(1)

Mot bakgrund av rådets slutsatser av den 12 februari 2016 om kampen mot finansiering av terrorism, kommissionens meddelande till Europaparlamentet och rådet av den 2 februari 2016 om en åtgärdsplan för förstärkning av kampen mot finansiering av terrorism och Europaparlamentets och rådets direktiv (EU) 2017/541 (2) bör det antas gemensamma regler om handel med tredjeländer i syfte att säkerställa ett verkningsfullt skydd mot olaglig handel med, förlust och förstörelse av kulturföremål, bevarande av mänsklighetens kulturarv och förhindrande av finansiering av terrorism och penningtvätt genom försäljning av plundrade kulturföremål till köpare i unionen.

(2)

Exploatering av folk och territorier som kan leda till olaglig handel med kulturföremål, i synnerhet när denna olagliga handel har sitt ursprung i ett sammanhang av väpnad konflikt. I detta sammanhang bör denna förordning beakta människors och territoriers regionala och lokala särdrag snarare än kulturföremålens marknadsvärde.

(3)

Kulturföremål är en del av kulturarvet och har ofta stor kulturell, konstnärlig, historisk och vetenskaplig betydelse. Kulturarvet är en av civilisationens grundstenar; för mänskligheten har det bland annat ett symboliskt värde och utgör en del av mänsklighetens kulturella minne. Det berikar kulturlivet för alla folk och förenar människor genom gemensamma minnen, kunskap och civilisationens utveckling. Kulturarvet bör därför skyddas från olagliga förvärv och plundring. Plundring av fornlämningar är inget nytt fenomen, men det sker nu i omfattande skala och utgör tillsammans med handel med olagligt utgrävda kulturföremål ett allvarligt brott som orsakar stort lidande för dem som drabbas direkt eller indirekt. Olaglig handel med kulturföremål bidrar i många fall till påtvingad kulturell likriktning eller påtvingad förlust av kulturell homogenisering, medan plundring av kulturföremål bland annat leder till sönderfall av kulturer. Så länge det går att bedriva lukrativ handel med olagligt utgrävda kulturföremål och därigenom göra vinster utan påtagliga risker kommer denna utgrävning och plundring att fortsätta. På grund av kulturföremålens ekonomiska och konstnärliga värde är efterfrågan hög på den internationella marknaden. Avsaknaden av kraftfulla internationella lagstiftningsåtgärder och ineffektiv tillämpning av befintliga åtgärder leder till att sådana föremål överförs till skuggekonomin. Unionen bör därför förbjuda införsel till unionens tullområde av kulturföremål som exporterats olagligen från tredjeländer, med särskild tonvikt på kulturföremål från tredjeländer som är under påverkan av väpnade konflikter, i synnerhet när kulturföremålen har varit föremål för olaglig handel av terroristorganisationer eller andra kriminella organisationer. Även om detta allmänna förbud inte bör medföra några systematiska kontroller bör medlemsstaterna tillåtas ingripa när de mottar underrättelser om misstänkta leveranser och vidta alla lämpliga åtgärder för att fånga upp kulturföremål som exporterats olagligen.

(4)

Med tanke på de olika regler som tillämpas i medlemsstater när det gäller import av kulturföremål till unionens tullområde bör åtgärder vidtas i synnerhet för att säkerställa att viss import av kulturföremål omfattas av enhetliga kontroller i samband med införseln till unionens tullområde, på grundval av befintliga processer, förfaranden och administrativa verktyg som syftar till att uppnå ett enhetligt genomförande av Europaparlamentets och rådets förordning (EU) nr 952/2013 (3).

(5)

Kulturföremål som betraktas som medlemsstaternas nationella skatter omfattas redan av rådets förordning (EG) nr 116/2009 (4) och Europaparlamentets och rådets direktiv 2014/60/EU (5). Denna förordning bör följaktligen inte tillämpas på kulturföremål som skapats eller upptäckts inom unionens tullområde. De gemensamma regler som införs genom den här förordningen bör omfatta tullhanteringen av icke-unionsvaror i form av kulturföremål som förs in till unionens tullområde. Vid tillämpningen av denna förordning bör det relevanta tullområdet vara unionens tullområde vid tiden för importen.

(6)

De kontrollåtgärder som ska införas för frizoner och så kallade frihamnar bör ha ett så brett tillämpningsområde som möjligt med avseende på de tullförfaranden som berörs, för att förhindra kringgående av denna förordning genom utnyttjande av dessa frizoner, som kan användas för den fortsatta spridningen av olaglig handel. Kontrollåtgärderna bör därför inte endast gälla kulturföremål som övergått till fri omsättning utan även kulturföremål som hänförts till ett särskilt tullförfarande. Tillämpningsområdet bör dock inte gå utöver syftet att förhindra att kulturföremål som exporterats olagligen förs in till unionens tullområde. Därför bör de systematiska kontrollåtgärderna inte omfatta transitering, även om de omfattar fri omsättning och vissa av de särskilda tullförfaranden som varor som förs in i unionens tullområde kan hänföras till.

(7)

Många tredjeländer och de flesta medlemsstater är bekanta med de definitioner som används i Unescos konvention om åtgärder för att förbjuda och förhindra olovlig införsel, utförsel och överlåtelse av äganderätten till kulturegendom, undertecknad i Paris den 14 november 1970 (nedan kallad 1970 års Unesco-konvention) i vilken ett betydande antal medlemsstater är parter, och i UNIDROIT-konventionen om kulturföremål som stulits eller förts ut olagligt, undertecknad i Rom den 24 juni 1995. Därför grundar sig de definitioner som används i denna förordning på de definitionerna.

(8)

Lagligheten hos exporten av kulturföremål bör i första hand granskas på grundval av lagar och andra författningar i det land där de kulturföremålen skapats eller upptäckts. För att inte hindra den lagliga handeln på ett orimligt sätt bör den person som önskar importera kulturföremål till unionens tullområde emellertid, i vissa fall, i stället undantagsvis tillåtas påvisa att kulturföremålen exporterats lagligen från ett annat tredjeland i vilket de befann sig innan de avsändes till unionen. Det undantaget bör tillämpas om det inte går att fastställa med säkerhet i vilket land kulturföremålen skapades eller upptäcktes eller om exporten skedde innan 1970 års Unesco-konvention trädde i kraft, det vill säga den 24 april 1972. För att förhindra att denna förordning kringgås genom att skicka kulturföremål som exporterats olagligen till ett annat tredjeland innan de importeras till unionen bör dessa undantag tillämpas när kulturföremålen befunnit sig i ett tredjeland i minst fem år och för andra ändamål än tillfällig användning, transitering, återexport eller omlastning. Om fler än ett land uppfyller dessa villkor bör det relevanta landet vara det senaste land som kulturföremålen befunnit sig i innan införseln till unionens tullområde.

(9)

Enligt artikel 5 i 1970 års Unesco-konvention bör de stater som är parter inrätta en eller flera nationella myndigheter för skydd av kulturföremål mot olaglig införsel, utförsel och överlåtelse av äganderätten till kulturegendom. Dessa nationella myndigheter bör ha yrkeskunnig personal i tillräckligt antal för att kunna säkerställa skydd i enlighet med den konventionen och bör även möjliggöra det aktiva samarbete som krävs mellan de behöriga myndigheterna i de medlemsstater som är parter i den konventionen på området för säkerhet och i kampen mot olaglig införsel av kulturföremål, särskilt från områden som är under påverkan av väpnade konflikter.

(10)

För att inte på ett oproportionellt sätt negativt påverka handeln med kulturföremål över unionens yttre gräns bör denna förordning endast gälla kulturföremål över en viss åldersgräns, vilken fastställs genom denna förordning. Det förefaller också lämpligt att fastställa ett ekonomiskt tröskelvärde för att utesluta kulturföremål med lägre värde från tillämpningen av villkoren och förfarandena för import av kulturföremål till unionens tullområde. Dessa tröskelvärden kommer att säkerställa att de åtgärder som föreskrivs i denna förordning inriktas på sådana kulturföremål som mest sannolikt är målet för plundrare i konfliktområden, utan att utesluta andra varor som det är nödvändigt att kontrollera för att säkerställa skyddet av kulturarvet.

(11)

Olaglig handel med plundrade kulturföremål har identifierats som en möjlig källa till finansiering av terrorism och penningtvätt inom ramen för den överstatliga riskbedömningen av risker för penningtvätt och finansiering av terrorism som påverkar den inre marknaden.

(12)

Eftersom vissa kategorier av kulturföremål, nämligen arkeologiska föremål och delar av monument, är särskilt utsatta för plundring och förstörelse förefaller det nödvändigt att föreskriva ett system med ökad granskning innan de tillåts föras in till unionens tullområde. Ett sådant system bör innebära att en importlicens utfärdad av den behöriga myndigheten i en medlemsstat måste uppvisas innan dessa kulturföremål får övergå till fri omsättning eller hänföras till ett annat särskilt tullförfarande än transitering. Personer som önskar erhålla en sådan licens bör kunna bevisa laglig export från det land där kulturföremålen skapades eller upptäcktes med lämpliga styrkande handlingar och bevis, såsom exportintyg ägarbevis, fakturor och kvitton, försäljningsavtal, försäkringshandlingar, transportdokument och expertutlåtanden. De behöriga myndigheterna i medlemsstaterna bör besluta om att utfärda en licens utan onödigt dröjsmål, på grundval av fullständiga och korrekta ansökningar. Alla importlicenser bör lagras i ett elektroniskt system.

(13)

En ikon är en avbildning av en religiös gestalt eller en religiös händelse. Den kan vara framställd i olika material och storlekar och kan vara monumental eller bärbar. Om ikonen en gång ingick exempelvis i interiören i en kyrka, ett kloster, ett kapell, antingen fristående eller som del av den arkitektoniska inredningen, till exempel en ikonostas eller ett ikonställ är den en väsentlig och oskiljaktig del av religionsutövningen och det liturgiska livet och bör därför anses utgöra en integrerad del av det religiösa monument som den har åtskilts från. Även om det specifika monument som en ikon tillhört inte är känt bör ikonen, om det finns bevis för att den en gång utgjorde en integrerad del av ett monument, räknas till kategorin ”delar av konstnärliga eller historiska monument eller fornlämningar, som tagits sönder” som förtecknas i bilagan, särskilt om det på ikonen finns spår eller delar som visar att den en gång ingick i en ikonostas eller ett ikonställ.

(14)

Med hänsyn till kulturföremålens särskilda karaktär fyller tullmyndigheterna en ytterst viktig roll, eftersom de vid behov bör kunna kräva ytterligare uppgifter från deklaranten och kunna analysera kulturföremålen genom en fysisk undersökning.

(15)

För kategorier av kulturföremål som inte kräver en importlicens bör de personer som önskar importera sådana föremål till unionens tullområde genom en förklaring intyga och ta på sig ansvaret för att varorna har förts ut lagligen från tredjelandet och bör tillhandahålla tillräcklig information för att kulturföremålen ska kunna identifieras av tullmyndigheterna. För att underlätta förfarandet och av rättssäkerhetsskäl bör ett standardiserat dokument användas för uppgifterna om kulturföremål. Det standardiserade objekt-ID som rekommenderas av Unesco kan användas för att beskriva kulturföremålet. Innehavaren av varorna bör registrera dessa uppgifter i ett elektroniskt system för att underlätta tullmyndigheternas identifiering, möjliggöra riskanalyser och riktade kontroller och säkerställa spårbarhet efter det att kulturföremålen har kommit ut på den inre marknaden.

(16)

Inom ramen för en enda EU-tullkontaktpunkt bör kommissionen ansvara för att inrätta ett centraliserat elektroniskt system för inlämningen av ansökningar om importlicenser och importörsförklaringar samt för lagring och utbyte av information mellan medlemsstaternas myndigheter, särskilt i fråga om importörsförklaringar och importlicenser.

(17)

Databehandling inom ramen för denna förordning bör även kunna omfatta personuppgifter och sådan databehandling bör utföras i enlighet med unionsrätten. Medlemsstaterna och kommissionen bör endast behandla personuppgifter för den här förordningens syften eller i vederbörligen motiverade fall för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. All insamling, utlämning, överföring, förmedling och annan behandling av personuppgifter inom ramen för den här förordningen bör omfattas av kraven i Europaparlamentets och rådets förordningar (EU) 2016/679 (6) och (EU) 2018/1725 (7). Vid behandlingen av personuppgifter i enlighet med den här förordningen bör hänsyn även tas till rätten till respekt för privat- och familjelivet som erkänns i artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna och rätten till respekt för privat- och familjelivet och till skydd av personuppgifter som erkänns i artikel 7 respektive artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna.

(18)

Kulturföremål som inte skapats eller upptäckts inom unionens tullområde men som har exporterats som unionsvaror bör inte vara föremål för uppvisande av en importlicens eller en importörsförklaring när de återinförs till detta område som återinförda varor i den mening som avses i förordning (EU) nr 952/2013.

(19)

Tillfällig införsel av kulturföremål för utbildningsändamål, vetenskaplig verksamhet, konservering, restaurering, utställning, digitalisering, scenkonst, akademisk forskning eller för samarbeten mellan museer eller liknande institutioner bör inte heller omfattas av krav på uppvisande av en importlicens eller importörsförklaring.

(20)

Lagring av kulturföremål från länder som är under påverkan av väpnad konflikt eller har drabbats av en naturkatastrof vilken vidtas av en offentlig myndighet eller under överinseende av en offentlig myndighet uteslutande i syfte att finna en plats där de kan förvaras säkert och bevaras, bör den inte omfattas av krav på uppvisande av en importlicens eller av en importörsförklaring.

(21)

För att underlätta förevisning av kulturföremål vid kommersiella konstmässor bör importlicens inte krävas om kulturföremålet har införts tillfälligt i den mening som avses i artikel 250 i förordning (EU) nr 952/2013 och en importörsförklaring har lämnats i stället för en importlicens. Emellertid bör uppvisande av en importlicens krävas om sådana kulturföremål ska stanna kvar i unionen efter konstmässan.

(22)

För att säkerställa enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter med avseende på att anta detaljerade förfaranden för återinförda kulturföremål eller för tillfällig införsel av kulturföremål i unionens tullområde och deras förvaring, förlagor till ansökningar och formulär till importlicenser, och till förlagor till importörsförklaringar och åtföljande handlingar, samt ytterligare förfaranderegler för hur de ska lämnas in och handläggas. Kommissionen bör också tilldelas genomförandebefogenheter med avseende på formerna för inrättandet av ett elektroniskt system för inlämningen av ansökningar om importlicenser och importörsförklaringar samt för lagring av information och utbyte av information mellan medlemsstaterna. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (8).

(23)

För att säkerställa en effektiv samordning och undvika dubbelarbete vid anordnandet av utbildning, kapacitetsuppbyggnad och informationskampanjer samt för att beställa relevant forskning och utveckling av standarder bör kommissionen och medlemsstaterna där så är lämpligt samarbeta med internationella organisationer och organ, som Unesco, Interpol, Europol, Världstullorganisationen, International Centre for the Study of the Preservation and Restoration of Cultural Property och International Council of Museums (ICOM).

(24)

Relevant information om handelsflöden för kulturföremål bör samlas in elektroniskt och delas av medlemsstaterna och kommissionen för att ligga till grund för ett effektivt genomförande av denna förordning och för en framtida utvärdering av den. För att främja insyn och offentlig granskning bör så mycket information som möjligt offentliggöras. Handelsflöden för kulturföremål kan inte övervakas effektivt endast utifrån deras värde eller vikt. Det är nödvändigt att på elektronisk väg samla in information om antalet deklarerade föremål. Eftersom ingen kompletterande måttenhet anges för kulturföremål i kombinerade nomenklaturen är det nödvändigt att kräva att antalet föremål deklareras.

(25)

EU:s strategi och handlingsplan för förbättrad riskhantering på tullområdet har bland annat till syfte att stärka tullmyndigheternas kapacitet att öka reaktionsförmågan vad gäller risker som rör kulturföremål. Den gemensamma ram för riskhantering som föreskrivs i förordning (EU) nr 952/2013 bör användas och relevant riskinformation bör utbytas mellan tullmyndigheter.

(26)

För att dra nytta av den sakkunskap som finns inom internationella organisationer och organ som är verksamma på kulturområdet liksom av deras erfarenheter av olaglig handel med kulturföremål bör rekommendationer och vägledning från dessa organisationer och organ beaktas i den gemensamma ramen för riskhantering vid fastställandet av risker med koppling till kulturföremål. Framför allt bör ICOM:s röda listor tjäna som vägledning vid fastställandet av vilka tredjeländers kulturarv som är utsatt för störst risk och vilka föremål som exporteras därifrån som oftast är föremål för olaglig handel.

(27)

Kampanjer måste genomföras för att öka medvetenheten bland köparna av kulturföremål om risken för olaglig handel och marknadsaktörer behöver få hjälp med att förstå och tillämpa denna förordning. Medlemsstaterna bör involvera relevanta nationella kontaktpunkter och andra informationstjänster i arbetet med att sprida den informationen.

(28)

Kommissionen bör säkerställa att mikroföretag samt små och medelstora företag får lämpligt tekniskt stöd samt underlätta tillhandahållandet av information till dessa företag för ett effektivt genomförande av denna förordning. Små och medelstora företag som är etablerade i unionen och som importerar kulturföremål bör därför kunna omfattas av nuvarande och framtida unionsprogram till stöd för små och medelstora företags konkurrenskraft.

(29)

För att främja efterlevnaden och förhindra kringgående bör medlemsstaterna införa effektiva, proportionella och avskräckande sanktioner för underlåtenhet att följa bestämmelserna i denna förordning och meddela kommissionen dessa sanktioner. De sanktioner som införs av medlemsstaterna för överträdelser av denna förordning bör ha en likvärdig avskräckande effekt i hela unionen.

(30)

Medlemsstaterna bör säkerställa att tullmyndigheterna och de behöriga myndigheterna kommer överens om åtgärder enligt artikel 198 i förordning (EU) nr 952/2013. De närmare detaljerna angående dessa åtgärder bör regleras i nationell rätt.

(31)

Kommissionen bör utan dröjsmål anta regler om genomförande av denna förordning, i synnerhet sådana som rör vilka elektroniska standardiserade formulär som ska användas för att ansöka om en importlicens eller för att upprätta en importörsförklaring samt därefter så snart som möjligt inrätta det elektroniska systemet. Tillämpningen av bestämmelserna om importlicenser och importörsförklaringar bör skjutas upp i enlighet med detta.

(32)

I enlighet med proportionalitetsprincipen är det för att uppnå de grundläggande målen för denna förordning nödvändigt och lämpligt att fastställa regler för införsel och import av kulturföremål till unionens tullområde. Denna förordning går inte utöver vad som är nödvändigt för att uppnå de eftersträvade målen, i enlighet med artikel 5.4 i fördraget om Europeiska unionen.

(1)

Nätverks- och informationssystem samt elektroniska kommunikationsnät och kommunikationstjänster har en avgörande betydelse för samhället och har blivit själva ryggraden för ekonomisk tillväxt. Informations- och kommunikationsteknik (IKT) är grunden för komplexa system som stöder dagliga samhälleliga verksamheter, håller våra ekonomier igång inom viktiga sektorer som hälso- och sjukvård, energi, finans och transporter, och framför allt bidrar till den inre marknadens funktion.

(2)

Användningen av nätverks- och informationssystem bland privatpersoner, organisationer och företag i hela unionen genomsyrar nu hela samhället. Digitalisering och konnektivitet är på väg att bli centrala inslag i ett allt större antal produkter och tjänster, och med tillkomsten av sakernas internet väntas ett extremt högt antal uppkopplade digitala enheter tas i bruk inom unionen under det kommande årtiondet. Trots att allt fler enheter är uppkopplade till internet, är säkerhet och resiliens inte tillräckligt integrerade i konstruktionen, vilket leder till otillräcklig cybersäkerhet. I detta sammanhang leder den begränsade användningen av certifiering till att enskilda användare, organisationsanvändare och företagsanvändare har otillräcklig information om cybersäkerheten hos IKT-produkter, IKT-tjänster och IKT-processer, vilket undergräver förtroendet för digitala lösningar. Nätverks- och informationssystem kan stödja alla aspekter av våra liv och bli en drivkraft för unionens ekonomiska tillväxt. De utgör grunden för uppnåendet av en digital inre marknad.

(3)

Ökad digitalisering och konnektivitet leder till ökade cybersäkerhetsrisker, vilket gör samhället som helhet mer sårbart för cyberhot och ökar farorna för enskilda individer, inbegripet sårbara grupper som barn. För att minska dessa risker måste alla nödvändiga åtgärder vidtas för att stärka cybersäkerheten i unionen så att nätverks- och informationssystem, kommunikationsnät, digitala produkter, tjänster och enheter som används av privatpersoner, organisationer och företag – från små och medelstora företag enligt definitionen i kommissionens rekommendation 2003/361/EG (4), till operatörer av kritisk infrastruktur – skyddas bättre mot cyberhot.

(4)

Genom att tillgängliggöra relevant information för allmänheten bidrar Europeiska unionens byrå för nät- och informationssäkerhet (Enisa), som inrättats genom Europaparlamentets och rådets förordning (EU) nr 526/2013 (5), till utvecklingen av cybersäkerhetsbranschen i unionen, särskilt små och medelstora företag och nystartade företag. Enisa bör sträva efter ett närmare samarbete med universitet och forskningsenheter för att bidra till en minskning av beroendet av cybersäkerhetsprodukter och -tjänster från länder utanför unionen och att förstärka distributionskedjor inom unionen.

(5)

Cyberangreppen ökar och en uppkopplad ekonomi och ett uppkopplat samhälle som är mer utsatta för cyberhot och -angrepp kräver starkare skydd. Även om cyberangrepp ofta är gränsöverskridande, är dock behörigheten för, och de politiska insatserna från, cybersäkerhetsmyndigheter och brottsbekämpande organ till övervägande del nationella. Storskaliga incidenter kan störa tillhandahållandet av grundläggande tjänster i hela unionen. Detta kräver en effektiv och samordnad respons och krishantering på unionsnivå som bygger på särskilt utformade strategier och bredare instrument för europeisk solidaritet och ömsesidigt stöd. För beslutsfattare, näringsliv och användare är det också viktigt att det görs regelbundna bedömningar av situationen när det gäller cybersäkerhet och resiliens i unionen, på grundval av tillförlitliga unionsdata, samt systematiska prognoser för framtida utveckling, utmaningar och hot på unionsnivå och global nivå.

(6)

Mot bakgrund av de allt större cybersäkerhetsutmaningar som unionen står inför behövs en omfattande uppsättning åtgärder som bygger vidare på tidigare unionsåtgärder och främjar mål som stärker varandra inbördes. Dessa mål innefattar att ytterligare öka medlemsstaternas och företagens kapacitet och beredskap samt att förbättra samarbete, informationsutbyte, och samordning mellan medlemsstaterna och unionens institutioner, organ och byråer. Med tanke på cyberhotens gränsöverskridande karaktär finns det dessutom ett behov av att öka kapaciteten på unionsnivå som ett komplement till medlemsstaternas insatser, särskilt när det gäller storskaliga gränsöverskridande incidenter och -kriser, samtidigt som man beaktar vikten av att underhålla och ytterligare stärka den nationella kapaciteten att bemöta cyberhot av alla storlekar.

(7)

Ytterligare insatser behövs också för att öka privatpersoners, organisationers och företagens medvetenhet om cybersäkerhetsfrågor. Dessutom bör, med tanke på att incidenter skadar förtroendet för leverantörerna av digitala tjänster och den digitala marknaden i sig, inte minst bland konsumenter, förtroendet stärkas ytterligare genom att information tillhandahålls på ett transparent sätt om säkerhetsnivån för IKT-produkter, IKT-tjänster och IKT-processer, samtidigt som det understryks att inte ens en hög nivå av cybersäkerhetscertifiering kan garantera att en IKT-produkt, IKT-tjänst eller IKT-process är helt säker. Ett ökat förtroende kan underlättas genom unionsomfattande certifiering som erbjuder gemensamma cybersäkerhetskrav och utvärderingskriterier för olika nationella marknader och sektorer.

(8)

Cybersäkerhet är inte bara en fråga kopplad till teknik, utan en fråga där mänskligt beteende är lika viktigt. Därför bör it-hygien, det vill säga enkla rutinåtgärder som, när de genomförs och utförs regelbundet av medborgare, organisationer och företag, minimerar deras exponering för risker från cyberhot, starkt främjas.

(9)

I syfte att stärka unionens cyberförsvarsstrukturer är det viktigt att underhålla och utveckla medlemsstaternas förmåga att bemöta cyberhot, inbegripet gränsöverskridande incidenter, på ett övergripande sätt.

(10)

Företag och enskilda konsumenter bör få korrekt information om säkerhetscertifieringsnivån för deras IKT-produkter, IKT-tjänster och IKT-processer. Samtidigt är ingen produkt helt cybersäker och grundläggande regler för it-hygien måste främjas och prioriteras. Med tanke på den ökande tillgången till uppkopplade apparater finns det en rad frivilliga åtgärder som den privata sektorn kan vidta för att stärka förtroendet för IKT-produkters, IKT-tjänsters och IKT-processers säkerhet.

(11)

Moderna IKT-produkter och IKT-system inbegriper ofta, och förlitar sig på, en eller flera komponenter liksom teknik från tredje part, som är nödvändiga för produkten eller tjänsten, t.ex. programmoduler, bibliotek eller programmeringsgränssnitt. Detta beroende skulle kunna innebära extra cybersäkerhetsrisker eftersom sårbarheter i sådana tredjepartskomponenter även kan påverka IKT-produkternas, IKT-tjänsternas och IKT-processernas säkerhet. Om sådana beroendeförhållanden identifieras och dokumenteras kan användare av IKT-produkter, IKT-tjänster och IKT-processer ofta förbättra sin cybersäkerhetsriskhantering genom att exempelvis förbättra sina förfaranden för att hantera och avhjälpa sårbarheter.

(12)

Organisationer, tillverkare och leverantörer som är inblandade i utformningen och utvecklingen av IKT-produkter, IKT-tjänster och IKT-processer bör uppmuntras att, i ett tidigt skede av utformningen och utvecklingen, genomföra åtgärder på ett sätt så att säkerheten för dessa produkter, tjänster och processer skyddas i högsta möjliga grad, så att förekomsten av cyberattacker tas med i beräkningen och att de eventuella konsekvenserna av dem förutses och minimeras (nedan kallad inbyggd säkerhet). Säkerhetsaspekten bör säkerställas under IKT-produktens, IKT-tjänstens och IKT-processens hela livstid genom att man kontinuerligt utvecklar utformnings- och utvecklingsprocesserna för att minska risken för skada från skadlig användning.

(13)

Företag, organisationer och den offentliga sektorn bör konfigurera IKT-produkter, IKT-tjänster och IKT-processer som de utformar på ett sätt som säkerställer en högre grad av säkerhet, som gör att den första användaren kan få den förvalda konfigurationen med de säkraste inställningarna (nedan kallad säkerhet som standard) och därmed minska användarnas börda av att behöva konfigurera en IKT-produkt, IKT-tjänst eller IKT-process på lämpligt vis. Säkerhet som standard bör inte kräva omfattande konfigurering eller specifika tekniska kunskaper eller icke-intuitivt handlande från användarens sida som inte känns naturliga, och bör fungera enkelt och tillförlitligt när den tillämpas. Om en riskanalys och en användbarhetsanalys från fall till fall leder till slutsatsen att det inte är möjligt att göra en sådan förvald inställning, bör användarna uppmanas att välja den säkraste inställningen.

(14)

Europaparlamentet och rådets förordning (EG) nr 460/2004 (6) inrättande Enisa med syftet att bidra till målet att säkerställa en hög och effektiv nivå på nätverks- och informationssäkerheten i unionen och utveckla en kultur av nätverks- och informationssäkerhet till förmån för medborgarna, konsumenterna, företagen och den offentliga administrationen. Europaparlamentet och rådets förordning (EG) nr 1007/2008 (7) som förlängde Enisas mandat till mars 2012. Genom Europaparlamentets och rådets förordning (EU) nr 580/2011 (8) förlängdes Enisas mandat ytterligare till den 13 september 2013. Förordning (EU) nr 526/2013 förlängde Enisas mandat till den 19 juni 2020.

(15)

Unionen har redan vidtagit viktiga åtgärder för att säkerställa cybersäkerhet och öka förtroendet för digital teknik. År 2013 antogs EU:s strategi för cybersäkerhet för att vägleda EU:s politiska åtgärder för cyberhot och -risker. I en satsning för att bättre skydda invånarna på nätet antogs unionens första rättsakt på cybersäkerhetsområdet 2016 i form av Europaparlamentets och rådets direktiv (EU) 2016/1148 (9). Direktiv (EU) 2016/1148 införde krav om nationell kapacitet på cybersäkerhetsområdet, inrättade de första mekanismerna för att stärka det strategiska och operativa samarbetet mellan medlemsstaterna och införde skyldigheter avseende säkerhetsåtgärder och incidentrapportering inom sektorer som är centrala för ekonomin och samhället, såsom energi, transporter, leverans och distribution av dricksvatten, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, digital infrastruktur samt leverantörer av viktiga digitala tjänster (sökmotorer, molntjänster och elektroniska marknadsplatser).

Enisa fick en viktig roll när det gällde att stödja genomförandet av det direktivet. Dessutom är en effektiv kamp mot it-brottslighet en viktig prioritering i den europeiska säkerhetsagendan, som bidrar till det övergripande målet att uppnå en hög nivå av cybersäkerhet. Andra rättsakter såsom Europaparlamentets och rådets förordning (EU) 2016/679 (10) och Europaparlamentets och rådets direktiv 2002/58/EG (11) och (EU) 2018/1972 (12) kan också bidra till en hög cybersäkerhetsnivå på den digitala inre marknaden.

(16)

Sedan antagandet av EU:s strategi för cybersäkerhet 2013 och den senaste översynen av Enisas uppdrag, har den övergripande politiska ramen förändrats avsevärt eftersom den globala miljön har blivit mer oviss och mindre säker. Mot denna bakgrund och mot bakgrund av den positiva utvecklingen av Enisas roll till en referenspunkt för rådgivning och expertis, som en kontaktpunkt för samarbete och kapacitetsuppbyggnad, samt inom ramen för unionens nya cybersäkerhetsstrategi är det nödvändigt att se över Enisas mandat för att definiera dess roll i det förändrade cybersäkerhetsekosystemet och säkerställa att Enisa bidrar effektivt till unionens reaktion på cybersäkerhetsutmaningar som härrör från den radikalt förändrade hotbilden inom cyberområdet, för vilket det nuvarande mandatet är inte tillräckligt, vilket också medges i utvärderingen av Enisa.

(17)

Enisa som inrättas genom denna förordning bör efterträda Enisa, som inrättades genom förordning (EU) nr 526/2013. Enisa bör utföra de uppgifter som den tilldelas genom den här förordningen och andra unionsrättsakter på cybersäkerhetsområdet genom att bland annat tillhandahålla rådgivning och expertis och fungera som unionens informations- och kunskapscentrum. Kommissionen bör främja utbyte av bästa praxis mellan medlemsstaterna och privata aktörer, lägga fram strategiförslag för kommissionen och medlemsstaterna som kan användas som utgångspunkt för unionens sektorsvisa politiska initiativ när det gäller cybersäkerhet och för att främja praktiskt samarbete både medlemsstaterna emellan och mellan medlemsstaterna och unionens institutioner, organ och byråer.

(18)

Inom ramen för beslut 2004/97/EG, Euratom antaget i samförstånd mellan medlemsstaternas företrädare, församlade på stats- eller regeringschefsnivå (13), beslutade medlemsstaternas företrädare att Enisa skulle ha sitt säte i en stad i Grekland som skulle fastställas av den grekiska regeringen. Enisas värdmedlemsstat bör säkerställa bästa möjliga förutsättningar för en smidig och effektiv drift av Enisa. Det är mycket viktigt att Enisa är förlagd till en lämplig plats, där det bland annat finns lämpliga transportförbindelser och faciliteter för makar och barn som medföljer Enisas personal, för att Enisa ska kunna utföra sina uppgifter väl och effektivt samt för möjligheterna att rekrytera och behålla personal och för en effektivare nätverksverksamhet. De nödvändiga arrangemangen bör efter godkännande av Enisas styrelse fastställas i ett avtal mellan Enisa och värdmedlemsstaten.

(19)

Med tanke på de ökande cybersäkerhetsrisker och cybersäkerhetsutmaningar som unionen står inför bör de ekonomiska och personella resurser som anslagits för Enisa ökas för att återspegla dess förstärkta roll och arbetsuppgifter och dess centrala position i ekosystemet av organisationer som försvarar unionens digitala ekosystem, så att Enisa effektivt kan utföra de uppgifter som Enisa tilldelas genom denna förordning.

(20)

Enisa bör utveckla och underhålla en hög nivå av expertis och fungera som en referenspunkt och skapa förtroende och tillit för den inre marknaden genom sin opartiskhet, kvaliteten på de råd och den information den tillhandahåller, öppenheten i dess förfaranden och arbetssätt samt genom ett kompetent utförande av sina uppgifter. Enisa bör aktivt stödja nationella ansträngningar och bör aktivt bidra till unionsinsatser och utföra sina uppgifter i fullt samarbete med unionens institutioner, organ och byråer samt med medlemsstaterna, och därigenom undvika dubbelarbete och främja synergier. Enisa bör också stödja sig på synpunkter från och samarbete med den privata sektorn och andra berörda aktörer. Genom en uppsättning uppgifter bör det fastställas hur Enisa ska uppnå sina mål samtidigt som flexibilitet i verksamheten möjliggörs.

(21)

För att kunna ge lämpligt stöd till det operativa samarbetet mellan medlemsstaterna bör Enisa ytterligare stärka sin tekniska och mänskliga kapacitet och kompetens. Enisa bör öka sitt kunnande och sin kapacitet. Enisa och medlemsstaterna kan (på frivillig basis) ta fram program för utstationering av nationella experter till Enisa, skapande av expertpooler och utbytesprogram för de anställda.

(22)

Enisa bör bistå kommissionen med råd, yttranden och analyser i alla unionsfrågor som rör utveckling, uppdatering och översyn av politik och lagstiftning på cybersäkerhetsområdet och dess sektorsspecifika aspekter för att öka relevansen av unionens politik och lagstiftning med en cybersäkerhetsdimension och möjliggöra konsekvens i genomförandet av denna politik och lagstiftning på nationell nivå. Enisa bör fungera som en referenspunkt för rådgivning och expertis för unionens sektorsspecifika politik och lagstiftningsinitiativ i frågor som rör cybersäkerhet. Enisa bör regelbundet informera Europaparlamentet om sin verksamhet till.

(23)

Den offentliga kärnan av ett öppet internet, nämligen dess huvudsakliga protokoll och infrastruktur utgör globala allmänna nyttigheter, ger internet dess viktiga funktioner som en helhet och underbygger dess normala funktion. Enisa bör stödja säkerheten för den offentliga kärnan av ett öppet internet och stabiliteten för dess funktionssätt och bland annat, men inte begränsat till, nyckelprotokollen (framför allt DNS, BGP och IPv6), driften av domännamnssystemet (till exempel driften av alla toppdomäner) och driften av rotzonen.

(24)

Den underliggande uppgiften för Enisa är att främja ett konsekvent genomförande av den gällande rättsliga ramen, i synnerhet ett effektivt genomförande av direktiv (EU) 2016/1148 och andra relevanta rättsliga instrument som avser cybersäkerhetsaspekter, vilket är viktigt för att öka cyberresiliensen. Mot bakgrund av den snabbt föränderliga hotbilden inom cyberområdet på cyberområdet är det uppenbart att medlemsstaterna måste stödjas genom en mer omfattande tvärpolitisk strategi för att bygga upp cyberresiliens.

(25)

Enisa bör bistå medlemsstaterna och unionens institutioner, organ och byråer i deras arbete för att bygga upp och förbättra kapacitet och beredskap för att förebygga, upptäcka och reagera på cyberhot och cyberincidenter samt i fråga om säkerhet i nätverks- och informationssystem. Enisa bör särskilt stödja utvecklingen och stärkandet av nationella och unionens enheter för hantering av it-säkerhetsincidenter (Computer Security Incident Response Teams, nedan kallade CSIRT-enheter) enligt direktiv (EU) 2016/1148, i syfte att uppnå en hög gemensam mognadsnivå för dem i unionen. Den verksamhet som bedrivs av Enisa avseende medlemsstaternas operativa kapacitet bör aktivt stödja medlemsstaternas åtgärder för att fullgöra sina skyldigheter enligt direktiv (EU) 2016/1148 och bör därför inte ersätta dem.

(26)

Enisa bör också bistå med utveckling och uppdatering av strategier för säkerhet i nätverks- och informationssystem på unionsnivå och, på begäran, på medlemsstatsnivå, särskilt för cybersäkerhet, och bör främja spridningen av sådana strategier och följa upp framstegen med deras genomförande. Enisa bör också bidra till uppfyllandet av behoven av utbildning och utbildningsmaterial, däribland offentliga organs behov, och i lämpliga fall huvudsakligen ”utbilda utbildarna” baserat på den europeiska ramen för utveckling av digital kompetens bland medborgarna, för att bistå medlemsstaterna och unionens institutioner, organ och byråer när de utvecklar sin egen utbildningskapacitet.

(27)

Enisa bör stödja medlemsstaterna på området medvetenhet och utbildning om cybersäkerhet genom att främja närmare samarbete och utbyte av bästa praxis bland medlemsstaterna. Sådant stöd skulle bland annat kunna bestå i utveckling av ett nätverk av nationella utbildningskontaktpunkter och utvecklingen av en utbildningsplattform för cybersäkerhet. Nätverket av nationella utbildningskontaktpunkter skulle kunna verka inom ramen för nätverket för nationella kontaktpersoner och vara en startpunkt för framtida samordning inom medlemsstaterna.

(28)

Enisa bör bistå den samarbetsgrupp som inrättats genom direktiv (EU) 2016/1148 vid utförandet av dess uppgifter, särskilt genom att tillhandahålla expertis och rådgivning och underlätta utbytet av bästa praxis, bland annat vad gäller medlemsstaternas identifiering av leverantörer av samhällsviktiga tjänster, även i samband med gränsöverskridande beroenden, vad gäller risker och incidenter.

(29)

I syfte att stimulera samarbete mellan offentlig och privat sektor samt inom den privata sektorn, särskilt för att stödja skyddet av kritisk infrastruktur, bör Enisa stödja informationsutbyte inom och mellan sektorer, i synnerhet de sektorer som förtecknas i bilaga II till direktiv (EU) 2016/1148, genom att tillhandahålla bästa praxis och vägledning i fråga om tillgängliga verktyg och förfaranden samt om hur regleringsfrågor som rör informationsutbyte ska hanteras, exempelvis genom att underlätta inrättandet av sektorsvisa centrum för informationsutbyte och analys.

(30)

De potentiella negativa effekterna av sårbarheter hos IKT-produkter, IKT-tjänster och IKT-processer ökar ständigt och det är viktigt att upptäcka och åtgärda sådana sårbarheter för att minska den samlade cybersäkerhetsrisken. Det har visat sig att samarbete mellan organisationer, tillverkare eller leverantörer av sårbara IKT-produkter, IKT-tjänster och IKT-processer, personer som sysslar med cybersäkerhetsforskning och regeringar som upptäcker sårbarheter avsevärt ökar både upptäckterna och åtgärdandet av sårbarheter hos IKT-produkter, IKT-tjänster och IKT-processer. Samordnad information om sårbarheter utgör en strukturerad samarbetsprocess där sårbarheter rapporteras till ägaren av ett informationssystem vilket möjliggör för organisationen att diagnostisera och åtgärda sårbarheten innan detaljer om sårbarheten blir kända för tredje parter eller allmänheten. Processen möjliggör också samordning mellan den som upptäckt sådana sårbarheter och organisationen vad gäller offentliggörande av dessa sårbarheter. Samordnade riktlinjer för att offentliggöra sårbarheter skulle kunna spela en viktig roll i medlemsstaternas insatser för att stärka cybersäkerheten.

(31)

Enisa bör sammanställa och analysera nationella rapporter som delats på frivillig grund från CSIRT-enheter och den interinstitutionella incidenthanteringsorganisationen för unionens institutioner och byråer (nedan kallad CERT-EU) som inrättats genom avtalet mellan Europaparlamentet, Europeiska rådet, Europeiska unionens råd, Europeiska kommissionen, Europeiska unionens domstol, Europeiska centralbanken, Europeiska revisionsrätten, Europeiska utrikestjänsten, Europeiska ekonomiska och sociala kommittén, Europeiska regionkommittén och Europeiska investeringsbanken om organiseringen och driften av incidenthanteringsorganisationen för unionens institutioner och byråer (CERT-EU) (14) för att bidra till upprättandet av gemensamma förfaranden, gemensamt språk och gemensam terminologi för utbyte av information. Enisa bör även i detta sammanhang engagera den privata sektorn, inom ramen för direktiv (EU) 2016/1148 som lade grunden för frivilligt utbyte av teknisk information på operativ nivå, i nätverket för enheter för hantering av it-säkerhetsincidenter (nedan kallat CSIRT-nätverket) som inrättats genom det direktivet.

(32)

Enisa bör bidra till insatser på unionsnivå i samband med storskaliga gränsöverskridande incidenter och -kriser avseende cybersäkerhet. Denna uppgift bör utföras i enlighet med Enisas mandat enligt denna förordning och en metod som medlemsstaterna enats om inom ramen för kommissionens rekommendation (EU) 2017/1584 (15) och rådets slutsatser av den 26 juni 2018 om EU:s samordnade insatser vid storskaliga cyberincidenter och cyberkriser. Den uppgiften skulle kunna omfatta insamling av relevant information och att fungera som kontaktpunkt mellan CSIRT-nätverket och såväl tekniska aktörer som beslutsfattare med ansvar för krishantering. Vidare bör Enisa stödja det operativa samarbetet mellan medlemsstater, på begäran av en eller flera medlemsstater, i hanteringen av incidenter ur ett tekniskt perspektiv och underlätta utbyte av relevanta tekniska lösningar mellan medlemsstaterna och genom att ge input till kommunikation med allmänheten. Enisa bör stödja det operativa samarbetet genom att granska formerna för sådant samarbete genom regelbundna cybersäkerhetsövningar.

(33)

Till stöd för det operativa samarbetet bör Enisa använda tillgänglig teknisk och operativ expertis från CERT-EU genom ett strukturerat samarbete. Det strukturerade samarbetet skulle kunna förstärka Enisas expertis. Vid behov bör särskilda arrangemang mellan de båda enheterna inrättas för att definiera det praktiska genomförandet av detta samarbete och undvika dubbelarbete.

(34)

I fullgörandet av sina uppgifter till stöd för det operativa samarbetet inom CSIRT-nätverket bör Enisa kunna tillhandahålla stöd till medlemsstaterna om de begär det, till exempel genom att ge råd om hur de ska förbättra sin förmåga att förebygga, upptäcka och reagera på incidenter, genom att underlätta den tekniska hanteringen av incidenter som har en betydande eller avsevärd inverkan, eller genom att säkerställa att hot och incidenter analyseras. Enisa bör underlätta den tekniska hanteringen av incidenter som har en betydande eller avsevärd inverkan framför allt genom att stödja frivilligt utbyte av tekniska lösningar mellan medlemsstater eller genom att ta fram kombinerad teknisk information (t.ex. tekniska lösningar som medlemsstaterna delar på frivillig grund). I rekommendation (EU) 2017/1584 rekommenderas medlemsstaterna att samarbeta i god tro och utbyta information sinsemellan och med Enisa om storskaliga incidenter och kriser avseende cybersäkerhet utan onödigt dröjsmål. Sådan information skulle kunna hjälpa Enisa att utföra sin uppgift att stödja det operativa samarbetet.

(35)

Som en del av det löpande samarbetet på teknisk nivå för att stödja en gemensam situationsmedvetenhet i unionen bör Enisa, i nära samarbete med medlemsstaterna, ta fram en regelbunden och fördjupad teknisk EU-lägesrapport om cyberincidenter och cyberhot, baserad på allmänt tillgänglig information, sin egen analys och rapporter som Enisa får från medlemsstaternas CSIRT-enheter eller de nationella gemensamma kontaktpunkterna för säkerhet i nätverks- och informationssystem enligt direktiv (EU) 2016/1148, båda på frivillig grund, Europeiska it-brottscentrumet (EC3) vid Europol, CERT-EU och, i tillämpliga fall, Europeiska unionens underrättelseanalyscentrum (EU Intcen) vid Europeiska utrikestjänsten. Rapporten bör göras tillgänglig för rådet, kommissionen, unionens höga representant för utrikes frågor och säkerhetspolitik samt CSIRT-nätverket.

(36)

Enisas stöd till tekniska efterhandsundersökningar av incidenter med betydande eller avsevärda konsekvenser som inletts på begäran av de berörda medlemsstaterna bör inriktas på att förhindra framtida incidenter. De berörda medlemsstaterna bör tillhandahålla den information och assistans som behövs för att göra det möjligt för Enisa att på ett ändamålsenligt sätt stödja den tekniska efterhandsundersökningen.

(37)

Medlemsstaterna får uppmana företag som berörs av incidenten att samarbeta genom att tillhandahålla nödvändig information och assistans till Enisa utan att det påverkar deras rätt att skydda kommersiellt känslig information och information som är relevant för allmän säkerhet.

(38)

För att bättre förstå utmaningarna inom cybersäkerhetsområdet, och i syfte att tillhandahålla strategisk långsiktig rådgivning till medlemsstaterna och unionens institutioner, organ och byråer, behöver Enisa analysera nuvarande och framväxande cybersäkerhetsrisker. För detta ändamål bör Enisa i samarbete med medlemsstaterna och, om lämpligt, med statistikorgan och andra organ samla in relevant information som är offentligt tillgänglig eller som delats på frivillig grund och utföra analyser av framväxande teknik och tillhandahålla ämnesspecifika bedömningar om förväntade samhälleliga, rättsliga, ekonomiska och regleringsmässiga konsekvenser av tekniska innovationer inom området nätverks- och informationssäkerhet, i synnerhet cybersäkerhet. Enisa bör också hjälpa medlemsstaterna och unionens institutioner, organ och byråer att identifiera framväxande cybersäkerhetsrisker och förebygga incidenter, genom att utföra analyser av cyberhot, sårbarheter och incidenter.

(39)

För att stärka unionens resiliens bör Enisa utveckla expertis på området cybersäkerhet i infrastrukturer, särskilt inom de sektorer som anges i bilaga II till direktiv (EU) 2016/1148 och de som används av de leverantörer av digitala tjänster som förtecknas i bilaga III till det direktivet genom att tillhandahålla rådgivning, vägledning och bästa praxis. För att säkerställa enklare tillgång till bättre strukturerad information om cybersäkerhetsrisker och möjliga motåtgärder bör Enisa utarbeta och underhålla unionens informationsnav, en gemensam webbportal som förser allmänheten med information om cybersäkerhet från unionens och medlemsstaternas institutioner, organ och byråer. Att underlätta tillgången till bättre strukturerad information om cybersäkerhetsrisker och möjliga motåtgärder skulle också kunna hjälpa medlemsstaterna att stärka sin kapacitet och anpassa sin praxis, och därmed att bättre stå emot cyberattacker i allmänhet.

(40)

Enisa bör bidra till att öka allmänhetens medvetenhet om cybersäkerhetsrisker, bland annat genom en EU-omfattande informationskampanj, genom att främja utbildning och ge vägledning om god praxis för enskilda användare riktad till privatpersoner, organisationer och företag. Enisa bör även bidra till att främja bästa praxis och lösningar, bland annat it-hygien och it-kompetens, för privatpersoner, organisationer och företag genom att samla in och analysera offentligt tillgänglig information om betydande incidenter och genom att sammanställa och offentliggöra rapporter och handböcker i syfte att ge vägledning till privatpersoner, organisationer och företag och att höja den allmänna beredskaps- och resiliensnivån. Enisa bör även sträva efter att förse konsumenter med relevant information om gällande certifieringsordning, t.ex. genom att tillhandahålla riktlinjer och rekommendationer. Enisa bör vidare, i enlighet med handlingsplanen för digital utbildning som fastställdes i kommissionens meddelande av den 17 januari 2018 och i samarbete med medlemsstaterna och unionens institutioner, organ och byråer, organisera regelbundna informations- och folkbildningskampanjer riktade till slutanvändare, i syfte att främja ett säkrare beteende bland enskilda internetanvändare och digital kompetens, för att höja medvetenheten om de potentiella hoten i cyberrymden, bland annat it-brottslighet såsom phishingattacker, botnät, ekonomiska bedrägerier och bankbedrägerier, incidenter rörande databedrägeri, samt att främja grundläggande rådgivning om flerfaktorautentisering, programkorrigeringar, kryptering, anonymisering och dataskydd.

(41)

Enisa bör spela en central roll när det gäller att höja slutanvändarnas medvetenhet om enheters säkerhet och säker användning av tjänster, och bör främja inbyggd säkerhet och inbyggt integritetsskydd på unionsnivå. För att uppnå detta mål bör Enisa på lämpligaste sätt använda tillgänglig bästa praxis och erfarenhet, framför allt bästa praxis och erfarenhet från akademiska institutioner och it-säkerhetsforskare.

(42)

För att stödja både de företag som verkar inom den europeiska cybersäkerhetssektorn och användarna av cybersäkerhetslösningar bör Enisa utveckla och underhålla ett ”marknadsobservatorium” genom att utföra regelbundna analyser och spridning av information om de viktigaste trenderna på cybersäkerhetsmarknaden, både på tillgångs- och efterfrågesidan.

(43)

Enisa bör bidra till unionens insatser för samarbete med internationella organisationer och inom ramarna för relevant internationellt samarbete på cybersäkerhetsområdet. Enisa bör framför allt, där så är lämpligt, bidra till samarbetet med organisationer som OECD, OSSE och Nato. Sådant samarbete kan omfatta gemensamma cybersäkerhetsövningar och gemensam samordning av insatser vid incidenter. Denna verksamhet ska utövas med full respekt för principerna om delaktighet, ömsesidighet och unionens beslutsautonomi, utan att det påverkar den särskilda karaktären hos någon medlemsstats säkerhets- och försvarspolitik.

(44)

För att se till att Enisa fullt ut uppnår sina mål bör den samarbeta med berörda EU-tillsynsmyndigheter och andra behöriga myndigheter i unionen, EU-institutioner, -byråer och -organ, däribland CERT-EU, EC3, Europeiska försvarsbyrån (EDA), Europeiska byrån för GNSS (GSA), Organet för europeiska regleringsmyndigheter för elektronisk kommunikation (Berec), Europeiska byrån för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (eu-LISA), Europeiska centralbanken (ECB), Europeiska bankmyndigheten (EBA), Europeiska dataskyddsstyrelsen, Byrån för samarbete mellan energitillsynsmyndigheter (Acer), Europeiska unionens byrå för luftfartssäkerhet (Easa) och andra unionsorgan som arbetar med cybersäkerhet. Enisa bör också samverka med myndigheter som hanterar dataskydd för att utbyta sakkunskap och bästa praxis samt ge råd om cybersäkerhetsaspekter som kan påverka deras arbete. Företrädare för medlemsstaternas och unionens rättsvårdande myndigheter och dataskyddsmyndigheter bör ha rätt att företrädas i Enisas rådgivande grupp. I samarbetet med rättsvårdande myndigheter om nätverks- och informationssäkerhetsaspekter som kan påverka deras arbete bör Enisa använda existerande informationskanaler och etablerade nätverk.

(45)

Samarbete kan upprättas med akademiska institutioner med forskningsinitiativ inom berörda områden och det bör finnas lämpliga kanaler för konsumentorganisationer och andra organisationer att framföra sina synpunkter, vilka bör beaktas.

(46)

Enisa bör i sin funktion som sekretariat åt CSIRT-nätverket stödja medlemsstaternas CSIRT-enheter och CERT-EU i det operativa samarbetet avseende alla relevanta uppgifter för CSIRT-nätverket som avses i direktiv (EU) 2016/1148. Enisa bör dessutom främja och stödja samarbete mellan de berörda CSIRT-enheterna i händelse av incidenter, attacker mot eller störningar i de nät eller den infrastruktur som förvaltas eller skyddas av dem och som berör eller kan beröra minst två CSIRT-enheter, och därvid beakta CSIRT-nätverkets operationella standardförfaranden.

(47)

För att öka unionens beredskap att hantera incidenter bör Enisa regelbundet organisera cybersäkerhetsövningar på unionsnivå och, på deras begäran, bistå medlemsstaterna och unionens institutioner, organ och byråer med att organisera sådana övningar. En gång vartannat år bör en storskalig heltäckande övning med tekniska, operativa och strategiska inslag organiseras. Enisa bör därutöver regelbundet kunna organisera mindre omfattande övningar med samma mål, att öka unionens beredskap att hantera incidenter.

(48)

Enisa bör vidareutveckla och underhålla sina kunskaper om cybersäkerhetscertifiering för att stödja unionens politik på detta område. Enisa bör bygga vidare på befintlig bästa praxis och främja spridningen av cybersäkerhetscertifiering i unionen, bland annat genom att bidra till inrättandet och underhållandet av ett ramverk för cybersäkerhetscertifiering på unionsnivå (europeiskt ramverk för cybersäkerhetscertifiering), i syfte att öka öppenheten i fråga om assuransnivån för cybersäkerhet hos IKT-produkter, IKT-tjänster IKT-processer genom att stärka förtroendet för den digitala inre marknaden och dess konkurrenskraft.

(49)

Effektiva cybersäkerhetsstrategier bör bygga på välutvecklade metoder för riskbedömning, både inom den offentliga och inom den privata sektorn. Riskbedömningsmetoder används på olika nivåer, men det saknas gemensam praxis för hur de ska tillämpas på ett effektivt sätt. Främjande och utveckling av bästa praxis för riskbedömning och för interoperabla lösningar för riskhantering inom organisationer i den offentliga och privata sektorn kommer att höja cybersäkerhetsnivån i unionen. Därför bör Enisa stödja samarbete mellan intressenter på unionsnivå och främja deras insatser för upprättande och tillämpning av europeiska och internationella standarder för riskhantering och mätbar säkerhet för elektroniska produkter, system, nät och tjänster som tillsammans med programvara utgör nätverks- och informationssystemen.

(50)

Enisa bör uppmuntra medlemsstaterna, tillverkare eller leverantörer av IKT-produkter, IKT-tjänster eller IKT-processer att höja sina allmänna säkerhetsstandarder så att alla internetanvändare kan vidta de åtgärder som krävs för att trygga sin egen cybersäkerhet och bör ha incitament att göra detta. I synnerhet bör tillverkare eller leverantörer av IKT-produkter, IKT-tjänster eller IKT-processer tillhandahålla nödvändiga uppdateringar och bör återkalla, dra tillbaka eller återvinna IKT-produkter, IKT-tjänster eller IKT-processer som inte uppfyller cybersäkerhetsstandarderna, medan importörer och distributörer bör säkerställa att IKT-produkter, IKT-tjänster och IKT-processer som de släpper ut på unionsmarknaden uppfyller gällande krav och inte utgör en risk för unionens konsumenter.

(51)

I samarbete med de behöriga myndigheterna bör Enisa kunna sprida uppgifter om cybersäkerhetsnivån för de IKT-produkter, IKT-tjänster och IKT-processer som erbjuds på den inre marknaden, och utfärda varningar riktade till tillverkare eller leverantörer av IKT-produkter, IKT-tjänster eller IKT-processer och ålägga dem att förbättra sina IKT-produkters, IKT-tjänsters och IKT-processers säkerhet, inbegripet cybersäkerhet.

(52)

Enisa bör i sitt arbete fullt ut beakta pågående forskning, utveckling och tekniska bedömningar, i synnerhet sådan verksamhet som bedrivs inom unionens olika forskningsinitiativ för att ge råd till unionens institutioner, organ och byråer och, i tillämpliga fall, till medlemsstaterna på deras begäran om forskningsbehoven och prioriteringarna på området cybersäkerhet. För att identifiera behov och prioriteringar för forskningen bör Enisa även rådfråga berörda användargrupper. Mer specifikt skulle ett samarbete kunna upprättas med Europeiska forskningsrådet, Europeiska institutet för innovation och teknik och Europeiska unionens institut för säkerhetsstudier.

(53)

Vid utarbetandet av de europeiska ordningarna för cybersäkerhetscertifiering bör Enisa regelbundet samråda med standardiseringsorganisationerna, i synnerhet de europeiska standardiseringsorganisationerna.

(54)

Cyberhot är en global fråga. Det behövs ett tätare internationellt samarbete för att förbättra cybersäkerhetsstandarder, bland annat genom att fastställa gemensamma beteendenormer och anta uppförandekoder, användning av internationella standarder, och informationsutbyte, och på så vis främja snabbare internationellt samarbete som svar på nätverks- och informationssäkerhetsproblem och främja en gemensam global syn på sådana problem. Därför bör Enisa stödja ett starkare unionsdeltagande och samarbete med tredjeländer och internationella organisationer genom att, när så är lämpligt, tillhandahålla nödvändig expertis och nödvändiga analyser till berörda unionsinstitutioner, organ och byråer.

(55)

Enisa bör kunna besvara ad hoc-förfrågningar om råd och bistånd från medlemsstaterna och unionens institutioner, organ och byråer som omfattas av Enisas uppdrag.

(56)

Det är klokt och tillrådligt att genomföra vissa principer för Enisas förvaltning i syfte att följa det gemensamma uttalande och den gemensamma ansats som den interinstitutionella arbetsgruppen för EU:s decentraliserade byråer enades om i juli 2012 och vars syfte är att effektivisera de decentraliserade byråernas verksamhet och förbättra deras resultat. Rekommendationerna i det gemensamma uttalandet och den gemensamma ansatsen bör också återspeglas, allt efter vad som är lämpligt, i Enisas arbetsprogram, utvärderingar av Enisa och Enisas rapportering och administration.

(57)

Styrelsen, som består av företrädare för medlemsstaternas och kommissionens företrädare, bör fastställa den allmänna inriktningen för Enisas verksamhet och se till att den utför sina uppgifter i enlighet med denna förordning. Styrelsen bör ha de nödvändiga befogenheterna för att fastställa budgeten och kontrollera att den genomförs, anta lämpliga finansiella bestämmelser, utarbeta klara och tydliga förfaranden för Enisas beslutsfattande, anta Enisas samlade programdokument, anta sin egen arbetsordning, utse den verkställande direktören, besluta om förlängning och avslutande av hans eller hennes mandat.

(58)

För att Enisa ska fungera väl och effektivt bör kommissionen och medlemsstaterna säkerställa att personer som utses till styrelseledamöter har lämplig yrkesmässig expertis och erfarenhet. Medlemsstaterna och kommissionen bör även eftersträva att begränsa omsättningen av deras respektive företrädare i styrelsen i syfte att skapa kontinuitet i dess arbete.

(59)

För att Enisa ska fungera väl bör den verkställande direktören utses på grundval av meriter, dokumenterad skicklighet i förvaltning och ledarskap samt kompetens och erfarenheter som rör cybersäkerhet. Den verkställande direktörens uppgifter bör utföras med fullständigt oberoende. Den verkställande direktören bör utarbeta ett förslag till årligt arbetsprogram för Enisa, efter samråd med kommissionen, och bör vidta alla åtgärder som är nödvändiga för att säkerställa att arbetsprogrammet genomförs på rätt sätt. Den verkställande direktören bör utarbeta en årsrapport som ska föreläggas styrelsen, som omfattar genomförandet av Enisas årliga arbetsprogram, upprätta en preliminär beräkning av Enisas inkomster och utgifter samt genomföra budgeten. Den verkställande direktören bör också ha möjlighet att inrätta tillfälliga arbetsgrupper som i synnerhet ska behandla vetenskapliga, tekniska, rättsliga eller socioekonomiska frågor. Inrättandet av en tillfällig arbetsgrupp anses i synnerhet nödvändigt i samband med att ett särskilt förslag till europeisk ordning för cybersäkerhetscertifiering (nedan kallat förslag till certifieringsordning) ska utarbetas. Den verkställande direktören bör se till att de tillfälliga arbetsgruppernas medlemmar väljs med utgångspunkt i högsta möjliga standard när det gäller expertkunskaper, med målsättningen att det bör finnas en balans mellan könen och, utifrån de specifika frågor som berörs, en lämplig balans mellan medlemsstaternas förvaltningar, unionens institutioner, organ och byråer och den privata sektorn, inklusive branschen, användare och akademiska experter på nätverks- och informationssäkerhet.

(60)

Direktionen bör bidra till att styrelsen fungerar på ett effektivt sätt. Som ett led i det förberedande arbetet i samband med styrelsens beslut bör styrelsen i detalj granska relevant information och utforska tillgängliga alternativ och ge råd och lösningar för att utarbeta beslut av styrelsen.

(61)

Enisa bör ha Enisas rådgivande grupp som rådgivande organ, för att säkerställa en regelbunden dialog med den privata sektorn, konsumentorganisationer och andra berörda intressenter. Enisas rådgivande grupp, som inrättats av styrelsen på förslag av den verkställande direktören, bör koncentrera sig på frågor som är relevanta för intressenter och uppmärksamma Enisa på dem. Enisas rådgivande grupp bör särskilt rådfrågas om utkastet till Enisas årliga arbetsprogram. Sammansättning av Enisas rådgivande grupp och de uppgifter som anförtrotts den, bör säkerställa en tillräcklig representation av intressenter i Enisas arbete.

(62)

Intressentgruppen för cybersäkerhetscertifiering bör inrättas för att hjälpa Enisa och kommissionen genom att underlätta samråd med berörda intressenter. Intressentgruppen för cybersäkerhetscertifiering bör vara sammansatt av medlemmar som i jämn proportion representerar branschen, såväl på efterfrågesidan som på utbudssidan när det gäller IKT-produkter och IKT-tjänster och särskilt innefattande små och medelstora företag, leverantörer av digitala tjänster, europeiska och internationella standardiseringsorgan, nationella ackrediteringsorgan, tillsynsmyndigheter med ansvar för dataskydd och organ för bedömning av överensstämmelse i enlighet med Europaparlamentets och rådets förordning (EG) nr 765/2008 (16), den akademiska världen och konsumentorganisationer.

(63)

Enisa bör ha regler för förebyggande och hantering av intressekonflikter. Enisa bör också tillämpa relevanta unionsbestämmelser om allmänhetens tillgång till handlingar enligt Europaparlamentets och rådets förordning (EG) nr 1049/2001 (17). Enisas behandling av personuppgifter bör ske i enlighet med Europaparlamentets och rådets förordning (EU) 2018/1725 (18). Enisa bör efterleva de bestämmelser som gäller för unionens institutioner, organ och byråer och den nationella lagstiftning som rör hantering av information, i synnerhet känsliga icke-säkerhetsskyddsklassificerade uppgifter och säkerhetsskyddsklassificerade EU-uppgifter.

(64)

För att garantera Enisas autonomi och oberoende och ge den möjlighet att utföra kompletterande uppgifter, också oförutsedda uppgifter i en krissituation, bör Enisa ges en tillräcklig egen budget där intäkterna främst bör bestå av ett bidrag från unionen och bidrag från tredjeländer som deltar i Enisas arbete. En adekvat budget är av största vikt för att säkerställa att Enisa har tillräcklig kapacitet att fullgöra alla sina växande uppgifter och uppnå sina mål. Huvuddelen av Enisas personal bör vara direkt delaktig i det operativa genomförandet av Enisas mandat. Värdmedlemsstaten, eller varje annan medlemsstat, bör ha rätt att lämna frivilliga bidrag till Enisas budget. Unionens budgetförfarande bör även i fortsättningen tillämpas på de bidrag som belastar unionens allmänna budget. Dessutom bör revisionsrätten granska Enisas räkenskaper för att säkerställa insyn och ansvarighet.

(65)

Cybersäkerhetscertifiering har stor betydelse för att öka förtroendet för och säkerheten hos IKT-produkter, IKT-tjänster och IKT-processer. Den digitala inre marknaden, och särskilt den datadrivna ekonomin och sakernas internet, kan utvecklas framgångsrikt endast om allmänheten litar på att sådana produkter, tjänster och processer har en viss nivå i fråga om cybersäkerhet. Uppkopplade och automatiserade bilar, elektroniska medicintekniska produkter, styrsystem för industriell automation och smarta elnät är bara några exempel på sektorer inom vilka certifiering redan används eller kan komma att användas i en nära framtid. De sektorer som regleras av direktiv (EU) 2016/1148 är också sektorer där cybersäkerhetscertifiering är av yttersta vikt.

(66)

I sitt meddelande från 2016 Stärka Europas system för cyberresiliens och främja en konkurrenskraftig och innovativ cybersäkerhetsbransch tog kommissionen upp behovet av billiga och interoperabla cybersäkerhetsprodukter och cybersäkerhetslösningar av hög kvalitet. Utbudet av IKT-produkter, IKT-tjänster och IKT-processer på den inre marknaden är fortfarande i hög grad geografiskt fragmenterat. Cybersäkerhetsbranschen i Europa har till stor del utvecklats med stöd av nationell statlig efterfrågan. Bristen på interoperabla lösningar (tekniska standarder), förfaranden och EU-mekanismer för certifiering är några av de andra faktorer som påverkar den inre marknaden för cybersäkerhet. Detta gör det svårt för europeiska företag att konkurrera på nationell nivå, unionsnivå och global nivå. Det minskar också utbudet av livskraftig och användbar cybersäkerhetsteknik som enskilda och företag har tillgång till. Även i meddelandet från 2017 om halvtidsöversynen av genomförandet av strategin för den digitala inre marknaden – En ansluten digital inre marknad för alla underströk kommissionen behovet av säkra uppkopplade produkter och system, och framhöll att skapandet av en europeisk IKT-säkerhetsram med regler om hur IKT-säkerhetscertifiering ska organiseras i unionen kan bevara förtroendet för internet och samtidigt motverka den nuvarande fragmenteringen av den inre marknaden.

(67)

För närvarande används cybersäkerhetscertifiering för IKT-produkter, IKT-tjänster och IKT-processer endast i begränsad omfattning. I de fall det förekommer är det oftast på medlemsstatsnivå eller inom ramen för industridrivna system. Ett certifikat utfärdat av en nationell myndighet för cybersäkerhetscertifiering i ett sådant sammanhang erkänns i princip inte av andra medlemsstater. Företag kan därför behöva certifiera sina IKT-produkter, IKT-tjänster och IKT-processer i flera medlemsstater där de bedriver verksamhet, exempelvis för att kunna delta i nationella upphandlingsförfaranden, varvid de ökar sina omkostnader. Även om nya system utvecklas, tycks det inte finnas någon samlad helhetssyn på övergripande cybersäkerhetsfrågor, exempelvis inom området sakernas internet. Befintliga system uppvisar allvarliga brister och skillnader i fråga om produkttäckning, assuransnivå, grundläggande kriterier och faktisk användning, vilket utgör ett hinder för mekanismer för ömsesidigt erkännande inom unionen.

(68)

Vissa ansträngningar har gjorts för att få till stånd ett ömsesidigt erkännande av certifikat inom unionen. De har dock endast delvis varit framgångsrika. Det främsta exemplet är det avtal om ömsesidigt erkännande (MRA) som ingåtts inom gruppen av höga tjänstemän på informationssäkerhetsområdet (SOG-IS). Även om det är den viktigaste modellen för samarbete och ömsesidigt erkännande av säkerhetscertifiering omfattar SOG-IS endast vissa av medlemsstaterna. Detta har begränsat SOG-IS-avtalets effektivitet för den inre marknaden.

(69)

Det är därför nödvändigt att anta en gemensam ansats och att inrätta ett europeiskt ramverk för cybersäkerhetscertifiering som fastställer de viktigaste övergripande kraven för europeiska ordningar för cybersäkerhetscertifiering som ska utvecklas, och som gör att europeiska cybersäkerhetscertifikat och en EU-försäkran om överensstämmelse för IKT-produkter och IKT-tjänster kan erkännas och användas i samtliga medlemsstater. I detta sammanhang är det viktigt att bygga vidare på befintliga nationella och internationella system och på system för ömsesidigt erkännande, i synnerhet SOG-IS, och att möjliggöra en smidig övergång från befintliga ordningar inom ramen för sådana system till system inom ramen för den nya europeiska ramen för cybersäkerhetscertifiering. Den europeiska ramen för cybersäkerhetscertifiering bör ha ett dubbelt syfte. Å ena sidan bör den bidra till att öka förtroendet för IKT-produkter, IKT-tjänster och IKT-processer som har certifierats enligt europeiska ordningar för cybersäkerhetscertifiering. Å andra sidan bör den undvika att det uppstår flera olika motstridiga eller överlappande nationella ordningar för cybersäkerhetscertifieringar och därmed minska kostnaderna för företag som är verksamma på den digitala inre marknaden. De europeiska ordningarna för cybersäkerhetscertifiering bör vara icke-diskriminerande och grundas på europeiska eller internationella standarder såvida inte dessa standarder är ineffektiva eller olämpliga för att förverkliga unionens legitima mål i detta avseende.

(70)

Den europeiska ramen för cybersäkerhetscertifiering bör inrättas på ett enhetligt sätt i alla medlemsstater i syfte att förhindra certifieringsshopping utifrån skillnader i kravnivå i olika medlemsstater.

(71)

De europeiska ordningarna för cybersäkerhetscertifiering bör bygga på vad som redan existerar på internationell och nationell nivå och, om så krävs, på tekniska specifikationer från forum och konsortier, varvid man bör lära av nuvarande styrkor och utvärdera och rätta till svagheter.

(72)

Flexibla cybersäkerhetslösningar är nödvändiga för att branschen ska kunna föregripa cyberhot, och därför bör alla certifieringsordningar utformas så att de inte riskerar att snabbt bli föråldrade.

(73)

Kommissionen bör ges befogenhet att anta europeiska ordningar för cybersäkerhetscertifiering för särskilda grupper av IKT-produkter, IKT-tjänster och IKT-processer. Dessa ordningar bör genomföras och övervakas av nationella myndigheter för cybersäkerhetscertifiering, och certifikat utfärdade enligt dessa ordningar bör vara giltiga och erkännas i hela unionen. Certifieringsordningar som drivs av industrin eller andra privata organisationer bör inte ingå i denna förordnings tillämpningsområde. De organ som handhar sådana ordningar kan dock föreslå kommissionen att överväga sådana ordningar som en grund för att godkänna dem som en europeisk ordning för cybersäkerhetscertifiering.

(74)

Bestämmelserna i denna förordning bör inte påverka tillämpningen av unionsrätt som innehåller särskilda bestämmelser om certifiering av IKT-produkter, IKT-tjänster och IKT-processer. Särskilt förordning (EU) 2016/679 innehåller bestämmelser för införandet av certifieringsmekanismer samt sigill och märkningar för dataskydd för att visa att personuppgiftsansvarigas eller personuppgiftsbiträdens uppgiftsbehandling är förenlig med den förordningen. Dessa certifieringsmekanismer samt sigill och märkningar för dataskydd bör göra det möjligt för de registrerade att snabbt bedöma dataskyddsnivån för relevanta IKT-produkter, IKT-tjänster och IKT-processer. Den här förordningen påverkar inte certifieringen av uppgiftsbehandling enligt förordning (EU) 2016/679, inte heller om denna verksamhet ingår i IKT-produkter, IKT-tjänster och IKT-processer.

(75)

Syftet med europeiska ordningar för cybersäkerhetscertifiering bör vara att säkerställa att IKT-produkter, IKT-tjänster och IKT-processer som certifierats enligt en sådan ordning uppfyller de angivna kraven i syfte att skydda tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade eller överförda eller behandlade uppgifter eller de därmed sammanhängande funktioner eller tjänster som tillhandahålls av eller är tillgängliga via dessa produkter, tjänster och processer under hela livscykeln i den mening som avses i denna förordning. Det är inte möjligt att i detalj fastställa cybersäkerhetskraven för alla IKT-produkter, IKT-tjänster och IKT-processer i denna förordning. IKT-produkter, IKT-tjänster och IKT-processer och cybersäkerhetsbehov relaterade till dessa produkter, tjänster och processer är så olikartade att det är mycket svårt att ta fram allmänna cybersäkerhetskrav som är giltiga under alla omständigheter. Det är därför nödvändigt att anta ett brett och allmänt cybersäkerhetsbegrepp när det gäller certifieringsändamål, som bör kompletteras med en uppsättning specifika cybersäkerhetmål som måste beaktas vid utformningen av europeiska ordningar för cybersäkerhetscertifiering. Formerna för att uppnå dessa mål i specifika IKT-produkter, IKT-tjänster och IKT-processer bör sedan fastställas i detalj för den enskilda certifieringsordningen som antas av kommissionen, till exempel genom hänvisningar till standarder eller tekniska specifikationer om inga lämpliga standarder finns tillgängliga.

(76)

De tekniska specifikationer som ska användas i europeiska ordningar för cybersäkerhetscertifiering bör iaktta principerna i bilaga II till Europaparlamentets och rådets förordning (EU) nr 1025/2012 (19). Vissa avvikelser från dessa krav kan dock anses nödvändiga i vederbörligen motiverade fall där dessa tekniska specifikationer ska användas i en europeisk ordning för cybersäkerhetscertifiering med hänvisning till assuransnivån ”hög”. Skälen för dessa avvikelser bör offentliggöras.

(77)

En bedömning av överensstämmelse avser det förfarande genom vilket man utvärderar om fastställda krav för en IKT-produkt, IKT-tjänst eller IKT-process har uppfyllts. Detta förfarande utförs av en oberoende tredje part som inte är tillverkaren eller leverantören av de IKT-produkter, IKT-tjänster eller IKT-processer som bedöms. Ett europeiskt cybersäkerhetscertifikat bör utfärdas efter framgångsrik utvärdering av en IKT-produkt, IKT-tjänst eller IKT-process. Ett europeiskt cybersäkerhetscertifikat bör betraktas som en bekräftelse på att en utvärdering har genomförts på ett korrekt sätt. Beroende på assuransnivå bör den europeiska ordningen för cybersäkerhetscertifiering ange om det europeiska cybersäkerhetscertifikatet ska utfärdas av ett privat eller offentligt organ. Bedömning av överensstämmelse och certifiering utgör inte i sig någon garanti för att certifierade IKT-produkter och IKT-tjänster är cybersäkra. De är snarare förfaranden och tekniska metoder för att intyga att IKT-produkter, IKT-tjänster och IKT-processer har testats och att de uppfyller vissa cybersäkerhetskrav som fastställs på annan plats, till exempel i tekniska standarder.

(78)

Valet av lämplig certifiering och därtill knutna säkerhetskrav av användarna av europeiska cybersäkerhetscertifikat bör grundas på en riskanalys som avser risker med användningen av IKT-produkten, IKT-tjänsten eller IKT-processen. Assuransnivån bör därför stå i proportion till nivån på den risk som är förenad med den avsedda användningen av en IKT-produkt, IKT-tjänst eller IKT-process.

(79)

Europeiska ordningar för cybersäkerhetscertifiering skulle kunna ge tillverkaren eller leverantören av IKT-produkter, IKT-tjänster och IKT-processer möjlighet att på eget ansvar göra en bedömning av överensstämmelse (nedan kallad självbedömning av överensstämmelse). I sådana fall bör det vara tillräckligt att tillverkaren eller leverantören av IKT-produkter, IKT-tjänster och IKT-processer själv genomför alla kontroller för att säkerställa att IKT-produkten, IKT-tjänsten eller IKT-processen överensstämmer med den europeiska ordningen för cybersäkerhetscertifiering. Denna typ av bedömning av överensstämmelse bör anses lämplig för IKT-produkter och IKT-tjänster med lägre komplexitet (exempelvis enkel utformning och tillverkningsmetod) som inte utgör en stor risk för det allmänna samhällsintresset. Dessutom bör självbedömning av överensstämmelse endast tillåtas för IKT-produkter, IKT-tjänster eller IKT-processer när de motsvarar assuransnivån ”grundläggande”.

(80)

Europeiska ordningar för cybersäkerhetscertifiering kan möjliggöra både självbedömning av överensstämmelse och certifiering för IKT-produkter, IKT-tjänster eller IKT-processer. I detta fall bör ordningen föreskriva tydliga och begripliga möjligheter för konsumenter och andra användare att skilja mellan IKT-produkter, IKT-tjänster eller IKT-processer med avseende på vilken tillverkare eller leverantör av IKT-produkter, IKT-tjänster eller IKT-processer som har ansvar för bedömningen, och IKT-produkter, IKT-tjänster eller IKT-processer som har certifierats av en tredje part.

(81)

Tillverkare eller leverantörer av IKT-produkter, IKT-tjänster eller IKT-processer som utför en självbedömning av överensstämmelse bör kunna upprätta och underteckna en EU-försäkran om överensstämmelse som ett led i förfarandet för bedömning av överensstämmelse. En EU-försäkran om överensstämmelse är ett dokument som anger att en särskild IKT-produkt, IKT-tjänst eller IKT-process uppfyller kraven i den europeiska ordningen för cybersäkerhetscertifiering. Genom att upprätta och underteckna EU-försäkran om överensstämmelse tar tillverkaren eller leverantören av IKT-produkter, IKT-tjänster eller IKT-processer på sig ansvaret för att IKT-produkten, IKT-tjänsten eller IKT-processen uppfyller de rättsliga kraven i den europeiska ordningen för cybersäkerhetscertifiering. En kopia av EU-försäkran om överensstämmelse bör lämnas in till den nationella myndigheten för cybersäkerhetscertifiering och till Enisa.

(82)

Tillverkaren eller leverantören av IKT-produkter, IKT-tjänster eller IKT-processer bör under en period som fastställs i den berörda europeiska ordningen för cybersäkerhetscertifiering ge den behöriga nationella myndigheten för cybersäkerhetscertifiering tillgång till EU-försäkran om överensstämmelse, teknisk dokumentation och all annan relevant information avseende IKT-produkternas, IKT-tjänsternas eller IKT-processernas överensstämmelse med den relevanta europeiska ordningen för cybersäkerhetscertifiering. Den tekniska dokumentationen bör specificera de krav som är tillämpliga enligt ordningen och bör, i den mån det krävs för självbedömningen av överensstämmelse, även innehålla en beskrivning av IKT-produktens, IKT-tjänstens eller IKT-processens konstruktion, tillverkning och funktion. Den tekniska dokumentationen bör utarbetas på ett sätt som möjliggör bedömning av en IKT-produkts eller en IKT-tjänsts överensstämmelse med de krav som är tillämpliga enligt ordningen.

(83)

I styrningen av den europeiska ramen för cybersäkerhetscertifiering beaktas medlemsstaternas deltagande och lämpligt deltagande av intressenter, dessutom definieras kommissionens roll under hela processen för planering samt förslag till, begäran om, utarbetande, antagande och översyn av europeiska ordningar för cybersäkerhetscertifiering.

(84)

Kommissionen bör med stöd av europeiska gruppen för cybersäkerhetscertifiering och intressegruppen för cybersäkerhetscertifiering och efter öppna och omfattande samråd utarbeta ett löpande arbetsprogram på unionsnivå för de europeiska ordningarna för cybersäkerhetscertifiering och bör offentliggöra detta i form av ett instrument som inte är bindande. Unionens löpande arbetsprogram bör vara ett strategidokument som gör det möjligt för framför allt branschen, nationella myndigheter och standardiseringsorgan att förbereda sig inför framtida europeiska ordningar för cybersäkerhetscertifiering. Unionens löpande arbetsprogram bör inbegripa en flerårig översikt över de förslag till certifieringsordning som kommissionen har för avsikt att uppmana Enisa att utarbeta på specificerade grunder. Kommissionen bör beakta unionens löpande arbetsprogram vid utarbetandet av sin löpande plan för IKT-standardisering och standardiseringsförfrågningar till Europeiska standardiseringsorganisationer. Med tanke på den snabba utvecklingen och spridningen av ny teknik, uppkomsten av nya, tidigare okända cybersäkerhetsrisker samt lagstiftnings- och marknadsutvecklingar bör kommissionen eller europeiska gruppen för cybersäkerhetscertifiering ha rätt att begära att Enisa ska utarbeta förslag till certifieringsordning som inte finns med i unionens löpande arbetsprogram. Kommissionen och europeiska gruppen för cybersäkerhetscertifiering bör i sådana fall också göra en behovsbedömning av en sådan begäran genom att beakta denna förordnings övergripande syften och mål och behovet av att säkerställa kontinuiteten i Enisas planering och resursanvändning.

Efter mottagandet av en sådan begäran bör Enisa utan onödigt dröjsmål utarbeta förslag till certifieringsordning för särskilda IKT-produkter, IKT-tjänster eller IKT-processer. Kommissionen bör utvärdera de positiva och negativa konsekvenserna av begäran på den specifika marknad som berörs, särskilt för små och medelstora företag, innovation, hinder för tillträde till den marknaden och kostnader för slutanvändare. Kommissionen bör, på grundval av Enisas förslag till certifieringsordning, ges befogenhet att anta den europeiska ordningen för cybersäkerhetscertifiering genom genomförandeakter. Med beaktande av det allmänna syfte och de säkerhetsmålsättningar som fastställs i denna förordning bör den i europeiska ordningar för cybersäkerhetscertifiering som antas av kommissionen specificeras en minimiuppsättning komponenter avseende den enskilda ordningens föremål, tillämpningsområde och funktionssätt. Dessa delar bör bland annat omfatta cybersäkerhetscertifieringens tillämpningsområde och föremål, inklusive de kategorier av IKT-produkter, IKT-tjänster och IKT-processer som omfattas, den detaljerade specifikationen av cybersäkerhetskraven, exempelvis genom hänvisning till standarder eller tekniska specifikationer, de särskilda utvärderingskriterierna och utvärderingsmetoderna samt den avsedda assuransnivån (”grundläggande”, ”betydande” eller ”hög”) och i förekommande fall utvärderingsnivåerna. Enisa bör kunna avvisa en begäran från europeiska gruppen för cybersäkerhetscertifiering. Sådana beslut bör fattas av styrelsen och bör vederbörligen motiveras.

(85)

Enisa bör upprätthålla en webbplats med information om och offentliggörande av europeiska ordningar för cybersäkerhetscertifiering som bör omfatta bland annat begäran om utarbetande av ett förslag till certifieringsordning samt den återkoppling som mottagits i den samrådsprocess som genomförs av Enisa i förberedelsefasen. Denna webbplats bör också tillhandahålla information om de europeiska cybersäkerhetscertifikaten och EU-försäkringar om överensstämmelse som utfärdas enligt denna förordning samt information om återkallande och utgång av sådana europeiska cybersäkerhetscertifikat och EU-försäkringar. På webbplatsen bör det också anges vilka nationella ordningar för cybersäkerhetscertifiering som har ersatts av en europeisk ordning för cybersäkerhetscertifiering.

(86)

Assuransnivån för en europeisk certifieringsordning utgör förtroendegrunden för att en IKT-produkt, IKT-tjänst eller IKT-process, uppfyller säkerhetskraven i en särskild europeisk ordning för cybersäkerhetscertifiering. I syfte att säkerställa konsekvens i den europeiska ramen för cybersäkerhetscertifiering bör en europeisk ordning för cybersäkerhetscertifiering kunna specificera assuransnivån för europeiska cybersäkerhetscertifikat och EU-försäkringar om överensstämmelse som utfärdats inom ramen för den ordningen. Varje europeiskt cybersäkerhetscertifikat kan avse någon av assuransnivåerna ”grundläggande”, ”betydande” eller ”hög”, medan EU-försäkran om överensstämmelse endast kan avse assuransnivån ”grundläggande”. Assuransnivåerna avspeglar motsvarande stringens och djup i fråga om utvärdering av IKT-produkten, IKT-tjänsten och IKT-processen och fastställs genom hänvisning till tekniska specifikationer, standarder och förfaranden med koppling till detta, inbegripet tekniska kontroller, som ska mildra eller förhindra incidenter. Varje assuransnivå bör vara konsekvent inom de olika sektoriella områden där certifiering tillämpas.

(87)

En europeisk ordning för cybersäkerhetscertifiering kan ha flera utvärderingsnivåer beroende på hur stringent och djupgående utvärderingsmetoden är. Utvärderingsnivåer bör motsvara en av assuransnivåerna och vara kopplad till en lämplig kombination av assuranskomponenter. För samtliga assuransnivåer bör IKT-produkten, IKT-tjänsten eller IKT-processen omfatta en rad säkra funktioner som fastställs i ordningen, exempelvis följande: säker nyskapande konfiguration, signerad kod, säker uppdatering och mekanismer för begränsad exploatering samt fullt stack- eller minnesskydd. Dessa funktioner bör utarbetas och underhållas med säkerhetsinriktade utvecklingsstrategier och tillhörande verktyg för att säkerställa att effektiva mekanismer för maskin- och programvara är inbyggda på ett tillförlitligt sätt.

(88)

För assuransnivån ”grundläggande” bör utvärderingen omfatta minst följande assuranskomponenter: I utvärderingen bör det åtminstone ingå en översyn av IKT-produktens, IKT-tjänstens eller IKT-processens tekniska dokumentation som utförs av organet för bedömning av överensstämmelse. Om certifieringen omfattar IKT-processer bör den process som använts för att utforma, utveckla och underhålla en IKT-produkt eller IKT-tjänst även omfattas av den tekniska översynen. Om en europeisk ordning för cybersäkerhetscertifiering ger möjlighet till självbedömning av överensstämmelse bör det vara tillräckligt att tillverkaren eller leverantören av IKT-produkter, IKT-tjänster eller IKT-processer har gjort en självbedömning av IKT-produktens, IKT-tjänstens eller IKT-processens överensstämmelse med certifieringsordningen.

(89)

För assuransnivån ”betydande” bör utvärderingen, utöver kraven för assuransnivån ”grundläggande”, åtminstone omfatta en kontroll av överensstämmelsen mellan IKT-produktens, IKT-tjänstens eller IKT-processens säkerhetsfunktioner och den tekniska dokumentationen.

(90)

För assuransnivån ”hög” bör utvärderingen, utöver kraven för assuransnivån ”betydande”, åtminstone omfatta ett effektivitetstest som bedömer resistensen hos IKT-produktens, IKT-tjänstens eller IKT-processens säkerhetsfunktioner gentemot genomtänkta cyberangrepp som utförs av personer med betydande kompetens och resurser.

(91)

Användningen av europeisk cybersäkerhetscertifiering och EU-försäkran om överensstämmelse bör vara frivillig, om inte annat föreskrivs i unionsrätten eller medlemsstaternas nationella rätt som antagits i enlighet med unionsrätten. I avsaknad av harmoniserad unionsrätt får medlemsstaterna införa nationella tekniska föreskrifter som föreskriver obligatorisk certifiering inom ramen för en europeisk ordning för cybersäkerhetscertifiering i enlighet med Europaparlamentets och rådets direktiv (EU) 2015/1535 (20). Medlemsstaterna kan även använda europeisk cybersäkerhetscertifiering i samband med offentlig upphandling och Europaparlamentets och rådets direktiv 2014/24/EU (21).

(92)

På vissa områden kan det bli nödvändigt att i framtiden införa särskilda krav på cybersäkerhet och göra cybersäkerhetscertifiering obligatorisk för vissa IKT-produkter, IKT-tjänster och IKT-processer för att förbättra cybersäkerheten i unionen. Kommissionen bör med jämna mellanrum följa upp vilka effekter antagna europeiska ordningar för cybersäkerhetscertifiering har på tillgången till säkra IKT-produkter, IKT-tjänster och IKT-processer på den inre marknaden och bör regelbundet bedöma i hur hög utsträckning tillverkare och leverantörer av IKT-produkter, IKT-tjänster och IKT-processer i unionen använder certifieringsordningarna. Effektiviteten hos de europeiska ordningarna för cybersäkerhetscertifiering, och huruvida bestämda ordningar borde göras obligatoriska, bör bedömas mot bakgrund av unionens lagstiftning med koppling till cybersäkerhet, särskilt direktiv (EU) 2016/1148, med beaktande av säkerheten i nätverks- och informationssystem som används av leverantörer av samhällsviktiga tjänster.

(93)

Europeiska cybersäkerhetscertifikat och EU-försäkringar om överensstämmelse bör hjälpa slutanvändarna att göra välinformerade val. IKT-produkter, IKT-tjänster och IKT-processer som certifierats eller varit föremål för en EU-försäkring om överensstämmelse bör därför åtföljas av information som anpassats till den avsedda slutanvändarens förväntade tekniska nivå. All sådan information bör finnas tillgänglig online och, om lämpligt, i fysisk form. Slutanvändaren bör ha tillgång till information om referensnumret för certifieringsordningen, assuransnivån, beskrivningen av de risker som är förenade med IKT-produkten, IKT-tjänsten och IKT-processen, och den utfärdande myndigheten eller det utfärdande organet, eller bör kunna få en kopia av det europeiska cybersäkerhetscertifikatet. Dessutom bör slutanvändaren informeras om supportpolicy för cybersäkerhet, dvs. hur länge slutanvändaren kan förvänta sig att motta cybersäkerhetsuppdateringar eller programkorrigeringar från tillverkarens eller leverantörens IKT-produkter, IKT-tjänster och IKT-processer. I tillämpliga fall bör slutanvändaren få vägledning om åtgärder och inställningar som denne kan genomföra för att underhålla eller öka cybersäkerheten för IKT-produkten eller IKT-tjänsten och kontaktinformation avseende den enda kontaktpunkten för rapportering av och support vid cyberattacker (utöver den automatiska rapporteringen). Informationen bör uppdateras regelbundet och göras tillgänglig på en med information om europeiska ordningar för cybersäkerhetscertifiering.

(94)

I syfte att uppnå målen för denna förordning och undvika en fragmentering av den inre marknaden, bör nationella ordningar eller förfaranden för cybersäkerhetscertifiering av IKT-produkter, IKT-tjänster eller IKT-processer som omfattas av en europeisk ordning för cybersäkerhetscertifiering upphöra att ha verkan från och med en dag som fastställs av kommissionen genom genomförandeakter. Vidare bör medlemsstaterna inte införa nya nationella ordningar för cybersäkerhetscertifiering av IKT-produkter, IKT-tjänster eller IKT-processer som redan omfattas av en befintligt europeiskt ordning för cybersäkerhetscertifiering. Medlemsstaterna bör dock inte vara förhindrade att anta eller behålla nationella ordningar för cybersäkerhetscertifiering för att skydda den nationella säkerheten. Medlemsstaterna bör informera kommissionen och europeiska gruppen för cybersäkerhetscertifiering om alla eventuella avsikter att upprätta nya nationella ordningar för cybersäkerhetscertifiering. Kommissionen och europeiska gruppen för cybersäkerhetscertifiering bör utvärdera vilka effekter nya nationella ordningar för cybersäkerhetscertifiering har på den inre marknadens funktion och mot bakgrund av det strategiska intresset av att i stället begära en europeisk ordning för cybersäkerhetscertifiering.

(95)

Europeiska ordningar för cybersäkerhetscertifiering kommer att bidra till att harmonisera cybersäkerhetsrutinerna inom unionen. De måste bidra till att öka cybersäkerhet inom unionen. Utformningen av europeiska ordningar för cybersäkerhetscertifiering bör även beakta och möjliggöra utveckling av innovationer på området cybersäkerhet.

(96)

Europeiska ordningar för cybersäkerhetscertifiering bör även beakta olika befintliga metoder för program- och maskinvaruutveckling och framför allt vilken inverkan frekventa uppdateringar av programvara och fast programvara har på enskilda europeiska cybersäkerhetscertifikat. I de europeiska ordningarna för cybersäkerhetscertifiering bör det fastställas under vilka förhållanden en uppdatering kan kräva att en IKT-produkt, IKT-tjänst eller IKT-processer ska återcertifieras eller att ett specifikt europeiskt cybersäkerhetscertifikats tillämpningsområde ska begränsas med beaktande av eventuella negativa effekter av uppdateringen på överensstämmelsen med säkerhetskraven för det certifikatet.

(97)

När en europeisk ordning för cybersäkerhetscertifiering har antagits bör tillverkarna eller leverantörerna av IKT-produkter, IKT-tjänster eller IKT-processer kunna lämna in en ansökan om certifiering av sina IKT-produkter eller IKT-tjänster till valfritt organ för bedömning av överensstämmelse var som helst i unionen. Organen för bedömning av överensstämmelse bör ackrediteras av ett nationellt ackrediteringsorgan, om de uppfyller vissa krav som fastställs i denna förordning. Ackrediteringen bör utfärdas för en period på högst fem år och bör kunna förnyas på samma villkor under förutsättning att organet för bedömning av överensstämmelse fortfarande uppfyller kraven. Nationella ackrediteringsorgan bör begränsa, tillfälligt upphäva eller återkalla ackrediteringen av ett organ för bedömning av överensstämmelse om villkoren för ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av organet för bedömning av överensstämmelse strider mot denna förordning.

(98)

Hänvisningar i nationell lagstiftning till nationella standarder som har upphört att ha verkan i och med att en europeisk ordning för cybersäkerhetscertifiering har trätt i kraft kan orsaka förvirring. Medlemsstaterna bör därför se till att antagandet av en europeisk ordning för cybersäkerhetscertifiering avspeglas i deras nationella lagstiftning.

(99)

För att uppnå likvärdiga standarder över hela unionen, underlätta ömsesidigt erkännande och främja godtagandet av europeiska cybersäkerhetscertifikat och EU-försäkringar om överensstämmelse måste en ordning inrättas för inbördes granskning mellan nationella myndigheter för cybersäkerhetscertifiering. Inbördes granskning bör innefatta förfaranden för att övervaka IKT-produkters, IKT-tjänsters och IKT-processers överensstämmelse med europeiska cybersäkerhetscertifikat, övervaka skyldigheterna för tillverkare och leverantörer av IKT-produkter, IKT-tjänster och IKT-processer som utför självbedömningar av överensstämmelse, och för att övervaka organ för bedömning av överensstämmelse samt att personalen vid organ som utfärdar certifikat för assuransnivån ”hög” har lämplig sakkunskap. Kommissionen bör genom genomförandeakter kunna upprätta minst en femårsplan för den inbördes granskningen samt fastställa kriterier och metoder för hur denna ordning ska fungera.

(100)

Utan att det påverkar den ordning för inbördes granskning som ska inrättas vid alla nationella myndigheter för cybersäkerhetscertifiering som omfattas av den europeiska ramen för cybersäkerhetscertifiering kan vissa europeiska ordningar för cybersäkerhetscertifiering innefatta en mekanism för inbördes bedömning för de organ som utfärdar europeiska cybersäkerhetscertifikat för IKT-produkter, IKT-tjänster och IKT-processer med assuransnivån ”hög” inom ramen för sådana ordningar. Den europeiska gruppen för cybersäkerhetscertifiering bör stödja tillämpningen av sådana mekanismer för inbördes bedömning. Den inbördes bedömningen bör framför allt bedöma huruvida organen i fråga utför sina uppgifter på ett harmoniserat sätt och de kan innefatta mekanismer för att överklaga. Resultaten av de inbördes granskningarna bör göras allmänt tillgängliga. De berörda organen får vidta lämpliga åtgärder för att anpassa sin praxis och expertis därefter.

(101)

Medlemsstaterna bör utse en eller flera nationella myndigheter för cybersäkerhetscertifiering som ska övervaka fullgörandet av skyldigheterna enligt denna förordning. En nationell myndighet för cybersäkerhetscertifiering kan vara en redan befintlig myndighet eller en ny myndighet. En medlemsstat bör också kunna fatta beslut, efter överenskommelse med en annan medlemsstat, om att utse en eller flera myndigheter för nationell cybersäkerhetscertifiering på den andra medlemsstatens territorium.

(102)

Nationella myndigheter för cybersäkerhetscertifiering bör särskilt övervaka och verkställa de skyldigheter som åligger en tillverkare eller en leverantör av IKT-produkter, IKT-tjänster eller IKT-processer som är etablerad på deras respektive territorier med avseende på EU-försäkran om överensstämmelse, bör bistå de nationella ackrediteringsorganen med övervakning och kontroll av den verksamhet som bedrivs av organen för bedömning av överensstämmelse genom att förse dem med sakkunskap och relevant information, bör tillåta organ för bedömning av överensstämmelse att utföra sina uppgifter om dessa organ uppfyller de ytterligare krav som finns fastställda i en europeisk ordning för cybersäkerhetscertifiering och bör övervaka relevant utveckling på området för cybersäkerhetscertifiering. De nationella myndigheterna för cybersäkerhetscertifiering bör också behandla klagomål som lämnas in av fysiska eller juridiska personer avseende europeiska cybersäkerhetscertifikat som utfärdats av de myndigheterna eller avseende europeiska cybersäkerhetscertifikat som utfärdats av organ för bedömning av överensstämmelse, om sådana certifikat anger assuransnivå ”hög”, bör i lämplig utsträckning undersöka det ärende som klagomålet gäller och bör underrätta den klagande om utvecklingen och resultatet av utredningen inom rimlig tid. De nationella myndigheterna för cybersäkerhetscertifiering bör dessutom samarbeta med andra nationella myndigheter för cybersäkerhetscertifiering eller någon annan offentlig myndighet, bland annat genom att utbyta information om IKT-produkter, IKT-tjänster och IKT-processer som eventuellt avviker från kraven i denna förordning eller särskilda europeiska ordningar för cybersäkerhetscertifiering. Kommissionen bör underlätta sådant utbyte av information genom att erbjuda tillgång till ett allmänt stödsystem för elektronisk information, till exempel informations- och kommunikationssystemet för marknadskontroll (ICSMS) och systemet för snabb varning för farliga konsumentprodukter (Rapex) som redan används av marknadsövervakningsmyndigheterna i enlighet med förordning (EG) nr 765/2008.

(103)

För att säkerställa en konsekvent tillämpning av den europeiska ramen för cybersäkerhetscertifiering bör det inrättas en europeisk grupp för cybersäkerhetscertifiering, bestående av företrädare för nationella myndigheter för cybersäkerhetscertifiering eller andra berörda nationella myndigheter. Den europeiska gruppen för cybersäkerhetscertifierings främsta uppgifter bör vara att ge kommissionen råd och bistånd i dess arbete för att säkerställa konsekvent genomförande och tillämpning av den europeiska ramen för cybersäkerhetscertifiering, att bistå och ha ett nära samarbete med Enisa i utarbetandet av förslag till ordningar för cybersäkerhetscertifiering, att, i vederbörligen motiverade fall begära att Enisa utarbetar ett förslag till certifieringsordning, att anta yttranden till Enisa om förslag till certifieringsordning och att anta yttranden riktade till kommissionen om underhåll och översyn av befintliga europeiska ordningar för cybersäkerhetscertifiering. Den europeiska gruppen för cybersäkerhetscertifiering bör underlätta utbytet av god praxis och expertis mellan de olika nationella myndigheterna för cybersäkerhetscertifiering som är ansvariga för bemyndigande av organ för bedömning av överensstämmelse och utfärdande av europeiska cybersäkerhetscertifikat.

(104)

För att öka medvetenheten och underlätta acceptansen för framtida europeiska ordningar för cybersäkerhetscertifiering kan kommissionen utfärda allmänna eller sektorsspecifika cybersäkerhetsriktlinjer, t.ex. vad gäller god praxis för cybersäkerhet eller ansvarsfullt cybersäkerhetsbeteende som belyser de positiva konsekvenserna av att använda certifierade IKT-produkter, IKT-tjänster och IKT-processer.

(105)

För att ytterligare underlätta handeln och erkänna att IKT-leveranskedjorna är globala får avtal om ömsesidigt erkännande av europeiska cybersäkerhetscertifikat ingås av unionen i enlighet med artikel 218 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). Kommissionen får med beaktande av rådgivningen från Enisa och den europeiska gruppen för cybersäkerhetscertifiering rekommendera att relevanta förhandlingar inleds. Varje europeisk ordning för cybersäkerhetscertifiering bör föreskriva särskilda villkor för sådana avtal om ömsesidigt erkännande med tredjeländer.

(106)

För att säkerställa enhetliga villkor för tillämpningen av denna förordning bör kommissionen ges genomförandebefogenheter. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (22).

(107)

Granskningsförfarandet bör användas för antagande av genomförandeakter om europeiska ordningar för cybersäkerhetscertifiering av IKT-produkter, IKT-tjänster och IKT-processer, om formerna för Enisas utförande av utredningar, om en plan för inbördes granskning av nationella myndigheter för cybersäkerhetscertifiering samt för antagande av genomförandeakter om förhållanden, format och förfaranden för anmälningar av ackrediterade organ för bedömning av överensstämmelse från de nationella myndigheterna för cybersäkerhetscertifiering till kommissionen.

(108)

Enisas verksamhet bör utvärderas regelbundet och på ett oberoende sätt. Utvärderingen bör beakta Enisas måluppfyllelse, dess arbetsmetoder och relevansen i dess uppgifter, särskilt dess uppgifter rörande operativt samarbete på unionsnivå. Utvärderingen bör även bedöma konsekvenserna, ändamålsenligheten och effektiviteten i fråga om den europeiska ramen för cybersäkerhetscertifiering. Vid en granskning ska kommissionen utvärdera hur Enisas roll som referenspunkt för råd och expertis kan stärkas och bör även utvärdera hur Enisa möjligen skulle kunna stödja bedömningen av IKT-produkter, IKT-tjänster och IKT-processer från tredjeländer som kommer in på unionsmarknaden och som inte är förenliga med unionsreglerna, om sådana IKT-produkter, IKT-tjänster och IKT-processer förs in i unionen

(109)

Eftersom målen för denna förordning inte i tillräcklig utsträckning kan uppnås av medlemsstaterna, på grund av deras omfattning och verkningar, utan snarare kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen (EU-fördraget). I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå detta mål.

(110)

Förordning (EU) nr 526/2013 bör upphävas.

(1)

Syftet med detta direktiv är att bidra till en väl fungerande inre marknad genom att tillnärma medlemsstaternas lagar och andra författningar vad gäller tillgänglighetskrav för vissa produkter och tjänster och särskilt genom att undanröja och förebygga hinder för den fria rörligheten för vissa tillgängliga produkter och tjänster som uppstår på grund av olika tillgänglighetskrav i medlemsstaterna. Detta skulle öka tillgången på tillgängliga produkter och tjänster på den inre marknaden och göra relevant information mer tillgänglig.

(2)

Efterfrågan på tillgängliga produkter och tjänster är stor och antalet personer med funktionsnedsättning förväntas öka avsevärt. En miljö där produkter och tjänster är mer tillgängliga möjliggör ett mer inkluderande samhälle och underlättar självständigt boende för personer med funktionsnedsättning. I det här sammanhanget bör man ha i åtanke att funktionsnedsättning är vanligare bland kvinnor än bland män i unionen.

(3)

I detta direktiv definieras personer med funktionsnedsättning i linje med Förenta nationernas konvention om rättigheter för personer med funktionsnedsättning, som antogs den 13 december 2006 (nedan kallad konventionen), i vilken unionen är part sedan den 21 januari 2011 och vilken alla medlemsstater har ratificerat. Enligt konventionen innefattar personer med funktionsnedsättning ”personer som har någon varaktig fysisk, psykisk, intellektuell eller sensorisk funktionsnedsättning som i samspel med olika hinder kan hindra dem från att fullt ut och effektivt delta i samhället på lika villkor som andra”. Detta direktiv främjar ett fullt och effektivt deltagande på lika villkor genom att förbättra tillgången till konventionella produkter och tjänster som genom sin ursprungliga utformning eller senare anpassning tillgodoser de särskilda behoven hos personer med funktionsnedsättning.

(4)

Detta direktiv skulle gynna även andra personer som har funktionsbegränsningar, såsom äldre personer, gravida kvinnor och personer som reser med bagage. Med begreppet personer med funktionsbegränsning avses i detta direktiv personer som har någon varaktig eller tillfällig fysisk, psykisk, intellektuell eller sensorisk funktionsnedsättning, åldersrelaterad funktionsnedsättning eller annan nedsättning på grund av kroppens funktion som i samspel med olika hinder leder till begränsad tillgång till produkter och tjänster för dessa personer och skapar en situation som kräver att dessa produkter och tjänster anpassas efter personernas särskilda behov.

(5)

Skillnaderna mellan medlemsstaternas lagar och andra författningar med avseende på produkters och tjänsters tillgänglighet för personer med funktionsnedsättning skapar hinder för den fria rörligheten för produkter och tjänster och snedvrider konkurrensen på den inre marknaden. För vissa produkter och tjänster kommer dessa skillnader sannolikt att öka i unionen efter konventionens ikraftträdande. Ekonomiska aktörer, särskilt små och medelstora företag, drabbas särskilt mycket av sådana hinder.

(6)

På grund av skillnader i de nationella tillgänglighetskraven hindras särskilt enskilda företagare, små och medelstora företag och mikroföretag från att delta i affärsprojekt utanför den inhemska marknaden. De nationella, eller till och med regionala eller lokala, tillgänglighetskrav som medlemsstaterna har infört skiljer sig för närvarande åt både vad gäller täckning och detaljnivå. Dessa skillnader har negativ inverkan på konkurrenskraften och tillväxten, på grund av de extrakostnader som uppstår i samband med utveckling och marknadsföring av tillgängliga produkter och tjänster för varje nationell marknad.

(7)

Konsumenter som köper tillgängliga produkter och tjänster och tekniska hjälpmedel får betala höga priser på grund av den begränsade konkurrensen bland leverantörerna. De potentiella fördelarna som kommer av att utbyta erfarenheter med nationella och internationella kollegor vad gäller anpassning till den samhälleliga och tekniska utvecklingen minskar på grund av de splittrade nationella reglerna.

(8)

För att den inre marknaden ska fungera väl måste man tillnärma de nationella åtgärderna på unionsnivå för att sätta stopp för splittringen på marknaden för tillgängliga produkter och tjänster, för att skapa stordriftsfördelar, för att underlätta gränsöverskridande handel och rörlighet och för att hjälpa de ekonomiska aktörerna att koncentrera resurser på innovation i stället för att använda dem till att täcka kostnader som uppstår på grund av splittrad lagstiftning inom unionen.

(9)

Fördelarna med harmonisering av tillgänglighetskraven för den inre marknaden har visats genom tillämpningen av Europaparlamentets och rådets direktiv 2014/33/EU (3) om hissar och Europaparlamentets och rådets förordning (EG) nr 661/2009 (4) inom transportområdet.

(10)

I förklaring nr 22, vad gäller personer med funktionsnedsättning, till Amsterdamfördraget enades konferensen mellan företrädarna för medlemsstaternas regeringar om att unionens institutioner, när de utarbetar åtgärder enligt artikel 114 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget), ska beakta funktionshindrade personers behov.

(11)

Det övergripande målet med kommissionens meddelande av den 6 maj 2015 med titeln En strategi för en digital inre marknad i Europa är att uppnå hållbara ekonomiska och sociala fördelar från en sammankopplad digital inre marknad som därigenom underlättar handeln och ökar sysselsättningen inom unionen. Eftersom den gränsöverskridande näthandeln fortfarande är mycket begränsad har konsumenterna i unionen ännu inte tillgång till alla fördelar vad gäller priser och urval som den inre marknaden kan ge. Splittringen begränsar också efterfrågan på gränsöverskridande e-handelstransaktioner. Det behövs även samordnade åtgärder för att säkerställa att elektroniskt innehåll, elektroniska kommunikationstjänster och åtkomst till audiovisuella medietjänster, är helt tillgängligt för personer med funktionsnedsättning. Därför är det nödvändigt att harmonisera tillgänglighetskraven inom hela den digitala inre marknaden och säkerställa att alla invånare i EU kan dra fördel av den, oavsett förmåga.

(12)

Efter det att unionen blev part i konventionen har konventionens bestämmelser blivit en integrerad del av unionsrätten och är bindande för unionens institutioner och medlemsstaterna.

(13)

Parterna åläggs enligt konventionen att vidta ändamålsenliga åtgärder för att säkerställa att personer med funktionsnedsättning får tillgång, på lika villkor som andra, till den fysiska miljön, till transporter, till information och kommunikation, innefattande informations- och kommunikationsteknik (IKT) och IKT-system, samt till andra anläggningar och tjänster som är tillgängliga för eller erbjuds allmänheten både i städerna och på landsbygden. Förenta nationernas kommitté för rättigheter för personer med funktionsnedsättning har fastställt att det finns ett behov av att skapa ett regelverk med konkreta, verkställbara och tidsbundna riktmärken för övervakning av det successiva genomförandet av tillgängligheten.

(14)

I konventionen uppmanas dess parter att genomföra eller främja forskning om och utveckling av och främja tillgång till och användning av ny teknik, innefattande informations- och kommunikationsteknik, samt hjälpmedel som är lämpliga för personer med funktionsnedsättning. I konventionen uppmanas även till prioritering av teknik till överkomligt pris.

(15)

När konventionen träder i kraft i medlemsstaternas nationella rättsordningar innebär det att kompletterande nationella bestämmelser om tillgänglighet för produkter och tjänster måste antas. Utan unionsåtgärder skulle de bestämmelserna öka skillnaderna ytterligare mellan medlemsstaternas lagar och andra författningar.

(16)

Det är därför nödvändigt att underlätta genomförandet av konventionen i EU genom att tillhandahålla gemensamma unionsregler. Detta direktiv hjälper också medlemsstaterna i deras ansträngningar att på ett harmoniserat sätt uppfylla såväl sina nationella åtaganden som sina skyldigheter enligt konventionen när det gäller tillgänglighet.

(17)

I kommissionens meddelande av den 15 november 2010 med titeln EU:s handikappstrategi 2010–2020: Nya åtgärder för ett hinderfritt samhälle i EU anges, i linje med konventionen, tillgänglighet, en grundläggande förutsättning för delaktighet i samhället, som ett av åtta åtgärdsområden, och målet är att säkerställa tillgänglighet för produkter och tjänster.

(18)

Fastställandet av de produkter och tjänster som omfattas av detta direktiv baseras på en undersökning som genomfördes samtidigt som konsekvensbedömningen utarbetades och där man fastställde vilka produkter och tjänster som är relevanta för personer med funktionsnedsättning och för vilka medlemsstaterna har antagit eller sannolikt kommer att anta olika nationella tillgänglighetskrav som stör den inre marknadens funktion.

(19)

För att säkerställa tillgänglighet för de tjänster som omfattas av detta direktiv bör även produkter som används vid tillhandahållandet av de tjänster med vilka konsumenterna interagerar omfattas av skyldigheten att uppfylla tillgänglighetskraven i detta direktiv.

(20)

Även om en tjänst eller en del av en tjänst lagts ut på underentreprenad till tredje part bör inte den tjänstens tillgänglighet äventyras, och tjänsteleverantörerna bör uppfylla skyldigheterna i detta direktiv. Tjänsteleverantörerna bör även säkerställa lämplig utbildning och fortbildning av sin personal så att den har kunskaper i hur man använder tillgängliga produkter och tjänster. Denna utbildning bör omfatta frågor som tillhandahållande av information, rådgivning och reklam.

(21)

Tillgänglighetskraven bör införas på det sätt som är minst betungande för de ekonomiska aktörerna och medlemsstaterna.

(22)

Det är nödvändigt att ange tillgänglighetskrav för produkter och tjänster som omfattas av detta direktiv och som släpps ut på marknaden, så att deras fria rörlighet på den inre marknaden kan säkerställas.

(23)

Detta direktiv bör göra funktionella tillgänglighetskrav obligatoriska och de bör utformas som allmänna mål. Dessa krav bör vara tillräckligt exakta för att skapa rättsligt bindande skyldigheter och tillräckligt detaljerade för att det ska gå att bedöma överensstämmelsen i syfte att säkerställa att den inre marknaden fungerar väl för de produkter och tjänster som omfattas av detta direktiv, samt lämna viss flexibilitet för att möjliggöra innovation.

(24)

Detta direktiv innehåller ett antal kriterier för funktionsprestanda som rör produkters och tjänsters driftslägen. Dessa kriterier är inte avsedda som ett allmänt alternativ till tillgänglighetskraven i detta direktiv utan bör endast användas under mycket specifika omständigheter. Dessa kriterier bör gälla särskilda funktioner eller egenskaper hos produkterna eller tjänsterna, i syfte att göra dem tillgängliga, om tillgänglighetskraven i detta direktiv inte rör en eller flera av dessa särskilda funktioner eller egenskaper. Om ett tillgänglighetskrav omfattar särskilda tekniska krav, och en alternativ teknisk lösning för dessa tekniska krav ges i produkten eller tjänsten, bör denna alternativa tekniska lösning dessutom fortfarande uppfylla de berörda tillgänglighetskraven, och bör resultera i likvärdig eller ökad tillgänglighet, genom tillämpning av relevanta kriterier för funktionsprestanda.

(25)

Detta direktiv bör omfatta datormaskinvarusystem med generella användningsområden som är avsedda för konsumenter. För att dessa system ska fungera på ett tillgängligt sätt bör deras operativsystem också vara tillgängliga. Sådana datormaskinvarusystem kännetecknas av att de har många olika funktioner och förmåga att, med lämplig programvara, utföra de flesta vanliga databehandlingsuppgifter som konsumenter efterfrågar och är avsedda att användas av konsumenter. Persondatorer, bland annat stationära datorer, bärbara datorer, smarttelefoner och datorplattor är exempel på sådana datormaskinvarusystem. Specialiserade datorer som är inbyggda i elektroniska konsumentprodukter utgör inte datormaskinvarusystem med generella användningsområden som är avsedda för konsumenter. Detta direktiv bör inte omfatta enskilda komponenter med särskilda funktioner i sig, till exempel moderkort eller minneskort, som används eller kan användas i ett sådant system.

(26)

Detta direktiv bör också omfatta betalningsterminaler, inklusive både deras maskinvara och deras programvara, samt vissa interaktiva självbetjäningsterminaler, inklusive både deras maskinvara och deras programvara, som är avsedda att användas för tillhandahållande av tjänster som omfattas av detta direktiv, exempelvis bankomater, biljettförsäljningsautomater som utfärdar fysiska biljetter som ger tillgång till tjänster, såsom resebiljettautomater och könummerautomater på bankkontor, incheckningsautomater och interaktiva självbetjäningsterminaler som tillhandahåller information, inbegripet interaktiva informationsskärmar.

(27)

Vissa interaktiva självbetjäningsterminaler som tillhandahåller information som är monterade som integrerade delar av fordon, luftfartyg, fartyg eller rullande materiel bör dock undantas från detta direktivs tillämpningsområde eftersom de utgör en del av dessa fordon, luftfartyg, fartyg eller rullande materiel som inte omfattas av detta direktiv.

(28)

Det ta direktiv bör också omfatta elektroniska kommunikationstjänster, inbegripet nödkommunikation, enligt definitionen i Europaparlamentets och rådets direktiv (EU) 2018/1972 (5). För närvarande varierar de åtgärder som medlemsstaterna vidtar för att skapa tillgång för personer med funktionsnedsättning och de är inte harmoniserade inom hela den inre marknaden. Genom att säkerställa att samma tillgänglighetskrav gäller i hela unionen skapar man stordriftsfördelar för ekonomiska aktörer som har verksamhet i mer än en medlemsstat och underlättar effektiv tillgång för personer med funktionsnedsättning både i deras egen medlemsstat och när de reser mellan medlemsstaterna. För att elektroniska kommunikationstjänster, inbegripet nödkommunikation, ska vara tillgängliga bör leverantörerna, utöver tal, tillhandahålla realtidstext, och totalkonversationstjänst där video tillhandahålls av dem, och därmed säkerställa synkronisering av alla dessa kommunikationsmedel. Utöver kraven i det här direktivet bör medlemsstaterna, i enlighet med direktiv (EU) 2018/1972, kunna fastställa en leverantör av samtalsförmedlande tjänster som kan användas av personer med funktionsnedsättning.

(29)

Detta direktiv harmoniserar tillgänglighetskraven för elektroniska kommunikationstjänster och tillhörande produkter samt kompletterar direktiv (EU) 2018/1972 som fastställer krav på likvärdig tillgång och likvärdigt utbud för slutanvändare med funktionsnedsättning. Direktiv (EU) 2018/1972 fastställer också, inom ramen för skyldigheten att tillhandahålla samhällsomfattande tjänster, krav på överkomliga priser för tillgång till internet och talkommunikation och på överkomliga priser och tillgång med avseende på tillhörande terminalutrustning samt särskild utrustning och särskilda tjänster för konsumenter med funktionsnedsättning.

(30)

Detta direktiv bör också omfatta terminalutrustning för konsumentbruk med interaktiv datorkapacitet som primärt är tänkt att användas för att få åtkomst till elektroniska kommunikationstjänster. Vid tillämpning av detta direktiv bör den utrustningen anses innefatta utrustning som används som en del av systemet för att få åtkomst till elektroniska kommunikationstjänster, exempelvis en router eller ett modem.

(31)

I detta direktiv bör med åtkomst till audiovisuella medietjänster avses att tillgång till audiovisuellt innehåll tillhandahålls liksom mekanismer som gör det möjligt för användare med funktionsnedsättning att använda tekniska hjälpmedel. Tjänster som ger åtkomst till audiovisuella medietjänster skulle kunna inbegripa webbplatser, webbaserade applikationer, digitalboxbaserade applikationer, nedladdningsbara applikationer, tjänster för mobila enheter, inklusive mobila applikationer och dithörande mediaspelare samt internetanslutna televisionstjänster. Tillgängligheten för audiovisuella medietjänster regleras i Europaparlamentets och rådets direktiv 2010/13/EU (6), med undantag för tillgång till elektroniska programguider (EPG) som ingår i definitionen av tjänster som ger åtkomst till audiovisuella medietjänster på vilka detta direktiv är tillämpligt.

(32)

I samband med luft-. buss-, järnvägs- och vattentransporttjänster för passagerare bör detta direktiv omfatta bland annat tillhandahållande av information om transporttjänster, inklusive reseinformation i realtid, via webbplatser, tjänster för mobila enheter, interaktiva informationsskärmar och interaktiva självbetjäningsterminaler som passagerare med funktionsnedsättning behöver för att kunna resa. Detta skulle kunna innefatta information om tjänsteleverantörens persontrafikprodukter och persontrafiktjänster, information före resan, information under resan och information om resan ställs in eller blir försenad. Andra uppgifter kan även omfatta information om priser och erbjudanden.

(33)

Detta direktiv bör även omfatta webbplatser, tjänster för mobila enheter, inklusive mobila applikationer, som utvecklas eller tillhandahålls av persontrafikoperatörer inom detta direktivs tillämpningsområde, elektroniska biljettförsäljningstjänster, elektroniska biljetter och interaktiva självbetjäningsterminaler.

(34)

Fastställandet av detta direktivs tillämpningsområde vad gäller luft-, buss-, järnvägs- och vattentransporttjänster för passagerare bör grundas på befintlig sektorslagstiftning om passagerares rättigheter. Om detta direktiv inte tillämpas på vissa typer av transporttjänster bör medlemsstaterna uppmuntra tjänsteleverantörerna att tillämpa de relevanta tillgänglighetskrav i detta direktiv.

(35)

I Europaparlamentets och rådets direktiv (EU) 2016/2102 (7) föreskrivs redan skyldigheter för offentliga myndigheter som tillhandahåller transporttjänster, inklusive stads-, förorts- och regionaltransporter, att göra sina webbplatser tillgängliga. Det här direktivet innehåller undantag för mikroföretag som tillhandahåller tjänster, däribland stads-, förorts- och regionaltransporter. Dessutom omfattar det här direktivet skyldigheter för att säkerställa att e-handelswebbplatser är tillgängliga. Eftersom det här direktivet innehåller skyldigheter för en stor majoritet av de privata leverantörerna av transporttjänster att göra sina webbplatser tillgängliga när de säljer biljetter online är det inte nödvändigt att i det här direktivet införa ytterligare krav för webbplatser för leverantörer av stads-, förorts- och regionaltransporter.

(36)

Vissa aspekter av tillgänglighetskraven, särskilt när det gäller bestämmelsen om information enligt detta direktiv, omfattas redan av befintlig unionslagstiftning på området för persontransporter. Detta inbegriper delar av Europaparlamentets och rådets förordning (EG) nr 261/2004 (8), Europaparlamentets och rådets förordning (EG) nr 1107/2006 (9), Europaparlamentets och rådets förordning (EG) nr 1371/2007 (10), Europaparlamentets och rådets förordning (EU) nr 1177/2010 (11) och Europaparlamentets och rådets förordning (EU) nr 181/2011 (12). Detta inbegriper även relevanta akter som antagits på grundval av Europaparlamentets och rådets direktiv 2008/57/EG (13). För att säkerställa rättslig samstämdhet bör tillgänglighetskraven i dessa förordningar och dessa akter fortsätta att tillämpas som förut. Ytterligare krav det här direktivet skulle dock komplettera befintliga krav och förbättra den inre marknadens funktion på transportområdet och gynna personer med funktionsnedsättning.

(37)

Vissa aspekter av transporttjänster bör inte omfattas av detta direktiv när de tillhandahålls utanför medlemsstaternas territorium, även om tjänsten har inriktats på unionsmarknaden. Med avseende på dessa aspekter bör en persontrafikoperatör enbart vara skyldig att säkerställa att kraven i detta direktiv uppfylls vad gäller den del av tjänsten som erbjuds inom unionens territorium. När det gäller lufttransporter bör emellertid unionslufttrafikföretag säkerställa att de tillämpliga kraven i detta direktiv uppfylls även på flygningar från en flygplats i ett tredjeland till en flygplats belägen inom en medlemsstats territorium. Dessutom bör alla lufttrafikföretag, inbegripet de som inte är auktoriserade i unionen, säkerställa att de tillämpliga kraven i detta direktiv uppfylls i de fall då flygningar avgår från unionens territorium till ett tredjelands territorium.

(38)

Städernas myndigheter bör uppmuntras att integrera obehindrad tillgänglighet till stadstransporttjänster i sina planer för hållbar rörlighet i städer och att regelbundet offentliggöra förteckningar över bästa praxis för obehindrad tillgänglighet till kollektivtrafik och rörlighet i städer.

(39)

Unionsrätten om banktjänster och finansiella tjänster syftar till att skydda och ge information till konsumenterna av dessa tjänster i hela unionen, men omfattar inte tillgänglighetskrav. I syfte att göra det möjligt för personer med funktionsnedsättning att använda dessa tjänster i hela unionen, inklusive sådana som tillhandahålls på webbplatser och via tjänster för mobila enheter, inklusive mobila applikationer, att fatta välinformerade beslut, och att känna att de åtnjuter ett tillräckligt skydd på samma villkor som andra konsumenter samt säkerställa lika villkor för tjänsteleverantörer bör man i detta direktiv fastställa gemensamma tillgänglighetskrav för vissa banktjänster och finansiella tjänster som tillhandahålls konsumenter.

(40)

Lämpliga tillgänglighetskrav bör också gälla för identifieringsmetoder, elektroniska signaturer och betaltjänster, eftersom de är nödvändiga för att utföra konsumenternas banktransaktioner.

(41)

E-bokfiler bygger på en elektronisk datorkodning som möjliggör spridning av och sökning i ett intellektuellt verk som mestadels föreligger som text eller i grafisk form. Kodningens precisionsgrad bestämmer e-bokfilernas tillgänglighet, i synnerhet när det gäller klassificeringen av olika grundläggande beståndsdelar i verket och den standardiserade beskrivningen av dess struktur. Interoperabilitet i fråga om tillgänglighet bör maximera dessa filers kompatibilitet med olika användarprogram och med befintliga och framtida tekniska hjälpmedel. Särdragen när det gäller speciella volymer såsom serier, barnböcker och konstböcker bör beaktas när det gäller alla tillämpliga tillgänglighetskrav. Olika tillgänglighetskrav i medlemsstaterna skulle göra det svårt för utgivare och andra ekonomiska aktörer att dra nytta av fördelarna med den inre marknaden, skulle kunna skapa interoperabilitetsproblem med läsplattor och skulle begränsa tillgången för konsumenter med funktionsnedsättning. När det gäller e-böcker skulle begreppet tjänsteleverantör kunna inbegripa utgivare och andra ekonomiska aktörer som distribuerar dessa.

Det är ett känt faktum att personer med funktionsnedsättning fortsätter att stå inför hinder när det gäller att få tillgång till innehåll som är skyddat av upphovsrätt och närstående rättigheter och att vissa åtgärder för att ta itu med denna situation redan har vidtagits till exempel genom antagandet av Europaparlamentets och rådets direktiv (EU) 2017/1564 (14) och Europaparlamentets och rådets förordning (EU) 2017/1563 (15), och att ytterligare unionsåtgärder i detta syfte skulle kunna vidtas i framtiden.

(42)

I detta direktiv definieras e-handelstjänster som en tjänst som tillhandahålls på distans„ genom webbplatser och tjänster för mobila enheter, på elektronisk väg och på individuell begäran av en konsument i syfte att ingå ett konsumentavtal. Med avseende på den definitionen avses med på distans en tjänst som tillhandahålls utan att parterna är närvarande samtidigt, på elektronisk väg en tjänst som sänds vid utgångspunkten och tas emot vid slutpunkten med hjälp av utrustning för elektronisk behandling (inbegripet digital signalkomprimering) och lagring av uppgifter, och som i sin helhet sänds, befordras och tas emot genom tråd, radio, optiska medel eller andra elektromagnetiska medel, och på individuell begäran av en konsument en tjänst som tillhandahålls på individuell begäran. Med tanke på e-handelstjänsternas ökade relevans och deras starkt tekniska karaktär är det viktigt med harmoniserade krav för deras tillgänglighet.

(43)

Skyldigheterna i detta direktiv beträffande e-handelstjänsternas tillgänglighet bör gälla internetförsäljning av alla produkter och tjänster och bör därför även gälla försäljning av en produkt eller tjänst som i sig omfattas av detta direktiv.

(44)

De åtgärder som avser tillgängligheten för mottagandet av nödkommunikation bör antas utan att det påverkar organisationen av alarmeringstjänsterna, vilket fortsatt omfattas av medlemsstaternas exklusiva befogenhets.

(45)

I enlighet med direktiv (EU) 2018/1972 ska medlemsstaterna säkerställa att tillträde för slutanvändare med funktionsnedsättning till alarmeringstjänster är tillgängligt via nödkommunikation och är likvärdigt med det tillträde som åtnjuts av andra slutanvändare, i enlighet med unionsrätten om harmonisering av tillgänglighetskraven för produkter och tjänster. Kommissionen och de nationella regleringsmyndigheterna eller andra behöriga myndigheter ska vidta lämpliga åtgärder för att säkerställa att slutanvändare med funktionsnedsättning som reser i en annan medlemsstat har tillträde till alarmeringstjänster på likvärdiga villkor som andra slutanvändare, om detta är möjligt, utan förhandsregistrering. Dessa åtgärder syftar till att säkerställa interoperabilitet mellan medlemsstater och ska i största möjliga utsträckning bygga på europeiska standarder eller specifikationer som fastställts i enlighet med artikel 39 i direktiv (EU) 2018/1972. Sådana åtgärder hindrar inte medlemsstaterna från att anta ytterligare krav i syfte att nå de mål som fastställs i det direktivet. Som ett alternativ till att uppfylla tillgänglighetskraven vad gäller mottagandet av nödkommunikation för användare med funktionsnedsättning i enlighet med detta direktiv, bör medlemsstaterna kunna fastställa en tredjepartsleverantör av samtalsförmedlande tjänster som kan användas av personer med funktionsnedsättning för kommunikation med alarmeringscentralen, till dess att dessa alarmeringscentraler kan använda elektroniska kommunikationstjänster genom internetprotokoll för att säkerställa tillgänglighet för att ta emot nödkommunikation. De skyldigheter som anges i det här direktivet bör inte i något fall tolkas som att de begränsar eller minskar någon skyldighet till förmån för slutanvändare med funktionsnedsättning, inklusive likvärdig tillgång till elektroniska kommunikationstjänster och alarmeringstjänster samt tillgänglighetsskyldigheter som anges i direktiv (EU) 2018/1972.

(46)

I direktiv (EU) 2016/2102 fastställs tillgänglighetskrav för offentliga myndigheters webbplatser och mobila applikationer, samt andra tillhörande aspekter, i synnerhet krav som rör de berörda webbplatsernas och mobila applikationernas överensstämmelse. Det direktivet innehåller dock en specifik förteckning över undantag. Liknande undantag är relevanta för det här direktivet. Viss verksamhet som äger rum via den offentliga sektorns webbplatser och mobila applikationer, såsom persontrafiktjänster eller e-handelstjänster som omfattas av detta direktivs tillämpningsområde, bör dessutom uppfylla de tillämpliga tillgänglighetskraven i det här direktivet i syfte att säkerställa att internetförsäljningen av produkter och tjänster är tillgänglig för personer med funktionsnedsättning, oavsett om säljaren är en offentlig eller privat ekonomisk aktör. Tillgänglighetskraven i det här direktivet bör anpassas till kraven i direktiv (EU) 2016/2102, trots skillnader i exempelvis övervakning, rapportering och efterlevnadsåtgärder.

(47)

De fyra principerna för tillgänglighet i fråga om webbplatser och mobila applikationer, som används i direktiv (EU) 2016/2102, är följande: möjlighet att uppfatta, vilket innebär att information och komponenter i ett användargränssnitt måste presenteras för användare på sätt som de kan uppfatta; hanterbarhet, vilket innebär att komponenter i ett användargränssnitt och navigering måste vara hanterbara; begriplighet, vilket innebär att information och hantering av användargränssnittet måste vara begriplig; robust karaktär, vilket innebär att innehållet måste vara robust nog för att kunna tolkas på ett tillförlitligt sätt av ett brett spektrum av användarprogram, inklusive hjälpmedel. Dessa principer är även relevanta för det här direktivet.

(48)

Medlemsstaterna bör vidta alla lämpliga åtgärder för att säkerställa att den fria rörligheten inom unionen för de produkter och tjänster som omfattas av detta direktiv och som uppfyller de tillämpliga tillgänglighetskraven inte hindras av skäl som har att göra med tillgänglighetskraven.

(49)

I vissa situationer skulle gemensamma tillgänglighetskrav för den bebyggda miljön underlätta den fria rörligheten för de berörda tjänsterna och för personer med funktionsnedsättning. För att säkerställa överensstämmelse med de tillgänglighetskrav som fastställs i bilaga III bör detta direktiv göra det möjligt för medlemsstaterna att inkludera den bebyggda miljö som används vid tillhandahållandet av de tjänster som omfattas av direktivets tillämpningsområde.

(50)

Tillgänglighet bör uppnås genom systematiskt undanröjande och förebyggande av hinder, främst genom universell utformning eller design för alla, vilket bidrar till att säkerställa tillgång för personer med funktionsnedsättning på lika villkor som andra. Enligt konventionen innebär det synsättet ”sådan utformning av produkter, miljöer, program och tjänster att de ska kunna användas av alla i största möjliga utsträckning utan behov av anpassning eller specialutformning”. I linje med konventionen ska begreppet ”design för alla inte utesluta hjälpmedel för enskilda grupper av personer med funktionsnedsättning där så behövs”. Dessutom bör tillgänglighet inte utesluta skälig anpassning när så krävs i unionsrätten eller i nationell rätt. Tillgänglighet och design för alla bör tolkas i enlighet med den allmänna kommentar nr 2 (2014) om artikel 9: tillgänglighet som kommittén för rättigheter för personer med funktionsnedsättning har utarbetat.

(51)

Produkter eller tjänster som omfattas av detta direktiv omfattas inte automatiskt av rådets direktiv 93/42/EEG (16). Vissa tekniska hjälpmedel som är medicintekniska produkter kan dock omfattas av det direktivet.

(52)

De flesta jobb i unionen tillhandahålls av små och medelstora företag och mikroföretag. De är oerhört viktiga för den framtida tillväxten men ställs ofta inför hinder i utvecklingen av sina produkter och tjänster, framför allt i ett gränsöverskridande sammanhang. Därför är det nödvändigt att underlätta arbetet för små och medelstora företag och mikroföretag genom att harmonisera de nationella bestämmelserna om tillgänglighet, samtidigt som de nödvändiga skyddsåtgärderna bibehålls.

(53)

För att mikroföretag och små och medelstora företag ska kunna gynnas av detta direktiv måste de verkligen uppfylla kraven i kommissionens rekommendation 2003/361/EG (17), och den relevanta rättspraxisen, som syftar till att förhindra kringgående av dess regler.

(54)

I syfte att säkerställa enhetlighet i unionsrätten och samtidigt erkänna särdragen hos tillgänglighetskraven i detta direktiv bör detta direktiv grundas på Europaparlamentets och rådets beslut nr 768/2008/EG (18), eftersom det rör produkter som redan omfattas av andra unionsakter.

(55)

Alla ekonomiska aktörer som omfattas av detta direktiv och som ingår i leverans- och distributionskedjan bör säkerställa att de endast tillhandahåller sådana produkter på marknaden som överensstämmer med detta direktiv. Detsamma bör gälla ekonomiska aktörer som tillhandahåller tjänster. Det är nödvändigt att göra en tydlig och proportionell fördelning av skyldigheterna i enlighet med varje ekonomisk aktörs roll i leverans- och distributionsprocessen.

(56)

De ekonomiska aktörerna bör, i förhållande till den roll de har i leveranskedjan, ansvara för att produkter och tjänster överensstämmer med erforderliga krav, för att säkerställa en hög nivå när det gäller skydd av tillgängligheten och för att garantera rättvis konkurrens på unionsmarknaden.

(57)

Skyldigheterna i detta direktiv bör tillämpas likvärdigt på ekonomiska aktörer i den offentliga sektorn och i den privata sektorn.

(58)

Tillverkaren, som besitter detaljkunskap om konstruktions- och tillverkningsprocessen, är den som bäst kan genomföra hela bedömningen av överensstämmelse. Samtidigt som ansvaret för produkters överensstämmelse ligger kvar hos tillverkaren bör marknadskontrollmyndigheterna spela en viktig roll i kontrollen av huruvida produkter som tillhandahålls i unionen är tillverkade i enlighet med unionsrätten.

(59)

Importörerna och distributörerna bör medverka i de nationella myndigheternas marknadskontroll och delta aktivt genom att förse de behöriga myndigheterna med alla nödvändiga uppgifter om den berörda produkten.

(60)

Importörerna bör säkerställa att de produkter från tredjeländer som förs in på unionsmarknaden överensstämmer med detta direktiv, och framför allt att tillverkarna har genomfört lämpliga förfaranden för bedömning av överensstämmelse avseende dessa produkter.

(61)

När en produkt släpps ut på marknaden bör importörerna på produkten ange sitt namn, registrerat firmanamn eller registrerat varumärke och kontaktadress.

(62)

Distributörerna bör säkerställa att deras hantering av produkten inte inverkar negativt på produktens överensstämmelse med tillgänglighetskraven i detta direktiv.

(63)

Alla ekonomiska aktörer som släpper ut en produkt på marknaden i eget namn eller under eget varumärke eller ändrar en produkt som redan släppts ut på marknaden på ett sådant sätt att det kan påverka överensstämmelsen med de tillämpliga kraven, bör anses vara tillverkare och bör därför överta tillverkarens skyldigheter.

(64)

Av proportionalitetsskäl bör tillgänglighetskraven endast gälla så länge de inte ålägger den berörda ekonomiska aktören en oproportionerligt stor börda eller kräver en ändring av produkterna och tjänsterna som skulle innebära en grundläggande ändring av dem mot bakgrund av detta direktiv. Det bör dock finnas mekanismer för att kontrollera berättigande till undantag från tillgänglighetskravens tillämplighet.

(65)

I detta direktiv bör principen att först tänka småskaligt följas och hänsyn tas till de administrativa bördor som små och medelstora företag ställs inför. Här bör mjuka regler fastställas när det gäller bedömning av överensstämmelse och även skyddsklausuler för ekonomiska aktörer, i stället för allmänna undantag och avvikelser för dessa företag. Följaktligen bör hänsyn tas till små och medelstora företags situation när man fastställer regler för urval och genomförande av de lämpligaste förfarandena för bedömning av överensstämmelse, och skyldigheten att bedöma överensstämmelse med tillgänglighetskrav bör begränsas så att den inte innebär en oproportionerligt stor börda för de små och medelstora företagen. Dessutom bör marknadskontrollmyndigheterna agera på ett proportionerligt sätt i förhållande till företagens storlek och den berörda tillverkningens inriktning på små serier eller på produkter som inte tillverkas seriemässigt, utan att skapa onödiga hinder för små och medelstora företag och utan att det urholkar skyddet av allmänintresset.

(66)

I undantagsfall bör de ekonomiska aktörerna – om tillgänglighetskraven i detta direktiv skulle ålägga de ekonomiska aktörerna en oproportionerligt stor börda – endast vara skyldiga att uppfylla kraven i den mån de inte medför en oproportionerligt stor börda. I sådana vederbörligen motiverade fall skulle det inte finnas någon rimlig möjlighet för en ekonomisk aktör att fullständigt tillämpa ett eller flera av de tillgänglighetskraven i detta direktiv. Den ekonomiska aktören bör emellertid göra en tjänst eller en produkt som omfattas av detta direktivs tillämpningsområde så tillgänglig som möjligt genom att tillämpa dessa krav i den mån de inte medför en oproportionerligt stor börda. Dessa tillgänglighetskrav, som av den ekonomiska aktören inte ansågs medföra en oproportionerligt stor börda, bör vara fullständigt tillämpliga. Undantag från uppfyllandet av ett eller flera tillgänglighetskrav på grund av en oproportionerligt stor börda bör inte gå utöver vad som är absolut nödvändigt för att begränsa denna börda i förhållande till den berörda särskilda produkten eller tjänsten i varje enskilt fall. Åtgärder som skulle medföra en oproportionerligt stor börda bör tolkas som åtgärder som skulle medföra en alltför stor organisatorisk eller ekonomisk börda för den ekonomiska aktören, samtidigt som man tar hänsyn till de sannolika fördelarna för personer med funktionsnedsättning i enlighet med de kriterier som fastställs i detta direktiv. Kriterier som grundas på dessa överväganden bör fastställas för att göra det möjligt för både ekonomiska aktörer och berörda myndigheter att jämföra olika situationer och på ett systematiskt sätt bedöma om en oproportionerligt stor börda förekommer. Endast berättigade skäl bör beaktas när man bedömer i vilken utsträckning tillgänglighetskraven inte kan uppfyllas eftersom de skulle leda till en oproportionerligt stor börda. Avsaknad av prioriteringar, tidsbrist eller bristande kunskaper bör inte anses vara berättigade skäl.

(67)

Vid den övergripande bedömningen av om en oproportionerligt stor börda föreligger bör de kriterier som anges i bilaga VI användas. Bedömningen av om en oproportionerligt stor börda föreligger bör dokumenteras av den ekonomiska aktören med beaktande av de relevanta kriterierna. Tjänsteleverantörer bör göra en ny bedömning av en oproportionerligt stor börda minst vart femte år.

(68)

Den ekonomiska aktören bör underrätta de behöriga myndigheterna om att den har stött sig på bestämmelserna i detta direktiv om grundläggande ändring och/eller oproportionerligt stor börda. Endast på begäran av de behöriga myndigheterna bör den ekonomiska aktören tillhandahålla en kopia av bedömningen och förklara varför produkten eller tjänsten inte är fullt tillgänglig och tillhandahålla bevis på att det föreligger en oproportionerligt stor börda eller en grundläggande ändring, eller både och.

(69)

Om en tjänsteleverantör på grundval av den erforderliga bedömningen konstaterar att det skulle utgöra en oproportionerligt stor börda om det krävdes att alla självbetjäningsterminaler som används för tillhandahållandet av tjänster som omfattas av detta direktiv skulle uppfylla tillgänglighetskraven enligt detta direktiv, bör tjänsteleverantören fortfarande tillämpa dessa krav i den mån dessa krav inte medför en sådan oproportionerligt stor börda för den. Följaktligen bör tjänsteleverantören bedöma i vilken utsträckning en begränsad tillgänglighet i alla självbetjäningsterminaler eller ett begränsat antal fullt tillgängliga självbetjäningsterminaler skulle möjliggöra för dem att undvika en oproportionerligt stor börda som annars skulle läggas på dem, och de bör vara skyldiga att efterleva tillgänglighetskraven i detta direktiv endast i den utsträckningen.

(70)

Mikroföretag särskiljs från alla andra företag genom sin begränsade personal och årliga omsättning eller årliga balansomslutning. Den börda som det innebär för mikroföretag att uppfylla tillgänglighetskraven tar därför i allmänhet en större del av deras finansiella resurser och personalresurser i anspråk jämfört med andra företag och kommer med större sannolikhet att utgöra en oproportionerligt stor andel av kostnaderna. En betydande andel av kostnaden för mikroföretag härrör från pappersarbete och dokumentation som visar överensstämmelse med de olika krav som fastställs i unionsrätten. Alla ekonomiska aktörer som omfattas av detta direktiv bör kunna bedöma proportionaliteten vad gäller att uppfylla tillgänglighetskraven i detta direktiv och bör uppfylla dem enbart i den utsträckning de inte är oproportionerliga, men att kräva en sådan bedömning från mikroföretag som tillhandahåller tjänster skulle i sig utgöra en oproportionerligt stor börda. Därför bör krav och skyldigheter i detta direktiv inte gälla mikroföretag som tillhandahåller tjänster inom ramen för detta direktivs tillämpningsområde.

(71)

För att minska den administrativa bördan bör man i direktivet föreskriva mindre betungande krav och skyldigheter för mikroföretag som hanterar produkter som omfattas av detta direktivs tillämpningsområde.

(72)

Även om vissa mikroföretag är undantagna från skyldigheterna i detta direktiv, bör alla mikroföretag uppmanas att tillverka, importera eller distribuera produkter och tillhandahålla tjänster som uppfyller tillgänglighetskraven i detta direktiv så att deras konkurrenskraft och tillväxtpotential på den inre marknaden ökar. Medlemsstaterna bör därför tillhandahålla riktlinjer och verktyg till mikroföretag för att underlätta tillämpningen av de nationella bestämmelser genom vilka detta direktiv införlivas.

(73)

Alla ekonomiska aktörer bör agera ansvarsfullt och uppfylla alla tillämpliga rättsliga krav när de släpper ut eller tillhandahåller produkter eller tillhandahåller tjänster på marknaden.

(74)

För att underlätta bedömningen av överensstämmelse med tillämpliga tillgänglighetskrav är det nödvändigt att föreskriva presumtion om överensstämmelse för produkter och tjänster som överensstämmer med frivilliga harmoniserade standarder som har antagits i enlighet med Europaparlamentets och rådets förordning (EU) nr 1025/2012 (19) i syfte att utarbeta detaljerade tekniska specifikationer av dessa krav. Kommissionen har redan utfärdat ett antal standardiseringsbegäranden om tillgänglighet till de europeiska standardiseringsorganisationerna, såsom standardiseringsuppdragen M/376, M/473 och M/420, vilka skulle vara relevanta för utarbetandet av harmoniserade standarder.

(75)

I förordning (EU) nr 1025/2012 fastställs ett förfarande för formella invändningar mot harmoniserade standarder som inte anses uppfylla kraven i detta direktiv.

(76)

Europeiska standarder bör vara marknadsdrivna, ta hänsyn till allmänintresset och de politiska mål som tydligt uttalats i kommissionens begäran till en eller flera europeiska standardiseringsorganisationer om utarbetande av harmoniserade standarder och grundas på samförstånd. Om det saknas harmoniserade standarder och om de behövs för harmoniseringen av den inre marknaden bör kommissionen i vissa fall kunna anta genomförandeakter med tekniska specifikationer för tillgänglighetskraven i detta direktiv. Tekniska specifikationer bör endast användas i sådana fall. Kommissionen bör till exempel kunna anta tekniska specifikationer särskilt när standardiseringsprocessen blockeras av att de berörda parterna inte kan nå samförstånd eller när det förekommer otillbörliga dröjsmål vid fastställandet av en harmoniserad standard, till exempel på grund av att den kvalitet som krävs inte uppnåtts. Kommissionen bör låta det gå tillräckligt lång tid efter sin begäran till en eller flera europeiska standardiseringsorganisationer om utarbetande av harmoniserade standarder innan den antar en teknisk specifikation avseende samma tillgänglighetskrav. Kommissionen bör inte tillåtas anta en teknisk specifikation utan att först ha försökt se till att tillgänglighetskraven täcks av det europeiska standardiseringssystemet, med undantag för om kommissionen kan visa att de tekniska specifikationerna uppfyller de krav som fastställs i bilaga II till förordning (EU) nr 1025/2012.

(77)

I syfte att på effektivast möjliga sätt fastställa harmoniserade standarder och tekniska specifikationer som uppfyller tillgänglighetskraven i detta direktiv för produkter och tjänster bör kommissionen, när så är genomförbart, involvera europeiska paraplyorganisationer för personer med funktionsnedsättning och alla andra berörda parter i processen.

(78)

För att säkerställa effektiv tillgång till information för marknadskontrolländamål bör den information som krävs för att förklara överensstämmelse med alla tillämpliga unionsakter tillgängliggöras i en enda EU-försäkran om överensstämmelse. I syfte att minska den administrativa bördan för de ekonomiska aktörerna bör de kunna inkludera alla relevanta enskilda försäkringar om överensstämmelse i den enda EU-försäkran om överensstämmelse.

(79)

När det gäller bedömningen av överensstämmelse för produkter bör detta direktiv följa förfarandet Intern tillverkningskontroll i Modul A, som anges i bilaga II till beslut nr 768/2008/EG, eftersom det gör det möjligt för ekonomiska aktörer att visa, och för behöriga myndigheter att säkerställa, att produkter som tillhandahålls på marknaden uppfyller tillgänglighetskraven och inte medför någon orimlig börda.

(80)

När myndigheter utför marknadskontroll av produkter och kontrollerar tjänsters överensstämmelse bör de även kontrollera bedömningarna av överensstämmelse, inklusive huruvida den relevanta bedömningen av grundläggande ändring eller oproportionerligt stor börda genomfördes på ett korrekt sätt. Myndigheterna bör utföra sina uppgifter i samarbete med personer med funktionsnedsättning och de organisationer som företräder dem och deras intressen.

(81)

När det gäller tjänster bör den information som behövs för att bedöma överensstämmelsen med tillgänglighetskraven i det här direktivet ges i de allmänna villkoren eller likvärdigt dokument utan att detta påverkar tillämpningen av Europaparlamentets och rådets direktiv 2011/83/EU (20).

(82)

CE-märkningen, som visar att en produkt överensstämmer med tillgänglighetskraven i detta direktiv, är det synliga resultatet av en hel process av bedömning av överensstämmelse i vid bemärkelse. Detta direktiv bör följa de allmänna principer för CE-märkning som fastställs i Europaparlamentets och rådets förordning (EG) nr 765/2008 (21) om krav för ackreditering och marknadskontroll i samband med saluföring av produkter. Utöver att upprätta en EU-försäkran om överensstämmelse bör tillverkaren på ett kostnadseffektivt sätt informera konsumenterna om sina produkters tillgänglighet.

(83)

Genom att anbringa CE-märkningen på en produkt försäkrar tillverkaren, i enlighet med förordning (EG) nr 765/2008, att produkten överensstämmer med alla tillämpliga tillgänglighetskrav och att tillverkaren tar på sig det fulla ansvaret för detta.

(84)

I enlighet med beslut nr 768/2008/EG ankommer det på medlemsstaterna att säkerställa att marknadskontrollen av produkter inom deras territorium är stark och effektiv, och att förse sina marknadskontrollmyndigheter med tillräckliga befogenheter och resurser.

(85)

Medlemsstaterna bör kontrollera att tjänster överensstämmer med skyldigheterna i detta direktiv och bör följa upp klagomål och rapporter om bristande överensstämmelse för att säkerställa att korrigerande åtgärder har vidtagits.

(86)

Kommissionen kan där så är lämpligt, i samråd med de berörda parterna, anta icke-bindande riktlinjer för att stödja samordningen mellan marknadskontrollmyndigheterna och myndigheter som är ansvariga för kontroll av tjänsters överensstämmelse. Kommissionen och medlemsstaterna bör ha möjlighet att inrätta initiativ i syfte att dela de resurser och den expertis som finns hos myndigheterna.

(87)

Medlemsstaterna bör säkerställa att marknadskontrollmyndigheterna och myndigheter som är ansvariga för kontroll av tjänsters överensstämmelse kontrollerar att de ekonomiska aktörerna uppfyller de kriterier som anges i bilaga VI i enlighet med kapitlen VIII och IX. Medlemsstaterna bör ha möjlighet att utse ett specialiserat organ för utförandet av marknadskontrollmyndigheternas skyldigheter eller skyldigheterna för myndigheter som är ansvariga för kontroll av tjänsters överensstämmelse i enlighet med detta direktiv. Medlemsstaterna bör ha möjlighet att besluta att ett sådant specialiserat organs befogenheter begränsas till tillämpningsområdet för detta direktiv eller vissa delar därav utan att detta påverkar medlemsstaternas skyldigheter enligt förordning (EG) nr 765/2008.

(88)

Ett förfarande för skyddsåtgärder bör upprättas, vilket bör gälla om medlemsstaterna är oeniga om åtgärder som en medlemsstat vidtagit. Enligt detta skyddsförfarande underrättas berörda parter om planerade åtgärder när det gäller produkter som inte uppfyller tillgänglighetskraven i detta direktiv. Förfarandet för skyddsåtgärder bör ge marknadskontrollmyndigheterna möjlighet att, i samarbete med de berörda ekonomiska aktörerna, agera i ett tidigare skede när det gäller sådana produkter.

(89)

Om medlemsstaterna och kommissionen är överens om att en medlemsstats åtgärd är berättigad, bör kommissionen inte involveras ytterligare, utom i de fall då den bristande överensstämmelsen kan anses bero på brister i en harmoniserad standard.

(90)

I enlighet med Europaparlamentets och rådets direktiv 2014/24/EU (22) och 2014/25/EU (23) om offentlig upphandling, där förfaranden fastställs för offentlig upphandling av offentliga kontrakt och projekttävlingar för vissa varor (produkter), tjänster och byggentreprenader, ska de tekniska specifikationerna, utom i vederbörligen motiverade fall, vid alla upphandlingar där kontraktsföremålet ska användas av fysiska personer, oavsett om det rör sig om allmänheten eller personal vid den upphandlande myndigheten eller enheten, fastställas med hänsyn till kriterier avseende tillgängligheten för personer med funktionsnedsättning eller formgivning med tanke på samtliga användares behov. Vidare kräver dessa direktiv att om obligatoriska tillgänglighetskrav har antagits genom en unionsrättsakt ska de tekniska specifikationerna avseende tillgänglighet för personer med funktionsnedsättning eller formgivning med tanke på samtliga användares behov utformas med hänvisning till den rättsakten. Det här direktivet bör fastställa obligatoriska tillgänglighetskrav för de produkter och tjänster som omfattas av det. För de produkter och tjänster som inte omfattas av det här direktivets tillämpningsområde är tillgänglighetskraven i det inte bindande. Användning av dessa tillgänglighetskrav för att uppfylla relevanta skyldigheter enligt andra unionsakter än det här direktivet skulle dock underlätta genomförandet av tillgängligheten och bidra till rättssäkerhet och tillnärmning av tillgänglighetskraven i hela unionen. Myndigheterna bör inte hindras från att fastställa mer långtgående tillgänglighetskrav än de som anges i bilaga I till det här direktivet.

(91)

Detta direktiv bör inte ändra den obligatoriska eller frivilliga karaktären hos de bestämmelser som rör tillgängligheten i andra unionsakter.

(92)

Detta direktiv bör endast gälla upphandlingsförfaranden för vilka en anbudsinfordran redan har skickats ut eller, i de fall en anbudsinfordran inte krävs, om den upphandlande myndigheten eller den upphandlande enheten har påbörjat upphandlingsförfarandet efter den dag då detta direktiv börjar tillämpas.

(93)

I syfte att säkerställa att detta direktiv tillämpas på rätt sätt bör befogenheten att anta akter i enlighet med artikel 290 i EUF-fördraget delegeras till kommissionen med avseende på följande: ytterligare specificering av de tillgänglighetskrav som genom själva sin beskaffenhet inte kan ge den avsedda effekten såvida de inte närmare specificeras i bindande unionsrättsakter; ändring av den period under vilken ekonomiska aktörer måste kunna identifiera en ekonomisk aktör som har levererat en produkt till dem eller till vilken de har levererat en produkt; ytterligare specificering av de relevanta kriterier som den ekonomiska aktören ska beakta vid bedömningen av huruvida överensstämmelsen med tillgänglighetskraven skulle medföra en oproportionerligt stor börda. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå, och att dessa samråd genomförs i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning (24). För att säkerställa lika stor delaktighet i förberedelsen av delegerade akter erhåller Europaparlamentet och rådet alla handlingar samtidigt som medlemsstaternas experter, och deras experter ges systematiskt tillträde till möten i kommissionens expertgrupper som arbetar med förberedelse av delegerade akter.

(94)

För att säkerställa enhetliga villkor för genomförandet av detta direktiv, bör kommissionen tilldelas genomförandebefogenheter med avseende på de tekniska specifikationerna. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (25).

(95)

Medlemsstaterna bör säkerställa att det finns lämpliga och effektiva medel för att säkerställa efterlevnaden av detta direktiv och bör därför således upprätta lämpliga kontrollmekanismer, såsom efterhandskontroll av marknadskontrollmyndigheterna, för att kontrollera att ett undantag från tillgänglighetskraven är berättigat. Vid behandling av klagomål avseende tillgänglighet bör medlemsstaterna iaktta den allmänna principen om god förvaltning och i synnerhet tjänstemännens skyldighet att säkerställa att ett beslut om varje klagomål fattas inom rimlig tid.

(96)

I syfte att främja ett enhetligt genomförande av detta direktiv bör kommissionen, för att underlätta utbytet av information och bästa praxis och för att tillhandahålla råd, inrätta en arbetsgrupp som består av berörda myndigheter och parter. Samarbete bör främjas mellan myndigheterna och de berörda parterna, inklusive personer med funktionsnedsättning och de organisationer som företräder dem, bland annat i syfte att förbättra samstämmigheten vid tillämpningen av bestämmelserna i detta direktiv gällande tillgänglighetskrav och att övervaka genomförandet av dess bestämmelser om grundläggande ändring och oproportionerligt stor börda.

(97)

Med hänsyn till den befintliga rättsliga ramen rörande rättsmedel inom de områden som omfattas av direktiven 2014/24/EU och 2014/25/EU, bör bestämmelserna om efterlevnadsåtgärder och sanktioner i det här direktivet inte gälla de upphandlingsförfaranden för vilka skyldigheterna i detta direktiv gäller. Ett sådant undantagande påverkar inte medlemsstaternas fördragsenliga skyldigheter att vidta alla nödvändiga åtgärder för att säkerställa unionsrättens tillämpning och effektivitet.

(98)

Sanktionerna bör vara adekvata i förhållande till överträdelsernas art och omständigheterna så att de inte fungerar som ett alternativ till att de ekonomiska aktörerna fullgör sin skyldighet att göra sina produkter eller tjänster tillgängliga.

(99)

Medlemsstaterna bör, i enlighet med gällande unionsrätt, säkerställa att det finns alternativa tvistlösningsmekanismer som gör det möjligt att åtgärda påstådda fall av bristande efterlevnad av detta direktiv innan talan väcks vid domstol eller hos behöriga förvaltningsmyndigheter.

(100)

I enlighet med den gemensamma politiska förklaringen av den 28 september 2011 från medlemsstaterna och kommissionen om förklarande dokument (26), har medlemsstaterna åtagit sig att, när det är berättigat, låta anmälan av införlivandeåtgärder åtföljas av ett eller flera dokument som förklarar förhållandet mellan de olika delarna i direktivet och motsvarande delar i de nationella instrumenten för införlivande. Lagstiftaren anser att det är motiverat att sådana dokument översänds avseende detta direktiv.

(101)

I syfte att ge tjänsteleverantörerna tillräckligt med tid för att anpassa sig till kraven i detta direktiv är det nödvändigt att införa en övergångsperiod på fem år efter tillämpningsdagen för detta direktiv, under vilken produkter som används vid tillhandahållandet av en tjänst och som släppts ut på marknaden före den dagen inte måste uppfylla tillgänglighetskraven i detta direktiv såvida de inte ersätts av tjänsteleverantörerna under övergångsperioden. Med tanke på kostnaderna och den långa livslängden för självbetjäningsterminaler, är det lämpligt att föreskriva att sådana terminaler, när de används vid tillhandahållandet av tjänster, får fortsätta att användas till slutet av deras ekonomiska livslängd, förutsatt att de inte ersätts under denna period, dock inte längre än 20 år.

(102)

Tillgänglighetskraven i detta direktiv bör gälla för produkter som släpps ut på marknaden och tjänster som tillhandahålls efter den dag då de nationella åtgärder som införlivar detta direktiv börjar tillämpas, inbegripet redan använda och begagnade produkter som importeras från ett tredjeland och som släpps ut på marknaden efter den dagen.

(103)

Detta direktiv är förenligt med de grundläggande rättigheter och de principer som erkänns särskilt i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan). Syftet med direktivet är i synnerhet att säkerställa fullständig respekt för rätten för personer med funktionsnedsättning att få del av åtgärder som syftar till att säkerställa deras oberoende, sociala och yrkesmässiga integrering och deltagande i samhällslivet samt främja tillämpningen av artiklarna 21, 25 och 26 i stadgan.

(104)

Eftersom målet för detta direktiv, nämligen att undanröja hinder för fri rörlighet för vissa tillgängliga produkter och tjänster i syfte att bidra till en väl fungerande inre marknad, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna eftersom det kräver harmonisering av de olika regler som för närvarande finns i deras respektive rättssystem utan snarare, på grund av att det fastställs gemensamma tillgänglighetskrav och regler för den inre marknadens funktion, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå detta mål.