les objectifs, les tâches et les questions organisationnelles concernant l’ENISA (l’Agence de l’Union européenne pour la cybersécurité); et

un cadre pour la mise en place de schémas européens de certification de cybersécurité dans le but de garantir un niveau adéquat de cybersécurité des produits TIC, services TIC et processus TIC dans l’Union, ainsi que dans le but d’éviter la fragmentation du marché intérieur pour ce qui est des schémas de certification dans l’Union.

les États membres dans leurs efforts pour améliorer la prévention, la détection et l’analyse des cybermenaces et incidents, ainsi que la capacité d’y réagir, en leur fournissant des connaissances et des compétences;

les États membres et les institutions, organes et organismes de l’Union pour établir et mettre en œuvre, sur une base volontaire, des politiques en matière de divulgation des vulnérabilités;

les institutions, organes et organismes de l’Union dans leurs efforts pour améliorer la prévention, la détection et l’analyse des cybermenaces et incidents, et pour améliorer leur capacité à y réagir, notamment en apportant un soutien adapté à la CERT-UE;

les États membres dans la mise en place de CSIRT nationaux, lorsqu’ils le demandent conformément à l’article 9, paragraphe 5, de la directive (UE) 2016/1148;

les États membres dans l’élaboration de stratégies nationales en matière de sécurité des réseaux et des systèmes d’information, lorsqu’ils le demandent conformément à l’article 7, paragraphe 2, de la directive (UE) 2016/1148, et favorise la diffusion de ces stratégies et prend note de l’avancement de leur mise en œuvre dans toute l’Union afin de promouvoir les meilleures pratiques;

les institutions de l’Union dans l’élaboration et la révision des stratégies de l’Union en matière de cybersécurité, la promotion de leur diffusion et le suivi de l’avancement de leur mise en œuvre;

les CSIRT nationaux et de l’Union dans le relèvement du niveau de leurs capacités, y compris en favorisant le dialogue et les échanges d’informations, pour faire en sorte que chaque CSIRT, eu égard à l’état de l’art, possède un socle commun de capacités minimales et fonctionne selon les meilleures pratiques;

les États membres en organisant régulièrement les exercices de cybersécurité au niveau de l’Union visés à l’article 7, paragraphe 5, au moins tous les deux ans, et en formulant des recommandations en vue d’actions sur la base de l’évaluation de ces exercices et des enseignements qui en ont été tirés;

les organismes publics concernés en proposant des formations sur la cybersécurité, le cas échéant en coopération avec des parties prenantes;

le groupe de coopération pour ce qui est de l’échange de meilleures pratiques, notamment en ce qui concerne l’identification, par les États membres, des opérateurs de services essentiels, conformément à l’article 11, paragraphe 3, point l), de la directive (UE) 2016/1148, y compris au regard des dépendances transfrontières, en matière de risques et d’incidents.

en échangeant savoir-faire et meilleures pratiques;

en fournissant des conseils et des lignes directrices sur des questions pertinentes liées à la cybersécurité;

en établissant les modalités pratiques de l’exécution de tâches spécifiques, après consultation de la Commission.

en prodiguant des conseils sur la façon d’améliorer leur capacité à prévenir et à détecter les incidents ainsi qu’à y réagir et, à la demande d’un ou de plusieurs États membres, en prodiguant des conseils concernant une cybermenace spécifique;

en prêtant son assistance, à la demande d’un ou de plusieurs États membres, dans l’évaluation des incidents ayant un impact significatif ou substantiel, en les faisant bénéficier de compétences et en facilitant la gestion technique de tels incidents, en particulier en soutenant le partage volontaire d’informations et de solutions techniques pertinentes entre États membres;

en analysant les vulnérabilités et les incidents à l’aide des informations publiquement disponibles ou des informations fournies volontairement par les États membres à cet effet; et

à la demande d’un ou de plusieurs États membres, en apportant un soutien en rapport avec les enquêtes techniques ex post sur les incidents ayant un impact significatif ou substantiel au sens de la directive (UE) 2016/1148.

en agrégeant et en analysant des rapports provenant de sources nationales qui sont dans le domaine public ou qui sont partagés sur une base volontaire en vue de contribuer à former une appréciation commune de la situation;

en assurant une circulation efficace de l’information et en proposant des mécanismes de remontée des décisions entre le réseau des CSIRT et les décideurs techniques et politiques au niveau de l’Union;

à la demande, en facilitant la gestion technique de tels incidents ou crises, en particulier en favorisant le partage volontaire de solutions techniques entre les États membres;

en soutenant les institutions, organes et organismes de l’Union et, à leur demande, les États membres dans la communication publique relative à tels incidents ou crises;

en mettant à l’épreuve les plans de coopération destinés à réagir à de tels incidents ou crises au niveau de l’Union et en aidant les États membres, à leur demande, à mettre de tels plans à l’épreuve au niveau national.

en surveillant, en permanence, les évolutions dans les domaines connexes de la normalisation et en recommandant des spécifications techniques d’utilisation appropriées dans le développement des schémas européens de certification de cybersécurité en application de l’article 54, paragraphe 1, point c), dans les cas où il n’existe aucune norme;

en préparant des schémas européens de certification de cybersécurité candidats (ci-après dénommés «schémas candidats») pour des produits TIC, services TIC et processus TIC, conformément à l’article 49;

en évaluant les schémas européens de certification de cybersécurité, conformément à l’article 49, paragraphe 8;

en participant aux examens par les pairs, conformément à l’article 59, paragraphe 4;

en aidant la Commission à assurer le secrétariat du GECC, conformément à l’article 62, paragraphe 5.

fixe l’orientation générale du fonctionnement de l’ENISA et veille à ce que l’ENISA fonctionne conformément aux règles et principes fixés dans le présent règlement; il assure aussi la cohérence des travaux de l’ENISA avec les activités menées par les États membres ainsi qu’au niveau de l’Union;

adopte le projet de document unique de programmation de l’ENISA visé à l’article 24, avant de le soumettre pour avis à la Commission;

adopte le document unique de programmation de l’ENISA, en tenant compte de l’avis de la Commission;

supervise la mise en œuvre de la programmation annuelle et pluriannuelle contenue dans le document unique de programmation;

adopte le budget annuel de l’ENISA et exerce d’autres fonctions en ce qui concerne le budget de l’ENISA conformément au chapitre IV;

évalue et adopte le rapport annuel consolidé sur les activités de l’ENISA, y compris les comptes et une description de la manière dont l’ENISA a atteint ses indicateurs de performance, et transmet, au plus tard le 1er juillet de l’année suivante, le rapport annuel et l’évaluation de ce rapport au Parlement européen, au Conseil, à la Commission et à la Cour des comptes; elle publie le rapport annuel;

adopte les règles financières applicables à l’ENISA, conformément à l’article 32;

adopte une stratégie antifraude qui est proportionnée aux risques de fraude compte tenu de l’analyse coûts-bénéfices des mesures à mettre en œuvre;

adopte des règles en matière de prévention et de gestion des conflits d’intérêts concernant ses membres;

assure le suivi approprié des conclusions et des recommandations découlant des enquêtes de l’Office européen de lutte antifraude (OLAF) et des divers rapports d’audit et évaluations internes et externes;

adopte son règlement intérieur, y compris les règles relatives aux décisions provisoires sur la délégation de tâches spécifiques, en vertu de l’article 19, paragraphe 7;

exerce, à l’égard du personnel de l’ENISA, les compétences qui sont dévolues par le statut des fonctionnaires de l’Union européenne (ci-après dénommé «statut des fonctionnaires») et le régime applicable aux autres agents de l’Union européenne (ci-après dénommé «régime applicable aux autres agents»), fixés par le règlement (CEE, Euratom, CECA) no 259/68 du Conseil ( 2 ), à l’autorité investie du pouvoir de nomination et à l’autorité habilitée à conclure les contrats d’engagement (ci-après dénommées «compétences de l’autorité investie du pouvoir de nomination») conformément au paragraphe 2 du présent article;

arrête les règles d’exécution du statut des fonctionnaires et du régime applicable aux autres agents conformément à la procédure prévue à l’article 110 du statut des fonctionnaires;

nomme le directeur exécutif et, le cas échéant, proroge son mandat ou le démet de ses fonctions conformément à l’article 36;

nomme un comptable, qui peut être le comptable de la Commission et qui est totalement indépendant dans l’exercice de ses fonctions;

prend toutes les décisions relatives à la mise en place des structures internes de l’ENISA et, le cas échéant, à leur modification, en tenant compte des besoins liés à l’activité de l’ENISA et en respectant le principe d’une gestion budgétaire saine;

autorise la conclusion d’arrangements de travail conformément à l’article 7;

autorise l’élaboration ou la conclusion d’arrangements de travail conformément à l’article 42.

prépare les décisions qui doivent être adoptées par le conseil d’administration;

assure, avec le conseil d’administration, le suivi approprié des conclusions et des recommandations découlant des enquêtes de l’OLAF ainsi que des divers rapports d’audit et des évaluations internes ou externes;

sans préjudice des tâches du directeur exécutif énoncées à l’article 20, assiste et conseille le directeur exécutif dans la mise en œuvre des décisions du conseil d’administration relatives à des questions administratives et budgétaires, conformément à l’article 20.

d’assurer l’administration courante de l’ENISA;

de mettre en œuvre les décisions adoptées par le conseil d’administration;

de préparer le projet de document unique de programmation et de le soumettre au conseil d’administration pour approbation, avant qu’il ne soit soumis à la Commission;

de mettre en œuvre le document unique de programmation et d’en faire rapport au conseil d’administration;

de préparer le rapport annuel consolidé sur les activités de l’ENISA, y compris la mise en œuvre du programme de travail annuel de l’ENISA, et de le présenter au conseil d’administration pour évaluation et adoption;

de préparer un plan d’action faisant suite aux conclusions des évaluations rétrospectives et de faire rapport tous les deux ans à la Commission sur les progrès accomplis;

de préparer un plan d’action donnant suite aux conclusions des rapports d’audit internes ou externes, ainsi qu’aux enquêtes de l’OLAF, et de présenter des rapports semestriels à la Commission et des rapports réguliers au conseil d’administration sur les progrès accomplis;

de préparer le projet de règles financières applicables à l’ENISA visé à l’article 32;

de préparer le projet d’état prévisionnel des recettes et dépenses de l’ENISA et d’exécuter son budget;

de protéger les intérêts financiers de l’Union par l’application de mesures préventives contre la fraude, la corruption et d’autres activités illégales, par des contrôles efficaces et, si des irrégularités sont constatées, par le recouvrement des montants indûment payés et, le cas échéant, par des sanctions administratives et financières effectives, proportionnées et dissuasives;

de préparer une stratégie antifraude pour l’ENISA et de la présenter au conseil d’administration pour approbation;

d’établir et de maintenir le contact avec le secteur des entreprises et les organisations de consommateurs afin d’assurer un dialogue régulier avec les parties prenantes concernées;

d’avoir un échange de vues et d’informations régulier avec les institutions, organes et organismes de l’Union sur leurs activités en matière de cybersécurité, pour assurer la cohérence dans l’élaboration et dans la mise en œuvre de la politique de l’Union;

d’exécuter les autres tâches qui sont assignées au directeur exécutif par le présent règlement.

de conseiller la Commission sur des questions stratégiques relatives au cadre européen de certification de cybersécurité;

sur demande, de conseiller l’ENISA sur des questions générales et stratégiques concernant les tâches de l’ENISA relatives au marché, à la certification de cybersécurité et à la normalisation;

d’aider la Commission à préparer le programme de travail glissant de l’Union visé à l’article 47;

de rendre un avis sur le programme de travail glissant de l’Union conformément à l’article 47, paragraphe 4; et

en cas d’urgence, de donner un avis à la Commission et au GECC sur la nécessité de disposer de schémas de certification supplémentaires qui ne sont pas compris dans le programme de travail glissant de l’Union, comme indiqué aux articles 47 et 48.

d’une contribution provenant du budget général de l’Union;

de recettes allouées à des postes de dépense spécifiques conformément à ses règles financières visées à l’article 32;

d’un financement de l’Union sous la forme de conventions de délégation ou de subventions ad hoc, conformément à ses règles financières visées à l’article 32 et aux dispositions des instruments pertinents appuyant les politiques de l’Union;

de contributions de pays tiers participant aux travaux de l’ENISA conformément à l’article 42;

de toute contribution volontaire des États membres en espèces ou en nature.

la disponibilité et le développement de schémas nationaux de certification de cybersécurité couvrant toute catégorie spécifique de produits TIC, services TIC ou processus TIC et, en particulier, en ce qui concerne le risque de fragmentation;

le droit ou la politique applicable de l’Union ou d’un État membre;

la demande du marché;

l’évolution de la situation en ce qui concerne les cybermenaces;

une demande de préparation d’un schéma candidat spécifique par le GECC.

l’objet et le champ d’application du schéma de certification, notamment le type ou les catégories de produits TIC, services TIC et processus TIC couverts;

une description claire de la finalité du schéma et de la façon dont les normes, les méthodes d’évaluation et les niveaux d’assurance sélectionnés correspondent aux besoins des utilisateurs auxquels le schéma est destiné;

des références aux normes internationales, européennes ou nationales appliquées dans le cadre de l’évaluation ou, lorsque de telles normes n’existent pas ou ne sont pas appropriées, à des spécifications techniques qui satisfont aux exigences énoncées à l’annexe II du règlement (UE) no 1025/2012 ou, lorsque de telles spécifications ne sont pas disponibles, à des spécifications techniques ou d’autres exigences de cybersécurité définies dans le schéma européen de certification de cybersécurité;

le cas échéant, un ou plusieurs niveaux d’assurance;

une mention indiquant si l’autoévaluation de la conformité est autorisée dans le cadre du schéma;

le cas échéant, des exigences spécifiques ou supplémentaires auxquelles sont soumis les organismes d’évaluation de la conformité aux fins de garantir qu’ils disposent des compétences techniques nécessaires pour évaluer les exigences de cybersécurité;

les critères et méthodes d’évaluation spécifiques qui doivent être utilisés, notamment les types d’évaluation, afin de démontrer que les objectifs de sécurité visés à l’article 51 sont atteints;

le cas échéant, les informations nécessaires à la certification qu’un demandeur doit fournir aux organismes d’évaluation de la conformité ou mettre à leur disposition d’une autre façon;

lorsque le schéma prévoit des marques ou des labels, les conditions dans lesquelles ces marques ou labels peuvent être utilisés;

les règles relatives au contrôle du respect par les produits TIC, services TIC et processus TIC des exigences liées aux certificats de cybersécurité européens ou aux déclarations de conformité de l’Union européenne, notamment les mécanismes permettant de démontrer le respect constant des exigences de cybersécurité qui ont été définies;

le cas échéant, les conditions permettant de délivrer, de maintenir, de prolonger et de renouveler les certificats européen de cybersécurité, ainsi que les conditions auxquelles il est possible d’étendre ou de réduire leur champ d’application;

les règles relatives aux conséquences pour les produits TIC, services TIC et processus TIC qui ont été certifiés ou pour lesquels une déclaration de conformité de l’Union européenne a été délivrée, mais qui ne respectent pas les exigences du schéma;

les règles relatives aux modalités de signalement et de traitement des vulnérabilités de cybersécurité non détectées précédemment dans des produits TIC, services TIC et processus TIC;

le cas échéant, les règles relatives à la conservation des archives par les organismes d’évaluation de la conformité;

l’identification des schémas nationaux ou internationaux de certification de cybersécurité couvrant le même type ou les mêmes catégories de produits TIC, services TIC et processus TIC, d’exigences de sécurité, de critères et méthodes d’évaluation et de niveaux d’assurance;

le contenu et le format des certificats de cybersécurité européens et des déclarations de conformité de l’Union européenne à délivrer;

la période de disponibilité de la déclaration de conformité de l’Union européenne, de la documentation technique et de toutes les autres informations pertinentes qui doivent être mises à disposition par le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC;

la durée maximale de validité des certificats de cybersécurité européens délivrés dans le cadre du schéma;

la politique de divulgation concernant les certificats de cybersécurité européens délivrés, modifiés ou retirés dans le cadre du schéma;

les conditions de reconnaissance mutuelle des schémas de certification avec les pays tiers;

le cas échéant, les règles relatives à tout mécanisme d’évaluation par les pairs établi par le schéma pour les autorités ou organismes qui délivrent des certificats de cybersécurité européens pour le niveau d’assurance dit «élevé» en vertu de l’article 56, paragraphe 6. Un tel mécanisme est sans préjudice de l’examen par les pairs prévu à l’article 59;

le format et les procédures que les fabricants ou les fournisseurs de produits TIC, services TIC ou processus TIC doivent appliquer pour fournir et mettre à jour les informations supplémentaires en matière de cybersécurité conformément à l’article 55.

des orientations et des recommandations pour aider les utilisateurs finaux à assurer, de façon sécurisée, la configuration, l’installation, le déploiement, le fonctionnement et la maintenance des produits TIC ou services TIC;

la période pendant laquelle une assistance en matière de sécurité sera offerte aux utilisateurs finaux, en particulier en ce qui concerne la disponibilité de mises à jour liées à la cybersécurité;

les informations de contact du fabricant ou du fournisseur et les méthodes acceptées pour recevoir des informations concernant des vulnérabilités de la part d’utilisateurs finaux et de chercheurs dans le domaine de la sécurité;

une mention relative aux répertoires en ligne recensant les vulnérabilités publiquement divulguées liées au produit TIC, service TIC ou processus TIC ainsi que tout conseil pertinent en matière de cybersécurité.

une autorité nationale de certification de cybersécurité visée à l’article 58, paragraphe 1; ou

un organisme public accrédité en tant qu’organisme d’évaluation de la conformité conformément à l’article 60, paragraphe 1.

moyennant l’approbation préalable de l’autorité nationale de certification de cybersécurité pour chaque certificat de cybersécurité européen délivré par un organisme d’évaluation de la conformité; ou

sur la base d’une délégation préalable de la tâche consistant à délivrer de tels certificats de cybersécurité européens à un organisme d’évaluation de la conformité par l’autorité nationale de certification de cybersécurité.

supervisent et font respecter les règles prévues dans les schémas européens de certification de cybersécurité, en application de l’article 54, paragraphe 1, point j), aux fins du contrôle du respect par les produits TIC, services TIC et processus TIC des exigences des certificats de cybersécurité européens délivrés sur leurs territoires respectifs, en coopération avec les autres autorités compétentes de surveillance du marché;

contrôlent le respect des obligations qui incombent aux fabricants ou fournisseurs de produits TIC, services TIC ou processus TIC qui sont établis sur leurs territoires respectifs et qui procèdent à une autoévaluation de conformité et font respecter ces obligations, et contrôlent, en particulier, le respect des obligations de ces fabricants ou fournisseurs visées à l’article 53, paragraphes 2 et 3, et dans le schéma européen de certification de cybersécurité correspondant, et font respecter ces obligations;

sans préjudice de l’article 60, paragraphe 3, assistent et soutiennent activement les organismes nationaux d’accréditation dans le contrôle et la supervision des activités des organismes d’évaluation de la conformité aux fins du présent règlement;

contrôlent et supervisent les activités des organismes publics visées à l’article 56, paragraphe 5;

lorsqu’il y a lieu, autorisent les organismes d’évaluation de la conformité à effectuer leurs tâches conformément à l’article 60, paragraphe 3, et limitent, suspendent ou retirent les autorisations existantes lorsque les organismes d’évaluation de la conformité violent les exigences du présent règlement;

traitent les réclamations introduites par des personnes physiques ou morales en rapport avec les certificats de cybersécurité européens délivrés par des autorités nationales de certification de cybersécurité ou en rapport avec les certificats de cybersécurité européens délivrés par des organismes d’évaluation de la conformité conformément à l’article 56, paragraphe 6, ou en rapport avec les déclarations de conformité de l’Union européenne délivrées au titre de l’article 53, examinent l’objet de ces réclamations dans la mesure nécessaire et informent l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable;

communiquent à l’ENISA et au GECC un résumé annuel des activités entreprises en application des points b), c) et d) du présent paragraphe ou du paragraphe 8;

coopèrent avec les autres autorités nationales de certification de cybersécurité ou d’autres autorités publiques, notamment en partageant des informations sur l’éventuel non-respect par des produits TIC, services TIC et processus TIC des exigences du présent règlement ou des exigences de schémas de certification de cybersécurité spécifiques; et

suivent les évolutions pertinentes dans le domaine de la certification de cybersécurité.

de demander aux organismes d’évaluation de la conformité, aux titulaires de certificats de cybersécurité européens et aux émetteurs de déclarations de conformité de l’Union européenne de lui communiquer toute information dont elle a besoin pour l’exécution de ses tâches;

d’effectuer des enquêtes, sous la forme d’audits, auprès des organismes d’évaluation de la conformité, des titulaires de certificats de cybersécurité européens et des émetteurs de déclarations de conformité de l’Union européenne afin de vérifier qu’ils respectent le présent titre;

de prendre les mesures appropriées, conformément au droit national, pour veiller à ce que les organismes d’évaluation de la conformité, les titulaires de certificats de cybersécurité européens et les émetteurs de déclarations de conformité de l’Union européenne respectent le présent règlement ou un schéma européen de certification de cybersécurité;

d’obtenir l’accès aux locaux des organismes d’évaluation de la conformité ou des titulaires de certificats de cybersécurité européens afin d’effectuer des enquêtes conformément au droit procédural de l’Union ou au droit procédural d’un État membre;

de retirer, conformément au droit national, les certificats de cybersécurité européens délivrés par les autorités nationales de certification de cybersécurité ou les certificats de cybersécurité européens délivrés par les organismes d’évaluation de la conformité conformément à l’article 56, paragraphe 6, lorsque de tels certificats ne respectent pas le présent règlement ou un schéma européen de certification de cybersécurité;

d’imposer des sanctions conformément au droit national, comme le prévoit l’article 65, et d’exiger la cessation immédiate des violations des obligations énoncées dans le présent règlement.

lorsqu’il y a lieu, la question de savoir si les activités des autorités nationales de certification de cybersécurité liées à la délivrance de certificats de cybersécurité européens visées à l’article 56, paragraphe 5, point a), et à l’article 56, paragraphe 6, sont strictement distinctes des activités de supervision visées à l’article 58, et celle de savoir si ces activités sont exercées indépendamment l’une de l’autre;

les procédures permettant de superviser et de faire respecter les règles relatives au contrôle du respect par les produits TIC, services TIC et processus TIC des certificats de cybersécurité européens, conformément à l’article 58, paragraphe 7, point a);

les procédures permettant de contrôler et de faire respecter les obligations des fabricants et des fournisseurs de produits TIC, services TIC ou processus TIC, conformément à l’article 58, paragraphe 7, point b);

les procédures permettant de contrôler, d’autoriser et de superviser les activités des organismes d’évaluation de la conformité;

lorsqu’il y a lieu, la question de savoir si le personnel des autorités ou organismes qui délivrent des certificats pour un niveau d’assurance dit «élevé», conformément à l’article 56, paragraphe 6, dispose des compétences nécessaires.

de conseiller et d’assister la Commission dans ses efforts pour assurer une mise en œuvre et une application cohérentes du présent titre, notamment en ce qui concerne le programme de travail glissant de l’Union, les questions de politique de certification de cybersécurité, la coordination des approches politiques et la préparation de schémas européens de certification de cybersécurité;

d’assister et de conseiller l’ENISA et de coopérer avec elle en ce qui concerne la préparation d’un schéma candidat en vertu de l’article 49;

d’adopter un avis sur les schémas candidats préparés par l’ENISA en vertu de l’article 49;

de demander à l’ENISA de préparer un schéma candidat en vertu de l’article 48, paragraphe 2;

d’adopter des avis adressés à la Commission concernant la maintenance et le réexamen de schémas européens de certification de cybersécurité existants;

d’examiner les évolutions pertinentes dans le domaine de la certification de cybersécurité et d’échanger des informations et de bonnes pratiques sur les schémas de certification de cybersécurité;

de faciliter la coopération entre les autorités nationales de certification de cybersécurité en vertu du présent titre par le renforcement des capacités et l’échange d’informations, notamment en établissant des méthodes permettant un échange d’informations efficace sur toutes les questions relatives à la certification de cybersécurité;

de fournir un soutien à la mise en œuvre des mécanismes d’évaluation par les pairs conformément aux règles fixées dans un schéma européen de certification de cybersécurité en vertu de l’article 54, paragraphe 1, point u);

de faciliter l’alignement des schémas européens de certification de cybersécurité sur les normes internationalement reconnues, y compris en examinant les schémas européens de certification de cybersécurité existants et, s’il y a lieu, en recommandant à l’ENISA de nouer le dialogue avec les organisations internationales de normalisation compétentes dans le but de remédier à des insuffisances ou à des lacunes affectant les normes internationalement reconnues en vigueur.

les décisions prises par l’autorité ou l’organisme visé à l’article 63, paragraphe 1, y compris, le cas échéant, en ce qui concerne la délivrance non justifiée, la non-délivrance ou la reconnaissance d’un certificat de cybersécurité européen détenu par ces personnes physiques ou morales;

l’absence de réaction à une réclamation introduite auprès de l’autorité ou de l’organisme visé à l’article 63, paragraphe 1.