeme morale uporabljati, kadar so se predmeti kulturne dediščine več kot pet let nahajali v tretji državi za druge namene, kot so začasna uporaba, tranzit, ponovni izvoz ali pretovarjanje. Kadar te pogoje izpolnjuje več kot ena država, bi morala biti relevantna država zadnja izmed teh držav pred vnosom predmetov kulturne dediščine na carinsko območje Unije.

(9)

V členu 5 Konvencije Unesca iz leta 1970 se države pogodbenice poziva k ustanovitvi ene ali več nacionalnih služb za zaščito predmetov kulturne dediščine pred nezakonitim uvozom, izvozom in prenosom lastninske pravice. Take nacionalne službe bi morale imeti zadostno število kvalificiranega osebja za zagotavljanje omenjene zaščite v skladu z navedeno konvencijo in bi morale tudi omogočati potrebno dejavno sodelovanje med pristojnimi organi držav članic, ki so pogodbenice navedene konvencije, na področju varnosti in boja proti nezakonitemu uvozu predmetov kulturne dediščine, zlasti iz območij, na katerih potekajo oboroženi spopadi.

(10)

Da se trgovina s predmeti kulturne dediščine prek zunanjih meja Unije ne bi nesorazmerno ovirala, bi se morala ta uredba uporabljati le za predmete kulturne dediščine, ki presegajo določeno starostno mejo, ki je določena v tej uredbi. Primerno se zdi tudi določiti finančni prag, da se predmeti kulturne dediščine nižje vrednosti izvzamejo iz uporabe pogojev in postopkov za uvoz na carinsko ozemlje Unije. S temi pragi se bo zagotovilo, da so ukrepi iz te uredbe osredotočeni na tiste predmete kulturne dediščine, ki so najpogosteje tarča tatov na konfliktnih območjih, pri čemer pa niso izključeni drugi predmeti, ki morajo biti predmet kontrole za zagotavljanje varstva kulturne dediščine.

(11)

V okviru nadnacionalne ocene tveganja v zvezi s tveganji pranja denarja in financiranja terorizma, ki vplivajo na notranji trg, je bila nezakonita trgovina z ukradenimi predmeti kulturne dediščine identificirana kot možen vir dejavnosti financiranja terorizma in pranja denarja.

(12)

Ker so nekatere kategorije predmetov kulturne dediščine, in sicer arheološki predmeti in sestavni deli spomenikov, še posebej izpostavljene kraji in uničevanju, se zdi potrebno uvesti sistem strožjega nadzora, preden se jim dovoli vstop na carinsko območje Unije. V takem sistemu bi bilo treba pred sprostitvijo predmetov kulturne dediščine v prosti promet v Unijo ali njihovim dajanjem v posebni carinski postopek, ki ni tranzit, predložiti dovoljenje za uvoz, ki ga je izdal pristojni organ države članice. Osebe, ki želijo pridobiti tako dovoljenje, bi morale biti zmožne dokazati, da so bili predmeti kulturne dediščine zakonito izvoženi iz države, v kateri so bili ustvarjeni ali odkriti, in sicer s predložitvijo ustreznih podpornih dokumentov in dokazil, kot so izvozna potrdila, dokazila o lastništvu, računi, prodajne pogodbe, potrdila o zavarovanju, prevozne listine in izvedenske cenitve. Pristojni organi držav članic bi morali na podlagi popolnih in točnih zahtevkov brez nepotrebnega odlašanja odločiti, ali bodo izdali dovoljenje. Vsa uvozna dovoljenja bi bilo treba hraniti v elektronskem sistemu.

(13)

Ikona je upodobitev verske osebnosti ali verskega dogodka. Izdelana je lahko v različnih materialih in velikostih ter je lahko v obliki spomenika ali prenosna. V primerih, kadar je bila ikona nekoč na primer del notranjosti cerkve, samostana, kapele, bodisi kot samostojen element ali kot del arhitekturnega sestava, na primer ikonostasa ali stojala za ikone, je bistven in neločljiv del bogoslužja in liturgičnega življenja ter bi jo bilo treba obravnavati kot sestavni del verskega spomenika, ki je bil razstavljen. Tudi v primerih, kadar specifičen spomenik, katerega del je bila ikona, ni znan, obstajajo pa dokazi, da je bila nekoč sestavni del spomenika, zlasti kadar so prisotni znaki ali elementi, na podlagi katerih lahko sklepamo, da je bila nekoč del ikonostasa ali stojala za ikone, bi morala biti ikona še vedno zajeta v kategoriji „predmeti, ki so sestavni deli razstavljenih umetniških ali zgodovinskih spomenikov ali arheoloških najdišč, ki so bili razstavljeni“, navedeni v Prilogi.

(14)

Glede na posebno naravo predmetov kulturne dediščine je vloga carinskih organov nadvse pomembna in omogočiti bi jim bilo treba, da po potrebi od deklaranta zahtevajo dodatne informacije in s fizičnim pregledom preučijo predmete kulturne dediščine.

(15)

Za kategorije predmetov kulturne dediščine, za uvoz katerih ni potrebno uvozno dovoljenje, bi morale osebe, ki želijo uvoziti te predmete na carinsko območje Unije, z izjavo potrditi njihov zakonit izvoz iz tretje države in prevzeti odgovornost zanj ter zagotoviti zadostne informacije, na podlagi katerih lahko carinski organi te predmete kulturne dediščine identificirajo. Za poenostavitev postopka in zaradi pravne varnosti bi bilo treba informacije o predmetih kulturne dediščine zagotoviti z uporabo standardiziranega dokumenta. Za opis predmetov kulturne dediščine bi lahko uporabljali standard identifikacije predmeta, ki ga priporoča Unesco. Imetnik predmetov bi moral te podrobnosti zabeležiti v elektronskem sistemu, da se carinskim organom olajša identifikacija, omogoči analiza tveganja in ciljno usmerjene kontrole ter zagotovi sledljivost predmetov kulturne dediščine, potem ko vstopijo na notranji trg.

(16)

V okviru enotnega okenca EU za carino bi Komisija morala biti odgovorna za vzpostavitev centraliziranega elektronskega sistema za vložitev zahtevkov za uvozna dovoljenja in izjave uvoznikov ter tudi shranjevanje in izmenjavo informacij med organi držav članic, zlasti v zvezi z izjavami uvoznikov in uvoznimi dovoljenji.

(17)

Treba bi bilo omogočiti, da obdelava podatkov v skladu s to uredbo zajema tudi osebne podatke, tako obdelavo pa bi bilo treba izvajati v skladu s pravom Unije. Države članice in Komisija bi morale osebne podatke obdelovati samo za namene te uredbe ali v ustrezno utemeljenih okoliščinah za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem. Vsako zbiranje, razkritje, posredovanje, sporočanje in drugo obdelovanje osebnih podatkov v okviru področja uporabe te uredbe bi moralo potekati v skladu z zahtevami uredb (EU) 2016/679 (6) in (EU) 2018/1725 (7) Evropskega parlamenta in Sveta. Pri obdelavi osebnih podatkov za namene te uredbe bi bilo treba upoštevati tudi pravico do spoštovanja zasebnega in družinskega življenja iz člena 8 Konvencije Sveta Evrope o varstvu človekovih pravic in temeljnih svoboščin, pa tudi pravico do spoštovanja zasebnega in družinskega življenja ter pravico do varstva osebnih podatkov iz členov 7 oziroma 8 Listine Evropske unije o temeljnih pravicah.

(18)

Za predmete kulturne dediščine, ki niso bili ustvarjeni ali odkriti na carinskem območju Unije, a so bili izvoženi kot blago Unije, se ne bi smela zahtevati predložitev uvoznega dovoljenja ali izjave uvoznika, kadar so vrnjeni na to območje kot vrnjeno blago v smislu Uredbe (EU) št. 952/2013.

(19)

Predložitev uvoznega dovoljenja ali izjave uvoznika se prav tako ne bi smela zahtevati za začasni uvoz predmetov kulturne dediščine za namene izobraževanja, znanosti, ohranjanja, restavriranja, razstavljanja, digitalizacije, uprizoritvene umetnosti, raziskav akademskih ustanov ali za namen sodelovanja med muzeji ali podobnimi ustanovami.

(20)

Za hrambo predmetov kulturne dediščine iz držav, v katerih potekajo oboroženi spopadi ali ki so jih prizadele naravne nesreče, izključno z namenom iskanja zatočišča za zagotovitev njihovega varnega hranjenja in ohranitve s strani ali pod nadzorom javnega organa, se ne bi smela zahtevati predložitev uvoznega dovoljenja ali izjave uvoznika.

(21)

Da se olajša predstavitev predmetov kulturne dediščine na trgovskih sejmih umetnin, uvozno dovoljenje ne bi smelo biti potrebno, kadar so predmeti kulturne dediščine v postopku začasnega uvoza v smislu člena 250 Uredbe (EU) št. 952/2013 in kadar je bila namesto uvoznega dovoljenja predložena izjava uvoznika. Vendar pa bi bilo treba zagotoviti uvozno dovoljenje, kadar taki predmeti kulturne dediščine po sejmu umetnin ostanejo v Uniji.

(22)

Za zagotovitev enotnih pogojev izvajanja te uredbe bi bilo treba na Komisijo prenesti izvedbena pooblastila za sprejetje podrobnih ureditev za predmete kulturne dediščine, ki so vrnjeno blago, ali za začasni uvoz predmetov kulturne dediščine na carinskem območju Unije in njihovo varno hranjenje, predlog zahtevkov za izdajo uvoznega dovoljenja in obrazcev za izdajo uvoznega dovoljenja ter predlog izjav uvoznika in njihovo spremno dokumentacijo, pa tudi nadaljnja postopkovna pravila o njihovi predložitvi in obdelavi. Na Komisijo bi bilo treba prenesti tudi izvedbena pooblastila za pripravo vzpostavitve elektronskega sistema za vložitev zahtevkov za uvozna dovoljenja in izjav uvoznikov ter za shranjevanje in izmenjavo informacij med državami članicami. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta (8).

(23)

Da bi pri organizaciji usposabljanj, dejavnosti za krepitev zmogljivosti in kampanj ozaveščanja zagotovili učinkovito usklajevanje in preprečili podvajanje prizadevanj ter da bi po potrebi naročili ustrezne raziskave in poskrbeli za razvoj standardov, bi morale Komisija in države članice sodelovati z mednarodnimi organizacijami in organi, kot so Unesco, Interpol, Europol, Svetovna carinska organizacija, Mednarodni center za študij varstva in restavriranja kulturnih dobrin in Mednarodni muzejski svet (ICOM).

(24)

V podporo učinkovitemu izvajanju te uredbe in za zagotovitev podlage za njeno ocenjevanje v prihodnosti bi morale države članice in Komisija elektronsko zbirati in deliti relevantne informacije o trgovinskih tokovih predmetov kulturne dediščine. Zaradi preglednosti in javnega nadzora bi bilo treba čim več informacij objaviti. Trgovinskih tokov predmetov kulturne dediščine ni mogoče učinkovito spremljati samo na podlagi njihove vrednosti ali teže. Nujno je, da se elektronsko zbirajo informacije o številu prijavljenih kosov. Ker v kombinirani nomenklaturi za predmete kulturne dediščine niso določene dodatne merske enote, je treba zahtevati, da se prijavi število kosov.

(25)

Strategija in akcijski načrt EU za obvladovanje tveganja na carinskem področju sta med drugim namenjena krepitvi zmogljivosti carinskih organov za večjo odzivnost na tveganja na področju predmetov kulturne dediščine. Uporabljati bi bilo treba skupni okvir za obvladovanje tveganja, določen v Uredbi (EU) št. 952/2013, ter ustrezne informacije v zvezi s tveganjem bi bilo treba izmenjevati med carinskimi organi.

(26)

Da bi izkoristili strokovno znanje mednarodnih organizacij in organov, dejavnih na kulturnem področju, in njihove izkušnje v zvezi z nezakonito trgovino s predmeti kulturne dediščine, bi bilo treba priporočila in smernice, ki jih te organizacije in organi izdajo, upoštevati pri opredelitvi tveganj, povezanih s predmeti kulturne dediščine, v skupnem okviru za obvladovanje tveganja. Zlasti bi morali rdeči seznami, ki jih objavi ICOM, služiti kot smernice za opredelitev teh tretjih držav, katerih dediščina je najbolj v nevarnosti, in predmetov, ki se iz teh držav izvažajo in ki naj bi bili pogosteje predmet nezakonite trgovine.

(27)

Treba je vzpostaviti kampanje ozaveščanja, usmerjene v kupce predmetov kulturne dediščine, glede tveganj, povezanih z nezakonito trgovino, in pomagati udeležencem na trgu pri razumevanju in uporabi te uredbe. Države članice bi morale k razširjanju teh informacij pritegniti ustrezne nacionalne kontaktne točke in druge službe za informiranje.

(28)

Komisija bi morala zagotoviti, da je mikro-, malim in srednjim podjetjem (MSP) zagotovljena ustrezna tehnična pomoč, in olajšati posredovanje informacij tem podjetjem, da bi se ta uredba učinkovito izvajala. MSP s sedežem v Uniji, ki uvažajo predmete kulturne dediščine, bi zato morala izkoristiti sedanje in prihodnje programe Unije, namenjene podpiranju konkurenčnosti malih in srednjih podjetij.

(29)

Za spodbujanje spoštovanja določb in odvračanje od izogibanja tem določbam bi morale države članice uvesti učinkovite, sorazmerne in odvračilne kazni za nespoštovanje določb te uredbe ter o njih obvestiti Komisijo. Kazni, ki jih uvedejo države članice za kršitve te uredbe, bi morale imeti enakovreden odvračilni učinek po vsej Uniji.

(30)

Države članice bi morale zagotoviti, da carinski organi in pristojni organi soglašajo z ukrepi iz člena 198 Uredbe (EU) št. 952/2013. Podrobnosti teh ukrepov bi morale biti urejene v nacionalnem pravu.

(31)

Komisija bi morala nemudoma sprejeti pravila za izvajanje te uredbe, zlasti pravila v zvezi z ustreznimi elektronskimi standardiziranimi obrazci, ki se uporabijo za predložitev zahtevka za izdajo uvoznega dovoljenja ali za pripravo izjave uvoznika, in zatem v najkrajšem možnem času vzpostaviti elektronski sistem. Uporabo določb v zvezi z uvoznimi dovoljenji in izjavami uvoznikov bi bilo treba ustrezno odložiti.

(32)

V skladu z načelom sorazmernosti je potrebno in primerno, da se za doseganje osnovnih ciljev te uredbe določijo pravila o vnosu ter pogojih in postopkih za uvoz predmetov kulturne dediščine na carinsko območje Unije. V skladu s členom 5(4) Pogodbe o Evropski uniji ta uredba ne presega tistega, kar je potrebno za doseganje navedenih ciljev –

(1)

Omrežja in informacijski sistemi ter elektronska komunikacijska omrežja in storitve imajo ključno vlogo v družbi ter so postali temelj gospodarske rasti. Informacijske in komunikacijske tehnologije (IKT) so osnova za kompleksne sisteme, ki podpirajo vsakodnevne družbene dejavnosti, omogočajo, da naša gospodarstva delujejo v ključnih sektorjih, kot so zdravstvo, energetika, finance in promet, ter zlasti podpirajo delovanje notranjega trga.

(2)

Med državljani, organizacijami in podjetji po vsej Uniji je vedno bolj razširjena uporaba omrežij in informacijskih sistemov. Digitalizacija in povezljivost postajata poglavitni značilnosti vse večjega števila proizvodov in storitev, s prihodom interneta stvari (IoT) pa naj bi se v naslednjem desetletju po vsej Uniji začelo uporabljati izredno veliko število povezanih digitalnih naprav. Medtem ko je vse več naprav povezanih z internetom, v njihovo zasnovo nista zadostno vključeni varnost in odpornost, kar vodi v nezadostno kibernetsko varnost. Omejeno certificiranje zato vodi do nezadostnih informacij za posamezne uporabnike, uporabnike v organizacijah in poslovne uporabnike o lastnostih proizvodov IKT, storitev IKT in postopkov IKT glede kibernetske varnosti, kar spodkopava zaupanje v digitalne rešitve. Omrežja in informacijski sistemi so zmožni podpreti vse vidike našega življenja in poganjajo gospodarsko rast Unije. So ključna podlaga za vzpostavitev enotnega digitalnega trga.

(3)

Večja digitalizacija in povezljivost povečujeta tveganja na področju kibernetske varnosti, zaradi česar je družba na splošno bolj ranljiva za kibernetske grožnje, nevarnosti, s katerimi se srečujejo posamezniki, vključno z ranljivimi osebami, kot so otroci, pa so večje. Da bi ublažili tovrstna tveganja za družbo, je treba sprejeti vse potrebne ukrepe, da bi izboljšali kibernetsko varnost v Uniji in tako omrežja in informacijske sisteme, komunikacijska omrežja ter digitalne proizvode, storitve in naprave, ki jih uporabljajo državljani, organizacije in podjetja – od malih in srednjih podjetij (MSP), kot so opredeljena v Priporočilu Komisije 2003/361/ES (4), do upravljavcev kritične infrastrukture –, bolje zaščitili pred kibernetskimi grožnjami.

(4)

Agencija Evropske unije za varnost omrežij in informacij (v nadaljnjem besedilu: agencija ENISA), ustanovljena z Uredbo (EU) št. 526/2013 Evropskega parlamenta in Sveta (5) z dajanjem ustreznih informacij na voljo javnosti pomaga pri razvoju industrije kibernetske varnosti v Uniji, zlasti MSP in zagonskih podjetij. Agencija ENISA bi si morala prizadevati za tesnejše sodelovanje z univerzami in raziskovalnimi ustanovami, da bi prispevala k zmanjšanju odvisnosti od proizvodov in storitev za kibernetsko varnost iz držav zunaj Unije ter okrepila dobavne verige znotraj Unije.

(5)

Kibernetski napadi so vse pogostejši, povezana gospodarstvo in družba, ki sta bolj ranljiva za kibernetske grožnje in napade, pa potrebujeta boljšo obrambo. Čeprav so kibernetski napadi pogosto čezmejni, so pristojnosti in odzivi politike organov za kibernetsko varnost ter organov za preprečevanje za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj večinoma nacionalni. Veliki incidenti bi lahko povzročili motnje pri zagotavljanju bistvenih storitev po vsej Uniji. Zato so potrebni učinkoviti in usklajeni odzivi ter krizno upravljanje na ravni Unije, in sicer na podlagi namenskih politik in širših instrumentov za evropsko solidarnost in medsebojno pomoč. Poleg tega je za oblikovalce politike, industrijo in uporabnike zato pomembno, da se na podlagi zanesljivih podatkov Unije redno ocenjuje stanje kibernetske varnosti in odpornosti v Uniji ter sistematično napovedujejo prihodnji razvoj, izzivi in grožnje, tako na ravni Unije kot na svetovni ravni.

(6)

Glede na večje izzive na področju kibernetske varnosti, s katerimi se spopada Unija, je potreben celovit sklop ukrepov, ki bi temeljili na prejšnjih ukrepih Unije in spodbujali cilje, ki se vzajemno krepijo. Ti cilji vključujejo nadaljnjo krepitev zmogljivosti in pripravljenosti držav članic in podjetij ter boljše sodelovanje, izmenjavo informacij in usklajevanje med državami članicami ter institucijami, organi, uradi in agencijami Unije. Poleg tega je treba glede na to, da kibernetske grožnje ne poznajo meja, povečati zmogljivosti na ravni Unije, ki bi lahko dopolnjevale ukrepe držav članic, zlasti v primerih velikih čezmejnih incidentov in kriz, ob upoštevanju pomena ohranjanja in nadaljnjega izboljševanja nacionalnih zmogljivosti za odzivanje na kibernetske grožnje vseh razsežnosti.

(7)

Potrebna so tudi dodatna prizadevanja za večjo ozaveščenost državljanov, organizacij in podjetij o vprašanjih kibernetske varnosti. Glede na to, da incidenti zmanjšujejo zaupanje v ponudnike digitalnih storitev in sam enotni digitalni trg, zlasti med potrošniki, bi bilo treba zaupanje poleg tega dodatno okrepiti s tem, da bi se na pregleden način nudile informacije o ravni varnosti proizvodov IKT, storitev IKT in postopkov IKT, ki poudarjajo, da tudi visoka raven certificiranja kibernetske varnosti ne more zagotoviti, da je proizvod IKT, storitev IKT ali postopek IKT povsem varen. Večje zaupanje je mogoče lažje doseči s certificiranjem na ravni Unije, ki bi zagotavljalo skupne zahteve in merila za ocenjevanje glede kibernetske varnosti za vse nacionalne trge in sektorje.

(8)

Pri kibernetski varnosti ne gre zgolj za vprašanje, povezano s tehnologijo, ampak za vprašanje, kjer je prav toliko pomembno tudi ravnanje ljudi. Zato bi bilo treba odločno spodbujati „kibernetsko higieno“, in sicer preproste in rutinske ukrepe, ki zmanjšajo izpostavljenost državljanov, organizacij in podjetij tveganjem zaradi kibernetskih groženj, kadar jih ti redno izvajajo.

(9)

Za krepitev struktur kibernetske varnosti Unije je pomembno ohranjati in razvijati zmogljivosti držav članic za celovito odzivanje na kibernetske grožnje, vključno s čezmejnimi incidenti.

(10)

Podjetja in posamezni potrošniki bi morali imeti točne informacije glede ravni zanesljivosti, s katero so bili certificirani njihovi proizvodi IKT, storitve IKT in postopki IKT. Hkrati pa nista noben proizvod IKT ali storitev IKT v celoti kibernetsko varna in je treba osnovna pravila za kibernetsko higieno spodbujati in jih prednostno obravnavati. Glede na vse večjo dostopnost naprav interneta stvari bi lahko zasebni sektor sprejel vrsto prostovoljnih ukrepov, s katerimi bi okrepil zaupanje v varnost proizvodov IKT, storitev IKT in postopkov IKT.

(11)

Sodobni proizvodi in sistemi IKT pogosto vključujejo eno ali več tehnologij in komponent tretjih strani, kot so moduli programske opreme, knjižnice ali vmesniki za aplikacijsko programiranje, ter se nanje opirajo. To opiranje oziroma „odvisnost“ bi lahko povzročilo dodatna tveganja za kibernetsko varnost, saj bi lahko šibke točke, odkrite v komponentah tretje strani, vplivale tudi na varnost proizvodov IKT, storitev IKT in postopkov IKT. Odkrivanje in dokumentiranje takšnih odvisnosti končnim uporabnikom proizvodov IKT, storitev IKT in postopkov IKT pogosto omogoči, da izboljšajo dejavnosti obvladovanja tveganj za kibernetsko varnost, s tem ko na primer izboljšajo postopke uporabniškega obvladovanja šibkih točk na področju kibernetske varnosti in odpravljanja njihovih posledic.

(12)

Organizacije, proizvajalce ali ponudnike, ki sodelujejo pri zasnovi in razvoju proizvodov IKT, storitev IKT ali postopkov IKT, bi bilo treba spodbuditi, naj v čim zgodnejših fazah zasnove in razvoja izvedejo ukrepe, da bo varnost navedenih proizvodov, storitev in postopkov na najvišji možni ravni, in to na način, da bo predpostavljena možnost kibernetskih napadov, njihove posledice pa predvidljive in čim manjše (v nadaljnjem besedilu: vgrajena varnost). Varnost bi bilo treba zagotoviti v celotni življenjski dobi proizvoda IKT, storitve IKT ali postopka IKT, in sicer z zasnovnimi in razvojnimi postopki, ki se nenehno nadgrajujejo, da se zmanjša tveganje za škodo zaradi zlorab.

(13)

Podjetja, organizacije in javni sektor bi morali proizvode IKT, storitve IKT ali postopke IKT, ki so jih zasnovali, konfigurirati tako, da bi zagotovili višjo raven varnosti, kar bi prvemu uporabniku moralo omogočiti, da bi imel privzeto konfiguracijo z najvarnejšimi možnimi nastavitvami (v nadaljnjem besedilu: privzeta varnost), in s tem zmanjšati breme uporabnikov, da morajo poskrbeti za ustrezno konfiguracijo proizvodov IKT, storitev IKT ali postopkov IKT. Pogoj za privzeto varnost ne bi smela biti obsežna konfiguracija oziroma privzeta varnost od uporabnikov ne bi smela zahtevati specifičnega tehničnega znanja ali neintuitivnega ravnanja, ki ni značilno za vsakdanjo uporabo; morala bi delovati preprosto in zanesljivo, kadar koli bi jo uporabljali. Če se na podlagi posameznega primera pri analizi tveganja in uporabnosti ugotovi, da takšna privzeta nastavitev ni izvedljiva, bi bilo treba uporabnike spodbuditi, da se odločijo za najbolj varno nastavitev.

(14)

Z Uredbo (ES) št. 460/2004 Evropskega parlamenta in Sveta (6) je bila ustanovljena agencija ENISA z namenom prispevanja k ciljema, da se zagotovi visoka in učinkovita raven varnosti omrežij in informacij v Uniji ter razvije kultura varnosti omrežij in informacij v korist državljanov, potrošnikov, podjetij in javnih uprav. Z Uredbo (ES) št. 1007/2008 Evropskega parlamenta in Sveta (7) je bil mandat agencije ENISA podaljšan do marca 2012. Z Uredbo (EU) št. 580/2011 Evropskega parlamenta in Sveta (8) je bil mandat agencije ENISA podaljšan do 13. septembra 2013. Z Uredbo (EU) št. 526/2013 je bil mandat agencije ENISA podaljšan do 19. junija 2020.

(15)

Unija je že sprejela pomembne ukrepe za zagotovitev kibernetske varnosti in okrepitev zaupanja v digitalne tehnologije. Leta 2013 je bila sprejeta strategija Evropske unije za kibernetsko varnost, ki naj bi zagotavljala smernice pri oblikovanju odziva Unije, kar zadeva politike, na kibernetske grožnje in tveganja. V prizadevanju za boljšo zaščito državljanov na spletu je Unija leta 2016 sprejela prvi pravni akt na področju kibernetske varnosti, in sicer v obliki Direktive (EU) 2016/1148 Evropskega parlamenta in Sveta (9). Direktiva (EU) 2016/1148 določa zahteve glede nacionalnih zmogljivosti na področju kibernetske varnosti, vzpostavlja prve mehanizme za okrepitev strateškega in operativnega sodelovanja med državami članicami ter uvaja obveznosti glede varnostnih ukrepov in priglasitev incidentov v vseh sektorjih, ki so ključni za gospodarstvo in družbo, kot so energetika, promet, oskrba s pitno vodo in njena distribucija, bančništvo, infrastrukture finančnih trgov, zdravstvo, digitalna infrastruktura, in za ponudnike ključnih digitalnih storitev (iskalniki, storitve računalništva v oblaku in spletne tržnice).

Pri podpori izvajanju navedene direktive je bila ključna vloga dodeljena agenciji ENISA. Poleg tega je učinkovit boj proti kibernetski kriminaliteti pomembna prednostna naloga v evropski agendi za varnost, saj prispeva k skupnemu cilju doseganja visoke ravni kibernetske varnosti. K visoki ravni kibernetske varnosti na enotnem digitalnem trgu prispevajo tudi drugi pravni akti, kot so Uredba (EU) 2016/679 Evropskega parlamenta in Sveta (10) in direktivi 2002/58/ES (11) in (EU) 2018/1972 (12) Evropskega parlamenta in Sveta.

(16)

Po sprejetju strategije Evropske unije za kibernetsko varnost leta 2013 in po zadnji reviziji mandata agencije ENISA se je splošni okvir politike znatno spremenil, saj so svetovne razmere postale bolj negotove in manj varne. Na podlagi tega in ob upoštevanju pozitivnega razvoja vloge agencije ENISA kot referenčne točke za svetovanje in strokovno znanje, kot ustanove, ki podpira sodelovanje in krepitev zmogljivosti, poleg tega pa tudi v okviru nove politike Unije za kibernetsko varnost je treba pregledati mandat agencije ENISA, da bi opredelili njeno vlogo v spremenjenem ekosistemu kibernetske varnosti in zagotovili, da učinkovito prispeva k odzivanju Unije na izzive na področju kibernetske varnosti, ki izhajajo iz korenito spremenjenih kibernetskih groženj in za katere, kot je bilo ugotovljeno med ocenjevanjem agencije ENISA, sedanji mandat ne zadostuje.

(17)

Agencija ENISA, ustanovljena s to uredbo, bi morala nadomestiti agencijo ENISA, ki je bila ustanovljena z Uredbo (EU) št. 526/2013. Agencija ENISA bi morala izvajati naloge, ki so na njo prenesene s to uredbo in pravnimi akti Unije na področju kibernetske varnosti, med drugim zagotavljati svetovanje in strokovno znanje ter delovati kot središče informacij in znanja v Uniji. Spodbujati bi morala izmenjavo najboljših praks med državami članicami in deležniki, zagotavljati predloge politik Evropski komisiji in državam članicam, delovati kot referenčna točka za sektorske pobude politik Unije v zvezi s kibernetsko varnostjo ter spodbujati operativno sodelovanje med državami članicami ter med državami članicami ter institucijami, organi, uradi in agencijami Unije.

(18)

V okviru Soglasnega sklepa (2004/97/ES, Euratom) predstavnikov držav članic, ki so se sestali na ravni voditeljev držav ali vlad (13), so se predstavniki držav članic odločili, da bo sedež agencije ENISA v grškem mestu, ki ga določi grška vlada. Država članica gostiteljica agencije ENISA, bi morala zagotoviti najboljše možne pogoje za nemoteno in učinkovito delovanje agencije ENISA. Za pravilno in učinkovito izvajanje njenih nalog, zaposlovanje in ohranitev osebja ter večjo učinkovitost dejavnosti mreženja je nujno, da je sedež agencije ENISA na ustrezni lokaciji, kjer so denimo na voljo ustrezne prometne povezave in infrastruktura za zakonce in otroke, ki spremljajo člane osebja agencije ENISA. Potrebne podrobnosti bi morale biti določene v sporazumu med agencijo ENISA in državo članico gostiteljico, sklenjenem po odobritvi upravnega odbora agencije ENISA.

(19)

Glede na vse večja tveganja in izzive na področju kibernetske varnosti, s katerimi se spopada Unija, bi bilo treba finančne in človeške vire, dodeljene agenciji ENISA, povečati, da bi ustrezali njeni okrepljeni vlogi in nalogam kot tudi kritičnemu položaju v ekosistemu organizacij, ki varujejo digitalni ekosistem Unije, kar bi agenciji ENISA omogočilo učinkovito izvajanje nalog, ki so na njo prenesene s to uredbo.

(20)

Agencija ENISA bi morala razviti in ohranjati visoko raven strokovnega znanja ter delovati kot referenčna točka, ki vzpostavlja zaupanje v enotni trg zaradi svoje neodvisnosti, kakovosti svetovanja, ki ga zagotavlja, in kakovosti informacij, ki jih razširja, preglednosti svojih postopkov in načina delovanja ter skrbnosti pri izvajanju svojih nalog. Agencija ENISA bi morala dejavno podpirati nacionalna prizadevanja in proaktivno prispevati k prizadevanjem Unije ter obenem opravljati svoje naloge ob popolnem sodelovanju z institucijami, organi, uradi in agencijami Unije ter z državami članicami, pri tem pa preprečevati podvajanje dela in spodbujati sinergijo. Poleg tega bi moralo delo agencije ENISA temeljiti na prispevkih zasebnega sektorja in drugih zadevnih deležnikov ter sodelovanju z njimi. Sklop nalog bi moral določati, kako naj agencija ENISA doseže svoje cilje, ter hkrati dopuščati prožnost pri njenem delovanju.

(21)

Da bi lahko ustrezno podpirala operativno sodelovanje med državami članicami, bi morala agencija ENISA še izboljšati svoje tehnične zmogljivosti ter človeške sposobnosti in veščine. Agencija ENISA bi morala povečati svoje strokovno znanje in sposobnosti. Agencija ENISA in države članice bi lahko prostovoljno oblikovale programe za napotitev nacionalnih strokovnjakov v agencijo ENISA, in sicer za vzpostavljanje nabora strokovnjakov in izmenjavo osebja.

(22)

Agencija ENISA bi morala Komisiji pomagati s svetovanjem, mnenji in analizami v zvezi z vsemi vprašanji Unije, povezanimi z oblikovanjem, posodabljanjem in pregledovanjem politik ter prava na področju kibernetske varnosti in njenih sektorskih vidikov, da bi politike in pravo Unije bolj prilagodili kibernetski razsežnosti in omogočili usklajeno izvajanje teh politik in prava na nacionalni ravni. Agencija ENISA bi morala delovati kot referenčna točka za svetovanje in strokovno znanje za sektorsko politiko in zakonodajne pobude Unije pri zadevah v zvezi s kibernetsko varnostjo. Agencija ENISA bi morala Evropski parlament redno obveščati o svojih dejavnostih.

(23)

Javno jedro odprtega interneta, in sicer njegovi glavni protokoli in infrastruktura, ki so svetovno javno dobro, omogoča uporabo ključnih funkcij interneta kot celote in je podlaga za njegovo normalno delovanje. Agencija ENISA bi morala podpirati varnost javnega jedra odprtega interneta in stabilno delovanje, vključno s ključnimi protokoli (zlasti DNS, BGP in IPv6), ter delovanjem sistema domenskih imen (kot je delovanje vseh vrhnjih domen) in delovanjem korenskega območja.

(24)

Temeljna naloga agencije ENISA je, da spodbuja dosledno izvajanje zadevnega pravnega okvira, zlasti učinkovito izvajanje Direktive (EU) 2016/1148 in drugih ustreznih pravnih instrumentov, ki se nanašajo na vidike kibernetske varnosti, kar je ključno za povečanje kibernetske odpornosti. Glede na hitro razvijajoče se kibernetske grožnje je jasno, da je treba države članice podpirati s celovitejšim medsektorskim pristopom h krepitvi kibernetske odpornosti.

(25)

Agencija ENISA bi morala državam članicam ter institucijam, organom, uradom in agencijam Unije pomagati pri njihovih prizadevanjih za vzpostavljanje in krepitev zmogljivosti in pripravljenosti za preprečevanje, odkrivanje in odzivanje na kibernetske grožnje in incidente kot tudi pri zadevah v zvezi z varnostjo omrežij in informacijskih sistemov. Agencija ENISA bi morala zlasti podpirati razvoj in krepitev skupin za odzivanje na incidente na področju računalniške varnosti (v nadaljnjem besedilu: skupine CSIRT) držav članic in Unije iz Direktive (EU) 2016/1148 za doseganje visoke skupne ravni zrelosti v Uniji. Dejavnosti, ki jih agencija ENISA izvaja v zvezi z operativnimi zmogljivostmi držav članic, bi morale dejavno podpirati ukrepe, ki jih države članice sprejmejo zaradi izpolnjevanja obveznosti iz Direktive (EU) 2016/1148, in jih zato ne bi smele nadomeščati.

(26)

Agencija ENISA bi morala pomagati tudi pri oblikovanju in posodabljanju strategij za varnost omrežij in informacijskih sistemov na ravni Unije, na zahtevo pa tudi na ravni držav članic, zlasti na področju kibernetske varnosti, ter spodbujati razširjanje takih strategij in spremljati napredek pri njihovem izvajanju. Poleg tega bi morala agencija ENISA med drugim tudi pomagati pri pokrivanju potreb za usposabljanje in gradivo za usposabljanje, vključno s potrebami javnih organov, ter po potrebi v precejšnjem obsegu „usposabljati izvajalce usposabljanj“ na podlagi okvira digitalnih kompetenc za državljane, da bi državam članicam, institucijam, organom, uradom in agencijam Unije pomagala pri razvoju lastnih zmogljivosti za usposabljanje.

(27)

Agencija ENISA bi morala z omogočanjem tesnejšega usklajevanja in izmenjave najboljših praks podpirati države članice na področju ozaveščanja in izobraževanja glede kibernetske varnosti. Taka podpora bi lahko vključevala razvoj mreže nacionalnih kontaktnih točk za izobraževanje in platforme za usposabljanje na področju kibernetske varnosti. Mreža nacionalnih kontaktnih točk za izobraževanje bi lahko delovala v okviru mrežo nacionalnih uradnikov za zvezo in bila izhodišče za prihodnje usklajevanje znotraj držav članic.

(28)

Agencija ENISA bi morala skupini za sodelovanje, vzpostavljeni z Direktivo (EU) 2016/1148, pomagati pri izvajanju njenih nalog, zlasti z zagotavljanjem strokovnega znanja in svetovanja ter omogočanjem lažje izmenjave najboljših praks, med drugim glede določitve izvajalcev bistvenih storitev s strani držav članic, ter glede čezmejnih odvisnosti v zvezi s tveganji in incidenti.

(29)

Zaradi spodbujanja sodelovanja med javnim in zasebnim sektorjem ter znotraj zasebnega sektorja, zlasti pa, da bi pripomogla k zaščiti kritičnih infrastruktur, bi morala agencija ENISA podpirati znotrajsektorsko in medsektorsko izmenjavo informacij, zlasti v sektorjih iz Priloge II k Direktivi (EU) 2016/1148, in sicer z zagotavljanjem najboljših praks in navodil o razpoložljivih orodjih in o postopku ter navodil o tem, kako obravnavati regulativna vprašanja, povezana z izmenjavo informacij, na primer z omogočanjem lažjega ustanavljanja sektorskih centrov za izmenjavo in analizo informacij.

(30)

Negativne posledice šibkih točk proizvodov IKT, storitev IKT in postopkov IKT bodo lahko v prihodnje še hujše, zato sta iskanje in odprava teh šibkih točk zelo pomembna za zmanjšanje splošnih tveganj v zvezi s kibernetsko varnostjo. Kot se je pokazalo, je mogoče s sodelovanjem med organizacijami, proizvajalci ali ponudniki proizvodov IKT, storitev IKT in postopkov IKT, pri katerih obstajajo takšne šibke točke, ter raziskovalci s področja kibernetske varnosti in državnimi organi, ki šibke točke odkrivajo, bistveno povečati stopnjo odkrivanja in odpravljanja šibkih točk proizvodov IKT, storitev IKT in postopkov IKT. Usklajeno razkrivanje šibkih točk je strukturiran proces sodelovanja, v katerem je o šibkih točkah najprej seznanjen lastnik informacijskega sistema, s čimer se organizaciji omogoči diagnoza in odprava šibkih točk, še preden se podrobne informacije o šibkih točkah razkrijejo tretjim osebam ali javnosti. Del tega procesa je tudi usklajevanje med odkriteljem in organizacijo v zvezi z seznanjanjem javnosti o teh šibkih točkah. Politike usklajenega razkrivanja šibkih točk bi lahko imele pomembno vlogo pri prizadevanjih držav članic za izboljšanje kibernetske varnosti.

(31)

Agencija ENISA bi morala zbrati in analizirati nacionalna poročila skupin CSIRT in medinstitucionalne skupine za odzivanje na računalniške grožnje za institucije, organe in agencije Unije (v nadaljnjem besedilu: skupina CERT-EU), ustanovljene z Dogovorom med Evropskim parlamentom, Evropskim svetom, Svetom Evropske unije, Evropsko komisijo, Sodiščem Evropske unije, Evropsko centralno banko, Evropskim računskim sodiščem, Evropsko službo za zunanje delovanje, Evropskim ekonomsko-socialnim odborom, Evropskim odborom regij in Evropsko investicijsko banko o organizaciji in delovanju skupine za odzivanje na računalniške grožnje za institucije, organe in agencije Unije (CERT-EU) (14), ki so bila prostovoljno dana v skupno rabo, da bi tako pripomogla k določitvi skupnih postopkov, jezika in terminologije za izmenjavo informacij. V tej zvezi bi morala agencija ENISA v okviru Direktive (EU) 2016/1148, ki določa temelje za prostovoljno izmenjavo tehničnih informacij na operativni ravni znotraj mreže skupin za odzivanje na incidente na področju računalniške varnosti (v nadaljnjem besedilu: mreža skupin CSIRT), vzpostavljene z navedeno direktivo, vključiti tudi zasebni sektor.

(32)

Agencija ENISA bi morala prispevati k odzivom na ravni Unije v primeru velikih čezmejnih incidentov in kriz, povezanih s kibernetsko varnostjo. To nalogo bi morala izvajati v skladu z mandatom agencije ENISA na podlagi te uredbe in pristopom, o katerem se dogovorijo države članice v smislu Priporočila Komisije (EU) 2017/1584 (15) ter sklepov Sveta z dne 26. junija 2018 o usklajenem odzivu EU na velike kibernetske incidente in krize. Ta naloga bi lahko vključevala zbiranje ustreznih informacij ter posredovanje med mrežo skupin CSIRT, tehnično skupnostjo in med nosilci odločitev, pristojnimi za krizno upravljanje. Poleg tega bi morala agencija ENISA, kadar tako zahteva ena ali več držav članic, podpirati operativno sodelovanje med državami članicami pri obvladovanju incidentov s tehničnega vidika, tako da bi olajšala ustrezne izmenjave tehničnih rešitev med državami članicami in zagotavljala informacije za komuniciranje z javnostjo. Agencija ENISA bi morala podpirati operativno sodelovanje s preskušanjem ureditev takšnega sodelovanja v okviru rednih vaj na področju kibernetske varnosti.

(33)

Agencija ENISA bi morala pri podpiranju operativnega sodelovanja uporabljati razpoložljivo tehnično in operativno strokovno znanje skupine CERT-EU prek strukturiranega sodelovanja. Takšno strukturirano sodelovanje bi lahko okrepilo strokovno znanje in sposobnosti agencije ENISA. Po potrebi bi bilo treba sprejeti posebne dogovore med tema dvema subjektoma, s katerimi bi določili praktično izvajanje tega sodelovanja in se izogibali podvajanju dejavnosti.

(34)

Zaradi podpore operativnemu sodelovanju v mreži skupin CSIRT bi morala agencija ENISA v skladu s svojimi nalogami imeti možnost, da države članice na njihovo zahtevo podpira, na primer s svetovanjem o načinih za izboljšanje njihove zmogljivosti za preprečevanje in odkrivanje incidentov ter odzivanje nanje z omogočanjem lažjega tehničnega obvladovanja incidentov, ki imajo pomembne ali znatne posledice, ali z zagotavljanjem analiz kibernetskih groženj in incidentov. Agencija ENISA bi morala olajšati tehnično obvladovanje incidentov, ki imajo pomembne ali znatne posledice, zlasti tako, da bi podpirala prostovoljno izmenjavo tehničnih rešitev med državami članicami ali s pripravo kombiniranih tehničnih informacij, na primer o tehničnih rešitvah, ki si jih države članice prostovoljno izmenjujejo. Priporočilo (EU) 2017/1584 priporoča, naj države članice v dobri veri sodelujejo ter si med seboj in z agencijo ENISA izmenjujejo informacije o velikih incidentih in krizah, povezanih s kibernetsko varnostjo, brez nepotrebnega odlašanja. Take informacije bi nadalje pomagale agenciji ENISA pri izvajanju njenih nalog podpiranja operativnega sodelovanja.

(35)

Kot del rednega sodelovanja na tehnični ravni za podporo situacijskemu zavedanju v Uniji bi morala agencija ENISA ob tesnem sodelovanju z državami članicami redno pripravljati poglobljeno tehnično poročilo o stanju na področju kibernetske varnosti v EU glede incidentov in kibernetskih groženj, ki bi temeljilo na javno dostopnih informacijah, lastni analizi ter poročilih, ki ji jih pošljejo skupine CSIRT držav članic ali nacionalne enotne kontaktne točke za varnost omrežij in informacijskih sistemov (v nadaljnjem besedilu: enotne kontaktne točke) iz Direktive (EU) 2016/1148, v obeh primerih na prostovoljni podlagi, Evropski center za boj proti kibernetski kriminaliteti (EC3) pri Europolu, skupina CERT-EU ter po potrebi Obveščevalni in situacijski center Evropske unije (EU INTCEN) pri Evropski službi za zunanje delovanje. To poročilo bi moralo biti na voljo Svetu, Komisiji, visokemu predstavniku Unije za zunanje zadeve in varnostno politiko ter mreži skupin CSIRT.

(36)

Podpora agencije ENISA pri naknadnih tehničnih preiskavah incidentov, ki imajo pomembne ali znatne posledice, opravljenih na zahtevo zadevnih držav članic, bi morala biti usmerjena na preprečevanje prihodnjih incidentov. Da bi agenciji ENISA omogočile, da učinkovito podpre naknadne tehnične preiskave, bi morale zadevne države članice zagotoviti potrebne informacije in pomoč.

(37)

Države članice lahko podjetja, ki jih je incident prizadel, povabijo, naj sodelujejo z zagotavljanjem potrebnih informacij in pomoči agenciji ENISA, brez poseganja v njihovo pravico do varovanja poslovno občutljivih informacij in informacij, ki so pomembne za javno varnost.

(38)

Potrebno je, da Agencija ENISA za boljše razumevanje izzivov na področju kibernetske varnosti in z namenom zagotavljanja dolgoročnega strateškega svetovanja državam članicam in institucijam, organom, uradom in agencijam Unije analizira sedanja in nastajajoča tveganja za kibernetsko varnost. V ta namen bi morala agencija ENISA v sodelovanju z državami članicami ter po potrebi statističnimi uradi in drugimi organi zbirati ustrezne informacije, ki so javno dostopne ali prostovoljno izmenjane, ter opravljati analize nastajajočih tehnologij in tematske ocene o pričakovanem družbenem, pravnem, gospodarskem in regulativnem vplivu tehnoloških inovacij na varnost omrežij in informacij, zlasti na kibernetsko varnost. Agencija ENISA bi morala poleg tega države članice ter institucije, organe, urade in agencije Unije podpirati pri prepoznavanju novih tveganj za kibernetsko varnost in preprečevanju incidentov z opravljanjem analiz kibernetskih groženj, šibkih točk in incidentov.

(39)

Da bi povečali odpornost Unije, bi morala agencija ENISA razvijati strokovno znanje in izkušnje na področju kibernetske varnosti infrastrukture, zlasti za podporo sektorjev iz Priloge II k Direktivi (EU) 2016/1148, ter infrastrukture, ki jo uporabljajo ponudniki digitalnih storitev iz Priloge III k navedeni direktivi, in sicer z zagotavljanjem svetovanja, izdajanjem smernic in izmenjavo najboljših praks. Agencija ENISA bi morala z namenom zagotavljanja lažjega dostopa do bolje strukturiranih informacij o tveganjih glede kibernetske varnosti in možnih rešitvah razvijati in vzdrževati „informacijsko vozlišče“ Unije, portal „vse na enem mestu“, ki bi javnosti nudil informacije o kibernetski varnosti, ki izhajajo iz institucij, organov, uradov in agencij Unije in nacionalnih institucij, organov, uradov in agencij. Lažji dostop do bolje strukturiranih informacij o tveganjih za kibernetsko varnost in možnih rešitvah bi lahko državam članicam pomagal tudi pri izboljšanju zmogljivosti in usklajevanju praks, s čimer bi se povečala njihova splošna odpornost na kibernetske napade.

(40)

Agencija ENISA bi morala prispevati k ozaveščanju javnosti o tveganjih glede kibernetske varnosti, vključno prek vseevropske kampanje ozaveščanja in s spodbujanjem izobraževanja, ter zagotavljati navodila glede dobrih praks za posamezne uporabnike, ki so namenjene državljanom, organizacijam in podjetjem. Agencija ENISA bi morala prispevati tudi k spodbujanju najboljših praks in rešitev, tudi glede kibernetske higiene in kibernetske pismenosti na ravni državljanov, organizacij in podjetij, in sicer z zbiranjem in analiziranjem javno dostopnih informacij o pomembnih incidentih ter pripravljanjem in objavljanjem poročil in navodil za državljane, organizacije in podjetja ter k izboljšanju splošne ravni pripravljenosti in odpornosti. Agencija ENISA bi si morala prizadevati tudi za to, da bi potrošnikom zagotovila ustrezne informacije o veljavnih certifikacijskih shemah, na primer z zagotavljanjem smernic in priporočil. Agencija ENISA bi morala poleg tega v skladu z akcijskim načrtom za digitalno izobraževanje, določenim s sporočilom Komisije z dne 17. januarja 2018, in v sodelovanju z državami članicami ter institucijami, organi, uradi in agencijami Unije organizirati redne kampanje ozaveščanja in redne javne izobraževalne kampanje za končne uporabnike, katerih namen je spodbujati varnejše ravnanje posameznikov na spletu in digitalno pismenost, da bi povečala ozaveščenost o možnih kibernetskih grožnjah, vključno s spletnimi kriminalnimi dejavnostmi, kot so napadi z zvabljanjem, botneti, finančne in bančne goljufije ter goljufije s podatki, pa tudi spodbujati osnovno svetovanje o večstopenjski avtentikaciji, nameščanju popravkov, šifriranju, anonimizaciji in varstvu podatkov.

(41)

Agencija ENISA bi morala imeti osrednjo vlogo pri pospeševanju ozaveščenosti končnih uporabnikov glede varnosti naprav in varne uporabe storitev, in bi morala spodbujati vgrajeno varnost in vgrajeno zasebnost na ravni Unije. Pri doseganju tega cilja bi morala agencija ENISA čim bolje izkoristiti razpoložljive najboljše prakse in izkušnje, zlasti najboljše prakse in izkušnje akademskih ustanov in raziskovalcev na področju varnosti IT.

(42)

Agencija ENISA bi morala v podporo podjetjem, ki poslujejo v sektorju kibernetske varnosti, in uporabnikom rešitev kibernetske varnosti vzpostaviti in vzdrževati „tržni observatorij“ z izvajanjem rednih analiz in razširjanjem informacij o glavnih trendih na trgu kibernetske varnosti, tako na strani povpraševanja kot na strani ponudbe.

(43)

Agencija ENISA bi morala prispevati k prizadevanjem Unije za sodelovanje z mednarodnimi organizacijami, pa tudi znotraj ustreznih mednarodnih okvirov sodelovanja s področja kibernetske varnosti. Agencija ENISA bi morala, kadar je to ustrezno, zlasti prispevati k sodelovanju z organizacijami, kot so OECD, OVSE in NATO. Takšno sodelovanje bi lahko vključevalo skupne vaje na področju kibernetske varnosti in skupno usklajevanje odzivanja na incidente. Navedene dejavnosti je treba izvajati ob doslednem spoštovanju načel vključenosti, vzajemnosti in avtonomije pri odločanju Unije ter brez poseganja v posebno naravo varnostne in obrambne politike katere koli države članice.

(44)

Da bi lahko agencija ENISA v celoti izpolnila svoje cilje, bi morala sodelovati z ustreznimi nadzornimi organi Unije in drugimi pristojnimi organi v Uniji, institucijami, organi, uradi in agencijami Unije, vključno s skupino CERT-EU, EC3, Evropsko obrambno agencijo (EDA), Agencijo za evropski globalni satelitski navigacijski sistem (v nadaljnjem besedilu: Agencija za evropski GNSS), Organom evropskih regulatorjev za elektronske komunikacije (BEREC), Evropsko agencijo za operativno upravljanje obsežnih informacijskih sistemov s področja svobode, varnosti in pravice (eu-LISA), Evropsko centralno banko (ECB), Evropskim bančnim organom (EBA), Evropskim odborom za varstvo podatkov, Agencijo za sodelovanje energetskih regulatorjev (ACER), Agencijo Evropske unije za varnost v letalstvu (EASA) in vsemi drugimi agencijami Unije, ki se ukvarjajo s kibernetsko varnostjo. Agencija ENISA bi morala prav tako sodelovati z organi, ki se ukvarjajo z varstvom podatkov, da bi izmenjevala tehnično znanje in izkušnje ter najboljše prakse kot tudi nudila svetovanje glede vprašanj kibernetske varnosti, ki bi lahko vplivala na njihovo delo. Predstavniki organov za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj ter organov za varstvo podatkov na ravni držav članic in na ravni Unije bi morali imeti možnost, da so zastopani v svetovalni skupini agencije ENISA. Agencija bi morala pri sodelovanju z organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj v zvezi z vprašanji varnosti omrežij in informacij, ki bi lahko vplivala na njihovo delo, upoštevati obstoječe informacijske poti in vzpostavljena omrežja.

(45)

Vzpostavila bi se lahko partnerstva z akademskimi ustanovami, ki imajo raziskovalne pobude na ustreznih področjih, hkrati pa bi morali obstajati ustrezni kanali za prispevke potrošniških in drugih organizacij, ki bi jih bilo treba upoštevati.

(46)

Agencija ENISA bi morala v vlogi sekretariata za mrežo skupin CSIRT podpirati skupine CSIRT držav članic in skupino CERT-EU pri operativnem sodelovanju v zvezi z ustreznimi nalogah mreže skupin CSIRT, kot so opredeljene v Direktivi (EU) 2016/1148. Nadalje bi morala agencija ENISA spodbujati in podpirati sodelovanje med ustreznimi skupinami CSIRT v primeru incidentov, napadov ali motenj omrežij ali infrastrukture, ki jo upravljajo ali varujejo skupine CSIRT, in ki vključujejo ali so zmožni vključevati najmanj dve skupini CSIRT, ob upoštevanju standardnih operativnih postopkov mreže skupin CSIRT.

(47)

Da bi agencija ENISA povečala pripravljenost Unije pri odzivanju na incidente, bi morala organizirati vaje na področju kibernetske varnosti na ravni Unije in, na njihovo zahtevo, podpirati države članice ter institucije, organe, urade in agencije Unije pri organiziranju takih vaj. Obsežne vsestranske vaje, ki bi vključevale tehnične, operativne ali strateške elemente, bi bilo treba organizirati dvakrat letno. Poleg tega bi moralo biti agenciji ENISA omogočeno, da redno organizira manj vsestranske vaje z istim ciljem povečanja pripravljenosti Unije pri odzivanju na incidente.

(48)

Agencija ENISA bi morala še naprej razvijati in ohranjati svoje strokovno znanje na področju certificiranja kibernetske varnosti z namenom podpiranja politike Unije na tem področju. Agencija ENISA bi se morala opirati na primere najboljše prakse in bi morala spodbujati uporabo certificiranja kibernetske varnosti v Uniji, vključno s prispevanjem k vzpostavitvi in ohranjanju certifikacijskega okvira za kibernetsko varnost na ravni Unije (v nadaljnjem besedilu: evropski certifikacijski okvir za kibernetsko varnost), da bi tako okrepila preglednost zanesljivosti kibernetske varnosti proizvodov IKT, storitev IKT in postopkov IKT ter s tem okrepila zaupanje v digitalni notranji trg in njegovo konkurenčnost.

(49)

Učinkovite politike kibernetske varnosti bi morale v javnem in zasebnem sektorju temeljiti na dobro razvitih metodah za ocenjevanje tveganj. Metode za ocenjevanje tveganj se uporabljajo na različnih ravneh, skupne prakse o tem, kako jih učinkovito izvajati, pa ni. Spodbujanje in razvoj najboljših praks za ocenjevanje tveganj in interoperabilne rešitve za obvladovanje tveganj v javnih in zasebnih organizacijah bosta povečala raven kibernetske varnosti v Uniji. V ta namen bi morala agencija ENISA spodbujati sodelovanje med deležniki na ravni Unije ter jih podpirati v prizadevanjih, da vzpostavijo in uvedejo evropske in mednarodne standarde za obvladovanje tveganj in merljivo varnost elektronskih proizvodov, sistemov, omrežij in storitev, ki skupaj s programsko opremo zajemajo omrežja in informacijske sisteme.

(50)

Agencija ENISA bi morala države članice, proizvajalce ali ponudnike proizvodov IKT, storitev IKT ali postopkov IKT spodbujati, naj zvišajo svoje splošne varnostne standarde, da bi vsi uporabniki interneta lahko ustrezno poskrbeli za svojo osebno kibernetsko varnost in bi bili spodbujeni k temu. Proizvajalci in ponudniki proizvodov IKT, storitev IKT ali postopkov IKT bi zlasti morali zagotavljati vse potrebne posodobitve ter odpoklicati, umakniti s trga ali reciklirati proizvode IKT, storitve IKT ali postopke IKT, ki ne izpolnjujejo standardov kibernetske varnosti, uvozniki in distributerji pa bi morali zagotoviti, da proizvodi IKT, storitve IKT in postopki IKT, ki jih dajejo na trg Unije, izpolnjujejo veljavne zahteve in ne pomenijo tveganja za potrošnike Unije.

(51)

Agenciji ENISA bi moralo biti omogočeno, da lahko v sodelovanju s pristojnimi organi razširja informacije o ravni kibernetske varnosti proizvodov IKT, storitev IKT in postopkov IKT, ki so na voljo na notranjem trgu, ter izdaja opozorila, namenjena proizvajalcem oziroma ponudnikom proizvodov IKT, storitev IKT ali postopkov IKT, in od njih zahteva, da izboljšajo varnost svojih proizvodov IKT, storitev IKT in postopkov IKT, vključno s kibernetsko varnostjo.

(52)

Agencija ENISA bi morala v celoti upoštevati tekoče dejavnosti na področju raziskav, razvoja in tehnološkega ocenjevanja, zlasti tiste dejavnosti, ki potekajo v okviru raznih raziskovalnih pobud Unije, da bi lahko svetovala institucijam, organom, uradom in agencijam Unije ter, po potrebi in na njihovo zahtevo, državam članicam glede potreb pri raziskavah in prednostnih nalogah na področju kibernetske varnosti. Zaradi ugotavljanja raziskovalnih potreb in prednostnih nalog bi se morala agencija ENISA posvetovati tudi z ustreznimi skupinami uporabnikov. Natančneje, vzpostavilo bi se lahko sodelovanje z Evropskim raziskovalnim svetom, Evropskim inštitutom za inovacije in tehnologijo ter Inštitutom Evropske unije za varnostne študije.

(53)

Agencija ENISA bi se morala pri pripravi evropskih certifikacijskih shem za kibernetsko varnost redno posvetovati z organizacijami za standardizacijo, zlasti z evropskimi organizacijami za standardizacijo.

(54)

Kibernetske grožnje imajo svetovno razsežnost. Da bi se izboljšali standardi kibernetske varnosti, je potrebno tesnejše mednarodno sodelovanje, vključno s potrebo po opredelitvi skupnih pravil obnašanja, sprejetjem kodeksov ravnanja, uporabo mednarodnih standardov, izmenjavo informacij, spodbujanjem hitrejše vzpostavitve mednarodnega sodelovanja pri odzivanju na vprašanja varnosti omrežij in informacij, pa tudi spodbujanjem skupnega globalnega pristopa do teh vprašanj. V ta namen bi morala agencija ENISA podpirati nadaljnjo udeležbo in sodelovanje Unije s tretjimi državami in mednarodnimi organizacijami, tako da bi po potrebi ustreznim institucijam, organom, uradom in agencijam Unije zagotavljala potrebno strokovno znanje in izkušnje ter analize.

(55)

Agencija ENISA bi morala imeti možnost, da se odzove na ad hoc zahteve po svetovanju in pomoči s strani držav članic ter institucij, organov, uradov in agencij Unije o zadevah, za katere je agencija ENISA pooblaščena.

(56)

V zvezi z upravljanjem agencije ENISA je smiselno in priporočljivo izvajati nekatera načela za zagotavljanje skladnosti s skupno izjavo in skupnim pristopom, o katerih se je julija 2012 dogovorila medinstitucionalna delovna skupina za decentralizirane agencije EU in ki sta namenjena racionalizaciji dejavnosti decentraliziranih agencij ter izboljšanju njihovega delovanja. Kakor je primerno, bi bilo prav tako treba odraziti priporočila iz skupne izjave in skupnega pristopa v delovnih programih, ocenah ter poročanju in upravnih praksah agencije ENISA..

(57)

Upravni odbor, ki ga sestavljajo predstavniki držav članic in Komisije, bi moral določiti splošno usmeritev dejavnosti agencije ENISA in zagotavljati, da ta naloge opravlja v skladu s to uredbo. Na upravni odbor bi bilo treba prenesti pooblastila, potrebna za pripravo proračuna, preverjanje izvrševanja proračuna, sprejetje ustreznih finančnih pravil, uvedbo preglednih delovnih postopkov za sprejemanje odločitev agencije ENISA, sprejetje enotnega programskega dokumenta agencije ENISA in lastnega poslovnika, imenovanje izvršnega direktorja ter odločitev o podaljšanju in prenehanju mandata izvršnega direktorja.

(58)

Da bi agencija ENISA pravilno in učinkovito delovala, bi morale Komisija in države članice zagotoviti, da imajo osebe, ki so imenovane v upravni odbor, ustrezno strokovno znanje in izkušnje. Komisija in države članice bi si morale prizadevati tudi za omejitev menjav svojih predstavnikov v upravnem odboru, da bi zagotovile njegovo neprekinjeno delovanje.

(59)

Da bi agencija ENISA delovala nemoteno, je treba njenega izvršnega direktorja imenovati na podlagi zaslug ter dokazanih upravnih in vodstvenih sposobnosti ter ustrezne usposobljenosti in izkušenj s področja kibernetske varnosti. Izvršni direktor bi moral svoje naloge opravljati popolnoma neodvisno. Izvršni direktor bi moral po predhodnem posvetovanju s Komisijo pripraviti predlog delovnega programa agencije ENISA ter sprejeti vse ukrepe, potrebne za zagotovitev nemotenega izvajanja tega delovnega programa. Izvršni direktor bi moral pripraviti letno poročilo, ki se predloži upravnemu odboru in zajema izvajanje letnega delovnega programa agencije ENISA, ter osnutek poročila o načrtu prihodkov in odhodkov za agencijo ENISA ter izvrševati proračun. Nadalje bi moral izvršni direktor imeti možnost, da ustanovi ad hoc delovne skupine, da preučijo posamezna vprašanja, zlasti vprašanja znanstvene, tehnološke, pravne ali družbeno-gospodarske narave. Treba bi bilo ustanoviti ad hoc delovno skupino, zlasti v zvezi s pripravo posebne predloge za evropsko certifikacijsko shemo za kibernetsko varnost (v nadaljnjem besedilu: predloga za shemo). Izvršni direktor bi moral zagotoviti, da so člani ad hoc delovnih skupin izbrani v skladu z najvišjimi strokovnimi standardi, pri čemer bi si moral prizadevati za uravnoteženo zastopanost spolov ter glede na posamezna vprašanja ustrezno ravnovesje med predstavniki javnih uprav držav članic, institucij, organov, uradov in agencij Unije in zasebnega sektorja, vključno z industrijo, uporabniki in znanstveniki s področja varnosti omrežij in informacij.

(60)

Izvršni odbor bi moral prispevati k učinkovitemu delovanju upravnega odbora. V okviru pripravljalnega dela v zvezi z odločitvami upravnega odbora bi moral upravni odbor podrobno preučiti ustrezne informacije, raziskati razpoložljive možnosti ter ponuditi nasvete in rešitve za pripravo ustreznih odločitev upravnega odbora.

(61)

Agencija ENISA bi morala imeti svetovalno skupino agencije ENISA, ki bi delovala kot svetovalni organ, da bi zagotovila reden dialog z zasebnim sektorjem, organizacijami združenji potrošnikov in drugimi ustreznimi deležniki. Svetovalna skupina agencije ENISA, ki jo na predlog izvršnega direktorja ustanovi upravni odbor, bi morala obravnavati zadeve, ki so pomembne za deležnike, in o njih obvestiti agencijo ENISA. S svetovalno skupino agencije ENISA bi se bilo treba posvetovati zlasti v zvezi z osnutkom letnega delovnega programa agencije ENISA. Sestava svetovalne skupine agencije ENISA in naloge, dodeljene tej skupini, bi morale zagotoviti zadostno zastopanost deležnikov pri delu agencije ENISA.

(62)

Treba bi bilo ustanoviti certifikacijsko skupino deležnikov za kibernetsko varnost, ki bi agenciji ENISA in Komisiji olajšala posvetovanje z ustreznimi deležniki. Certifikacijsko skupino deležnikov za kibernetsko varnost bi morali sestavljati člani, ki bi uravnoteženo zastopali industrijo, tako na strani povpraševanja kot na strani ponudbe proizvodov IKT in storitev IKT, ter vključevali zlasti MSP, ponudnike digitalnih storitev, evropske in mednarodne organe za standardizacijo, nacionalne akreditacijske organe, nadzorne organe za varstvo podatkov in organe za ugotavljanje skladnosti na podlagi Uredbe (ES) št. 765/2008 Evropskega parlamenta in Sveta (16), znanstveno skupnost in potrošniške organizacije.

(63)

Agencija ENISA bi morala sprejeti pravila za preprečevanje in obvladovanje nasprotij interesov. Agencija ENISA bi morala poleg tega uporabljati ustrezne predpise Unije o dostopu javnosti do dokumentov iz Uredbe Evropskega parlamenta in Sveta (ES) št. 1049/2001 (17). Agencija ENISA bi morala osebne podatke obdelovati v skladu z Uredbo (EU) 2018/1725 Evropskega parlamenta in Sveta (18). Agencija ENISA bi morala spoštovati določbe, ki veljajo za institucije, organe, urade in agencije Unije, in nacionalno zakonodajo o ravnanju s podatki, zlasti občutljivimi netajnimi podatki in tajnimi podatki Evropske unije (EUCI).

(64)

Da se agenciji ENISA zagotovita popolna samostojnost in neodvisnost ter se ji omogoči, da lahko opravlja dodatne naloge, tudi nepredvidene nujne naloge, bi bilo treba agenciji ENISA dodeliti zadostna lastna proračunska sredstva, ki bi se morali večinoma zagotoviti s prispevkom Unije in prispevki tretjih držav, ki sodelujejo pri delu agencije ENISA. Za zagotovitev, da ima agencija ENISA zadostno zmogljivost za izvajanje vseh svojih nalog in doseganje ciljev, ki jih je vedno več, je ustrezen proračun bistvenega pomen. Večina osebja agencije ENISA bi morala neposredno sodelovati pri operativnem izvajanju njenega mandata. Državi članici gostiteljici in vsaki drugi državi članici bi moralo biti dovoljeno, da lahko prostovoljno prispeva k proračunu agencije ENISA. Za subvencije v breme splošnega proračuna Unije bi se moral še vedno uporabljati postopek za sprejemanje proračuna Unije. Revizijo zaključnih računov agencije ENISA bi moralo opraviti Računsko sodišče, da bi bili zagotovljeni preglednost in odgovornost.

(65)

Certificiranje kibernetske varnosti ima pomembno vlogo pri krepitvi zaupanja v proizvode IKT, storitve IKT in postopke IKT ter njihove varnosti. Enotni digitalni trg, zlasti podatkovno gospodarstvo in internet stvari, lahko uspevajo le, če obstaja splošno zaupanje javnosti, da ti proizvodi, storitve in postopki nudijo določeno raven kibernetske varnosti. Povezani in avtomatizirani avtomobili, elektronski medicinski pripomočki, nadzorni sistemi industrijske avtomatizacije ter pametna omrežja so le nekateri primeri sektorjev, v katerih je certificiranje že razširjeno ali se bo verjetno uporabljalo v bližnji prihodnosti. Sektorji, ki jih ureja Direktiva (EU) 2016/1148, so poleg tega sektorji, v katerih je certificiranje kibernetske varnosti ključno.

(66)

V sporočilu z naslovom „Krepitev odpornosti evropskega sistema kibernetske varnosti ter spodbujanje konkurenčne in inovativne industrije kibernetske varnosti“ iz leta 2016 je Komisija opredelila potrebo po visokokakovostnih, cenovno dostopnih in interoperabilnih proizvodih in rešitvah na področju kibernetske varnosti. Dobava proizvodov IKT ter opravljanje storitev IKT in postopkov IKT na enotnem trgu sta geografsko še vedno zelo razdrobljena. Razlog za to je, da se je industrija kibernetske varnosti v Evropi razvila predvsem zaradi povpraševanja nacionalnih vlad. Poleg tega so med drugimi vrzelmi, ki vplivajo na enotni trg na področju kibernetske varnosti, pomanjkanje interoperabilnih rešitev (tehničnih standardov), praks in mehanizmov certificiranja na ravni Unije. Evropska podjetja zato težko konkurirajo na nacionalni ravni, ravni Unije in svetovni ravni. Po drugi strani pa se s tem zmanjšuje izbira učinkovitih in uporabnih tehnologij kibernetske varnosti, do katerih imajo dostop posamezniki in podjetja. Podobno je Komisija v sporočilu iz leta 2017 o vmesnem pregledu izvajanja strategije za enotni digitalni trg - Povezani enotni digitalni trg za vse poudarila potrebo po varnih povezanih proizvodih in sistemih ter navedla, da bi z ustanovitvijo evropskega okvira za varnost IKT s pravili za organizacijo varnostnega certificiranja IKT v Uniji lahko ohranili zaupanje v internet in odpravili sedanjo razdrobljenost notranjega trga.

(67)

Zdaj se certificiranje proizvodov IKT, storitev IKT in postopkov IKT glede kibernetske varnosti uporablja le v omejenem obsegu. Če obstaja, večinoma poteka na ravni držav članic ali v okviru shem, ki jih usmerja industrija. V tem smislu certifikat, ki ga izda nacionalni certifikacijski organ za kibernetsko varnost, praviloma ni priznan v drugih državah članicah. Tako so podjetja lahko prisiljena svoje proizvode IKT, storitve IKT in postopke IKT certificirati v več državah članicah, v katerih poslujejo, da bi na primer lahko sodelovala v nacionalnih postopkih javnega naročanja, zaradi česar imajo višje stroške. Poleg tega se zdi, da ni usklajenega in celovitega pristopa k horizontalnim vidikom kibernetske varnosti, na primer na področju interneta stvari, čeprav se pojavljajo nove sheme. Pri obstoječih shemah se pojavljajo znatne pomanjkljivosti in razlike v smislu pokritosti proizvodov, ravni zanesljivosti, vsebinskih meril in dejanske uporabe, kar ovira delovanje mehanizmov vzajemnega priznavanja znotraj Unije.

(68)

Prizadevanja za zagotovitev vzajemnega priznavanja certifikatov v Uniji so že potekala. Vendar pa so bila le delno uspešna. Najpomembnejši primer zato je sporazum o vzajemnem priznavanju (MRA) skupine visokih uradnikov za varnost informacijskih sistemov (SOG-IS). Čeprav je SOG-IS najpomembnejši model za sodelovanje in vzajemno priznavanje na področju varnostnega certificiranja, pa vključuje le nekatere države članice. To dejstvo omejuje učinkovitost SOG-IS MRA z vidika notranjega trga.

(69)

Zato je treba sprejeti skupni pristop in vzpostaviti evropski certifikacijski okvir za kibernetsko varnost, ki določa glavne horizontalne zahteve za evropske certifikacijske sheme za kibernetsko varnost, ki jih je treba oblikovati, in omogoča, da se evropski certifikati kibernetske varnosti ter izjave EU o skladnosti za proizvode IKT, storitve IKT in postopke IKT priznavajo in uporabljajo v vseh državah članicah. Pri tem je treba nujno temeljiti na obstoječih nacionalnih in mednarodnih shemah ter sistemih vzajemnega priznavanja, zlasti sistemu SOG-IS, pa tudi omogočiti nemoten prehod z obstoječih shem iz teh sistemov na sheme iz novega evropskega certifikacijskega okvira za kibernetsko varnost. Evropski okvir bi moral imeti dvojni cilj: po eni strani bi moral pripomoči k povečanju zaupanja v proizvode IKT, storitve IKT in postopke IKT, ki so bili certificirani v okviru evropskih certifikacijskih shem za kibernetsko varnost. Kot drugo pa bi moral pomagati preprečevati kopičenje nasprotujočih si ali prekrivajočih se nacionalnih certifikacijskih shem za kibernetsko varnost in tako zmanjšati stroške za podjetja, ki poslujejo na enotnem digitalnem trgu. Evropske certifikacijske sheme za kibernetsko varnost bi morale biti nediskriminatorne in temeljiti na evropskih ali mednarodnih standardih, razen če so ti standardi neučinkoviti ali neprimerni za dosego legitimnih ciljev Unije v tej zvezi.

(70)

Evropski certifikacijski okvir za kibernetsko varnost bi moral biti enotno vzpostavljen v vseh državah članicah, da se ne bi zaradi različnih ravni strogosti v različnih državah članicah pojavila praksa „nakupovanja certifikatov“.

(71)

Evropske certifikacijske sheme za kibernetsko varnost bi morale temeljiti na že obstoječih sistemih na mednarodni in nacionalni ravni ter po potrebi tehničnih specifikacijah forumov in konzorcijev, pri čemer bi se bilo treba opirati na obstoječe pozitivne lastnosti ter ocenjevati in odpravljati pomanjkljivosti.

(72)

Prožne rešitve za kibernetsko varnost so nujno potrebne za to, da bi industrija lahko predvidela kibernetske grožnje, zato bi bilo treba vsako certifikacijsko shemo zasnovati na način, da se prepreči, da bi hitro zastarela.

(73)

Komisija bi morala biti pooblaščena za sprejemanje evropskih certifikacijskih shem za kibernetsko varnost za določene skupine proizvodov IKT, storitev IKT in postopkov IKT. Te sheme bi morali izvajati in nadzorovati nacionalni certifikacijski organi za kibernetsko varnost, certifikati, izdani v okviru teh shem, pa bi morali biti veljavni in priznani po vsej Uniji. Certifikacijske sheme, ki jih izvaja industrija ali druge zasebne organizacije, ne bi smele spadati na področje uporabe te uredbe. Vendar pa bi organi, ki izvajajo takšne sheme, morali imeti možnost predlagati Komisiji, naj preuči možnost, da bi te sheme odobrila kot evropsko certifikacijsko shemo za kibernetsko varnost.

(74)

Določbe te uredbe ne bi smele posegati v pravo Unije, ki vsebuje posebne predpise o certificiranju proizvodov IKT, storitev IKT in postopkov IKT. Zlasti Uredba (EU) 2016/679 vsebuje določbe za uvedbo certifikacijskih mehanizmov ter pečatov in označb za varstvo podatkov, katerih namen je dokazovanje, da so postopki obdelave, ki jih uporabljajo upravljavci in obdelovalci, skladni z navedeno uredbo. Taki certifikacijski mehanizmi ter pečati in označbe za varstvo podatkov bi morali posameznikom, na katere se podatki nanašajo, omogočati, da hitro ocenijo raven varstva podatkov zadevnih proizvodov IKT, storitev IKT in postopkov IKT. Ta uredba ne posega v certificiranje postopkov obdelave podatkov na podlagi Uredbe (EU) 2016/679, vključno kadar so taki postopki vgrajeni v proizvode IKT, storitve IKT in postopke IKT.

(75)

Evropske certifikacijske sheme bi morale zagotoviti, da proizvodi IKT, storitve IKT in postopki IKT, ki so bili certificirani v okviru takih shem, izpolnjujejo posebne zahteve, da se zaščitijo razpoložljivost, pristnost, celovitost in zaupnost shranjenih, prenesenih ali obdelanih podatkov ali z njimi povezanih funkcij ali storitev, ki jih ponujajo ali so dostopni prek navedenih proizvodov, storitev in postopkov v celotnem življenjskem ciklu. V tej uredbi ni mogoče podrobno določiti zahtev glede kibernetske varnosti, ki se nanašajo na vse proizvode IKT, storitve IKT in postopke IKT v tej uredbi. Proizvodi IKT, storitve IKT in postopki IKT ter s tem povezane potrebe po kibernetski varnosti so tako raznoliki, da je zelo težko oblikovati splošne zahteve glede kibernetske varnosti, ki bi veljale v vseh okoliščinah. Zato je treba sprejeti širok in splošen pojem kibernetske varnosti za namene certificiranja, ki bi ga moral dopolnjevati sklop posebnih ciljev za kibernetsko varnost, ki jih je treba upoštevati pri oblikovanju evropskih certifikacijskih shem za kibernetsko varnost. Kako bodo takšni cilji doseženi pri posameznih proizvodih IKT, storitvah IKT in postopkih IKT, bi bilo treba nadalje podrobno določiti na ravni posamezne certifikacijske sheme, ki jo sprejme Komisija, na primer s sklicem na standarde ali tehnične specifikacije, če ustrezni standardi niso na voljo.

(76)

Tehnične specifikacije, ki naj bi bile uporabljene v evropskih certifikacijskih shemah za kibernetsko varnost, bi bilo treba upoštevati zahteve iz Priloge II k Uredbi (EU) št. 1025/2012 Evropskega parlamenta in Sveta (19). Toda v ustrezno utemeljenih primerih bi morda bila potrebna nekatera odstopanja od teh zahtev, kadar naj bi bile navedene tehnične specifikacije uporabljene v evropski certifikacijski shemi za kibernetsko varnost, ki se nanaša na „visoko“ raven zanesljivosti. Razlogi za takšna odstopanja bi morali biti objavljeni.

(77)

Ugotavljanje skladnosti je postopek ugotavljanja, ali so posebne zahteve glede proizvoda IKT, storitve IKT ali postopka IKT izpolnjene. Ta postopek izvede neodvisna tretja oseba, ki ni proizvajalec proizvoda ali ponudnik proizvodov IKT, storitev IKT ali postopkov IKT, ki se ocenjujejo. Evropski certifikat kibernetske varnosti bi moral biti izdan na podlagi uspešno opravljene ocene proizvoda IKT, storitve IKT ali postopka IKT. Evropski certifikat kibernetske varnosti bi moral veljati kot potrdilo, da je bila ocena ustrezno opravljena. Evropska certifikacijska shema za kibernetsko varnost bi glede na raven zanesljivosti morala določati, ali mora certifikat izdati zasebni ali javni organ. Ugotavljanje skladnosti in certificiranje samo po sebi ne more jamčiti, da so certificirani proizvodi IKT, storitve IKT in postopki IKT kibernetsko varni. Namesto tega obstajajo postopki in tehnična metodologija za potrditev, da so bili proizvodi IKT, storitve IKT in postopki IKT testirani ter da izpolnjujejo nekatere zahteve glede kibernetske varnosti, določene drugje, na primer v tehničnih standardih.

(78)

Uporabnik evropskega certifikata kibernetske varnosti bi moral izbrati ustrezno certifikacijo in z njo povezane varnostne zahteve na podlagi analize tveganja, povezanega z uporabo proizvodov IKT, storitev IKT ali postopkov IKT. V skladu s tem bi morala raven zanesljivosti ustrezati stopnji tveganja, povezani s predvideno uporabo proizvoda IKT, storitve IKT ali postopka IKT.

(79)

Evropske certifikacijske sheme za kibernetsko varnost bi lahko omogočale, da se ugotavljanje skladnosti izvede na izključno odgovornost proizvajalca ali ponudnika proizvodov IKT, storitev IKT ali postopkov IKT (v nadaljnjem besedilu: samoocenjevanje skladnosti). V takih primerih bi moralo biti dovolj, da proizvajalec ali ponudnik sam izvede vse preglede da bi zagotovil, da so proizvodi IKT, storitve IKT ali postopki IKT skladni z evropsko certifikacijsko shemo za kibernetsko varnost. Ugotavljanje skladnosti bi moralo šteti kot primerno za manj kompleksne proizvode IKT, storitve IKT ali postopke IKT, ki pomenijo nizko tveganje za javni interes, kot so preprosta zasnova in mehanizmi proizvodnje. Poleg tega bi bilo treba samoocenjevanje skladnosti za proizvode IKT, storitve IKT ali postopke IKT dovoliti samo, kadar ustrezajo „osnovni“ ravni zanesljivosti.

(80)

V okviru evropskih certifikacijskih shem za kibernetsko varnost bi se lahko dopustila samoocenjevanja skladnosti in certificiranje proizvodov IKT, storitev IKT ali postopkov IKT. V teh primerih bi morala shema potrošnikom in drugim uporabnikom ponuditi jasne in razumljive načine za razlikovanje med proizvodi IKT, storitvami IKT ali postopki IKT, v zvezi s katerimi je njihov proizvajalec ali ponudnik odgovoren za oceno, in proizvodi IKT, storitvami IKT ali postopki IKT, ki jih je certificirala tretja stran.

(81)

Proizvajalec ali ponudnik proizvodov IKT, storitev IKT ali postopkov IKT, ki izvede samoocenjevanje skladnosti, bi moral imeti možnost v okviru postopka ugotavljanja skladnosti izdati in podpisati izjavo EU o skladnosti. Izjava EU o skladnosti je dokument, v katerem je navedeno, da posamezen proizvod IKT, storitev IKT ali postopek IKT izpolnjuje zahteve evropske certifikacijske sheme za kibernetsko varnost. Proizvajalec ali ponudnik z izdajo in podpisom izjave EU o skladnosti prevzame odgovornost za skladnost proizvoda IKT, storitve IKT ali postopka IKT s pravnimi zahtevami evropske certifikacijske sheme za kibernetsko varnost. Kopijo izjave EU o skladnosti bi bilo treba predložiti nacionalnemu certifikacijskemu organu za kibernetsko varnost in agenciji ENISA.

(82)

Proizvajalci ali ponudniki proizvodov IKT, storitev IKT ali postopkov IKT bi morali za obdobje, opredeljeno v ustrezni evropski certifikacijski shemi za kibernetsko varnost, hraniti izjavo EU o skladnosti, tehnično dokumentacijo in vse druge ustrezne informacije, ki se nanašajo na skladnost proizvodov IKT, storitev IKT ali postopkov IKT z zadevno shemo, tako da je na voljo pristojnemu nacionalnemu certifikacijskemu organu za kibernetsko varnost. V tehnični dokumentaciji bi morale biti določene zahteve, ki se uporabljajo v okviru sheme in morala bi zajemati zasnovo, proizvodnjo in delovanje proizvoda IKT, storitve IKT ali postopka IKT v obsegu, ki je pomemben za tako ugotavljanje. Tehnična dokumentacija bi morala biti pripravljena tako, da bi omogočala ugotavljanje, ali proizvod IKT oziroma storitev IKT izpolnjuje zahteve, ki se uporabljajo v okviru te sheme.

(83)

Pri upravljanju evropskega certifikacijskega okvira za kibernetsko varnost bi bilo treba upoštevati sodelovanje držav članic in ustrezno vključitev deležnikov ter določiti vlogo Komisije med načrtovanjem, vložitvijo predlogov in zahtev ter med pripravo, sprejetjem in pregledovanjem evropskih certifikacijskih shem za kibernetsko varnost.

(84)

Komisija bi morala ob podpori evropske certifikacijske skupine za kibernetsko varnost in certifikacijske skupine deležnikov za kibernetsko varnost ter po odprtem in širokem posvetovanju oblikovati tekoči delovni program Unije za evropske certifikacijske sheme za kibernetsko varnost in ga objaviti v obliki pravno nezavezujočega instrumenta. Tekoči delovni program Unije bi moral biti strateški dokument, ki industriji, nacionalnim organom in organom za standardizacijo omogoča, da se pripravijo zlasti na prihodnje evropske certifikacijske sheme za kibernetsko varnost. Tekoči delovni program Unije bi moral vključevati večletni pregled zahtev za pripravo predlog za sheme, ki jih namerava Komisija nasloviti na agencijo ENISA na podlagi posebnih razlogov. Komisija bi morala ta tekoči delovni program Unije upoštevati pri pripravi svojega tekočega načrta za standardizacijo IKT in zahteve za standardizacijo evropskim organizacijam za standardizacijo. Glede na hitro uvajanje novih tehnologij in naraščanja njene uporabe med uporabniki in podjetji, zaradi pojavljanja prej neznanih tveganj glede kibernetske varnosti in zaradi sprememb v zakonodaji in na trgu bi morala Komisija ali evropska certifikacijska skupina za kibernetsko varnost imeti pravico od agencije ENISA zahtevati, naj pripravi predloge za sheme, ki niso bile vključene v tekoči delovni program Unije. Komisija in evropska certifikacijska skupina za kibernetsko varnost bi morali v takih primerih oceniti tudi upravičenost take zahteve, pri čemer bi upoštevali splošne cilje te uredbe in potrebo po zagotavljanju kontinuitete načrtovanja agencije ENISA in njene uporabe virov.

Agencija ENISA bi morala po prejemu take zahteve brez nepotrebnega odlašanja pripraviti predloge za sheme za posamezne proizvode IKT, storitve IKT ali postopke IKT. Komisija bi morala oceniti pozitivni in negativni učinek svoje zahteve na zadevni specifični trg, zlasti njegov vpliv na MSP, inovacije, ovire za vstop na ta trg in stroške za končne uporabnike. Nadalje bi morali Komisijo pooblastiti, da na podlagi predloge za shemo, ki jo pripravi agencija ENISA, sprejme evropsko certifikacijsko shemo za kibernetsko varnost z izvedbenimi akti. Ob upoštevanju splošnega namena in varnostnih ciljev, določenih v tej uredbi, bi moral biti v evropskih certifikacijskih shemah za kibernetsko varnost, ki jih sprejme Komisija, določen minimalni sklop elementov v zvezi z vsebino, področjem uporabe in delovanjem posamezne sheme. Ti elementi bi morali med drugim vključevati področje uporabe in predmet certificiranja kibernetske varnosti, vključno z zajetimi kategorijami proizvodov IKT, storitev IKT in postopkov IKT, podrobno specifikacijo zahtev glede kibernetske varnosti, na primer s sklicem na standarde ali tehnične specifikacije, posebnimi merili in metodami za ocenjevanje ter predvideno raven zanesljivosti („osnovno“, „znatno“ ali „visoko“) in po potrebi stopnjami ocenjevanja. Agencija ENISA bi morala imeti možnost, da zavrne zahtevo evropske certifikacijske skupine za kibernetsko varnost. Takšne odločitve, ki bi morale biti ustrezno obrazložene, bi moral sprejeti upravni odbor.

(85)

Agencija ENISA bi morala vzdrževati spletišče, ki zagotavlja informacije o evropskih certifikacijskih shemah za kibernetsko varnost in je namenjeno obveščanju javnosti o teh shemah, ki bi med drugim moralo vključevati zahteve za pripravo predloge za shemo, pa tudi povratne informacije, prejete med posvetovalnim postopkom, ki ga je v pripravljalni fazi izvedla agencija ENISA. Spletišče bi moralo vsebovati tudi informacije o evropskih certifikatih kibernetske varnosti in izjavah EU o skladnosti, izdanih na podlagi te uredbe, vključno v zvezi z njihovim odvzemom in potekom. Na spletišču bi morale biti navedene tudi nacionalne certifikacijske sheme za kibernetsko varnost, ki so bile nadomeščene z evropsko certifikacijsko shemo za kibernetsko varnost.

(86)

Raven zanesljivosti evropske certifikacijske sheme za kibernetsko varnost je podlaga za zaupanje, da proizvod IKT, storitev IKT ali postopek IKT izpolnjuje varnostne zahteve določene evropske certifikacijske sheme za kibernetsko varnost. Zaradi skladnosti evropskega certifikacijskega okvira za kibernetsko varnost bi morala evropska certifikacijska shema za kibernetsko varnost določati ravni zanesljivosti za evropske certifikate kibernetske varnosti in izjave EU o skladnosti, izdane v okviru te sheme. Vsak evropski certifikat kibernetske varnosti se morda nanaša na eno od ravni zanesljivosti: „osnovno“, „znatno“, „visoko“, medtem ko bi se izjava EU o skladnosti morda nanašala samo na „osnovno“ raven zanesljivosti. Ravni zanesljivosti bi določale ustrezno strogost in obseg ocene proizvoda IKT, storitve IKT ali postopka IKT in bi bile opredeljene s sklici na zadevne tehnične specifikacije, standarde in postopke, vključno s tehničnim nadzorom, katerih namen je ublažiti ali preprečiti incidente. Vsaka raven zanesljivosti bi morala biti usklajena s posameznimi sektorskimi področji, v katerih se uporablja certificiranje.

(87)

V evropski certifikacijski shemi za kibernetsko varnost bi se lahko določilo več stopenj ocenjevanja, odvisno od strogosti in obsega uporabljene metodologije za ocenjevanje. Stopnje ocenjevanja bi morale ustrezati eni od ravni zanesljivosti in biti povezane z ustrezno kombinacijo elementov zanesljivosti. Proizvod IKT, storitev IKT ali postopek IKT bi moral za vse ravni zanesljivosti vsebovati vrsto varnih funkcij, kot so določene s shemo in ki lahko vključujejo: varno vnaprej določeno konfiguracijo, podpisano kodo, varno posodobitev in ublažitev nevarnosti izkoriščanja ter polne zaščite spomina, organiziranega v skladu ali kopici. Te funkcije bi bilo treba razvijati in vzdrževati z uporabo v varnost usmerjenega razvojnega pristopa in pripadajočih orodij, da bi tako zagotovili zanesljivo vključitev učinkovitih mehanizmov za programsko in strojno opremo.

(88)

Pri „osnovni“ ravni zanesljivosti bi morali biti vodilo ocenjevanja vsaj naslednji elementi zanesljivosti: organ za ugotavljanje skladnosti bi moral pri ocenjevanju najmanj pregledati tehnično dokumentacijo proizvoda IKT, storitve IKT ali postopka IKT. Kadar certifikacija vključuje tudi postopke IKT, bi bilo treba postopek, uporabljen pri zasnovi, razvoju in vzdrževanju proizvoda IKT ali storitve IK podvreči tudi tehničnemu pregledu. Kadar evropska certifikacijska shema za kibernetsko varnost predvideva samoocenjevanje skladnosti, bi moralo zadostovati, da proizvajalec ali ponudnik proizvodov IKT, storitev IKT ali postopkov IKT izvede samooceno skladnosti proizvodov IKT, storitev IKT ali postopkov IKT s certifikacijsko shemo.

(89)

Pri „znatni“ ravni zanesljivosti bi moralo biti vodilo ocenjevanja poleg zahtev iz „osnovne“ ravni zanesljivosti vsaj še preverjanje skladnosti varnostnih funkcionalnosti proizvoda IKT, storitve IKT ali postopka IKT s pripadajočo tehnično dokumentacijo.

(90)

Pri „visoki“ ravni zanesljivosti bi moralo biti vodilo ocenjevanje poleg zahtev iz „znatne“ ravni zanesljivosti vsaj še testiranje učinkovitosti, s katerim se preveri odpornost varnostnih funkcionalnosti proizvoda IKT, storitve IKT ali postopka IKT proti kompleksnim kibernetskim napadom, ki jih izvedejo osebe, ki imajo precejšnje znanje in vire.

(91)

Uporaba evropskega certificiranja za kibernetsko varnost in izjave EU o skladnosti bi morala ostati prostovoljna, razen če je v pravu Unije ali pravu držav članic, sprejetemu v skladu s pravom Unije, določeno drugače. Kadar pravo Unije ni harmonizirano, lahko države članice sprejmejo nacionalne tehnične predpise, ki določajo obvezno certificiranje v okviru evropske certifikacijske sheme za kibernetsko varnost, v skladu z Direktivo (EU) 2015/1535 Evropskega parlamenta in Sveta (20). Države članice lahko evropsko certificiranje za kibernetsko varnost uporabijo tudi v okviru javnega naročanja in Direktive 2014/24/EU Evropskega parlamenta in Sveta (21).

(92)

Za izboljšanje ravni kibernetske varnosti v Uniji bodo posebne zahteve glede kibernetske varnosti in ustreznega certificiranja za nekatere proizvode IKT, storitve IKT ali postopke IKT morda v prihodnosti morale postati obvezne. Komisija bi morala redno spremljati učinek sprejetih evropskih certifikacijskih shem za kibernetsko varnost na razpoložljivost varnih proizvodov IKT, storitev IKT ali postopkov IKT na notranjem trgu ter redno oceniti, v kolikšni meri proizvajalci in ponudniki proizvodov IKT, storitev IKT ali postopkov IKT v Uniji uporabljajo certifikacijske sheme. Učinkovitost evropskih certifikacijskih shem za kibernetsko varnost in vprašanje, ali bi morale določene sheme postati obvezne, bi bilo treba oceniti ob upoštevanju zakonodaje Unije, povezane s kibernetsko varnostjo, zlasti Direktive (EU) 2016/1148, ob upoštevanju varnosti omrežij in informacijskih sistemov, ki jih uporabljajo izvajalci bistvenih storitev.

(93)

Evropski certifikati kibernetske varnosti in izjave EU o skladnosti bi morali pomagati končnim uporabnikom pri sprejemanju ozaveščene odločitve. Zato bi bilo treba certificiranim in samoocenjenim proizvodom IKT, storitvam IKT in postopkom IKT, ki so bili certificirani ali za katere je bila izdana izjava EU o skladnosti, priložiti strukturirane informacije, prilagojene pričakovani tehnični ravni predvidenega končnega uporabnika. Vse takšne informacije bi morale biti na voljo na spletu in po potrebi v fizični obliki. Končni uporabnik bi moral imeti dostop do informacij o referenčni številki certifikacijske sheme, ravni zanesljivosti, opisu tveganj za kibernetsko varnost, povezanih s proizvodom IKT, storitvijo IKT ali postopkom IKT, ter o organu izdajatelju ali bi moral imeti možnost pridobiti kopijo evropskega certifikata kibernetske varnosti. Poleg tega bi moral biti končni uporabnik seznanjen s politiko proizvajalca ali ponudnika proizvodov IKT, storitev IKT ali postopkov IKT glede zagotavljanja podpore v zvezi s kibernetsko varnostjo, in sicer kako dolgo lahko končni uporabniki pričakujejo, da bodo prejemali posodobitve ali popravke v zvezi s kibernetsko varnostjo. Po potrebi bi bilo treba zagotoviti tudi navodila glede ukrepanja ali nastavitev, ki jih lahko končni uporabnik izvede za ohranitev ali povečanje kibernetske varnosti proizvoda IKT ali storitve IKT in kontaktne informacije enotne kontaktne točke za poročanje in podporo v primeru kibernetskih napadov (poleg samodejnega poročanja). Te informacije bi bilo treba redno posodabljati in jih objavljati na spletišču, ki zagotavlja informacije o evropskih certifikacijskih shemah za kibernetsko varnost.

(94)

Da bi dosegli cilje te uredbe in preprečili razdrobljenost notranjega trga, bi nacionalne certifikacijske sheme ali postopki za kibernetsko varnost za proizvode IKT, storitve IKT ali postopke IKT, ki jih zajema evropska certifikacijska shema za kibernetsko varnost, morali prenehati učinkovati od datuma, ki ga določi Komisija z izvedbenimi akti. Poleg tega države članice ne bi smele uvajati novih nacionalnih certifikacijskih shem za kibernetsko varnost za proizvode IKT, storitve IKT ali postopke IKT, ki jih že zajema obstoječa evropska certifikacijska shema za kibernetsko varnost. Vendar državam članicam ne bi smeli preprečiti, da sprejmejo ali ohranjajo nacionalne certifikacijske sheme za kibernetsko varnost za namene nacionalne varnosti. Države članice bi morale Komisijo in evropsko certifikacijsko skupino za kibernetsko varnost obveščati o vsaki nameri priprave novih nacionalnih certifikacijskih shem za kibernetsko varnost. Komisija in evropska certifikacijska skupina za kibernetsko varnost bi morali oceniti, kakšni so učinki novih nacionalnih certifikacijskih shem za kibernetsko varnost na pravilno delovanje notranjega trga, ob upoštevanju kakršnih koli strateških interesov za to, da bi se zahtevalo, da jo nadomesti evropska certifikacijska shema za kibernetsko varnost.

(95)

Namen evropskih certifikacijskih shem za kibernetsko varnost je, da pomagajo harmonizirati prakso na področju kibernetske varnosti v Uniji. Prispevale naj bi tudi k povečanju ravni kibernetske varnosti v Uniji. Pri zasnovi evropskih certifikacijskih shem za kibernetsko varnost bi bilo treba upoštevati in omogočiti razvoj inovacij na področju kibernetske varnosti.

(96)

V evropskih certifikacijskih shemah za kibernetsko varnost bi bilo treba upoštevati obstoječe metode razvoja programske in strojne opreme ter zlasti učinek pogostih posodobitev programske ali vdelane programske opreme na posamezne evropske certifikate kibernetske varnosti. V evropskih certifikacijskih shemah za kibernetsko varnost bi bilo treba določiti pogoje, pod katerimi bi se lahko zaradi posodobitve zahtevalo ponovno certificiranje proizvoda IKT, storitve IKT ali postopka IKT ali zmanjšanje obsega posameznega evropskega certifikata kibernetske varnosti, pri čemer bi se upoštevali morebitni škodljivi učinki posodobitve na skladnost z varnostnimi zahtevami tega certifikata.

(97)

Ko je evropska certifikacijska shema za kibernetsko varnost sprejeta, bi morali proizvajalci ali ponudniki proizvodov IKT, storitev IKT ali postopkov IKT imeti možnost, da vložijo vlogo za certificiranje svojih proizvodov IKT ali storitev IKT pri organu za ugotavljanje skladnosti po lastni izbiri kjer koli v Uniji. Organe za ugotavljanje skladnosti bi moral akreditirati nacionalni akreditacijski organ, če izpolnjujejo nekatere posebne zahteve, določene v tej uredbi. Akreditacija bi morala biti izdana za obdobje največ petih let in bi se morala pod enakimi pogoji podaljšati, če bi organ za ugotavljanje skladnosti še vedno izpolnjeval določene zahteve. Nacionalni akreditacijski organi bi morali omejiti ali začasno oziroma trajno preklicati akreditacijo organa za ugotavljanje skladnosti, če pogoji za akreditacijo niso bili ali niso več izpolnjeni ali kadar organ za ugotavljanje skladnosti krši to uredbo.

(98)

Sklici v nacionalni zakonodaji na nacionalne standarde, ki so prenehali učinkovati zaradi začetka veljavnosti evropske certifikacijske sheme za kibernetsko varnost, lahko povzročijo zmedo. Države članice bi morale zato prilagoditi nacionalno zakonodajo, da se upošteva sprejetje evropske certifikacijske sheme za kibernetsko varnost.

(99)

Da bi po vsej Uniji vzpostavili enakovredne standarde, da bi olajšali vzajemno priznavanje ter spodbudili splošno sprejemanje evropskih certifikatov kibernetske varnosti in izjav EU o skladnosti, bi bilo treba vzpostaviti sistem medsebojnih strokovnih pregledov med nacionalnimi certifikacijskimi organi za kibernetsko varnost. Medsebojni strokovni pregled bi moral zajemati postopke za nadzor nad skladnostjo proizvodov IKT, storitev IKT in postopkov IKT z evropskimi certifikati kibernetske varnosti, za spremljanje obveznosti proizvajalcev ali ponudnikov proizvodov IKT, storitev IKT ali postopkov IKT, ki opravljajo samoocenjevanje skladnosti, za spremljanje organov za ugotavljanje skladnosti ter ustreznosti strokovnega znanja osebja v organih, ki izdajajo certifikate za „visoko“ raven zanesljivosti. Komisija bi morala imeti možnost z izvedbenimi akti določiti vsaj petletni načrt za medsebojne strokovne preglede ter merila in metodologijo za izvajanje medsebojnih strokovnih pregledov.

(100)

Brez poseganja v splošni sistem medsebojnih strokovnih pregledov, ki bi se v certifikacijskem okviru vzpostavil med vsemi nacionalnimi certifikacijskimi organi za kibernetsko varnost, bi lahko nekatere evropske certifikacijske sheme za kibernetsko varnost vključevale mehanizem medsebojnega strokovnega ocenjevanja za organe, ki v okviru takih shem izdajajo evropske certifikate kibernetske varnosti za proizvode IKT, storitve IKT in postopke IKT z „visoko“ ravnjo zanesljivosti. Evropska certifikacijska skupina za kibernetsko varnost bi morala podpirati izvajanje takšnih mehanizmov medsebojnega strokovnega ocenjevanja. Pri medsebojnem strokovnem ocenjevanju bi bilo treba zlasti oceniti, ali zadevni organi svoje naloge izvajajo harmonizirano, mehanizmi pa lahko vključujejo tudi pritožbene mehanizme. Rezultati medsebojnega strokovnega ocenjevanja bi morali biti javno objavljeni. Ti zadevni organi lahko sprejmejo ustrezne ukrepe za ustrezno prilagoditev svojih praks in strokovnega znanja.

(101)

Države članice bi morale imenovati enega ali več nacionalnih certifikacijskih organov za kibernetsko varnost, ki bi nadzoroval skladnost z zahtevami iz te uredbe. Nacionalni certifikacijski organ za kibernetsko varnost je lahko obstoječ ali nov organ. Država članica bi poleg tega morala imeti možnost, da po dogovoru z drugo državo članico imenuje enega ali več nacionalnih certifikacijskih organov za kibernetsko varnost na ozemlju te druge države članice.

(102)

Nacionalni certifikacijski organi za kibernetsko varnosti bi morali zlasti spremljati in izvrševati obveznosti proizvajalcev oziroma ponudnikov proizvodov IKT, storitev IKT ali postopkov IKT s sedežem na njihovem ozemlju, ki se nanašajo na izjavo EU o skladnosti, nacionalnim akreditacijskim organom pomagati pri spremljanju in nadziranju dejavnosti organov za ugotavljanje skladnosti, tako da bi jim zagotavljali strokovno znanje in potrebne informacije, pooblastiti organe za ugotavljanje skladnosti za izvajanje svojih nalog, kadar taki organi izpolnjujejo dodatne zahteve iz evropske certifikacijske sheme za kibernetsko varnost, in spremljati ustrezni razvoj na področju certificiranja kibernetske varnosti. Nacionalni certifikacijski organi za kibernetsko varnost bi morali tudi obravnavati pritožbe, ki jih vložijo fizične ali pravne osebe glede evropskih certifikatov kibernetske varnosti, ki jih izdajo ti organi, ali glede evropskih certifikatov kibernetske varnosti, ki jih izdajo organi za ugotavljanje skladnosti in se nanašajo na „visoko“ raven zanesljivosti, v ustreznem obsegu preučiti vsebino pritožbe ter pritožnika v razumnem roku obvestiti o napredku in izidih preiskave. Poleg tega bi morali nacionalni certifikacijski organi za kibernetsko varnost sodelovati z ostalimi nacionalnimi certifikacijskimi organi za kibernetsko varnost ali drugimi javnimi organi, vključno z izmenjavo informacij o morebitni neskladnosti proizvodov IKT, storitev IKT in postopkov IKT z zahtevami iz te uredbe ali z določenimi evropskimi certifikacijskimi shemami za kibernetsko varnost. Komisija bi morala to izmenjavo informacij omogočiti z vzpostavitvijo splošnega elektronskega sistema informacijske podpore, na primer informacijskega in komunikacijskega sistema za nadzor trga (ICSMS) ter sistema hitrega obveščanja o nevarnih neživilskih proizvodih (RAPEX), ki ju organi za nadzor trga že uporabljajo v skladu z Uredbo (ES) št. 765/2008.

(103)

Da bi zagotovili dosledno uporabo evropskega certifikacijskega okvira za kibernetsko varnost, bi bilo treba ustanoviti evropsko certifikacijsko skupino za kibernetsko varnost, ki jo sestavljajo predstavniki nacionalnih certifikacijskih organov za kibernetsko varnost ali drugih ustreznih nacionalnih organov. Glavne naloge evropske certifikacijske skupine za kibernetsko varnost bi morale biti svetovati in pomagati Komisiji pri njenih prizadevanjih za zagotovitev doslednega izvajanja in uporabe evropskega certifikacijskega okvira za kibernetsko varnost; pomagati in tesno sodelovati z agencijo ENISA pri pripravi predlog za certifikacijske sheme za kibernetsko varnost, v ustrezno utemeljenih primerih predlagati, da Komisija od agencije ENISA zahteva, naj pripravi predlogo za shemo, in sprejeti mnenja, naslovljena na agencijo ENISA glede predlog za sheme in na Komisijo glede ohranjanja in pregledovanja obstoječih evropskih certifikacijskih shem za kibernetsko varnost. Evropska certifikacijska skupina za kibernetsko varnost bi morala olajšati izmenjavo dobrih praks in strokovnega znanja med različnimi nacionalnimi certifikacijskimi organi za kibernetsko varnost, ki so pristojni za odobritev organov za ugotavljanje skladnosti in izdajanje evropskih certifikatov kibernetske varnosti.

(104)

Da bi Komisija okrepila ozaveščenost in olajšala sprejemljivost prihodnjih evropskih certifikacijskih shem za kibernetsko varnost, lahko izda splošne ali sektorske smernice za kibernetsko varnost, na primer o dobrih praksah ali odgovornem ravnanju na področju kibernetske varnosti, pri čemer poudari pozitivni učinek uporabe certificiranih proizvodov IKT, storitev IKT in postopkov IKT.

(105)

Glede na globalni značaj dobavnih verig za IKT bi lahko Unija, da bi še bolj olajšala trgovino, v skladu s členom 218 Pogodbe o delovanju Evropske unije (PDEU) sklepala sporazume o vzajemnem priznavanju glede evropskih certifikatov kibernetske varnosti. Komisija lahko ob upoštevanju mnenja agencije ENISA in evropske certifikacijske skupine za kibernetsko varnost priporoči začetek ustreznih pogajanj. Vsaka evropska certifikacijska shema za kibernetsko varnost bi morala določati posebne pogoje za tako vzajemno priznavanje sporazumov s tretjimi državami.

(106)

Da bi zagotovili enotne pogoje izvajanja te uredbe, bi bilo treba na Komisijo prenesti izvedbena pooblastila. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta (22).

(107)

Postopek pregleda bi bilo treba uporabiti za sprejetje izvedbenih aktov o evropskih certifikacijskih shemah za kibernetsko varnost za proizvode IKT, storitve IKT ali postopke IKT, za sprejetje izvedbenih aktov o načinih izvajanja preiskav s strani agencije ENISA, za sprejetje izvedbenih aktov o načrtu medsebojnih strokovnih pregledov nacionalnih certifikacijskih organov za kibernetsko varnost ter za sprejetje izvedbenih aktov o okoliščinah, oblikah in postopkih priglasitve akreditiranih organov za ugotavljanje skladnosti Komisiji s strani nacionalnih certifikacijskih organov za kibernetsko varnost.

(108)

Dejavnosti agencije ENISA bi bilo treba redno in neodvisno ocenjevati. Pri tej oceni bi bilo treba upoštevati uspešnost agencije ENISA pri doseganju ciljev, njene delovne prakse in relevantnost njenih nalog, zlasti tistih, ki so povezane z operativnim sodelovanjem na ravni Unije. Oceniti pa bi bilo treba tudi učinek, uspešnost in učinkovitost evropskega certifikacijskega okvira za kibernetsko varnost. V primeru pregleda bi morala Komisija oceniti, kako bi bilo mogoče še utrditi vlogo agencije ENISA kot referenčne točke za svetovanje in strokovno znanje, oceniti pa bi morala tudi možnost vloge agencije ENISA pri podpori ocenjevanju proizvodov IKT, storitev IKT in postopkov IKT, ki vstopajo na trg Unije, vendar ne izpolnjujejo predpisov Unije.

(109)

Ker ciljev te uredbe države članice ne morejo zadovoljivo doseči, temveč se ti cilji zaradi njenega obsega in učinkov lažje dosežejo na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji (PEU). V skladu z načelom sorazmernosti iz navedenega člena ta uredba ne presega tistega, kar je potrebno za doseganje navedenih ciljev.

(110)

Uredbo (EU) št. 526/2013 bi bilo treba razveljaviti –

(1)

Namen te direktive je prispevati k pravilnemu delovanju notranjega trga s približevanjem zakonov in drugih predpisov držav članic, kar zadeva zahteve glede dostopnosti za nekatere proizvode in storitve, in sicer zlasti z odpravo in preprečevanjem ovir za prosti pretok nekaterih dostopnih proizvodov in storitev, ki nastajajo zaradi različnih zahtev glede dostopnosti v državah članicah. To bi povečalo razpoložljivost dostopnih proizvodov in storitev na notranjem trgu ter izboljšalo dostopnost ustreznih informacij.

(2)

Povpraševanje po dostopnih proizvodih in storitvah je veliko, število invalidov pa naj bi se po napovedih precej povečalo. Okolje, v katerem so proizvodi in storitve dostopnejši, omogoča bolj vključujočo družbo in invalidom lajša neodvisno življenje. V tem okviru bi bilo treba upoštevati, da je v Uniji več invalidk kot invalidov.

(3)

V tej direktivi so invalidi opredeljeni v skladu s Konvencijo Združenih narodov o pravicah invalidov (v nadaljnjem besedilu: Konvencija ZN), sprejeto 13. decembra 2006, katere pogodbenica je Unija od 21. januarja 2011, vse države članice pa so jo ratificirale. V Konvenciji ZN je določeno, da so invalidi osebe „z dolgotrajnimi telesnimi, duševnimi, intelektualnimi ali senzoričnimi okvarami, ki jih v povezavi z različnimi ovirami lahko omejujejo, da bi enako kot drugi polno in učinkovito sodelovali v družbi“. Ta direktiva spodbuja polno in učinkovito enakopravno sodelovanje z izboljšanjem dostopa do vsakdanjih proizvodov in storitev, ki zaradi svojega izvornega oblikovanja ali naknadne prilagoditve ustrezajo posebnim potrebam invalidov.

(4)

Ta direktiva bi koristila tudi drugim osebam s funkcijskimi omejitvami, kot so starejše osebe, nosečnice ali osebe, ki potujejo s prtljago. Koncept „oseb s funkcijskimi omejitvami“, kot je določen v tej direktivi, vključuje osebe s kakršnimi koli telesnimi, duševnimi, intelektualnimi ali senzoričnimi okvarami, z oslabitvami, povezanimi s starostjo, ali drugimi trajnimi ali začasnimi oslabitvami zmogljivosti človeškega telesa, ki v povezavi z različnimi ovirami zmanjšajo njihov dostop do proizvodov in storitev, zaradi česar bi bilo treba navedene proizvode in storitve prilagoditi njihovim posebnim potrebam.

(5)

Neskladja med zakoni in drugimi predpisi držav članic glede dostopnosti proizvodov in storitev za invalide ustvarjajo ovire za prosti pretok proizvodov in storitev ter izkrivljajo učinkovito konkurenco na notranjem trgu. Za nekatere proizvode in storitve se bodo po začetku veljavnosti Konvencije ZN ta neskladja v Uniji verjetno povečala. Te ovire še posebno vplivajo na gospodarske subjekte, zlasti mala in srednja podjetja (MSP).

(6)

Zaradi razlik med nacionalnimi zahtevami glede dostopnosti zlasti samostojni podjetniki, MSP in mikropodjetja niso pripravljeni poslovati zunaj domačega trga. Nacionalne ali celo regionalne ali lokalne zahteve glede dostopnosti, ki so jih določile države članice, se trenutno razlikujejo glede področja uporabe in tudi glede ravni podrobnosti. Te razlike negativno vplivajo na konkurenčnost in rast zaradi dodatnih stroškov, ki so posledica razvoja in trženja dostopnih proizvodov in storitev za vsak nacionalni trg.

(7)

Zaradi omejene konkurence med dobavitelji so cene dostopnih proizvodov in storitev ter podpornih tehnologij za potrošnike visoke. Razdrobljenost nacionalnih predpisov zmanjšuje potencialne koristi, ki bi jih lahko pri odzivanju na družbene in tehnološke dosežke ustvarila izmenjava izkušenj na nacionalni in mednarodni ravni.

(8)

Za pravilno delovanje notranjega trga je torej treba zbližati nacionalne ukrepe na ravni Unije, da se odpravi razdrobljenost trga dostopnih proizvodov in storitev, ustvari ekonomija obsega, olajšata čezmejna trgovina in mobilnost ter da se gospodarskim subjektom pomaga usmeriti sredstva v inovacije, namesto da jih porabljajo za kritje stroškov, ki izhajajo iz razdrobljene zakonodaje po vsej Uniji.

(9)

Koristi harmonizacije zahtev glede dostopnosti za notranji trg so se pokazale z uporabo Direktive 2014/33/EU Evropskega parlamenta in Sveta (3) v zvezi z dvigali in Uredbo (ES) št. 661/2009 Evropskega parlamenta in Sveta (4) na področju prometa.

(10)

Udeleženci konference predstavnikov vlad držav članic so se v izjavi št. 22 v zvezi z invalidi, priloženi k Amsterdamski pogodbi, strinjali, da morajo institucije Unije pri pripravi ukrepov iz člena 114 Pogodbe o delovanju Evropske unije (PDEU) upoštevati potrebe invalidov.

(11)

Splošni cilj sporočila Komisije z dne 6. maja 2015 z naslovom „Strategija za enotni digitalni trg za Evropo“ je omogočiti trajnostne gospodarske in družbene koristi prek povezanega enotnega digitalnega trga, tako da se olajša trgovina in spodbuja zaposlovanje v Uniji. Potrošniki v Uniji še vedno ne morejo v celoti uživati koristi, ki jih nudi enotni trg pri cenah in izbiri, saj je čezmejno spletno poslovanje še vedno zelo omejeno. Razdrobljenost prav tako omejuje povpraševanje po čezmejni e-trgovini. Usklajeno ukrepanje je potrebno tudi zato, da se invalidom zagotovi vse elektronske vsebine, elektronske komunikacije in dostop do avdiovizualnih medijskih storitev. Zato je treba harmonizirati zahteve glede dostopnosti po vsem enotnem digitalnem trgu in zagotoviti, da lahko vsi državljani Unije, ne glede na svoje zmožnosti, uživajo njegove koristi.

(12)

Ker je Unija postala pogodbenica Konvencije ZN, so njene določbe postale sestavni del pravnega reda Unije in so zavezujoče za institucije Unije in njene države članice.

(13)

Konvencija ZN določa, da morajo njene pogodbenice sprejeti ustrezne ukrepe, s katerimi invalidom zagotovijo, da imajo enako kot drugi dostop do fizičnega okolja, prevoza, informacij in komunikacij, vključno z informacijskimi in komunikacijskimi tehnologijami in sistemi, ter do drugih objektov in storitev, ki so na voljo javnosti ali se zanjo zagotavljajo v mestu in na podeželju. Odbor Združenih narodov za pravice invalidov je ugotovil, da je treba ustvariti zakonodajni okvir s konkretnimi in izvršljivimi merili, vezanimi na določene roke, za spremljanje postopnega uresničevanja dostopnosti.

(14)

Konvencija ZN svoje podpisnice poziva, naj izvajajo ali spodbujajo raziskave in razvoj novih tehnologij, vključno z informacijskimi in komunikacijskimi tehnologijami, pripomočki za gibanje ter napravami in podpornimi tehnologijami, primernimi za invalide, ter naj spodbujajo njihovo razpoložljivost in uporabo. Konvencija ZN tudi poziva k dajanju prednosti cenovno dostopnim tehnologijam.

(15)

Zaradi začetka veljavnosti Konvencije ZN v pravnem redu držav članic je treba sprejeti dodatne nacionalne določbe o dostopnosti proizvodov in storitev. Brez ukrepanja Unije, bi te določbe še povečale neskladja med zakoni in drugimi predpisi držav članic.

(16)

Zato je treba olajšati izvajanje Konvencije ZN v Uniji z zagotovitvijo skupnih pravil Unije. Ta direktiva tudi podpira države članice pri njihovih prizadevanjih, da izpolnijo svoje nacionalne zaveze in obveznosti glede dostopnosti iz Konvencije ZN na usklajen način.

(17)

V sporočilu Komisije z dne 15. novembra 2010 z naslovom „Evropska strategija o invalidnosti za obdobje 2010–2020: obnovljena zaveza za Evropo brez ovir“, ki je usklajena s Konvencijo ZN, je dostopnost opredeljena kot eno od osmih področij ukrepanja in označena kot osnovni predpogoj za sodelovanje v družbi, cilj sporočila pa je zagotavljanje dostopnosti proizvodov in storitev.

(18)

Proizvodi in storitve, ki spadajo v področje uporabe te direktive, so določeni na podlagi analize, ki je bila opravljena med pripravo ocene učinka, s katero so bili opredeljeni relevantni proizvodi in storitve za invalide, in za katere so države članice sprejele ali bodo najverjetneje sprejele različne nacionalne zahteve glede dostopnosti, ki ovirajo delovanje notranjega trga.

(19)

Da bi zagotovili dostopnost storitev, ki spadajo v področje uporabe te direktive, bi morali veljavne zahteve glede dostopnosti iz te direktive izpolnjevati tudi proizvodi, ki se uporabljajo pri zagotavljanju teh storitev in s katerimi je potrošnik v interakciji.

(20)

Tudi če se storitev ali del storitve odda v podizvajanje tretji osebi, to ne bi smelo ogroziti dostopnosti te storitve, ponudniki storitev pa bi morali izpolnjevati obveznosti iz te direktive. Ponudniki storitev bi morali zagotoviti tudi ustrezno in stalno usposabljanje svojega osebja, da bi jih seznanili z načini uporabe dostopnih proizvodov in storitev. To usposabljanje bi moralo zajemati tudi vprašanja, kot so zagotavljanje informacij, svetovanje in oglaševanje.

(21)

Zahteve glede dostopnosti bi bilo treba uvesti tako, da bi z njimi čim manj obremenjevali gospodarske subjekte in države članice.

(22)

Določiti je treba zahteve glede dostopnosti za dajanje na trg proizvodov in storitev, ki spadajo na področje uporabe te direktive, da se zagotovi njihov prosti pretok na notranjem trgu.

(23)

Ta direktiva bi morala določiti, da so funkcionalne zahteve glede dostopnosti obvezne in da bi jih bilo treba oblikovati v okviru splošnih ciljev. Te zahteve bi morale biti dovolj natančne za določitev pravno zavezujočih obveznosti ter dovolj podrobne za ocenjevanje skladnosti, da se zagotovi dobro delovanje notranjega trga zadevnih proizvodov in storitev iz te direktive, obenem pa dopušča določena stopnja prožnosti, ki omogoča inovacije.

(24)

Ta direktiva vsebuje več meril glede funkcionalne učinkovitosti, povezanih z načini upravljanja proizvodov in storitev. Ta merila naj ne bi veljala za splošno alternativo zahtevam glede dostopnosti iz te direktive, pač pa bi jih bilo treba uporabljati le v zelo posebnih okoliščinah. Ta merila bi se morala uporabljati za posebne funkcije ali značilnosti proizvodov ali storitev, da bi bili dostopni, kadar zahteve glede dostopnosti iz te direktive ne obravnavajo ene ali več teh posebnih funkcij ali značilnosti. Poleg tega bi morala v primeru, da zahteva glede dostopnosti vsebuje posebne tehnične zahteve, pri čemer je zanje na voljo alternativna tehnična rešitev v proizvodu ali storitvi, ta alternativna tehnična rešitev še vedno izpolnjevati povezane zahteve glede dostopnosti in bi morala voditi do enake ali večje dostopnosti ob uporabi ustreznih meril glede funkcionalne učinkovitosti.

(25)

Ta direktiva bi morala zajemati potrošniške sisteme računalniške strojne opreme za splošno rabo. Da bi lahko ti sistemi obratovali na dostopen način, bi morali biti dostopni tudi njihovi operacijski sistemi. Za takšne sisteme računalniške strojne opreme je značilno, da so večnamenski, z ustrezno programsko opremo pa lahko opravljajo najobičajnejše računalniške naloge, ki jih zahtevajo potrošniki, in so namenjeni temu, da jih upravljajo potrošniki. Takšni sistemi računalniške strojne opreme so na primer osebni računalniki, vključno z namiznimi računalniki, prenosnimi računalniki, pametnimi telefoni in tabličnimi računalniki. Specializirani računalniki, vgrajeni v potrošniške elektronske proizvode, niso potrošniški sistemi računalniške strojne opreme za splošno rabo. Ta direktiva ne bi smela zajemati posameznih komponent s specifičnimi funkcijami, kot so matične plošče ali pomnilniški čipi, ki se uporabljajo ali bi se lahko uporabljale v takšnem sistemu, če niso vgrajene.

(26)

Ta direktiva bi morala zajemati tudi plačilne terminale, vključno s strojno in programsko opremo, ter določene interaktivne samopostrežne terminale, vključno s strojno in programsko opremo, ki se uporabljajo za zagotavljanje storitev iz te direktive: na primer bančni avtomati; avtomati za izdajo fizičnih vozovnic, ki omogočajo dostop do storitev, kot so avtomati za vozovnice; bančni vrstomati; avtomati za prijavo; ter interaktivni samopostrežni terminali za informacije, vključno z interaktivnimi informativnimi zasloni.

(27)

Vendar bi morali biti nekateri interaktivni samopostrežni terminali za zagotavljanje informacij, vgrajeni kot sestavni deli vozil, zrakoplovov, ladij ali tirnih vozil, izključeni iz področja uporabe te direktive, saj so del teh vozil, zrakoplovov, ladij ali tirnih vozil, ki jih ta direktiva ne zajema.

(28)

Ta direktiva bi morala zajemati tudi elektronske komunikacijske storitve, vključno s komunikacijami v sili, kot so opredeljene v Direktivi (EU) 2018/1972 Evropskega parlamenta in Sveta (5). Ukrepi, ki so jih do sedaj sprejele države članice za zagotavljanje dostopa invalidom, se razlikujejo in niso harmonizirani po vsem notranjem trgu. Zagotovitev uporabe enakih zahtev glede dostopnosti po vsej Uniji bo omogočila ekonomijo obsega za gospodarske subjekte, ki poslujejo v več kot eni državi članici, in olajšala učinkovit dostop invalidom v njihovi državi članici in pri potovanjih med državami članicami. Da bi zagotovili dostopnost elektronskih komunikacijskih storitev, vključno s komunikacijo v sili, bi morali ponudniki poleg glasovne komunikacije zagotoviti tudi besedilo v realnem času in storitve celotnega pogovora, kadar dajejo na voljo video, ter sinhronizacijo vseh teh komunikacijskih sredstev. Poleg zahtev iz te direktive bi bilo treba državam članicam v skladu z Direktivo (EU) 2018/1972 omogočiti, da določijo ponudnika storitev prenosa, ki bi ga lahko uporabljali invalidi.

(29)

Ta direktiva harmonizira zahteve glede dostopnosti za elektronske komunikacijske storitve in z njimi povezane proizvode ter dopolnjuje Direktivo (EU) 2018/1972, ki določa zahteve glede enakovrednega dostopa in izbire za končne uporabnike invalide. Direktiva (EU) 2018/1972 določa tudi zahteve na podlagi obveznosti zagotavljanja univerzalne storitve o cenovni dostopnosti storitve dostopa do interneta in govornih komunikacijskih storitev in o razpoložljivosti s tem povezane terminalne opreme ter posebne opreme in storitev za potrošnike invalide.

(30)

Ta direktiva bi morala zajemati tudi potrošniško terminalno opremo z interaktivnimi računalniškimi zmogljivostmi, ki naj bi se uporabljala predvsem za dostop do elektronskih komunikacijskih storitev. Za namene te direktive bi se moralo šteti, da med navedeno opremo spada tudi oprema, ki je del konfiguracije za dostop do elektronskih komunikacijskih storitev, kot sta usmerjevalnik ali modem.

(31)

V tej direktivi bi moral dostop do avdiovizualnih medijskih storitev pomeniti, da je omogočen dostop do avdiovizualnih vsebin, pa tudi mehanizmov, ki uporabnikom invalidom omogočajo uporabo njihovih podpornih tehnologij. Storitve, ki zagotavljajo dostop do avdiovizualnih medijskih storitev, bi lahko vključevale spletna mesta, spletne aplikacije, aplikacije za TV-komunikator, aplikacije, ki jih je mogoče prenesti, storitve na osnovi mobilnih naprav, vključno z mobilnimi aplikacijami, in s tem povezane medijske predvajalnike, pa tudi storitve povezane televizije. Dostopnost avdiovizualnih medijskih storitev ureja Direktiva 2010/13/EU Evropskega parlamenta in Sveta (6), razen dostopnosti elektronskih programskih vodnikov, ki so vključeni v opredelitev storitev, ki zagotavljajo dostop do avdiovizualnih medijskih storitev, za katere se uporablja ta direktiva.

(32)

V okviru storitev letalskega, avtobusnega, železniškega in vodnega potniškega prevoza bi morala ta direktiva med drugim zajemati posredovanje informacij o prevoznih storitvah, vključno s potovalnimi informacijami v realnem času, ki se zagotovijo prek spletišč, storitev na osnovi mobilnih naprav, interaktivnih informativnih zaslonov in interaktivnih samopostrežnih terminalov, ki jih invalidni potniki potrebujejo, da lahko potujejo. To bi lahko vključevalo informacije o proizvodih in storitvah potniškega prevoza, ki jih ponuja ponudnik storitev, informacije pred in med potovanjem ter informacije o odpovedi ali zamudi. Drugi elementi informacij pa bi lahko vključevali tudi informacije o cenah in popustih.

(33)

Ta direktiva bi morala zajemati tudi spletišča, storitve na osnovi mobilnih naprav, vključno z mobilnimi aplikacijami, ki jih razvijejo ali dajo na voljo ponudniki storitev potniškega prevoza znotraj področja uporabe te direktive ali ki se razvijejo ali dajo na voljo v njihovem imenu, storitve izdajanja elektronskih vozovnic, elektronske vozovnice ter interaktivne samopostrežne terminale.

(34)

Področje uporabe te direktive v zvezi s storitvami letalskega, avtobusnega, železniškega in vodnega potniškega prevoza bi bilo treba določiti na podlagi veljavne sektorske zakonodaje, ki ureja pravice potnikov. Kadar se ta direktiva ne uporablja za določene vrste storitev prevoza, bi države članice morale ponudnike storitev spodbujati k uporabi ustreznih zahtev glede dostopnosti iz te direktive.

(35)

Direktiva (EU) 2016/2102 Evropskega parlamenta in Sveta (7) že določa obveznosti glede dostopnosti spletišč za organe javnega sektorja, ki zagotavljajo storitve prevoza, vključno s storitvami mestnega in primestnega prevoza ter storitvami regionalnega prevoza. Ta direktiva vsebuje izjeme za mikropodjetja, ki zagotavljajo storitve, vključno s storitvami mestnega in primestnega prevoza ter storitvami regionalnega prevoza. Vanjo so vključene tudi obveznosti glede dostopnosti spletišč e-trgovine. Na podlagi obveznosti iz te direktive bo morala velika večina zasebnih ponudnikov storitev prevoza svoja spletišča napraviti dostopna za spletno prodajo vozovnic, zato za spletišča ponudnikov storitev mestnega in primestnega prevoza ter ponudnikov storitve regionalnega prevoza v tej direktivi ni treba uvesti dodatnih zahtev.

(36)

Nekateri elementi zahtev glede dostopnosti, zlasti v zvezi z zagotavljanjem informacij, kot so določeni v tej direktivi, so že vključeni v veljavno pravo Unije na področju potniškega prevoza. To vključuje elemente Uredbe (ES) št. 261/2004 Evropskega parlamenta in Sveta (8), Uredbe (ES) št. 1107/2006 Evropskega parlamenta in Sveta (9), Uredbe (ES) št. 1371/2007 Evropskega parlamenta in Sveta (10), Uredbe (EU) št. 1177/2010 Evropskega parlamenta in Sveta (11) ter Uredbe (EU) št. 181/2011 Evropskega parlamenta in Sveta (12). To vključuje tudi ustrezne akte, sprejete na podlagi Direktive 2008/57/ES Evropskega parlamenta in Sveta (13). Zaradi zagotavljanja regulativne doslednosti bi se morale zahteve glede dostopnosti, določene v navedenih uredbah in aktih, enako uporabljati še naprej. Vendar bi dodatne zahteve iz te direktive dopolnjevale veljavne zahteve, kar bi izboljšalo delovanje notranjega trga na področju prevoza in koristilo invalidom.

(37)

Ta direktiva ne bi smela zajemati nekaterih elementov storitev potniškega prevoza, kadar se zagotavljajo zunaj ozemlja držav članic, tudi če so te storitve usmerjene v trg Unije. V zvezi s temi elementi bi moral ponudnik storitev potniškega prevoza zagotoviti le, da so zahteve iz te direktive izpolnjene glede dela storitve, ki ga ponuja na ozemlju Unije. V zračnem prevozu pa bi morali letalski prevozniki iz Unije zagotoviti, da so veljavne zahteve te direktive izpolnjene tudi na odhodnih letih z letališča, ki se nahaja v tretji državi, namenjenih na letališče, ki se nahaja na ozemlju države članice. Poleg tega bi morali vsi letalski prevozniki, vključno s tistimi, ki nimajo licence v Uniji, zagotoviti, da so veljavne zahteve iz te direktive izpolnjene v primerih odhodnih letov z ozemlja Unije na ozemlje tretje države.

(38)

Mestne oblasti bi bilo treba spodbujati, naj neoviran dostop do storitev mestnega prevoza vključijo v svoje načrte za trajnostno mobilnost v mestih in redno objavljajo sezname primerov dobrih praks glede neoviranega dostopa do javnega prevoza in mobilnosti v mestih.

(39)

Cilj prava Unije o bančnih in finančnih storitvah je varstvo uporabnikov teh storitev v vsej Uniji in zagotavljanje informacij tem uporabnikom, vendar vanjo niso vključene zahteve glede dostopnosti. Da bi invalidom omogočili uporabo teh storitev v vsej Uniji, vključno kadar se zagotavljajo prek spletišč in na osnovi mobilnih naprav, vključno z mobilnimi aplikacijami, in sprejemanje informiranih odločitev ter da bi okrepili njihovo zaupanje v dejstvo, da so enako dobro zaščiteni kot drugi potrošniki, hkrati pa zagotovili enake konkurenčne pogoje za ponudnike storitev, bi bilo treba v tej direktivi določiti skupne zahteve glede dostopnosti za nekatere bančne in finančne storitve, ki se zagotavljajo potrošnikom.

(40)

Ustrezne zahteve glede dostopnosti bi se morale uporabljati tudi za načine identifikacije, elektronski podpis in plačilne storitve, saj so ti nujni za sklenitev potrošniških bančnih poslov.

(41)

Datoteke e-knjig temeljijo na elektronskem računalniškem kodiranju, ki omogoča razširjanje in branje po večini besedilnih in grafičnih intelektualnih del. Dostopnost datotek e-knjig je odvisna od stopnje natančnosti tega kodiranja, zlasti v zvezi s kategorizacijo različnih sestavnih elementov del in standardiziranim opisom njihove strukture. Interoperabilnost z vidika dostopnosti bi morala optimizirati združljivost teh datotek z uporabniškimi sredstvi ter sedanjimi in prihodnjimi podpornimi tehnologijami. Pri obravnavi značilnosti posebnih del, kot so stripi, otroške knjige in knjige o umetnosti, bi bilo treba upoštevati vse veljavne zahteve glede dostopnosti. Če bi države članice uporabljale različne zahteve glede dostopnosti, bi založniki in drugi gospodarski subjekti težje izkoristili prednosti notranjega trga, lahko bi nastale težave z interoperabilnostjo e-bralnikov, potrošniki invalidi pa bi imeli omejen dostop. V zvezi z e-knjigami bi pojem ponudnika storitev lahko vključeval založnike in druge gospodarske subjekte, ki sodelujejo pri njihovi distribuciji.

Ugotavlja se, da je dostop invalidov do vsebin, ki so zaščitene z avtorsko pravico in sorodnimi pravicami, še vedno oviran ter da so že bili sprejeti nekateri ukrepi za rešitev takšnih primerov, na primer z Direktivo (EU) 2017/1564 Evropskega parlamenta in Sveta (14) in Uredbo (EU) 2017/1563 Evropskega parlamenta in Sveta (15), pa tudi, da bi lahko v tej zvezi v prihodnosti sprejeli nadaljnje ukrepe Unije.

(42)

V tej direktivi so storitve e-trgovine opredeljene kot storitev, ki se opravi na daljavo, prek spletišč in storitev na osnovi mobilnih naprav, elektronsko in na posamezno zahtevo potrošnika, z namenom sklenitve potrošniške pogodbe. V tej opredelitvi „na daljavo“ pomeni, da se storitev zagotovi, ne da bi bile stranke sočasno navzoče; „elektronsko“ pomeni, da se storitev pošlje na začetnem kraju in sprejme na cilju z elektronsko opremo za obdelavo (vključno z digitalnim zgoščevanjem) in shranjevanje podatkov ter se v celoti prenaša, pošilja in sprejema po žici, radijsko oziroma z optičnimi ali drugimi elektromagnetnimi sredstvi; „na posamezno zahtevo potrošnika“ pomeni, da se storitev zagotovi na posamezno zahtevo. Glede na vse večji pomen storitev e-trgovine in njihove visokotehnološke narave je pomembno imeti harmonizirane zahteve glede njihove dostopnosti.

(43)

Obveznosti glede dostopnosti storitev e-trgovine iz te direktive bi se morale uporabljati za spletno prodajo vseh proizvodov ali storitev, zato bi se morale uporabljati tudi za prodajo proizvoda ali storitve, ki jih ta direktiva že zajema.

(44)

Ukrepe, povezane z dostopnostjo odgovarjanja na komunikacijo v sili, bi bilo treba sprejeti brez poseganja v organizacijo služb za pomoč v sili ali vplivanja nanjo, saj ta ostaja v izključni pristojnosti držav članic.

(45)

Države članice morajo v skladu z Direktivo (EU) 2018/1972 zagotoviti dostop končnih uporabnikov invalidov do služb za pomoč v sili prek komunikacije v sili, ki je enakovreden dostopu drugih končnih uporabnikov, v skladu s pravom Unije za harmonizacijo zahtev glede dostopnosti za proizvode in storitve. Komisija ter nacionalni regulativni ali drugi pristojni organi morajo sprejeti ustrezne ukrepe za zagotovitev, da imajo končni uporabniki invalidi med potovanjem v drugi državi članici enakovreden dostop do služb za pomoč v sili kot drugi končni uporabniki, če je to izvedljivo, brez predhodne registracije. S temi ukrepi se prizadeva zagotoviti interoperabilnost med državami članicami, v kar največji možni meri pa morajo temeljiti na evropskih standardih ali specifikacijah, določenih v skladu s členom 39 Direktive (EU) 2018/1972. Ti ukrepi državam članicam ne preprečujejo sprejetja dodatnih zahtev, da bi uresničevale cilje iz navedene direktive. Kot alternativa izpolnjevanju zahtev iz te direktive glede dostopnosti v zvezi z odgovarjanjem na komunikacijo v sili za uporabnike invalide bi bilo treba državam članicam omogočiti, da določijo tretjo stran kot ponudnika storitev prenosa, ki bi ga invalidi uporabljali za komunikacijo s centrom za obveščanje, dokler ti centri za obveščanje ne bi bili zmožni uporabljati elektronskih komunikacijskih storitev prek internetnih protokolov za zagotavljanje dostopnosti do odgovarjanja na komunikacijo v sili. V vsakem primeru se obveznosti iz te direktive ne bi smelo razumeti, kot da omejujejo ali zmanjšujejo katere koli obveznosti v korist končnim uporabnikom invalidom, vključno glede enakovrednosti dostopa do elektronskih komunikacijskih storitev in služb za pomoč v sili pa tudi obveznosti glede dostopnosti, kot so določene v Direktivi (EU) 2018/1972.

(46)

V Direktivi (EU) 2016/2102 so opredeljene zahteve glede dostopnosti za spletišča in mobilne aplikacije organov javnega sektorja in drugih povezanih vidikov, zlasti zahteve glede skladnosti ustreznih spletišč in mobilnih aplikacij. Vendar pa navedena direktiva vsebuje poseben seznam izjem. Podobne izjeme so relevantne za to direktivo. Nekatere dejavnosti, ki potekajo prek spletišč in mobilnih aplikacij organov javnega sektorja, kot so storitve potniškega prevoza ali storitve e-trgovine, ki spadajo v področje uporabe te direktive, bi morale poleg tega izpolnjevati veljavne zahteve glede dostopnosti iz te direktive, da bi zagotovili, da je spletna prodaja proizvodov in storitev dostopna invalidom, ne glede na to, ali je prodajalec javni ali zasebni gospodarski subjekt. Zahteve glede dostopnosti iz te direktive bi bilo treba uskladiti z zahtevami iz Direktive (EU) 2016/2102 kljub razlikam, na primer pri spremljanju, poročanju in izvrševanju.

(47)

Štiri načela dostopnosti spletišč in mobilnih aplikacij, kot so uporabljena v Direktivi (EU) 2016/2102, so: zaznavnost, kar pomeni, da morajo biti informacije in uporabniški vmesniki uporabnikom predstavljeni na načine, ki jih lahko zaznajo; operabilnost, kar pomeni, da je treba zagotoviti delujoče uporabniške vmesnike in navigacijo; razumljivost, kar pomeni, da morajo biti informacije, povezane z uporabniškim vmesnikom, in njegovo delovanje razumljivi; ter robustnost, kar pomeni, da mora biti vsebina dovolj robustna, da jo je mogoče zanesljivo razlagati z različnimi uporabniškimi agenti, tudi s podpornimi tehnologijami. Ta načela so relevantna tudi za to direktivo.

(48)

Države članice bi morale sprejeti vse ustrezne ukrepe, s katerimi bi zagotovile, da prosti pretok proizvodov in storitev, za katere se uporablja ta direktiva in ki izpolnjujejo veljavne zahteve glede dostopnosti, v Uniji ni oviran iz razlogov, povezanih z zahtevami glede dostopnosti.

(49)

V nekaterih primerih bi skupne zahteve glede dostopnosti grajenega okolja olajšale prosti pretok povezanih storitev in invalidov. Zato bi morala ta direktiva državam članicam omogočati, da vključijo grajeno okolje, ki se uporablja za zagotavljanje storitev, v področje uporabe te direktive, pri čemer zagotovijo skladnost z zahtevami glede dostopnosti iz Priloge III.

(50)

Dostopnost bi bilo treba doseči s sistematično odpravo in preprečevanjem ovir, po možnosti prek univerzalnega oblikovanja ali „oblikovanja, prilagojenega vsem uporabnikom“, ki prispeva k temu, da se invalidom zagotovi enak dostop kot drugim. V skladu s Konvencijo ZN ta pristop „pomeni oblikovanje proizvodov, okolja, programov in storitev, ki je čim bolj uporabno za vse ljudi, ne da bi ga bilo treba prilagajati ali posebej načrtovati“. V skladu s Konvencijo ZN „‚univerzalno oblikovanje‘ ne izključuje podpornih pripomočkov in tehnologij za posamezne skupine invalidov, kadar je to potrebno“. Poleg tega dostopnost ne bi smela izključevati zagotavljanja ustreznih prilagoditev, kadar jih zahteva pravo Unije ali nacionalno pravo. Dostopnost in univerzalno oblikovanje bi bilo treba razlagati v skladu s splošnim komentarjem št. 2 (2014) glede člena 9: Dostopnost, kot ga je spisal Odbor za pravice invalidov.

(51)

Proizvodi in storitve, ki spadajo v področje uporabe te direktive, ne spadajo samodejno v področje uporabe Direktive Sveta 93/42/EGS (16). Vendar lahko nekatere podporne tehnologije, ki so medicinski pripomočki, spadajo v področje uporabe navedene direktive.

(52)

Večino delovnih mest v Uniji zagotavljajo MSP in mikropodjetja. Ta podjetja so ključnega pomena za prihodnjo rast, vendar se zelo pogosto srečujejo s težavami in ovirami pri razvoju svojih proizvodov ali storitev, zlasti v čezmejnem kontekstu. Zato je delo MSP in mikropodjetij treba olajšati s harmonizacijo nacionalnih določb o dostopnosti ter hkrati ohraniti potrebne zaščitne ukrepe.

(53)

Da bi lahko mikropodjetja in MSP uživala koristi iz te direktive, morajo dejansko izpolnjevati zahteve iz Priporočila Komisije 2003/361/ES (17) ter ustrezne sodne prakse, katerih cilj je preprečiti izogibanje njenim pravilom.

(54)

Za zagotovitev skladnosti prava Unije bi morala ta direktiva temeljiti na Sklepu št. 768/2008/ES Evropskega parlamenta in Sveta (18), saj zadeva proizvode, ki jih že urejajo drugi akti Unije, pri čemer se obenem upoštevajo posebne značilnosti zahtev glede dostopnosti iz te direktive.

(55)

Vsi gospodarski subjekti, ki spadajo v področje uporabe te direktive in sodelujejo v dobavni in distribucijski verigi, bi morali zagotoviti, da dajejo na trg samo tiste proizvode, ki so v skladu z zahtevami iz te direktive. Enako bi moralo veljati za gospodarske subjekte, ki zagotavljajo storitve. Zagotoviti je treba jasno in sorazmerno porazdelitev obveznosti, ki ustrezajo vlogi vsakega od gospodarskih subjektov v dobavni in distribucijski verigi.

(56)

Gospodarski subjekti bi morali biti odgovorni za skladnost proizvodov in storitev v zvezi z njihovimi vlogami v dobavni verigi, da se zagotovita visoka raven varstva dostopnosti in poštena konkurenca na trgu Unije.

(57)

Obveznosti iz te direktive bi morale enako veljati za gospodarske subjekte iz javnega in zasebnega sektorja.

(58)

Proizvajalec, ki natančno pozna proces načrtovanja in proizvodnje, je najprimernejši za izvedbo celotnega ugotavljanja skladnosti. Medtem ko je za skladnost proizvodov odgovoren proizvajalec, pa bi organi za nadzor trga morali imeti ključno vlogo pri preverjanju, ali so proizvodi, ki so na voljo v Uniji, izdelani v skladu s pravom Unije.

(59)

Uvozniki in distributerji bi morali biti vključeni v naloge nadzora trga, ki jih izvajajo nacionalni organi, in bi morali dejavno sodelovati, tako da pristojnim organom zagotovijo vse potrebne informacije v zvezi z zadevnim proizvodom.

(60)

Uvozniki bi morali zagotoviti, da so proizvodi iz tretjih držav, ki vstopajo na trg Unije, skladni s to direktivo, in zlasti, da so proizvajalci izvedli ustrezne postopke ugotavljanja skladnosti navedenih proizvodov.

(61)

Pri dajanju proizvoda na trg bi morali uvozniki na proizvodu navesti svoje ime, registrirano trgovsko ime ali registrirano blagovno znamko ter naslov na katerem so dosegljivi.

(62)

Distributerji bi morali zagotoviti, da njihovo ravnanje s proizvodom ne vpliva negativno na skladnost proizvoda z zahtevami glede dostopnosti iz te direktive.

(63)

Vsak gospodarski subjekt, ki da proizvod na trg pod svojim imenom ali blagovno znamko ali pa spremeni proizvod, ki je že dan na trg, na tak način, da bi lahko ogrozil izpolnjevanje veljavnih zahtev, se šteje za proizvajalca in bi zato moral prevzeti obveznosti proizvajalca.

(64)

Zaradi sorazmernosti bi se morale zahteve glede dostopnosti uporabljati samo, če ne predstavljajo nesorazmernega bremena za zadevni gospodarski subjekt ali če ne zahtevajo znatnih sprememb proizvodov in storitev, ki bi lahko povzročile njihovo temeljito spremembo z vidika te direktive. Kljub temu bi bilo treba vzpostaviti mehanizme nadzora za preverjanje upravičenosti uporabe izjem od zahtev glede dostopnosti.

(65)

Ta direktiva bi morala slediti načelu „najprej pomisli na male“ in upoštevati upravne obremenitve, ki jih imajo MSP. Namesto zagotovitve splošnih izjem in odstopanj za ta podjetja bi bilo treba v njej določiti ohlapnejša pravila za postopek ugotavljanja skladnosti in vzpostaviti zaščitne klavzule za gospodarske subjekte. Zato bi bilo treba pri določanju pravil za izbor in izvajanje najustreznejših postopkov za ugotavljanje skladnosti upoštevati položaj MSP, obveznosti za ugotavljanje skladnosti z zahtevami glede dostopnosti pa bi bilo treba omejiti, tako da za MSP ne bi predstavljale nesorazmernega bremena. Poleg tega bi morali organi za nadzor trga delovati sorazmerno z velikostjo podjetja in glede na to, ali gre za malo serijsko ali izvenserijsko proizvodnjo, ne da bi ustvarjali nepotrebne ovire za MSP ter ogrožali varstvo javnega interesa.

(66)

V izjemnih primerih, kadar bi izpolnjevanje zahtev glede dostopnosti iz te direktive nalagalo nesorazmerno breme za gospodarske subjekte, bi jim moralo biti dovoljeno, da te zahteve izpolnjujejo le v meri, ki ne nalaga nesorazmernega bremena. V takšnih ustrezno utemeljenih primerih ne bi bilo razumno mogoče, da bi gospodarski subjekt v celoti izpolnil eno ali več zahtev glede dostopnosti iz te direktive. Vendar pa bi gospodarski subjekt moral poskrbeti za to, da bi bila storitev oziroma proizvod, ki spada na področje uporabe te direktive, čim bolj dostopen, tako da bi izpolnjeval te zahteve v meri, ki ne nalaga nesorazmernega bremena. Tiste zahteve glede dostopnosti, ki po mnenju gospodarskega subjekta ne nalagajo nesorazmernega bremena, bi se morale v celoti uporabljati. Izjeme pri izpolnjevanju ene ali več zahtev glede dostopnosti zaradi njihovega nesorazmernega bremena ne bi smele presegati tistega, kar je v vsakem posameznem primeru nujno potrebno za omejitev tega bremena v zvezi z zadevnim proizvodom ali storitvijo. Ukrepe, ki bi nalagali nesorazmerno breme, bi bilo treba razumeti kot ukrepe, zaradi katerih bi imel gospodarski subjekt dodatno preveliko organizacijsko ali finančno breme, pri tem pa bi bilo treba upoštevati, kakšno korist bi verjetno imeli invalidi v skladu z merili iz te direktive. Na podlagi teh vidikov bi bilo treba opredeliti merila, da bi gospodarskim subjektom in ustreznim organom omogočili primerjavo različnih situacij in sistematično oceno, ali obstaja nesorazmerno breme. Pri vsaki oceni tega, v kolikšni meri zahtev glede dostopnosti ni mogoče izpolniti zaradi nesorazmernega bremena, bi bilo treba upoštevati le legitimne razloge. Neprednostna obravnava ali pomanjkanje časa ali znanja ne bi smeli šteti za legitimne razloge.

(67)

Celovito oceno nesorazmernega bremena bi bilo treba opraviti na podlagi meril iz Priloge VI. Gospodarski subjekt bi moral ocenjevanje nesorazmernega bremena dokumentirati ob upoštevanju ustreznih meril. Ponudniki storitev bi morali nesorazmerno breme znova oceniti vsaj vsakih pet let.

(68)

Gospodarski subjekt bi moral ustrezne organe obvestiti, da se je oprl na določbe te direktive, povezane s temeljito spremembo in/ali nesorazmernim bremenom. Gospodarski subjekt bi moral izvod ocene z razlago, zakaj njegov proizvod ali storitev ni v celoti dostopna, in dokazili glede nesorazmernega bremena ali temeljite spremembe ali obojega zagotoviti le, če bi to od njega zahtevali pristojni organi.

(69)

Če ponudniki storitev na podlagi zahtevane ocene ugotovijo, da bi zahteva, da vsi samopostrežni terminali, ki se uporabljajo za zagotavljanje storitev, ki jih zajema ta direktiva, izpolnjujejo zahteve glede dostopnosti iz te direktive, povzročila nesorazmerno breme, bi ponudniki storitev te zahteve vseeno morali izpolnjevati v obsegu, ki jim ne nalaga takega nesorazmernega bremena. Zato bi morali ponudniki storitev oceniti obseg, v katerem bi jim omejena raven dostopnosti vseh samopostrežnih terminalov ali omejeno število v celoti dostopnih samopostrežnih terminalov omogočalo, da se izognejo nesorazmernemu bremenu, ki bi jim bilo sicer naloženo, zahteve glede dostopnosti iz te direktive pa bi morali izpolnjevati le v tem obsegu.

(70)

Mikropodjetja se razlikujejo od vseh drugih podjetij zaradi omejenih človeških virov, letnega prometa ali letne bilančne vsote. Breme zaradi izpolnjevanja zahtev glede dostopnosti za mikropodjetja torej na splošno predstavlja večji delež njihovih finančnih in človeških virov kot za druga podjetja in je bolj verjetno, da bo predstavljalo nesorazmeren delež stroškov. Za mikropodjetja pomeni izpolnjevanje ali vodenje dokumentacije in evidenc, s katerimi izkazujejo skladnost z različnimi zahtevami iz prava Unije, velik del stroškov. Čeprav bi vsi gospodarski subjekti, ki jih zajema ta direktiva, morali biti sposobni oceniti sorazmernost izpolnjevanja zahtev glede dostopnosti iz te direktive in bi jih morali izpolnjevati le, če niso nesorazmerne, bi bila taka zahteva glede ocenjevanja za mikropodjetja, ki zagotavljajo storitve, že sama po sebi nesorazmerno breme. Zahteve in obveznosti iz te direktive se zato ne bi smele uporabljati za mikropodjetja, ki zagotavljajo storitve, ki spadajo v področje uporabe te direktive.

(71)

Za mikropodjetja, ki se ukvarjajo s proizvodi, ki spadajo v področje uporabe te direktive, bi morala ta direktiva nalagati blažje zahteve in obveznosti, da bi zmanjšali upravno breme.

(72)

Čeprav so nekatera mikropodjetja izvzeta iz obveznosti iz te direktive, bi bilo treba vsa mikropodjetja spodbujati, da proizvajajo, uvažajo ali distribuirajo proizvode ter zagotavljajo storitve, ki so v skladu z zahtevami glede dostopnosti iz te direktive, da bi povečali konkurenčnost in tudi možnosti za njihovo rast na notranjem trgu. Države članice bi morale zato mikropodjetjem zagotoviti smernice in orodja, da bi olajšali uporabo nacionalnih ukrepov za prenos te direktive.

(73)

Vsi gospodarski subjekti bi morali pri dajanju proizvodov na trg ali omogočanju dostopnosti na trgu ali pri zagotavljanju storitev na trgu ravnati odgovorno in popolnoma v skladu z veljavnimi pravnimi zahtevami.

(74)

Da bi olajšali ugotavljanje skladnosti z veljavnimi zahtevami glede dostopnosti, je treba določiti domnevo o skladnosti za proizvode in storitve, ki so skladni s prostovoljnimi harmoniziranimi standardi, sprejetimi v skladu z Uredbo (EU) št. 1025/2012 Evropskega parlamenta in Sveta (19) za namene oblikovanja podrobnih tehničnih specifikacij navedenih zahtev. Komisija je evropskim organizacijam za standardizacijo izdala že več zahtev za standardizacijo s področja dostopnosti, kot so pooblastila za standardizacijo M/376, M/473 in M/420, ki bi jih lahko uporabili pri pripravi harmoniziranih standardov.

(75)

Uredba (EU) št. 1025/2012 določa postopek za uradno nasprotovanje harmoniziranim standardom, za katere se šteje, da niso skladni z zahtevami iz te direktive.

(76)

Evropski standardi bi morali biti tržno usmerjeni, upoštevati javni interes in cilje politike, ki jih je Komisija jasno navedla v zahtevi za eno ali več evropskih organizacij za standardizacijo, da bi oblikovale harmonizirane standarde, in temeljiti na soglasju. Če ni harmoniziranih standardov in kadar je to potrebno za uskladitev notranjega trga, bi Komisija morala imeti možnost, da v nekaterih primerih sprejme izvedbene akte, s katerimi določi tehnične specifikacije za zahteve glede dostopnosti iz te direktive. Uporaba tehničnih specifikacij bi morala biti omejena na te primere. Komisiji bi bilo treba omogočiti, da sprejme tehnične specifikacije, na primer kadar je postopek standardizacije ustavljen, ker ni doseženega soglasja med deležniki, ali če pri oblikovanju harmoniziranega standarda prihaja do nepotrebnih zamud, na primer ker ni dosežena zahtevana kakovost. Komisija bi morala omogočiti dovolj časa med sprejetjem zahteve za eno ali več evropskih organizacij za standardizacijo, da oblikujejo harmonizirane standarde, in sprejetjem tehnične specifikacije, povezane s to zahtevo glede dostopnosti. Komisiji ne bi smelo biti omogočeno, da sprejme tehnično specifikacijo, če pred tem ni poskusila doseči, da bi se zahteve glede dostopnosti izpolnjevale na podlagi evropskega standardizacijskega sistema, razen kadar Komisija lahko dokaže, da tehnične specifikacije upoštevajo zahteve iz Priloge II k Uredbi (EU) št. 1025/2012.

(77)

Za kar najbolj učinkovito oblikovanje harmoniziranih standardov in tehničnih specifikacij, ki bodo skladni z zahtevami iz te direktive glede dostopnosti proizvodov in storitev, bi morala Komisija, če je to izvedljivo, v postopek pritegniti evropske krovne invalidske organizacije in vse druge ustrezne deležnike.

(78)

Da bi zagotovili učinkovit dostop do informacij za namen nadzora trga, bi morale biti informacije, ki so zahtevane za izjavo o skladnosti z vsemi veljavnimi akti Unije, na voljo v enotni izjavi EU o skladnosti. Da bi zmanjšali upravno breme gospodarskih subjektov, bi jim moralo biti omogočeno, da v to enotno izjavo EU o skladnosti vključijo vse ustrezne posamezne izjave o skladnosti.

(79)

Ta direktiva bi morala za ugotavljanje skladnosti proizvodov predvideti postopek notranje kontrole proizvodnje iz „modula A“, ki je določen v Prilogi II k Sklepu št. 768/2008/ES, saj gospodarskim subjektom in pristojnim organom omogoča, da dokažejo oziroma zagotovijo, da proizvodi, ki so na voljo na trgu, izpolnjujejo zahteve glede dostopnosti, ne da bi jim nalagali neupravičeno breme.

(80)

Organi bi morali pri izvajanju nadzora trga proizvodov in preverjanju skladnosti storitev preveriti tudi ugotavljanje skladnosti, vključno s tem, ali je bila ustrezna ocena temeljite spremembe ali nesorazmernega bremena pravilno izvedena. Pri opravljanju svojih nalog bi organi morali sodelovati tudi z invalidi in organizacijami, ki zastopajo invalide in njihove interese.

(81)

Pri storitvah bi morale biti informacije, ki so potrebne za ugotavljanje skladnosti z zahtevami glede dostopnosti iz te direktive, zagotovljene v splošnih pogojih ali v enakovrednem dokumentu, brez poseganja v Direktivo 2011/83/EU Evropskega parlamenta in Sveta (20).

(82)

Oznaka CE, ki označuje skladnost proizvoda z zahtevami glede dostopnosti iz te direktive, je vidna posledica celotnega postopka, ki obsega ugotavljanje skladnosti v širšem pomenu. Ta direktiva bi morala upoštevati splošna načela, ki urejajo oznako CE, iz Uredbe (ES) št. 765/2008 Evropskega parlamenta in Sveta (21) o določitvi zahtev za akreditacijo in nadzor trga v zvezi s trženjem proizvodov. Poleg izjave EU o skladnosti bi moral proizvajalec na stroškovno učinkovit način obvestiti potrošnike o dostopnosti njihovih proizvodov.

(83)

V skladu z Uredbo (ES) št. 765/2008 proizvajalec z namestitvijo oznake CE na proizvod izjavlja, da je proizvod skladen z vsemi veljavnimi zahtevami glede dostopnosti in da za to proizvajalec prevzema vso odgovornost.

(84)

V skladu s Sklepom št. 768/2008/ES so države članice odgovorne za zagotavljanje strogega in učinkovitega nadzora trga proizvodov na svojem ozemlju ter bi morale svojim organom za nadzor trga omogočiti zadostne pristojnosti in sredstva.

(85)

Države članice bi morale preverjati skladnost storitev z obveznostmi iz te direktive in obravnavati pritožbe ali poročila glede neskladnosti, da bi zagotovile sprejetje korektivnih ukrepov.

(86)

Komisija bi lahko po potrebi v posvetovanju z deležniki sprejela nezavezujoče smernice, ki bi olajšale usklajevanje med organi za nadzor trga in organi, pristojnimi za preverjanje skladnosti storitev. Komisija in države članice lahko bi morale imeti možnost oblikovati pobude za namen delitve sredstev in izmenjave strokovnega znanja organov.

(87)

Države članice bi morale zagotoviti, da organi za nadzor trga in organi, pristojni za preverjanje skladnosti storitev, preverijo skladnost gospodarskih subjektov z merili iz Priloge VI v skladu s poglavji VIII in IX. Države članice bi morale imeti možnost imenovati specializiran organ, ki izpolnjuje obveznosti organov za nadzor trga ali organov, pristojnih za preverjanje skladnosti storitev iz te direktive. Države članice bi morale imeti možnost odločiti, da bi morale biti pristojnosti takšnega specializiranega organa omejene na področje uporabe te direktive ali nekaterih njenih delov, brez poseganja v obveznosti držav članic iz Uredbe (ES) št. 765/2008.

(88)

Določiti bi bilo treba zaščitni postopek, ki se uporablja v primeru nestrinjanja med državami članicami o ukrepih, ki jih sprejme država članica, in v okviru katerega so zainteresirane strani obveščene o ukrepih, ki naj bi bili sprejeti glede proizvodov, ki ne izpolnjujejo zahtev glede dostopnosti iz te direktive. Zaščitni postopek bi moral organom za nadzor trga omogočati, da v sodelovanju z ustreznimi gospodarskimi subjekti glede takih proizvodov prej ukrepajo.

(89)

Kadar se države članice in Komisija strinjajo, da je ukrep, ki ga sprejme država članica, upravičen, nadaljnje sodelovanje Komisije ne bi smelo biti potrebno, razen kadar je neskladnost posledica pomanjkljivosti v harmoniziranih standardih ali v tehničnih specifikacijah.

(90)

Direktivi 2014/24/EU (22) in 2014/25/EU (23) Evropskega parlamenta in Sveta o javnem naročanju, ki določata postopke javnega naročanja v zvezi z javnimi naročili in projektnimi natečaji za nekatero blago (proizvode), storitve in gradnje, določata tudi, da se pri vseh nabavah, ki naj bi jih uporabljale fizične osebe, bodisi splošna javnost bodisi uslužbenci javnega naročnika ali naročnika, pri pripravi tehničnih specifikacij, razen v ustrezno utemeljenih primerih, upoštevajo merila dostopnosti za invalide ali zahteve za oblikovanje, prilagojeno vsem uporabnikom. Poleg tega ti direktivi določata tudi, da kadar so zahteve v zvezi z obvezno dostopnostjo sprejete s pravnim aktom Unije, se tehnične specifikacije, kar zadeva merila dostopnosti za invalide ali zahteve za oblikovanje, prilagojeno vsem uporabnikom, določijo s sklicevanjem nanj. Ta direktiva bi morala določati obvezne zahteve glede dostopnosti za proizvode in storitve, za katere se uporablja. Zahteve glede dostopnosti iz te direktive niso zavezujoče za proizvode in storitve, ki ne spadajo na njeno področje uporabe. Vendar pa bi uporaba teh zahtev glede dostopnosti za izpolnjevanje ustreznih obveznosti iz drugih aktov Unije poleg te direktive olajšala izvajanje dostopnosti in prispevala k pravni varnosti ter približanju zahtev glede dostopnosti v vsej Uniji. Organom se ne bi smelo preprečiti, da določijo strožje zahteve glede dostopnosti, kot so zahteve glede dostopnosti iz Priloge I k tej direktivi.

(91)

Ta direktiva ne bi smela spremeniti obvezne ali prostovoljne narave določb, povezanih z dostopnostjo, iz drugih aktov Unije.

(92)

Ta direktiva bi se morala uporabljati le za postopke javnega naročanja, za katere je bil poslan javni razpis, oziroma v primerih, kadar javni razpis ni predviden, kadar je javni naročnik ali naročnik začel postopek javnega naročanja po datumu začetka uporabe te direktive.

(93)

Da bi zagotovili pravilno uporabo te direktive, bi bilo treba na Komisijo prenesti pooblastilo, da v skladu s členom 290 PDEU sprejme akte v zvezi s: podrobnejšo določitvijo zahtev glede dostopnosti, ki že zaradi svoje narave ne morejo doseči predvidenega učinka, razen če so že podrobneje določene v zavezujočih pravnih aktih Unije; spremembo obdobja, v katerem lahko gospodarski subjekti navedejo kateri koli drug gospodarski subjekt, ki jim je dobavil proizvod ali kateremu so dobavili proizvod; in podrobnejšo določitvijo ustreznih meril, ki jih mora gospodarski subjekt upoštevati pri ugotavljanju, ali bi uskladitev z zahtevami glede dostopnosti povzročila naložitev nesorazmernega bremena. Zlasti je pomembno, da se Komisija pri svojem pripravljalnem delu ustrezno posvetuje, vključno na ravni strokovnjakov, in da se ta posvetovanja izvedejo v skladu z načeli, določenimi v Medinstitucionalnem sporazumu z dne 13. aprila 2016 o boljši pripravi zakonodaje (24). Za zagotovitev enakopravnega sodelovanja pri pripravi delegiranih aktov Evropski parlament in Svet zlasti prejmeta vse dokumente sočasno s strokovnjaki iz držav članic, njuni strokovnjaki pa se sistematično lahko udeležujejo sestankov strokovnih skupin Komisije, ki zadevajo pripravo delegiranih aktov.

(94)

Za zagotovitev enotnih pogojev izvajanja te direktive bi bilo treba na Komisijo prenesti izvedbena pooblastila glede tehničnih specifikacij. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta (25).

(95)

Države članice bi morale zagotoviti, da bi obstajala ustrezna in učinkovita sredstva za zagotavljanje skladnosti s to direktivo, ter bi zato morale uvesti ustrezne mehanizme nadzora, kot je naknadni nadzor, ki bi ga opravljali organi za nadzor trga, da bi preverjali, ali so izjeme od zahtev glede dostopnosti upravičene. Pri obravnavanju pritožb glede dostopnosti bi morale države članice upoštevati splošno načelo dobrega upravljanja in zlasti obveznost uradnikov za zagotovitev, da odločitev o posamezni pritožbi sprejmejo v razumnem roku.

(96)

Zaradi lažjega enotnega izvajanja te direktive bi morala Komisija ustanoviti delovno skupino, ki bi jo sestavljali ustrezni organi in deležniki, da bi olajšali izmenjavo informacij in najboljših praks ter zagotavljali nasvete. Spodbujati bi bilo treba sodelovanje med organi in ustreznimi deležniki, vključno z invalidi in organizacijami, ki jih zastopajo, med drugim da bi izboljšali doslednost pri uporabi določb te direktive v zvezi z zahtevami glede dostopnosti in da bi spremljali izvajanje njenih določb o temeljitih spremembah in nesorazmernem bremenu.

(97)

Zaradi obstoječega pravnega okvira glede pravnih sredstev na področjih, ki jih zajemata direktivi 2014/24/EU in 2014/25/EU, se določbe te direktive v zvezi z izvrševanjem in kaznimi ne bi smele uporabljati za postopke javnega naročanja, za katere veljajo obveznosti iz te direktive. Takšna izključitev ne posega v obveznosti držav članic, ki izhajajo iz Pogodb, da sprejmejo vse potrebne ukrepe za zagotovitev uporabe in učinkovitosti prava Unije.

(98)

Kazni bi morale biti ustrezne glede na naravo kršitev in okoliščine, tako da ne bi bile alternativa temu, da bi gospodarski subjekti izpolnili svoje obveznosti glede dostopnosti proizvodov ali storitev.

(99)

Države članice bi morale zagotoviti, da so v skladu z veljavnim pravom Unije vzpostavljeni mehanizmi alternativnega reševanja sporov, ki omogočajo reševanje vsakršne domnevne neskladnosti s to direktivo pred začetkom postopka na sodiščih ali pri pristojnih upravnih organih.

(100)

V skladu s skupno politično izjavo držav članic in Komisije z dne 28. septembra 2011 o obrazložitvenih dokumentih (26) se države članice zavezujejo, da bodo v upravičenih primerih obvestilu o ukrepih za prenos priložile en ali več dokumentov, v katerih se pojasni razmerje med sestavnimi deli direktive in ustreznimi deli nacionalnih instrumentov za prenos. Zakonodajalec meni, da je posredovanje takih dokumentov v primeru te direktive upravičeno.

(101)

Da se ponudnikom storitev zagotovi dovolj časa za prilagoditev zahtevam iz te direktive, je treba predvideti prehodno obdobje petih let po datumu začetka uporabe te direktive, v katerem proizvodom, ki se uporabljajo pri zagotavljanju storitev in so dani na trg pred tem datumom, ne bo treba izpolnjevati zahtev glede dostopnosti iz te direktive, razen če jih ponudniki storitev v prehodnem obdobju nadomestijo. Zaradi stroškov in dolge življenjske dobe samopostrežnih terminalov je primerno določiti, da se lahko takšni terminali, kadar se uporabljajo za zagotavljanje storitev, uporabljajo še naprej do izteka njihove ekonomske življenjske dobe, če vmes niso nadomeščeni, vendar ne dlje kot 20 let.

(102)

Zahteve glede dostopnosti iz te direktive bi bilo treba uporabljati za proizvode, dane na trg, oziroma storitve, zagotovljene po datumu začetka uporabe nacionalnih ukrepov za prenos te direktive, vključno z rabljenimi proizvodi in proizvodi iz druge roke, ki so bili uvoženi iz tretje države in dani na trg po tem datumu.

(103)

Ta direktiva spoštuje temeljne pravice in upošteva načela, ki so priznana zlasti z Listino Evropske unije o temeljnih pravicah (v nadaljnjem besedilu: Listina). Zlasti si ta direktiva prizadeva zagotoviti polno spoštovanje pravic invalidov do ukrepov za zagotavljanje njihove samostojnosti, socialne in poklicne vključenosti ter sodelovanja v življenju skupnosti ter spodbujati uporabo členov 21, 25 in 26 Listine.

(104)

Ker cilja te direktive, in sicer odprave ovir za prosti pretok nekaterih dostopnih proizvodov in storitev z namenom prispevanja k pravilnemu delovanju notranjega trga, države članice ne morejo zadovoljivo doseči, saj zahteva harmonizacijo različnih pravil, ki trenutno veljajo v njihovih pravnih sistemih, temveč se zaradi opredelitve skupnih zahtev glede dostopnosti in pravil za delovanje notranjega trga lažje doseže na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz navedenega člena ta direktiva ne presega tistega, kar je potrebno za doseganje navedenega cilja –