(1)

Nätverks- och informationssystem samt elektroniska kommunikationsnät och kommunikationstjänster har en avgörande betydelse för samhället och har blivit själva ryggraden för ekonomisk tillväxt. Informations- och kommunikationsteknik (IKT) är grunden för komplexa system som stöder dagliga samhälleliga verksamheter, håller våra ekonomier igång inom viktiga sektorer som hälso- och sjukvård, energi, finans och transporter, och framför allt bidrar till den inre marknadens funktion.

(2)

Användningen av nätverks- och informationssystem bland privatpersoner, organisationer och företag i hela unionen genomsyrar nu hela samhället. Digitalisering och konnektivitet är på väg att bli centrala inslag i ett allt större antal produkter och tjänster, och med tillkomsten av sakernas internet väntas ett extremt högt antal uppkopplade digitala enheter tas i bruk inom unionen under det kommande årtiondet. Trots att allt fler enheter är uppkopplade till internet, är säkerhet och resiliens inte tillräckligt integrerade i konstruktionen, vilket leder till otillräcklig cybersäkerhet. I detta sammanhang leder den begränsade användningen av certifiering till att enskilda användare, organisationsanvändare och företagsanvändare har otillräcklig information om cybersäkerheten hos IKT-produkter, IKT-tjänster och IKT-processer, vilket undergräver förtroendet för digitala lösningar. Nätverks- och informationssystem kan stödja alla aspekter av våra liv och bli en drivkraft för unionens ekonomiska tillväxt. De utgör grunden för uppnåendet av en digital inre marknad.

(3)

Ökad digitalisering och konnektivitet leder till ökade cybersäkerhetsrisker, vilket gör samhället som helhet mer sårbart för cyberhot och ökar farorna för enskilda individer, inbegripet sårbara grupper som barn. För att minska dessa risker måste alla nödvändiga åtgärder vidtas för att stärka cybersäkerheten i unionen så att nätverks- och informationssystem, kommunikationsnät, digitala produkter, tjänster och enheter som används av privatpersoner, organisationer och företag – från små och medelstora företag enligt definitionen i kommissionens rekommendation 2003/361/EG (4), till operatörer av kritisk infrastruktur – skyddas bättre mot cyberhot.

(4)

Genom att tillgängliggöra relevant information för allmänheten bidrar Europeiska unionens byrå för nät- och informationssäkerhet (Enisa), som inrättats genom Europaparlamentets och rådets förordning (EU) nr 526/2013 (5), till utvecklingen av cybersäkerhetsbranschen i unionen, särskilt små och medelstora företag och nystartade företag. Enisa bör sträva efter ett närmare samarbete med universitet och forskningsenheter för att bidra till en minskning av beroendet av cybersäkerhetsprodukter och -tjänster från länder utanför unionen och att förstärka distributionskedjor inom unionen.

(5)

Cyberangreppen ökar och en uppkopplad ekonomi och ett uppkopplat samhälle som är mer utsatta för cyberhot och -angrepp kräver starkare skydd. Även om cyberangrepp ofta är gränsöverskridande, är dock behörigheten för, och de politiska insatserna från, cybersäkerhetsmyndigheter och brottsbekämpande organ till övervägande del nationella. Storskaliga incidenter kan störa tillhandahållandet av grundläggande tjänster i hela unionen. Detta kräver en effektiv och samordnad respons och krishantering på unionsnivå som bygger på särskilt utformade strategier och bredare instrument för europeisk solidaritet och ömsesidigt stöd. För beslutsfattare, näringsliv och användare är det också viktigt att det görs regelbundna bedömningar av situationen när det gäller cybersäkerhet och resiliens i unionen, på grundval av tillförlitliga unionsdata, samt systematiska prognoser för framtida utveckling, utmaningar och hot på unionsnivå och global nivå.

(6)

Mot bakgrund av de allt större cybersäkerhetsutmaningar som unionen står inför behövs en omfattande uppsättning åtgärder som bygger vidare på tidigare unionsåtgärder och främjar mål som stärker varandra inbördes. Dessa mål innefattar att ytterligare öka medlemsstaternas och företagens kapacitet och beredskap samt att förbättra samarbete, informationsutbyte, och samordning mellan medlemsstaterna och unionens institutioner, organ och byråer. Med tanke på cyberhotens gränsöverskridande karaktär finns det dessutom ett behov av att öka kapaciteten på unionsnivå som ett komplement till medlemsstaternas insatser, särskilt när det gäller storskaliga gränsöverskridande incidenter och -kriser, samtidigt som man beaktar vikten av att underhålla och ytterligare stärka den nationella kapaciteten att bemöta cyberhot av alla storlekar.

(7)

Ytterligare insatser behövs också för att öka privatpersoners, organisationers och företagens medvetenhet om cybersäkerhetsfrågor. Dessutom bör, med tanke på att incidenter skadar förtroendet för leverantörerna av digitala tjänster och den digitala marknaden i sig, inte minst bland konsumenter, förtroendet stärkas ytterligare genom att information tillhandahålls på ett transparent sätt om säkerhetsnivån för IKT-produkter, IKT-tjänster och IKT-processer, samtidigt som det understryks att inte ens en hög nivå av cybersäkerhetscertifiering kan garantera att en IKT-produkt, IKT-tjänst eller IKT-process är helt säker. Ett ökat förtroende kan underlättas genom unionsomfattande certifiering som erbjuder gemensamma cybersäkerhetskrav och utvärderingskriterier för olika nationella marknader och sektorer.

(8)

Cybersäkerhet är inte bara en fråga kopplad till teknik, utan en fråga där mänskligt beteende är lika viktigt. Därför bör it-hygien, det vill säga enkla rutinåtgärder som, när de genomförs och utförs regelbundet av medborgare, organisationer och företag, minimerar deras exponering för risker från cyberhot, starkt främjas.

(9)

I syfte att stärka unionens cyberförsvarsstrukturer är det viktigt att underhålla och utveckla medlemsstaternas förmåga att bemöta cyberhot, inbegripet gränsöverskridande incidenter, på ett övergripande sätt.

(10)

Företag och enskilda konsumenter bör få korrekt information om säkerhetscertifieringsnivån för deras IKT-produkter, IKT-tjänster och IKT-processer. Samtidigt är ingen produkt helt cybersäker och grundläggande regler för it-hygien måste främjas och prioriteras. Med tanke på den ökande tillgången till uppkopplade apparater finns det en rad frivilliga åtgärder som den privata sektorn kan vidta för att stärka förtroendet för IKT-produkters, IKT-tjänsters och IKT-processers säkerhet.

(11)

Moderna IKT-produkter och IKT-system inbegriper ofta, och förlitar sig på, en eller flera komponenter liksom teknik från tredje part, som är nödvändiga för produkten eller tjänsten, t.ex. programmoduler, bibliotek eller programmeringsgränssnitt. Detta beroende skulle kunna innebära extra cybersäkerhetsrisker eftersom sårbarheter i sådana tredjepartskomponenter även kan påverka IKT-produkternas, IKT-tjänsternas och IKT-processernas säkerhet. Om sådana beroendeförhållanden identifieras och dokumenteras kan användare av IKT-produkter, IKT-tjänster och IKT-processer ofta förbättra sin cybersäkerhetsriskhantering genom att exempelvis förbättra sina förfaranden för att hantera och avhjälpa sårbarheter.

(12)

Organisationer, tillverkare och leverantörer som är inblandade i utformningen och utvecklingen av IKT-produkter, IKT-tjänster och IKT-processer bör uppmuntras att, i ett tidigt skede av utformningen och utvecklingen, genomföra åtgärder på ett sätt så att säkerheten för dessa produkter, tjänster och processer skyddas i högsta möjliga grad, så att förekomsten av cyberattacker tas med i beräkningen och att de eventuella konsekvenserna av dem förutses och minimeras (nedan kallad inbyggd säkerhet). Säkerhetsaspekten bör säkerställas under IKT-produktens, IKT-tjänstens och IKT-processens hela livstid genom att man kontinuerligt utvecklar utformnings- och utvecklingsprocesserna för att minska risken för skada från skadlig användning.

(13)

Företag, organisationer och den offentliga sektorn bör konfigurera IKT-produkter, IKT-tjänster och IKT-processer som de utformar på ett sätt som säkerställer en högre grad av säkerhet, som gör att den första användaren kan få den förvalda konfigurationen med de säkraste inställningarna (nedan kallad säkerhet som standard) och därmed minska användarnas börda av att behöva konfigurera en IKT-produkt, IKT-tjänst eller IKT-process på lämpligt vis. Säkerhet som standard bör inte kräva omfattande konfigurering eller specifika tekniska kunskaper eller icke-intuitivt handlande från användarens sida som inte känns naturliga, och bör fungera enkelt och tillförlitligt när den tillämpas. Om en riskanalys och en användbarhetsanalys från fall till fall leder till slutsatsen att det inte är möjligt att göra en sådan förvald inställning, bör användarna uppmanas att välja den säkraste inställningen.

(14)

Europaparlamentet och rådets förordning (EG) nr 460/2004 (6) inrättande Enisa med syftet att bidra till målet att säkerställa en hög och effektiv nivå på nätverks- och informationssäkerheten i unionen och utveckla en kultur av nätverks- och informationssäkerhet till förmån för medborgarna, konsumenterna, företagen och den offentliga administrationen. Europaparlamentet och rådets förordning (EG) nr 1007/2008 (7) som förlängde Enisas mandat till mars 2012. Genom Europaparlamentets och rådets förordning (EU) nr 580/2011 (8) förlängdes Enisas mandat ytterligare till den 13 september 2013. Förordning (EU) nr 526/2013 förlängde Enisas mandat till den 19 juni 2020.

(15)

Unionen har redan vidtagit viktiga åtgärder för att säkerställa cybersäkerhet och öka förtroendet för digital teknik. År 2013 antogs EU:s strategi för cybersäkerhet för att vägleda EU:s politiska åtgärder för cyberhot och -risker. I en satsning för att bättre skydda invånarna på nätet antogs unionens första rättsakt på cybersäkerhetsområdet 2016 i form av Europaparlamentets och rådets direktiv (EU) 2016/1148 (9). Direktiv (EU) 2016/1148 införde krav om nationell kapacitet på cybersäkerhetsområdet, inrättade de första mekanismerna för att stärka det strategiska och operativa samarbetet mellan medlemsstaterna och införde skyldigheter avseende säkerhetsåtgärder och incidentrapportering inom sektorer som är centrala för ekonomin och samhället, såsom energi, transporter, leverans och distribution av dricksvatten, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, digital infrastruktur samt leverantörer av viktiga digitala tjänster (sökmotorer, molntjänster och elektroniska marknadsplatser).

Enisa fick en viktig roll när det gällde att stödja genomförandet av det direktivet. Dessutom är en effektiv kamp mot it-brottslighet en viktig prioritering i den europeiska säkerhetsagendan, som bidrar till det övergripande målet att uppnå en hög nivå av cybersäkerhet. Andra rättsakter såsom Europaparlamentets och rådets förordning (EU) 2016/679 (10) och Europaparlamentets och rådets direktiv 2002/58/EG (11) och (EU) 2018/1972 (12) kan också bidra till en hög cybersäkerhetsnivå på den digitala inre marknaden.

(16)

Sedan antagandet av EU:s strategi för cybersäkerhet 2013 och den senaste översynen av Enisas uppdrag, har den övergripande politiska ramen förändrats avsevärt eftersom den globala miljön har blivit mer oviss och mindre säker. Mot denna bakgrund och mot bakgrund av den positiva utvecklingen av Enisas roll till en referenspunkt för rådgivning och expertis, som en kontaktpunkt för samarbete och kapacitetsuppbyggnad, samt inom ramen för unionens nya cybersäkerhetsstrategi är det nödvändigt att se över Enisas mandat för att definiera dess roll i det förändrade cybersäkerhetsekosystemet och säkerställa att Enisa bidrar effektivt till unionens reaktion på cybersäkerhetsutmaningar som härrör från den radikalt förändrade hotbilden inom cyberområdet, för vilket det nuvarande mandatet är inte tillräckligt, vilket också medges i utvärderingen av Enisa.

(17)

Enisa som inrättas genom denna förordning bör efterträda Enisa, som inrättades genom förordning (EU) nr 526/2013. Enisa bör utföra de uppgifter som den tilldelas genom den här förordningen och andra unionsrättsakter på cybersäkerhetsområdet genom att bland annat tillhandahålla rådgivning och expertis och fungera som unionens informations- och kunskapscentrum. Kommissionen bör främja utbyte av bästa praxis mellan medlemsstaterna och privata aktörer, lägga fram strategiförslag för kommissionen och medlemsstaterna som kan användas som utgångspunkt för unionens sektorsvisa politiska initiativ när det gäller cybersäkerhet och för att främja praktiskt samarbete både medlemsstaterna emellan och mellan medlemsstaterna och unionens institutioner, organ och byråer.

(18)

Inom ramen för beslut 2004/97/EG, Euratom antaget i samförstånd mellan medlemsstaternas företrädare, församlade på stats- eller regeringschefsnivå (13), beslutade medlemsstaternas företrädare att Enisa skulle ha sitt säte i en stad i Grekland som skulle fastställas av den grekiska regeringen. Enisas värdmedlemsstat bör säkerställa bästa möjliga förutsättningar för en smidig och effektiv drift av Enisa. Det är mycket viktigt att Enisa är förlagd till en lämplig plats, där det bland annat finns lämpliga transportförbindelser och faciliteter för makar och barn som medföljer Enisas personal, för att Enisa ska kunna utföra sina uppgifter väl och effektivt samt för möjligheterna att rekrytera och behålla personal och för en effektivare nätverksverksamhet. De nödvändiga arrangemangen bör efter godkännande av Enisas styrelse fastställas i ett avtal mellan Enisa och värdmedlemsstaten.

(19)

Med tanke på de ökande cybersäkerhetsrisker och cybersäkerhetsutmaningar som unionen står inför bör de ekonomiska och personella resurser som anslagits för Enisa ökas för att återspegla dess förstärkta roll och arbetsuppgifter och dess centrala position i ekosystemet av organisationer som försvarar unionens digitala ekosystem, så att Enisa effektivt kan utföra de uppgifter som Enisa tilldelas genom denna förordning.

(20)

Enisa bör utveckla och underhålla en hög nivå av expertis och fungera som en referenspunkt och skapa förtroende och tillit för den inre marknaden genom sin opartiskhet, kvaliteten på de råd och den information den tillhandahåller, öppenheten i dess förfaranden och arbetssätt samt genom ett kompetent utförande av sina uppgifter. Enisa bör aktivt stödja nationella ansträngningar och bör aktivt bidra till unionsinsatser och utföra sina uppgifter i fullt samarbete med unionens institutioner, organ och byråer samt med medlemsstaterna, och därigenom undvika dubbelarbete och främja synergier. Enisa bör också stödja sig på synpunkter från och samarbete med den privata sektorn och andra berörda aktörer. Genom en uppsättning uppgifter bör det fastställas hur Enisa ska uppnå sina mål samtidigt som flexibilitet i verksamheten möjliggörs.

(21)

För att kunna ge lämpligt stöd till det operativa samarbetet mellan medlemsstaterna bör Enisa ytterligare stärka sin tekniska och mänskliga kapacitet och kompetens. Enisa bör öka sitt kunnande och sin kapacitet. Enisa och medlemsstaterna kan (på frivillig basis) ta fram program för utstationering av nationella experter till Enisa, skapande av expertpooler och utbytesprogram för de anställda.

(22)

Enisa bör bistå kommissionen med råd, yttranden och analyser i alla unionsfrågor som rör utveckling, uppdatering och översyn av politik och lagstiftning på cybersäkerhetsområdet och dess sektorsspecifika aspekter för att öka relevansen av unionens politik och lagstiftning med en cybersäkerhetsdimension och möjliggöra konsekvens i genomförandet av denna politik och lagstiftning på nationell nivå. Enisa bör fungera som en referenspunkt för rådgivning och expertis för unionens sektorsspecifika politik och lagstiftningsinitiativ i frågor som rör cybersäkerhet. Enisa bör regelbundet informera Europaparlamentet om sin verksamhet till.

(23)

Den offentliga kärnan av ett öppet internet, nämligen dess huvudsakliga protokoll och infrastruktur utgör globala allmänna nyttigheter, ger internet dess viktiga funktioner som en helhet och underbygger dess normala funktion. Enisa bör stödja säkerheten för den offentliga kärnan av ett öppet internet och stabiliteten för dess funktionssätt och bland annat, men inte begränsat till, nyckelprotokollen (framför allt DNS, BGP och IPv6), driften av domännamnssystemet (till exempel driften av alla toppdomäner) och driften av rotzonen.

(24)

Den underliggande uppgiften för Enisa är att främja ett konsekvent genomförande av den gällande rättsliga ramen, i synnerhet ett effektivt genomförande av direktiv (EU) 2016/1148 och andra relevanta rättsliga instrument som avser cybersäkerhetsaspekter, vilket är viktigt för att öka cyberresiliensen. Mot bakgrund av den snabbt föränderliga hotbilden inom cyberområdet på cyberområdet är det uppenbart att medlemsstaterna måste stödjas genom en mer omfattande tvärpolitisk strategi för att bygga upp cyberresiliens.

(25)

Enisa bör bistå medlemsstaterna och unionens institutioner, organ och byråer i deras arbete för att bygga upp och förbättra kapacitet och beredskap för att förebygga, upptäcka och reagera på cyberhot och cyberincidenter samt i fråga om säkerhet i nätverks- och informationssystem. Enisa bör särskilt stödja utvecklingen och stärkandet av nationella och unionens enheter för hantering av it-säkerhetsincidenter (Computer Security Incident Response Teams, nedan kallade CSIRT-enheter) enligt direktiv (EU) 2016/1148, i syfte att uppnå en hög gemensam mognadsnivå för dem i unionen. Den verksamhet som bedrivs av Enisa avseende medlemsstaternas operativa kapacitet bör aktivt stödja medlemsstaternas åtgärder för att fullgöra sina skyldigheter enligt direktiv (EU) 2016/1148 och bör därför inte ersätta dem.

(26)

Enisa bör också bistå med utveckling och uppdatering av strategier för säkerhet i nätverks- och informationssystem på unionsnivå och, på begäran, på medlemsstatsnivå, särskilt för cybersäkerhet, och bör främja spridningen av sådana strategier och följa upp framstegen med deras genomförande. Enisa bör också bidra till uppfyllandet av behoven av utbildning och utbildningsmaterial, däribland offentliga organs behov, och i lämpliga fall huvudsakligen ”utbilda utbildarna” baserat på den europeiska ramen för utveckling av digital kompetens bland medborgarna, för att bistå medlemsstaterna och unionens institutioner, organ och byråer när de utvecklar sin egen utbildningskapacitet.

(27)

Enisa bör stödja medlemsstaterna på området medvetenhet och utbildning om cybersäkerhet genom att främja närmare samarbete och utbyte av bästa praxis bland medlemsstaterna. Sådant stöd skulle bland annat kunna bestå i utveckling av ett nätverk av nationella utbildningskontaktpunkter och utvecklingen av en utbildningsplattform för cybersäkerhet. Nätverket av nationella utbildningskontaktpunkter skulle kunna verka inom ramen för nätverket för nationella kontaktpersoner och vara en startpunkt för framtida samordning inom medlemsstaterna.

(28)

Enisa bör bistå den samarbetsgrupp som inrättats genom direktiv (EU) 2016/1148 vid utförandet av dess uppgifter, särskilt genom att tillhandahålla expertis och rådgivning och underlätta utbytet av bästa praxis, bland annat vad gäller medlemsstaternas identifiering av leverantörer av samhällsviktiga tjänster, även i samband med gränsöverskridande beroenden, vad gäller risker och incidenter.

(29)

I syfte att stimulera samarbete mellan offentlig och privat sektor samt inom den privata sektorn, särskilt för att stödja skyddet av kritisk infrastruktur, bör Enisa stödja informationsutbyte inom och mellan sektorer, i synnerhet de sektorer som förtecknas i bilaga II till direktiv (EU) 2016/1148, genom att tillhandahålla bästa praxis och vägledning i fråga om tillgängliga verktyg och förfaranden samt om hur regleringsfrågor som rör informationsutbyte ska hanteras, exempelvis genom att underlätta inrättandet av sektorsvisa centrum för informationsutbyte och analys.

(30)

De potentiella negativa effekterna av sårbarheter hos IKT-produkter, IKT-tjänster och IKT-processer ökar ständigt och det är viktigt att upptäcka och åtgärda sådana sårbarheter för att minska den samlade cybersäkerhetsrisken. Det har visat sig att samarbete mellan organisationer, tillverkare eller leverantörer av sårbara IKT-produkter, IKT-tjänster och IKT-processer, personer som sysslar med cybersäkerhetsforskning och regeringar som upptäcker sårbarheter avsevärt ökar både upptäckterna och åtgärdandet av sårbarheter hos IKT-produkter, IKT-tjänster och IKT-processer. Samordnad information om sårbarheter utgör en strukturerad samarbetsprocess där sårbarheter rapporteras till ägaren av ett informationssystem vilket möjliggör för organisationen att diagnostisera och åtgärda sårbarheten innan detaljer om sårbarheten blir kända för tredje parter eller allmänheten. Processen möjliggör också samordning mellan den som upptäckt sådana sårbarheter och organisationen vad gäller offentliggörande av dessa sårbarheter. Samordnade riktlinjer för att offentliggöra sårbarheter skulle kunna spela en viktig roll i medlemsstaternas insatser för att stärka cybersäkerheten.

(31)

Enisa bör sammanställa och analysera nationella rapporter som delats på frivillig grund från CSIRT-enheter och den interinstitutionella incidenthanteringsorganisationen för unionens institutioner och byråer (nedan kallad CERT-EU) som inrättats genom avtalet mellan Europaparlamentet, Europeiska rådet, Europeiska unionens råd, Europeiska kommissionen, Europeiska unionens domstol, Europeiska centralbanken, Europeiska revisionsrätten, Europeiska utrikestjänsten, Europeiska ekonomiska och sociala kommittén, Europeiska regionkommittén och Europeiska investeringsbanken om organiseringen och driften av incidenthanteringsorganisationen för unionens institutioner och byråer (CERT-EU) (14) för att bidra till upprättandet av gemensamma förfaranden, gemensamt språk och gemensam terminologi för utbyte av information. Enisa bör även i detta sammanhang engagera den privata sektorn, inom ramen för direktiv (EU) 2016/1148 som lade grunden för frivilligt utbyte av teknisk information på operativ nivå, i nätverket för enheter för hantering av it-säkerhetsincidenter (nedan kallat CSIRT-nätverket) som inrättats genom det direktivet.

(32)

Enisa bör bidra till insatser på unionsnivå i samband med storskaliga gränsöverskridande incidenter och -kriser avseende cybersäkerhet. Denna uppgift bör utföras i enlighet med Enisas mandat enligt denna förordning och en metod som medlemsstaterna enats om inom ramen för kommissionens rekommendation (EU) 2017/1584 (15) och rådets slutsatser av den 26 juni 2018 om EU:s samordnade insatser vid storskaliga cyberincidenter och cyberkriser. Den uppgiften skulle kunna omfatta insamling av relevant information och att fungera som kontaktpunkt mellan CSIRT-nätverket och såväl tekniska aktörer som beslutsfattare med ansvar för krishantering. Vidare bör Enisa stödja det operativa samarbetet mellan medlemsstater, på begäran av en eller flera medlemsstater, i hanteringen av incidenter ur ett tekniskt perspektiv och underlätta utbyte av relevanta tekniska lösningar mellan medlemsstaterna och genom att ge input till kommunikation med allmänheten. Enisa bör stödja det operativa samarbetet genom att granska formerna för sådant samarbete genom regelbundna cybersäkerhetsövningar.

(33)

Till stöd för det operativa samarbetet bör Enisa använda tillgänglig teknisk och operativ expertis från CERT-EU genom ett strukturerat samarbete. Det strukturerade samarbetet skulle kunna förstärka Enisas expertis. Vid behov bör särskilda arrangemang mellan de båda enheterna inrättas för att definiera det praktiska genomförandet av detta samarbete och undvika dubbelarbete.

(34)

I fullgörandet av sina uppgifter till stöd för det operativa samarbetet inom CSIRT-nätverket bör Enisa kunna tillhandahålla stöd till medlemsstaterna om de begär det, till exempel genom att ge råd om hur de ska förbättra sin förmåga att förebygga, upptäcka och reagera på incidenter, genom att underlätta den tekniska hanteringen av incidenter som har en betydande eller avsevärd inverkan, eller genom att säkerställa att hot och incidenter analyseras. Enisa bör underlätta den tekniska hanteringen av incidenter som har en betydande eller avsevärd inverkan framför allt genom att stödja frivilligt utbyte av tekniska lösningar mellan medlemsstater eller genom att ta fram kombinerad teknisk information (t.ex. tekniska lösningar som medlemsstaterna delar på frivillig grund). I rekommendation (EU) 2017/1584 rekommenderas medlemsstaterna att samarbeta i god tro och utbyta information sinsemellan och med Enisa om storskaliga incidenter och kriser avseende cybersäkerhet utan onödigt dröjsmål. Sådan information skulle kunna hjälpa Enisa att utföra sin uppgift att stödja det operativa samarbetet.

(35)

Som en del av det löpande samarbetet på teknisk nivå för att stödja en gemensam situationsmedvetenhet i unionen bör Enisa, i nära samarbete med medlemsstaterna, ta fram en regelbunden och fördjupad teknisk EU-lägesrapport om cyberincidenter och cyberhot, baserad på allmänt tillgänglig information, sin egen analys och rapporter som Enisa får från medlemsstaternas CSIRT-enheter eller de nationella gemensamma kontaktpunkterna för säkerhet i nätverks- och informationssystem enligt direktiv (EU) 2016/1148, båda på frivillig grund, Europeiska it-brottscentrumet (EC3) vid Europol, CERT-EU och, i tillämpliga fall, Europeiska unionens underrättelseanalyscentrum (EU Intcen) vid Europeiska utrikestjänsten. Rapporten bör göras tillgänglig för rådet, kommissionen, unionens höga representant för utrikes frågor och säkerhetspolitik samt CSIRT-nätverket.

(36)

Enisas stöd till tekniska efterhandsundersökningar av incidenter med betydande eller avsevärda konsekvenser som inletts på begäran av de berörda medlemsstaterna bör inriktas på att förhindra framtida incidenter. De berörda medlemsstaterna bör tillhandahålla den information och assistans som behövs för att göra det möjligt för Enisa att på ett ändamålsenligt sätt stödja den tekniska efterhandsundersökningen.

(37)

Medlemsstaterna får uppmana företag som berörs av incidenten att samarbeta genom att tillhandahålla nödvändig information och assistans till Enisa utan att det påverkar deras rätt att skydda kommersiellt känslig information och information som är relevant för allmän säkerhet.

(38)

För att bättre förstå utmaningarna inom cybersäkerhetsområdet, och i syfte att tillhandahålla strategisk långsiktig rådgivning till medlemsstaterna och unionens institutioner, organ och byråer, behöver Enisa analysera nuvarande och framväxande cybersäkerhetsrisker. För detta ändamål bör Enisa i samarbete med medlemsstaterna och, om lämpligt, med statistikorgan och andra organ samla in relevant information som är offentligt tillgänglig eller som delats på frivillig grund och utföra analyser av framväxande teknik och tillhandahålla ämnesspecifika bedömningar om förväntade samhälleliga, rättsliga, ekonomiska och regleringsmässiga konsekvenser av tekniska innovationer inom området nätverks- och informationssäkerhet, i synnerhet cybersäkerhet. Enisa bör också hjälpa medlemsstaterna och unionens institutioner, organ och byråer att identifiera framväxande cybersäkerhetsrisker och förebygga incidenter, genom att utföra analyser av cyberhot, sårbarheter och incidenter.

(39)

För att stärka unionens resiliens bör Enisa utveckla expertis på området cybersäkerhet i infrastrukturer, särskilt inom de sektorer som anges i bilaga II till direktiv (EU) 2016/1148 och de som används av de leverantörer av digitala tjänster som förtecknas i bilaga III till det direktivet genom att tillhandahålla rådgivning, vägledning och bästa praxis. För att säkerställa enklare tillgång till bättre strukturerad information om cybersäkerhetsrisker och möjliga motåtgärder bör Enisa utarbeta och underhålla unionens informationsnav, en gemensam webbportal som förser allmänheten med information om cybersäkerhet från unionens och medlemsstaternas institutioner, organ och byråer. Att underlätta tillgången till bättre strukturerad information om cybersäkerhetsrisker och möjliga motåtgärder skulle också kunna hjälpa medlemsstaterna att stärka sin kapacitet och anpassa sin praxis, och därmed att bättre stå emot cyberattacker i allmänhet.

(40)

Enisa bör bidra till att öka allmänhetens medvetenhet om cybersäkerhetsrisker, bland annat genom en EU-omfattande informationskampanj, genom att främja utbildning och ge vägledning om god praxis för enskilda användare riktad till privatpersoner, organisationer och företag. Enisa bör även bidra till att främja bästa praxis och lösningar, bland annat it-hygien och it-kompetens, för privatpersoner, organisationer och företag genom att samla in och analysera offentligt tillgänglig information om betydande incidenter och genom att sammanställa och offentliggöra rapporter och handböcker i syfte att ge vägledning till privatpersoner, organisationer och företag och att höja den allmänna beredskaps- och resiliensnivån. Enisa bör även sträva efter att förse konsumenter med relevant information om gällande certifieringsordning, t.ex. genom att tillhandahålla riktlinjer och rekommendationer. Enisa bör vidare, i enlighet med handlingsplanen för digital utbildning som fastställdes i kommissionens meddelande av den 17 januari 2018 och i samarbete med medlemsstaterna och unionens institutioner, organ och byråer, organisera regelbundna informations- och folkbildningskampanjer riktade till slutanvändare, i syfte att främja ett säkrare beteende bland enskilda internetanvändare och digital kompetens, för att höja medvetenheten om de potentiella hoten i cyberrymden, bland annat it-brottslighet såsom phishingattacker, botnät, ekonomiska bedrägerier och bankbedrägerier, incidenter rörande databedrägeri, samt att främja grundläggande rådgivning om flerfaktorautentisering, programkorrigeringar, kryptering, anonymisering och dataskydd.

(41)

Enisa bör spela en central roll när det gäller att höja slutanvändarnas medvetenhet om enheters säkerhet och säker användning av tjänster, och bör främja inbyggd säkerhet och inbyggt integritetsskydd på unionsnivå. För att uppnå detta mål bör Enisa på lämpligaste sätt använda tillgänglig bästa praxis och erfarenhet, framför allt bästa praxis och erfarenhet från akademiska institutioner och it-säkerhetsforskare.

(42)

För att stödja både de företag som verkar inom den europeiska cybersäkerhetssektorn och användarna av cybersäkerhetslösningar bör Enisa utveckla och underhålla ett ”marknadsobservatorium” genom att utföra regelbundna analyser och spridning av information om de viktigaste trenderna på cybersäkerhetsmarknaden, både på tillgångs- och efterfrågesidan.

(43)

Enisa bör bidra till unionens insatser för samarbete med internationella organisationer och inom ramarna för relevant internationellt samarbete på cybersäkerhetsområdet. Enisa bör framför allt, där så är lämpligt, bidra till samarbetet med organisationer som OECD, OSSE och Nato. Sådant samarbete kan omfatta gemensamma cybersäkerhetsövningar och gemensam samordning av insatser vid incidenter. Denna verksamhet ska utövas med full respekt för principerna om delaktighet, ömsesidighet och unionens beslutsautonomi, utan att det påverkar den särskilda karaktären hos någon medlemsstats säkerhets- och försvarspolitik.

(44)

För att se till att Enisa fullt ut uppnår sina mål bör den samarbeta med berörda EU-tillsynsmyndigheter och andra behöriga myndigheter i unionen, EU-institutioner, -byråer och -organ, däribland CERT-EU, EC3, Europeiska försvarsbyrån (EDA), Europeiska byrån för GNSS (GSA), Organet för europeiska regleringsmyndigheter för elektronisk kommunikation (Berec), Europeiska byrån för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (eu-LISA), Europeiska centralbanken (ECB), Europeiska bankmyndigheten (EBA), Europeiska dataskyddsstyrelsen, Byrån för samarbete mellan energitillsynsmyndigheter (Acer), Europeiska unionens byrå för luftfartssäkerhet (Easa) och andra unionsorgan som arbetar med cybersäkerhet. Enisa bör också samverka med myndigheter som hanterar dataskydd för att utbyta sakkunskap och bästa praxis samt ge råd om cybersäkerhetsaspekter som kan påverka deras arbete. Företrädare för medlemsstaternas och unionens rättsvårdande myndigheter och dataskyddsmyndigheter bör ha rätt att företrädas i Enisas rådgivande grupp. I samarbetet med rättsvårdande myndigheter om nätverks- och informationssäkerhetsaspekter som kan påverka deras arbete bör Enisa använda existerande informationskanaler och etablerade nätverk.

(45)

Samarbete kan upprättas med akademiska institutioner med forskningsinitiativ inom berörda områden och det bör finnas lämpliga kanaler för konsumentorganisationer och andra organisationer att framföra sina synpunkter, vilka bör beaktas.

(46)

Enisa bör i sin funktion som sekretariat åt CSIRT-nätverket stödja medlemsstaternas CSIRT-enheter och CERT-EU i det operativa samarbetet avseende alla relevanta uppgifter för CSIRT-nätverket som avses i direktiv (EU) 2016/1148. Enisa bör dessutom främja och stödja samarbete mellan de berörda CSIRT-enheterna i händelse av incidenter, attacker mot eller störningar i de nät eller den infrastruktur som förvaltas eller skyddas av dem och som berör eller kan beröra minst två CSIRT-enheter, och därvid beakta CSIRT-nätverkets operationella standardförfaranden.

(47)

För att öka unionens beredskap att hantera incidenter bör Enisa regelbundet organisera cybersäkerhetsövningar på unionsnivå och, på deras begäran, bistå medlemsstaterna och unionens institutioner, organ och byråer med att organisera sådana övningar. En gång vartannat år bör en storskalig heltäckande övning med tekniska, operativa och strategiska inslag organiseras. Enisa bör därutöver regelbundet kunna organisera mindre omfattande övningar med samma mål, att öka unionens beredskap att hantera incidenter.

(48)

Enisa bör vidareutveckla och underhålla sina kunskaper om cybersäkerhetscertifiering för att stödja unionens politik på detta område. Enisa bör bygga vidare på befintlig bästa praxis och främja spridningen av cybersäkerhetscertifiering i unionen, bland annat genom att bidra till inrättandet och underhållandet av ett ramverk för cybersäkerhetscertifiering på unionsnivå (europeiskt ramverk för cybersäkerhetscertifiering), i syfte att öka öppenheten i fråga om assuransnivån för cybersäkerhet hos IKT-produkter, IKT-tjänster IKT-processer genom att stärka förtroendet för den digitala inre marknaden och dess konkurrenskraft.

(49)

Effektiva cybersäkerhetsstrategier bör bygga på välutvecklade metoder för riskbedömning, både inom den offentliga och inom den privata sektorn. Riskbedömningsmetoder används på olika nivåer, men det saknas gemensam praxis för hur de ska tillämpas på ett effektivt sätt. Främjande och utveckling av bästa praxis för riskbedömning och för interoperabla lösningar för riskhantering inom organisationer i den offentliga och privata sektorn kommer att höja cybersäkerhetsnivån i unionen. Därför bör Enisa stödja samarbete mellan intressenter på unionsnivå och främja deras insatser för upprättande och tillämpning av europeiska och internationella standarder för riskhantering och mätbar säkerhet för elektroniska produkter, system, nät och tjänster som tillsammans med programvara utgör nätverks- och informationssystemen.

(50)

Enisa bör uppmuntra medlemsstaterna, tillverkare eller leverantörer av IKT-produkter, IKT-tjänster eller IKT-processer att höja sina allmänna säkerhetsstandarder så att alla internetanvändare kan vidta de åtgärder som krävs för att trygga sin egen cybersäkerhet och bör ha incitament att göra detta. I synnerhet bör tillverkare eller leverantörer av IKT-produkter, IKT-tjänster eller IKT-processer tillhandahålla nödvändiga uppdateringar och bör återkalla, dra tillbaka eller återvinna IKT-produkter, IKT-tjänster eller IKT-processer som inte uppfyller cybersäkerhetsstandarderna, medan importörer och distributörer bör säkerställa att IKT-produkter, IKT-tjänster och IKT-processer som de släpper ut på unionsmarknaden uppfyller gällande krav och inte utgör en risk för unionens konsumenter.

(51)

I samarbete med de behöriga myndigheterna bör Enisa kunna sprida uppgifter om cybersäkerhetsnivån för de IKT-produkter, IKT-tjänster och IKT-processer som erbjuds på den inre marknaden, och utfärda varningar riktade till tillverkare eller leverantörer av IKT-produkter, IKT-tjänster eller IKT-processer och ålägga dem att förbättra sina IKT-produkters, IKT-tjänsters och IKT-processers säkerhet, inbegripet cybersäkerhet.

(52)

Enisa bör i sitt arbete fullt ut beakta pågående forskning, utveckling och tekniska bedömningar, i synnerhet sådan verksamhet som bedrivs inom unionens olika forskningsinitiativ för att ge råd till unionens institutioner, organ och byråer och, i tillämpliga fall, till medlemsstaterna på deras begäran om forskningsbehoven och prioriteringarna på området cybersäkerhet. För att identifiera behov och prioriteringar för forskningen bör Enisa även rådfråga berörda användargrupper. Mer specifikt skulle ett samarbete kunna upprättas med Europeiska forskningsrådet, Europeiska institutet för innovation och teknik och Europeiska unionens institut för säkerhetsstudier.

(53)

Vid utarbetandet av de europeiska ordningarna för cybersäkerhetscertifiering bör Enisa regelbundet samråda med standardiseringsorganisationerna, i synnerhet de europeiska standardiseringsorganisationerna.

(54)

Cyberhot är en global fråga. Det behövs ett tätare internationellt samarbete för att förbättra cybersäkerhetsstandarder, bland annat genom att fastställa gemensamma beteendenormer och anta uppförandekoder, användning av internationella standarder, och informationsutbyte, och på så vis främja snabbare internationellt samarbete som svar på nätverks- och informationssäkerhetsproblem och främja en gemensam global syn på sådana problem. Därför bör Enisa stödja ett starkare unionsdeltagande och samarbete med tredjeländer och internationella organisationer genom att, när så är lämpligt, tillhandahålla nödvändig expertis och nödvändiga analyser till berörda unionsinstitutioner, organ och byråer.

(55)

Enisa bör kunna besvara ad hoc-förfrågningar om råd och bistånd från medlemsstaterna och unionens institutioner, organ och byråer som omfattas av Enisas uppdrag.

(56)

Det är klokt och tillrådligt att genomföra vissa principer för Enisas förvaltning i syfte att följa det gemensamma uttalande och den gemensamma ansats som den interinstitutionella arbetsgruppen för EU:s decentraliserade byråer enades om i juli 2012 och vars syfte är att effektivisera de decentraliserade byråernas verksamhet och förbättra deras resultat. Rekommendationerna i det gemensamma uttalandet och den gemensamma ansatsen bör också återspeglas, allt efter vad som är lämpligt, i Enisas arbetsprogram, utvärderingar av Enisa och Enisas rapportering och administration.

(57)

Styrelsen, som består av företrädare för medlemsstaternas och kommissionens företrädare, bör fastställa den allmänna inriktningen för Enisas verksamhet och se till att den utför sina uppgifter i enlighet med denna förordning. Styrelsen bör ha de nödvändiga befogenheterna för att fastställa budgeten och kontrollera att den genomförs, anta lämpliga finansiella bestämmelser, utarbeta klara och tydliga förfaranden för Enisas beslutsfattande, anta Enisas samlade programdokument, anta sin egen arbetsordning, utse den verkställande direktören, besluta om förlängning och avslutande av hans eller hennes mandat.

(58)

För att Enisa ska fungera väl och effektivt bör kommissionen och medlemsstaterna säkerställa att personer som utses till styrelseledamöter har lämplig yrkesmässig expertis och erfarenhet. Medlemsstaterna och kommissionen bör även eftersträva att begränsa omsättningen av deras respektive företrädare i styrelsen i syfte att skapa kontinuitet i dess arbete.

(59)

För att Enisa ska fungera väl bör den verkställande direktören utses på grundval av meriter, dokumenterad skicklighet i förvaltning och ledarskap samt kompetens och erfarenheter som rör cybersäkerhet. Den verkställande direktörens uppgifter bör utföras med fullständigt oberoende. Den verkställande direktören bör utarbeta ett förslag till årligt arbetsprogram för Enisa, efter samråd med kommissionen, och bör vidta alla åtgärder som är nödvändiga för att säkerställa att arbetsprogrammet genomförs på rätt sätt. Den verkställande direktören bör utarbeta en årsrapport som ska föreläggas styrelsen, som omfattar genomförandet av Enisas årliga arbetsprogram, upprätta en preliminär beräkning av Enisas inkomster och utgifter samt genomföra budgeten. Den verkställande direktören bör också ha möjlighet att inrätta tillfälliga arbetsgrupper som i synnerhet ska behandla vetenskapliga, tekniska, rättsliga eller socioekonomiska frågor. Inrättandet av en tillfällig arbetsgrupp anses i synnerhet nödvändigt i samband med att ett särskilt förslag till europeisk ordning för cybersäkerhetscertifiering (nedan kallat förslag till certifieringsordning) ska utarbetas. Den verkställande direktören bör se till att de tillfälliga arbetsgruppernas medlemmar väljs med utgångspunkt i högsta möjliga standard när det gäller expertkunskaper, med målsättningen att det bör finnas en balans mellan könen och, utifrån de specifika frågor som berörs, en lämplig balans mellan medlemsstaternas förvaltningar, unionens institutioner, organ och byråer och den privata sektorn, inklusive branschen, användare och akademiska experter på nätverks- och informationssäkerhet.

(60)

Direktionen bör bidra till att styrelsen fungerar på ett effektivt sätt. Som ett led i det förberedande arbetet i samband med styrelsens beslut bör styrelsen i detalj granska relevant information och utforska tillgängliga alternativ och ge råd och lösningar för att utarbeta beslut av styrelsen.

(61)

Enisa bör ha Enisas rådgivande grupp som rådgivande organ, för att säkerställa en regelbunden dialog med den privata sektorn, konsumentorganisationer och andra berörda intressenter. Enisas rådgivande grupp, som inrättats av styrelsen på förslag av den verkställande direktören, bör koncentrera sig på frågor som är relevanta för intressenter och uppmärksamma Enisa på dem. Enisas rådgivande grupp bör särskilt rådfrågas om utkastet till Enisas årliga arbetsprogram. Sammansättning av Enisas rådgivande grupp och de uppgifter som anförtrotts den, bör säkerställa en tillräcklig representation av intressenter i Enisas arbete.

(62)

Intressentgruppen för cybersäkerhetscertifiering bör inrättas för att hjälpa Enisa och kommissionen genom att underlätta samråd med berörda intressenter. Intressentgruppen för cybersäkerhetscertifiering bör vara sammansatt av medlemmar som i jämn proportion representerar branschen, såväl på efterfrågesidan som på utbudssidan när det gäller IKT-produkter och IKT-tjänster och särskilt innefattande små och medelstora företag, leverantörer av digitala tjänster, europeiska och internationella standardiseringsorgan, nationella ackrediteringsorgan, tillsynsmyndigheter med ansvar för dataskydd och organ för bedömning av överensstämmelse i enlighet med Europaparlamentets och rådets förordning (EG) nr 765/2008 (16), den akademiska världen och konsumentorganisationer.

(63)

Enisa bör ha regler för förebyggande och hantering av intressekonflikter. Enisa bör också tillämpa relevanta unionsbestämmelser om allmänhetens tillgång till handlingar enligt Europaparlamentets och rådets förordning (EG) nr 1049/2001 (17). Enisas behandling av personuppgifter bör ske i enlighet med Europaparlamentets och rådets förordning (EU) 2018/1725 (18). Enisa bör efterleva de bestämmelser som gäller för unionens institutioner, organ och byråer och den nationella lagstiftning som rör hantering av information, i synnerhet känsliga icke-säkerhetsskyddsklassificerade uppgifter och säkerhetsskyddsklassificerade EU-uppgifter.

(64)

För att garantera Enisas autonomi och oberoende och ge den möjlighet att utföra kompletterande uppgifter, också oförutsedda uppgifter i en krissituation, bör Enisa ges en tillräcklig egen budget där intäkterna främst bör bestå av ett bidrag från unionen och bidrag från tredjeländer som deltar i Enisas arbete. En adekvat budget är av största vikt för att säkerställa att Enisa har tillräcklig kapacitet att fullgöra alla sina växande uppgifter och uppnå sina mål. Huvuddelen av Enisas personal bör vara direkt delaktig i det operativa genomförandet av Enisas mandat. Värdmedlemsstaten, eller varje annan medlemsstat, bör ha rätt att lämna frivilliga bidrag till Enisas budget. Unionens budgetförfarande bör även i fortsättningen tillämpas på de bidrag som belastar unionens allmänna budget. Dessutom bör revisionsrätten granska Enisas räkenskaper för att säkerställa insyn och ansvarighet.

(65)

Cybersäkerhetscertifiering har stor betydelse för att öka förtroendet för och säkerheten hos IKT-produkter, IKT-tjänster och IKT-processer. Den digitala inre marknaden, och särskilt den datadrivna ekonomin och sakernas internet, kan utvecklas framgångsrikt endast om allmänheten litar på att sådana produkter, tjänster och processer har en viss nivå i fråga om cybersäkerhet. Uppkopplade och automatiserade bilar, elektroniska medicintekniska produkter, styrsystem för industriell automation och smarta elnät är bara några exempel på sektorer inom vilka certifiering redan används eller kan komma att användas i en nära framtid. De sektorer som regleras av direktiv (EU) 2016/1148 är också sektorer där cybersäkerhetscertifiering är av yttersta vikt.

(66)

I sitt meddelande från 2016 Stärka Europas system för cyberresiliens och främja en konkurrenskraftig och innovativ cybersäkerhetsbransch tog kommissionen upp behovet av billiga och interoperabla cybersäkerhetsprodukter och cybersäkerhetslösningar av hög kvalitet. Utbudet av IKT-produkter, IKT-tjänster och IKT-processer på den inre marknaden är fortfarande i hög grad geografiskt fragmenterat. Cybersäkerhetsbranschen i Europa har till stor del utvecklats med stöd av nationell statlig efterfrågan. Bristen på interoperabla lösningar (tekniska standarder), förfaranden och EU-mekanismer för certifiering är några av de andra faktorer som påverkar den inre marknaden för cybersäkerhet. Detta gör det svårt för europeiska företag att konkurrera på nationell nivå, unionsnivå och global nivå. Det minskar också utbudet av livskraftig och användbar cybersäkerhetsteknik som enskilda och företag har tillgång till. Även i meddelandet från 2017 om halvtidsöversynen av genomförandet av strategin för den digitala inre marknaden – En ansluten digital inre marknad för alla underströk kommissionen behovet av säkra uppkopplade produkter och system, och framhöll att skapandet av en europeisk IKT-säkerhetsram med regler om hur IKT-säkerhetscertifiering ska organiseras i unionen kan bevara förtroendet för internet och samtidigt motverka den nuvarande fragmenteringen av den inre marknaden.

(67)

För närvarande används cybersäkerhetscertifiering för IKT-produkter, IKT-tjänster och IKT-processer endast i begränsad omfattning. I de fall det förekommer är det oftast på medlemsstatsnivå eller inom ramen för industridrivna system. Ett certifikat utfärdat av en nationell myndighet för cybersäkerhetscertifiering i ett sådant sammanhang erkänns i princip inte av andra medlemsstater. Företag kan därför behöva certifiera sina IKT-produkter, IKT-tjänster och IKT-processer i flera medlemsstater där de bedriver verksamhet, exempelvis för att kunna delta i nationella upphandlingsförfaranden, varvid de ökar sina omkostnader. Även om nya system utvecklas, tycks det inte finnas någon samlad helhetssyn på övergripande cybersäkerhetsfrågor, exempelvis inom området sakernas internet. Befintliga system uppvisar allvarliga brister och skillnader i fråga om produkttäckning, assuransnivå, grundläggande kriterier och faktisk användning, vilket utgör ett hinder för mekanismer för ömsesidigt erkännande inom unionen.

(68)

Vissa ansträngningar har gjorts för att få till stånd ett ömsesidigt erkännande av certifikat inom unionen. De har dock endast delvis varit framgångsrika. Det främsta exemplet är det avtal om ömsesidigt erkännande (MRA) som ingåtts inom gruppen av höga tjänstemän på informationssäkerhetsområdet (SOG-IS). Även om det är den viktigaste modellen för samarbete och ömsesidigt erkännande av säkerhetscertifiering omfattar SOG-IS endast vissa av medlemsstaterna. Detta har begränsat SOG-IS-avtalets effektivitet för den inre marknaden.

(69)

Det är därför nödvändigt att anta en gemensam ansats och att inrätta ett europeiskt ramverk för cybersäkerhetscertifiering som fastställer de viktigaste övergripande kraven för europeiska ordningar för cybersäkerhetscertifiering som ska utvecklas, och som gör att europeiska cybersäkerhetscertifikat och en EU-försäkran om överensstämmelse för IKT-produkter och IKT-tjänster kan erkännas och användas i samtliga medlemsstater. I detta sammanhang är det viktigt att bygga vidare på befintliga nationella och internationella system och på system för ömsesidigt erkännande, i synnerhet SOG-IS, och att möjliggöra en smidig övergång från befintliga ordningar inom ramen för sådana system till system inom ramen för den nya europeiska ramen för cybersäkerhetscertifiering. Den europeiska ramen för cybersäkerhetscertifiering bör ha ett dubbelt syfte. Å ena sidan bör den bidra till att öka förtroendet för IKT-produkter, IKT-tjänster och IKT-processer som har certifierats enligt europeiska ordningar för cybersäkerhetscertifiering. Å andra sidan bör den undvika att det uppstår flera olika motstridiga eller överlappande nationella ordningar för cybersäkerhetscertifieringar och därmed minska kostnaderna för företag som är verksamma på den digitala inre marknaden. De europeiska ordningarna för cybersäkerhetscertifiering bör vara icke-diskriminerande och grundas på europeiska eller internationella standarder såvida inte dessa standarder är ineffektiva eller olämpliga för att förverkliga unionens legitima mål i detta avseende.

(70)

Den europeiska ramen för cybersäkerhetscertifiering bör inrättas på ett enhetligt sätt i alla medlemsstater i syfte att förhindra certifieringsshopping utifrån skillnader i kravnivå i olika medlemsstater.

(71)

De europeiska ordningarna för cybersäkerhetscertifiering bör bygga på vad som redan existerar på internationell och nationell nivå och, om så krävs, på tekniska specifikationer från forum och konsortier, varvid man bör lära av nuvarande styrkor och utvärdera och rätta till svagheter.

(72)

Flexibla cybersäkerhetslösningar är nödvändiga för att branschen ska kunna föregripa cyberhot, och därför bör alla certifieringsordningar utformas så att de inte riskerar att snabbt bli föråldrade.

(73)

Kommissionen bör ges befogenhet att anta europeiska ordningar för cybersäkerhetscertifiering för särskilda grupper av IKT-produkter, IKT-tjänster och IKT-processer. Dessa ordningar bör genomföras och övervakas av nationella myndigheter för cybersäkerhetscertifiering, och certifikat utfärdade enligt dessa ordningar bör vara giltiga och erkännas i hela unionen. Certifieringsordningar som drivs av industrin eller andra privata organisationer bör inte ingå i denna förordnings tillämpningsområde. De organ som handhar sådana ordningar kan dock föreslå kommissionen att överväga sådana ordningar som en grund för att godkänna dem som en europeisk ordning för cybersäkerhetscertifiering.

(74)

Bestämmelserna i denna förordning bör inte påverka tillämpningen av unionsrätt som innehåller särskilda bestämmelser om certifiering av IKT-produkter, IKT-tjänster och IKT-processer. Särskilt förordning (EU) 2016/679 innehåller bestämmelser för införandet av certifieringsmekanismer samt sigill och märkningar för dataskydd för att visa att personuppgiftsansvarigas eller personuppgiftsbiträdens uppgiftsbehandling är förenlig med den förordningen. Dessa certifieringsmekanismer samt sigill och märkningar för dataskydd bör göra det möjligt för de registrerade att snabbt bedöma dataskyddsnivån för relevanta IKT-produkter, IKT-tjänster och IKT-processer. Den här förordningen påverkar inte certifieringen av uppgiftsbehandling enligt förordning (EU) 2016/679, inte heller om denna verksamhet ingår i IKT-produkter, IKT-tjänster och IKT-processer.

(75)

Syftet med europeiska ordningar för cybersäkerhetscertifiering bör vara att säkerställa att IKT-produkter, IKT-tjänster och IKT-processer som certifierats enligt en sådan ordning uppfyller de angivna kraven i syfte att skydda tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade eller överförda eller behandlade uppgifter eller de därmed sammanhängande funktioner eller tjänster som tillhandahålls av eller är tillgängliga via dessa produkter, tjänster och processer under hela livscykeln i den mening som avses i denna förordning. Det är inte möjligt att i detalj fastställa cybersäkerhetskraven för alla IKT-produkter, IKT-tjänster och IKT-processer i denna förordning. IKT-produkter, IKT-tjänster och IKT-processer och cybersäkerhetsbehov relaterade till dessa produkter, tjänster och processer är så olikartade att det är mycket svårt att ta fram allmänna cybersäkerhetskrav som är giltiga under alla omständigheter. Det är därför nödvändigt att anta ett brett och allmänt cybersäkerhetsbegrepp när det gäller certifieringsändamål, som bör kompletteras med en uppsättning specifika cybersäkerhetmål som måste beaktas vid utformningen av europeiska ordningar för cybersäkerhetscertifiering. Formerna för att uppnå dessa mål i specifika IKT-produkter, IKT-tjänster och IKT-processer bör sedan fastställas i detalj för den enskilda certifieringsordningen som antas av kommissionen, till exempel genom hänvisningar till standarder eller tekniska specifikationer om inga lämpliga standarder finns tillgängliga.

(76)

De tekniska specifikationer som ska användas i europeiska ordningar för cybersäkerhetscertifiering bör iaktta principerna i bilaga II till Europaparlamentets och rådets förordning (EU) nr 1025/2012 (19). Vissa avvikelser från dessa krav kan dock anses nödvändiga i vederbörligen motiverade fall där dessa tekniska specifikationer ska användas i en europeisk ordning för cybersäkerhetscertifiering med hänvisning till assuransnivån ”hög”. Skälen för dessa avvikelser bör offentliggöras.

(77)

En bedömning av överensstämmelse avser det förfarande genom vilket man utvärderar om fastställda krav för en IKT-produkt, IKT-tjänst eller IKT-process har uppfyllts. Detta förfarande utförs av en oberoende tredje part som inte är tillverkaren eller leverantören av de IKT-produkter, IKT-tjänster eller IKT-processer som bedöms. Ett europeiskt cybersäkerhetscertifikat bör utfärdas efter framgångsrik utvärdering av en IKT-produkt, IKT-tjänst eller IKT-process. Ett europeiskt cybersäkerhetscertifikat bör betraktas som en bekräftelse på att en utvärdering har genomförts på ett korrekt sätt. Beroende på assuransnivå bör den europeiska ordningen för cybersäkerhetscertifiering ange om det europeiska cybersäkerhetscertifikatet ska utfärdas av ett privat eller offentligt organ. Bedömning av överensstämmelse och certifiering utgör inte i sig någon garanti för att certifierade IKT-produkter och IKT-tjänster är cybersäkra. De är snarare förfaranden och tekniska metoder för att intyga att IKT-produkter, IKT-tjänster och IKT-processer har testats och att de uppfyller vissa cybersäkerhetskrav som fastställs på annan plats, till exempel i tekniska standarder.

(78)

Valet av lämplig certifiering och därtill knutna säkerhetskrav av användarna av europeiska cybersäkerhetscertifikat bör grundas på en riskanalys som avser risker med användningen av IKT-produkten, IKT-tjänsten eller IKT-processen. Assuransnivån bör därför stå i proportion till nivån på den risk som är förenad med den avsedda användningen av en IKT-produkt, IKT-tjänst eller IKT-process.

(79)

Europeiska ordningar för cybersäkerhetscertifiering skulle kunna ge tillverkaren eller leverantören av IKT-produkter, IKT-tjänster och IKT-processer möjlighet att på eget ansvar göra en bedömning av överensstämmelse (nedan kallad självbedömning av överensstämmelse). I sådana fall bör det vara tillräckligt att tillverkaren eller leverantören av IKT-produkter, IKT-tjänster och IKT-processer själv genomför alla kontroller för att säkerställa att IKT-produkten, IKT-tjänsten eller IKT-processen överensstämmer med den europeiska ordningen för cybersäkerhetscertifiering. Denna typ av bedömning av överensstämmelse bör anses lämplig för IKT-produkter och IKT-tjänster med lägre komplexitet (exempelvis enkel utformning och tillverkningsmetod) som inte utgör en stor risk för det allmänna samhällsintresset. Dessutom bör självbedömning av överensstämmelse endast tillåtas för IKT-produkter, IKT-tjänster eller IKT-processer när de motsvarar assuransnivån ”grundläggande”.

(80)

Europeiska ordningar för cybersäkerhetscertifiering kan möjliggöra både självbedömning av överensstämmelse och certifiering för IKT-produkter, IKT-tjänster eller IKT-processer. I detta fall bör ordningen föreskriva tydliga och begripliga möjligheter för konsumenter och andra användare att skilja mellan IKT-produkter, IKT-tjänster eller IKT-processer med avseende på vilken tillverkare eller leverantör av IKT-produkter, IKT-tjänster eller IKT-processer som har ansvar för bedömningen, och IKT-produkter, IKT-tjänster eller IKT-processer som har certifierats av en tredje part.

(81)

Tillverkare eller leverantörer av IKT-produkter, IKT-tjänster eller IKT-processer som utför en självbedömning av överensstämmelse bör kunna upprätta och underteckna en EU-försäkran om överensstämmelse som ett led i förfarandet för bedömning av överensstämmelse. En EU-försäkran om överensstämmelse är ett dokument som anger att en särskild IKT-produkt, IKT-tjänst eller IKT-process uppfyller kraven i den europeiska ordningen för cybersäkerhetscertifiering. Genom att upprätta och underteckna EU-försäkran om överensstämmelse tar tillverkaren eller leverantören av IKT-produkter, IKT-tjänster eller IKT-processer på sig ansvaret för att IKT-produkten, IKT-tjänsten eller IKT-processen uppfyller de rättsliga kraven i den europeiska ordningen för cybersäkerhetscertifiering. En kopia av EU-försäkran om överensstämmelse bör lämnas in till den nationella myndigheten för cybersäkerhetscertifiering och till Enisa.

(82)

Tillverkaren eller leverantören av IKT-produkter, IKT-tjänster eller IKT-processer bör under en period som fastställs i den berörda europeiska ordningen för cybersäkerhetscertifiering ge den behöriga nationella myndigheten för cybersäkerhetscertifiering tillgång till EU-försäkran om överensstämmelse, teknisk dokumentation och all annan relevant information avseende IKT-produkternas, IKT-tjänsternas eller IKT-processernas överensstämmelse med den relevanta europeiska ordningen för cybersäkerhetscertifiering. Den tekniska dokumentationen bör specificera de krav som är tillämpliga enligt ordningen och bör, i den mån det krävs för självbedömningen av överensstämmelse, även innehålla en beskrivning av IKT-produktens, IKT-tjänstens eller IKT-processens konstruktion, tillverkning och funktion. Den tekniska dokumentationen bör utarbetas på ett sätt som möjliggör bedömning av en IKT-produkts eller en IKT-tjänsts överensstämmelse med de krav som är tillämpliga enligt ordningen.

(83)

I styrningen av den europeiska ramen för cybersäkerhetscertifiering beaktas medlemsstaternas deltagande och lämpligt deltagande av intressenter, dessutom definieras kommissionens roll under hela processen för planering samt förslag till, begäran om, utarbetande, antagande och översyn av europeiska ordningar för cybersäkerhetscertifiering.

(84)

Kommissionen bör med stöd av europeiska gruppen för cybersäkerhetscertifiering och intressegruppen för cybersäkerhetscertifiering och efter öppna och omfattande samråd utarbeta ett löpande arbetsprogram på unionsnivå för de europeiska ordningarna för cybersäkerhetscertifiering och bör offentliggöra detta i form av ett instrument som inte är bindande. Unionens löpande arbetsprogram bör vara ett strategidokument som gör det möjligt för framför allt branschen, nationella myndigheter och standardiseringsorgan att förbereda sig inför framtida europeiska ordningar för cybersäkerhetscertifiering. Unionens löpande arbetsprogram bör inbegripa en flerårig översikt över de förslag till certifieringsordning som kommissionen har för avsikt att uppmana Enisa att utarbeta på specificerade grunder. Kommissionen bör beakta unionens löpande arbetsprogram vid utarbetandet av sin löpande plan för IKT-standardisering och standardiseringsförfrågningar till Europeiska standardiseringsorganisationer. Med tanke på den snabba utvecklingen och spridningen av ny teknik, uppkomsten av nya, tidigare okända cybersäkerhetsrisker samt lagstiftnings- och marknadsutvecklingar bör kommissionen eller europeiska gruppen för cybersäkerhetscertifiering ha rätt att begära att Enisa ska utarbeta förslag till certifieringsordning som inte finns med i unionens löpande arbetsprogram. Kommissionen och europeiska gruppen för cybersäkerhetscertifiering bör i sådana fall också göra en behovsbedömning av en sådan begäran genom att beakta denna förordnings övergripande syften och mål och behovet av att säkerställa kontinuiteten i Enisas planering och resursanvändning.

Efter mottagandet av en sådan begäran bör Enisa utan onödigt dröjsmål utarbeta förslag till certifieringsordning för särskilda IKT-produkter, IKT-tjänster eller IKT-processer. Kommissionen bör utvärdera de positiva och negativa konsekvenserna av begäran på den specifika marknad som berörs, särskilt för små och medelstora företag, innovation, hinder för tillträde till den marknaden och kostnader för slutanvändare. Kommissionen bör, på grundval av Enisas förslag till certifieringsordning, ges befogenhet att anta den europeiska ordningen för cybersäkerhetscertifiering genom genomförandeakter. Med beaktande av det allmänna syfte och de säkerhetsmålsättningar som fastställs i denna förordning bör den i europeiska ordningar för cybersäkerhetscertifiering som antas av kommissionen specificeras en minimiuppsättning komponenter avseende den enskilda ordningens föremål, tillämpningsområde och funktionssätt. Dessa delar bör bland annat omfatta cybersäkerhetscertifieringens tillämpningsområde och föremål, inklusive de kategorier av IKT-produkter, IKT-tjänster och IKT-processer som omfattas, den detaljerade specifikationen av cybersäkerhetskraven, exempelvis genom hänvisning till standarder eller tekniska specifikationer, de särskilda utvärderingskriterierna och utvärderingsmetoderna samt den avsedda assuransnivån (”grundläggande”, ”betydande” eller ”hög”) och i förekommande fall utvärderingsnivåerna. Enisa bör kunna avvisa en begäran från europeiska gruppen för cybersäkerhetscertifiering. Sådana beslut bör fattas av styrelsen och bör vederbörligen motiveras.

(85)

Enisa bör upprätthålla en webbplats med information om och offentliggörande av europeiska ordningar för cybersäkerhetscertifiering som bör omfatta bland annat begäran om utarbetande av ett förslag till certifieringsordning samt den återkoppling som mottagits i den samrådsprocess som genomförs av Enisa i förberedelsefasen. Denna webbplats bör också tillhandahålla information om de europeiska cybersäkerhetscertifikaten och EU-försäkringar om överensstämmelse som utfärdas enligt denna förordning samt information om återkallande och utgång av sådana europeiska cybersäkerhetscertifikat och EU-försäkringar. På webbplatsen bör det också anges vilka nationella ordningar för cybersäkerhetscertifiering som har ersatts av en europeisk ordning för cybersäkerhetscertifiering.

(86)

Assuransnivån för en europeisk certifieringsordning utgör förtroendegrunden för att en IKT-produkt, IKT-tjänst eller IKT-process, uppfyller säkerhetskraven i en särskild europeisk ordning för cybersäkerhetscertifiering. I syfte att säkerställa konsekvens i den europeiska ramen för cybersäkerhetscertifiering bör en europeisk ordning för cybersäkerhetscertifiering kunna specificera assuransnivån för europeiska cybersäkerhetscertifikat och EU-försäkringar om överensstämmelse som utfärdats inom ramen för den ordningen. Varje europeiskt cybersäkerhetscertifikat kan avse någon av assuransnivåerna ”grundläggande”, ”betydande” eller ”hög”, medan EU-försäkran om överensstämmelse endast kan avse assuransnivån ”grundläggande”. Assuransnivåerna avspeglar motsvarande stringens och djup i fråga om utvärdering av IKT-produkten, IKT-tjänsten och IKT-processen och fastställs genom hänvisning till tekniska specifikationer, standarder och förfaranden med koppling till detta, inbegripet tekniska kontroller, som ska mildra eller förhindra incidenter. Varje assuransnivå bör vara konsekvent inom de olika sektoriella områden där certifiering tillämpas.

(87)

En europeisk ordning för cybersäkerhetscertifiering kan ha flera utvärderingsnivåer beroende på hur stringent och djupgående utvärderingsmetoden är. Utvärderingsnivåer bör motsvara en av assuransnivåerna och vara kopplad till en lämplig kombination av assuranskomponenter. För samtliga assuransnivåer bör IKT-produkten, IKT-tjänsten eller IKT-processen omfatta en rad säkra funktioner som fastställs i ordningen, exempelvis följande: säker nyskapande konfiguration, signerad kod, säker uppdatering och mekanismer för begränsad exploatering samt fullt stack- eller minnesskydd. Dessa funktioner bör utarbetas och underhållas med säkerhetsinriktade utvecklingsstrategier och tillhörande verktyg för att säkerställa att effektiva mekanismer för maskin- och programvara är inbyggda på ett tillförlitligt sätt.

(88)

För assuransnivån ”grundläggande” bör utvärderingen omfatta minst följande assuranskomponenter: I utvärderingen bör det åtminstone ingå en översyn av IKT-produktens, IKT-tjänstens eller IKT-processens tekniska dokumentation som utförs av organet för bedömning av överensstämmelse. Om certifieringen omfattar IKT-processer bör den process som använts för att utforma, utveckla och underhålla en IKT-produkt eller IKT-tjänst även omfattas av den tekniska översynen. Om en europeisk ordning för cybersäkerhetscertifiering ger möjlighet till självbedömning av överensstämmelse bör det vara tillräckligt att tillverkaren eller leverantören av IKT-produkter, IKT-tjänster eller IKT-processer har gjort en självbedömning av IKT-produktens, IKT-tjänstens eller IKT-processens överensstämmelse med certifieringsordningen.

(89)

För assuransnivån ”betydande” bör utvärderingen, utöver kraven för assuransnivån ”grundläggande”, åtminstone omfatta en kontroll av överensstämmelsen mellan IKT-produktens, IKT-tjänstens eller IKT-processens säkerhetsfunktioner och den tekniska dokumentationen.

(90)

För assuransnivån ”hög” bör utvärderingen, utöver kraven för assuransnivån ”betydande”, åtminstone omfatta ett effektivitetstest som bedömer resistensen hos IKT-produktens, IKT-tjänstens eller IKT-processens säkerhetsfunktioner gentemot genomtänkta cyberangrepp som utförs av personer med betydande kompetens och resurser.

(91)

Användningen av europeisk cybersäkerhetscertifiering och EU-försäkran om överensstämmelse bör vara frivillig, om inte annat föreskrivs i unionsrätten eller medlemsstaternas nationella rätt som antagits i enlighet med unionsrätten. I avsaknad av harmoniserad unionsrätt får medlemsstaterna införa nationella tekniska föreskrifter som föreskriver obligatorisk certifiering inom ramen för en europeisk ordning för cybersäkerhetscertifiering i enlighet med Europaparlamentets och rådets direktiv (EU) 2015/1535 (20). Medlemsstaterna kan även använda europeisk cybersäkerhetscertifiering i samband med offentlig upphandling och Europaparlamentets och rådets direktiv 2014/24/EU (21).

(92)

På vissa områden kan det bli nödvändigt att i framtiden införa särskilda krav på cybersäkerhet och göra cybersäkerhetscertifiering obligatorisk för vissa IKT-produkter, IKT-tjänster och IKT-processer för att förbättra cybersäkerheten i unionen. Kommissionen bör med jämna mellanrum följa upp vilka effekter antagna europeiska ordningar för cybersäkerhetscertifiering har på tillgången till säkra IKT-produkter, IKT-tjänster och IKT-processer på den inre marknaden och bör regelbundet bedöma i hur hög utsträckning tillverkare och leverantörer av IKT-produkter, IKT-tjänster och IKT-processer i unionen använder certifieringsordningarna. Effektiviteten hos de europeiska ordningarna för cybersäkerhetscertifiering, och huruvida bestämda ordningar borde göras obligatoriska, bör bedömas mot bakgrund av unionens lagstiftning med koppling till cybersäkerhet, särskilt direktiv (EU) 2016/1148, med beaktande av säkerheten i nätverks- och informationssystem som används av leverantörer av samhällsviktiga tjänster.

(93)

Europeiska cybersäkerhetscertifikat och EU-försäkringar om överensstämmelse bör hjälpa slutanvändarna att göra välinformerade val. IKT-produkter, IKT-tjänster och IKT-processer som certifierats eller varit föremål för en EU-försäkring om överensstämmelse bör därför åtföljas av information som anpassats till den avsedda slutanvändarens förväntade tekniska nivå. All sådan information bör finnas tillgänglig online och, om lämpligt, i fysisk form. Slutanvändaren bör ha tillgång till information om referensnumret för certifieringsordningen, assuransnivån, beskrivningen av de risker som är förenade med IKT-produkten, IKT-tjänsten och IKT-processen, och den utfärdande myndigheten eller det utfärdande organet, eller bör kunna få en kopia av det europeiska cybersäkerhetscertifikatet. Dessutom bör slutanvändaren informeras om supportpolicy för cybersäkerhet, dvs. hur länge slutanvändaren kan förvänta sig att motta cybersäkerhetsuppdateringar eller programkorrigeringar från tillverkarens eller leverantörens IKT-produkter, IKT-tjänster och IKT-processer. I tillämpliga fall bör slutanvändaren få vägledning om åtgärder och inställningar som denne kan genomföra för att underhålla eller öka cybersäkerheten för IKT-produkten eller IKT-tjänsten och kontaktinformation avseende den enda kontaktpunkten för rapportering av och support vid cyberattacker (utöver den automatiska rapporteringen). Informationen bör uppdateras regelbundet och göras tillgänglig på en med information om europeiska ordningar för cybersäkerhetscertifiering.

(94)

I syfte att uppnå målen för denna förordning och undvika en fragmentering av den inre marknaden, bör nationella ordningar eller förfaranden för cybersäkerhetscertifiering av IKT-produkter, IKT-tjänster eller IKT-processer som omfattas av en europeisk ordning för cybersäkerhetscertifiering upphöra att ha verkan från och med en dag som fastställs av kommissionen genom genomförandeakter. Vidare bör medlemsstaterna inte införa nya nationella ordningar för cybersäkerhetscertifiering av IKT-produkter, IKT-tjänster eller IKT-processer som redan omfattas av en befintligt europeiskt ordning för cybersäkerhetscertifiering. Medlemsstaterna bör dock inte vara förhindrade att anta eller behålla nationella ordningar för cybersäkerhetscertifiering för att skydda den nationella säkerheten. Medlemsstaterna bör informera kommissionen och europeiska gruppen för cybersäkerhetscertifiering om alla eventuella avsikter att upprätta nya nationella ordningar för cybersäkerhetscertifiering. Kommissionen och europeiska gruppen för cybersäkerhetscertifiering bör utvärdera vilka effekter nya nationella ordningar för cybersäkerhetscertifiering har på den inre marknadens funktion och mot bakgrund av det strategiska intresset av att i stället begära en europeisk ordning för cybersäkerhetscertifiering.

(95)

Europeiska ordningar för cybersäkerhetscertifiering kommer att bidra till att harmonisera cybersäkerhetsrutinerna inom unionen. De måste bidra till att öka cybersäkerhet inom unionen. Utformningen av europeiska ordningar för cybersäkerhetscertifiering bör även beakta och möjliggöra utveckling av innovationer på området cybersäkerhet.

(96)

Europeiska ordningar för cybersäkerhetscertifiering bör även beakta olika befintliga metoder för program- och maskinvaruutveckling och framför allt vilken inverkan frekventa uppdateringar av programvara och fast programvara har på enskilda europeiska cybersäkerhetscertifikat. I de europeiska ordningarna för cybersäkerhetscertifiering bör det fastställas under vilka förhållanden en uppdatering kan kräva att en IKT-produkt, IKT-tjänst eller IKT-processer ska återcertifieras eller att ett specifikt europeiskt cybersäkerhetscertifikats tillämpningsområde ska begränsas med beaktande av eventuella negativa effekter av uppdateringen på överensstämmelsen med säkerhetskraven för det certifikatet.

(97)

När en europeisk ordning för cybersäkerhetscertifiering har antagits bör tillverkarna eller leverantörerna av IKT-produkter, IKT-tjänster eller IKT-processer kunna lämna in en ansökan om certifiering av sina IKT-produkter eller IKT-tjänster till valfritt organ för bedömning av överensstämmelse var som helst i unionen. Organen för bedömning av överensstämmelse bör ackrediteras av ett nationellt ackrediteringsorgan, om de uppfyller vissa krav som fastställs i denna förordning. Ackrediteringen bör utfärdas för en period på högst fem år och bör kunna förnyas på samma villkor under förutsättning att organet för bedömning av överensstämmelse fortfarande uppfyller kraven. Nationella ackrediteringsorgan bör begränsa, tillfälligt upphäva eller återkalla ackrediteringen av ett organ för bedömning av överensstämmelse om villkoren för ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av organet för bedömning av överensstämmelse strider mot denna förordning.

(98)

Hänvisningar i nationell lagstiftning till nationella standarder som har upphört att ha verkan i och med att en europeisk ordning för cybersäkerhetscertifiering har trätt i kraft kan orsaka förvirring. Medlemsstaterna bör därför se till att antagandet av en europeisk ordning för cybersäkerhetscertifiering avspeglas i deras nationella lagstiftning.

(99)

För att uppnå likvärdiga standarder över hela unionen, underlätta ömsesidigt erkännande och främja godtagandet av europeiska cybersäkerhetscertifikat och EU-försäkringar om överensstämmelse måste en ordning inrättas för inbördes granskning mellan nationella myndigheter för cybersäkerhetscertifiering. Inbördes granskning bör innefatta förfaranden för att övervaka IKT-produkters, IKT-tjänsters och IKT-processers överensstämmelse med europeiska cybersäkerhetscertifikat, övervaka skyldigheterna för tillverkare och leverantörer av IKT-produkter, IKT-tjänster och IKT-processer som utför självbedömningar av överensstämmelse, och för att övervaka organ för bedömning av överensstämmelse samt att personalen vid organ som utfärdar certifikat för assuransnivån ”hög” har lämplig sakkunskap. Kommissionen bör genom genomförandeakter kunna upprätta minst en femårsplan för den inbördes granskningen samt fastställa kriterier och metoder för hur denna ordning ska fungera.

(100)

Utan att det påverkar den ordning för inbördes granskning som ska inrättas vid alla nationella myndigheter för cybersäkerhetscertifiering som omfattas av den europeiska ramen för cybersäkerhetscertifiering kan vissa europeiska ordningar för cybersäkerhetscertifiering innefatta en mekanism för inbördes bedömning för de organ som utfärdar europeiska cybersäkerhetscertifikat för IKT-produkter, IKT-tjänster och IKT-processer med assuransnivån ”hög” inom ramen för sådana ordningar. Den europeiska gruppen för cybersäkerhetscertifiering bör stödja tillämpningen av sådana mekanismer för inbördes bedömning. Den inbördes bedömningen bör framför allt bedöma huruvida organen i fråga utför sina uppgifter på ett harmoniserat sätt och de kan innefatta mekanismer för att överklaga. Resultaten av de inbördes granskningarna bör göras allmänt tillgängliga. De berörda organen får vidta lämpliga åtgärder för att anpassa sin praxis och expertis därefter.

(101)

Medlemsstaterna bör utse en eller flera nationella myndigheter för cybersäkerhetscertifiering som ska övervaka fullgörandet av skyldigheterna enligt denna förordning. En nationell myndighet för cybersäkerhetscertifiering kan vara en redan befintlig myndighet eller en ny myndighet. En medlemsstat bör också kunna fatta beslut, efter överenskommelse med en annan medlemsstat, om att utse en eller flera myndigheter för nationell cybersäkerhetscertifiering på den andra medlemsstatens territorium.

(102)

Nationella myndigheter för cybersäkerhetscertifiering bör särskilt övervaka och verkställa de skyldigheter som åligger en tillverkare eller en leverantör av IKT-produkter, IKT-tjänster eller IKT-processer som är etablerad på deras respektive territorier med avseende på EU-försäkran om överensstämmelse, bör bistå de nationella ackrediteringsorganen med övervakning och kontroll av den verksamhet som bedrivs av organen för bedömning av överensstämmelse genom att förse dem med sakkunskap och relevant information, bör tillåta organ för bedömning av överensstämmelse att utföra sina uppgifter om dessa organ uppfyller de ytterligare krav som finns fastställda i en europeisk ordning för cybersäkerhetscertifiering och bör övervaka relevant utveckling på området för cybersäkerhetscertifiering. De nationella myndigheterna för cybersäkerhetscertifiering bör också behandla klagomål som lämnas in av fysiska eller juridiska personer avseende europeiska cybersäkerhetscertifikat som utfärdats av de myndigheterna eller avseende europeiska cybersäkerhetscertifikat som utfärdats av organ för bedömning av överensstämmelse, om sådana certifikat anger assuransnivå ”hög”, bör i lämplig utsträckning undersöka det ärende som klagomålet gäller och bör underrätta den klagande om utvecklingen och resultatet av utredningen inom rimlig tid. De nationella myndigheterna för cybersäkerhetscertifiering bör dessutom samarbeta med andra nationella myndigheter för cybersäkerhetscertifiering eller någon annan offentlig myndighet, bland annat genom att utbyta information om IKT-produkter, IKT-tjänster och IKT-processer som eventuellt avviker från kraven i denna förordning eller särskilda europeiska ordningar för cybersäkerhetscertifiering. Kommissionen bör underlätta sådant utbyte av information genom att erbjuda tillgång till ett allmänt stödsystem för elektronisk information, till exempel informations- och kommunikationssystemet för marknadskontroll (ICSMS) och systemet för snabb varning för farliga konsumentprodukter (Rapex) som redan används av marknadsövervakningsmyndigheterna i enlighet med förordning (EG) nr 765/2008.

(103)

För att säkerställa en konsekvent tillämpning av den europeiska ramen för cybersäkerhetscertifiering bör det inrättas en europeisk grupp för cybersäkerhetscertifiering, bestående av företrädare för nationella myndigheter för cybersäkerhetscertifiering eller andra berörda nationella myndigheter. Den europeiska gruppen för cybersäkerhetscertifierings främsta uppgifter bör vara att ge kommissionen råd och bistånd i dess arbete för att säkerställa konsekvent genomförande och tillämpning av den europeiska ramen för cybersäkerhetscertifiering, att bistå och ha ett nära samarbete med Enisa i utarbetandet av förslag till ordningar för cybersäkerhetscertifiering, att, i vederbörligen motiverade fall begära att Enisa utarbetar ett förslag till certifieringsordning, att anta yttranden till Enisa om förslag till certifieringsordning och att anta yttranden riktade till kommissionen om underhåll och översyn av befintliga europeiska ordningar för cybersäkerhetscertifiering. Den europeiska gruppen för cybersäkerhetscertifiering bör underlätta utbytet av god praxis och expertis mellan de olika nationella myndigheterna för cybersäkerhetscertifiering som är ansvariga för bemyndigande av organ för bedömning av överensstämmelse och utfärdande av europeiska cybersäkerhetscertifikat.

(104)

För att öka medvetenheten och underlätta acceptansen för framtida europeiska ordningar för cybersäkerhetscertifiering kan kommissionen utfärda allmänna eller sektorsspecifika cybersäkerhetsriktlinjer, t.ex. vad gäller god praxis för cybersäkerhet eller ansvarsfullt cybersäkerhetsbeteende som belyser de positiva konsekvenserna av att använda certifierade IKT-produkter, IKT-tjänster och IKT-processer.

(105)

För att ytterligare underlätta handeln och erkänna att IKT-leveranskedjorna är globala får avtal om ömsesidigt erkännande av europeiska cybersäkerhetscertifikat ingås av unionen i enlighet med artikel 218 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). Kommissionen får med beaktande av rådgivningen från Enisa och den europeiska gruppen för cybersäkerhetscertifiering rekommendera att relevanta förhandlingar inleds. Varje europeisk ordning för cybersäkerhetscertifiering bör föreskriva särskilda villkor för sådana avtal om ömsesidigt erkännande med tredjeländer.

(106)

För att säkerställa enhetliga villkor för tillämpningen av denna förordning bör kommissionen ges genomförandebefogenheter. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (22).

(107)

Granskningsförfarandet bör användas för antagande av genomförandeakter om europeiska ordningar för cybersäkerhetscertifiering av IKT-produkter, IKT-tjänster och IKT-processer, om formerna för Enisas utförande av utredningar, om en plan för inbördes granskning av nationella myndigheter för cybersäkerhetscertifiering samt för antagande av genomförandeakter om förhållanden, format och förfaranden för anmälningar av ackrediterade organ för bedömning av överensstämmelse från de nationella myndigheterna för cybersäkerhetscertifiering till kommissionen.

(108)

Enisas verksamhet bör utvärderas regelbundet och på ett oberoende sätt. Utvärderingen bör beakta Enisas måluppfyllelse, dess arbetsmetoder och relevansen i dess uppgifter, särskilt dess uppgifter rörande operativt samarbete på unionsnivå. Utvärderingen bör även bedöma konsekvenserna, ändamålsenligheten och effektiviteten i fråga om den europeiska ramen för cybersäkerhetscertifiering. Vid en granskning ska kommissionen utvärdera hur Enisas roll som referenspunkt för råd och expertis kan stärkas och bör även utvärdera hur Enisa möjligen skulle kunna stödja bedömningen av IKT-produkter, IKT-tjänster och IKT-processer från tredjeländer som kommer in på unionsmarknaden och som inte är förenliga med unionsreglerna, om sådana IKT-produkter, IKT-tjänster och IKT-processer förs in i unionen

(109)

Eftersom målen för denna förordning inte i tillräcklig utsträckning kan uppnås av medlemsstaterna, på grund av deras omfattning och verkningar, utan snarare kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen (EU-fördraget). I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå detta mål.

(110)

Förordning (EU) nr 526/2013 bör upphävas.