(1)

Mrežni i informacijski sustavi i elektroničke komunikacijske mreže i usluge imaju ključnu ulogu u društvu i postali su okosnica gospodarskog rasta. Na informacijskoj i komunikacijskoj tehnologiji (IKT) temelje se složeni sustavi kojima se podupiru svakodnevne društvene aktivnosti, osigurava neprekinuto funkcioniranje naših gospodarstava u ključnim sektorima poput zdravstva, energetike, financija i prometa te se posebno podupire funkcioniranje unutarnjeg tržišta.

(2)

Građani, organizacije i poduzeća u cijeloj Uniji sada se u znatnoj mjeri koriste mrežnim i informacijskim sustavima. Digitalizacija i povezivost postaju ključne značajke sve većeg broja proizvoda i usluga, a pojavom interneta stvari (IoT) očekuje se da će se u Uniji tijekom sljedećeg desetljeća upotrebljavati iznimno velik broj povezanih digitalnih uređaja. Iako se s internetom povezuje sve veći broj uređaja, pri njihovom dizajnu se ne vodi dovoljno računa o sigurnosti i otpornosti, što dovodi do nedostatne kibersigurnosti. U tom kontekstu, zbog ograničene uporabe certifikacije, pojedinačni korisnici, organizacije i poduzeća nemaju dovoljno informacija o kibersigurnosnim značajkama IKT proizvoda i IKT usluga, što smanjuje povjerenje u digitalna rješenja. Mrežni i informacijski sustavi imaju sposobnost podupiranja svih aspekata naših života i poticanja gospodarskog rasta Unije. Okosnica su za ostvarenje jedinstvenog digitalnog tržišta.

(3)

Rast digitalizacije i povezivosti dovode do većih kibersigurnosnih rizika, zbog čega je društvo u cjelini osjetljivije na kiberprijetnje, a pojedinci se suočavaju sa sve većim opasnostima, uključujući ranjive osobe kao što su djeca. Kako bi se ti rizici ublažili, treba poduzeti sve nužne mjere za poboljšanje kibersigurnosti u Uniji s ciljem bolje zaštite od kiberprijetnji mrežnih i informacijskih sustava, telekomunikacijskih mreža, digitalnih proizvoda, usluga i uređaja kojima se koriste građani, organizacije i poduzeća, od malih i srednjih poduzeća (MSP-ovi), kako su definirana u Preporuci Komisije 2003/361/EZ (4) do operatora ključnih infrastruktura.

(4)

Agencija Europske unije za mrežnu i informacijsku sigurnost (ENISA), osnovana Uredbom (EU) br. 526/2013. Europskog parlamenta i Vijeća (5) stavljanjem na raspolaganje relevantnih informacija javnosti doprinosi razvoju kibersigurnosnog sektora u Uniji, a posebice MSP-ova te novoosnovanih poduzeća. ENISA bi trebala nastojati ostvariti bližu suradnju sa sveučilištima i istraživačkim subjektima kako bi se doprinijelo smanjenju ovisnost o kibersigurnosnim proizvodima i uslugama izvan Unije i ojačalo opskrbne lance unutar Unije.

(5)

Kibernapadi su sve češći te je potrebna snažnija obrana povezanoga gospodarstva i društva koje je osjetljivije na kiberprijetnje i napade. Međutim, dok su kibernapadi često prekogranični, nadležnost i politički odgovori nadležnih tijela za kibersigurnost i za izvršavanje zakonodavstva uglavnom su nacionalni. Veliki incidenti mogli bi uzrokovati prekid u pružanju ključnih usluga u cijeloj Uniji. Zbog toga su potrebni učinkoviti i koordinirani odgovori te upravljanje krizama na razini Unije, koji se temelje na ciljanim politikama i opsežnijim instrumentima za europsku solidarnost i uzajamnu pomoć. Nadalje, za oblikovatelje politika, industriju i korisnike važno je redovito ocjenjivanje stanja kibersigurnosti i otpornosti u Uniji na temelju pouzdanih podataka Unije i sustavno predviđanje budućeg razvoja, izazova i opasnosti na razini Unije i na globalnoj razni.

(6)

Zbog sve većih kibersigurnosnih izazova s kojima se Unija suočava potrebno je donijeti sveobuhvatan skup mjera koje bi se temeljile na prethodnom djelovanju Unije i kojima bi se poticali ciljevi koji se uzajamno podupiru. Ti ciljevi uključuju daljnje povećanje sposobnosti i spremnosti država članica i poduzeća te poboljšanje suradnje, razmjene informacija i koordinacije među državama članicama i institucijama, tijelima, uredima i agencijama Unije. Nadalje, s obzirom na to da kiberprijetnje ne poznaju granice, trebalo bi povećati sposobnosti na razini Unije kojima bi se mogla dopuniti djelovanja država članica, posebno u slučajevima velikih prekograničnih incidenata i kriza uz istodobno vođenje računa o važnosti održavanja i daljnjeg poboljšavanja nacionalnih sposobnosti za odgovor na kiberprijetnje svih razmjera.

(7)

Potrebno je također uložiti dodatne napore u podizanje osviještenosti građana, organizacija i poduzeća o pitanjima kibersigurnosti. Nadalje, budući da incidenti narušavaju povjerenje u pružatelje digitalnih usluga i u samo jedinstveno digitalno tržište, posebno u redovima potrošača, povjerenje bi trebalo dodatno ojačati transparentnom ponudom informacija o razini sigurnosti IKT proizvoda, IKT usluga i IKT procesa kojima se ističe da čak i visoka razina kibersigurnosne certifikacije nije jamstvo da su IKT proizvod, IKT usluga ili IKT proces potpuno sigurni. Jačanje povjerenja može se olakšati certifikacijom na razini Unije kojom će se osigurati zajednički kibersigurnosni zahtjevi i kriteriji za evaluaciju na svim nacionalnim tržištima i u svim sektorima.

(8)

Kibersigurnost nije samo problem povezan s tehnologijom, već je za njega od jednake važnosti ljudsko ponašanje. Stoga bi trebalo snažno promicati „kiberhigijenu”, odnosno jednostavne, rutinske mjere kojima se, ako ih građani, organizacije i poduzeća redovito provode, na najmanju moguću mjeru smanjuje njihova izloženost rizicima od kiberprijetnji.

(9)

Radi jačanja struktura Unije u području kibersigurnosti važno je održati i razviti sposobnosti država članica za sveobuhvatan odgovor na kiberprijetnje, što obuhvaća prekogranične incidente.

(10)

Poduzeća i pojedinačni potrošači trebali bi imati točne informacije o tome do koje su jamstvene razine certificirani njihovi IKT proizvodi, IKT usluge i IKT procesi. Istodobno, nijedan IKT proizvod, IKT usluga ili IKT proces nije u potpunosti kibersiguran i potrebno je promicati i prioritizirati osnovna pravila kiberhigijene. S obzirom na sve veću dostupnost uređaja IoT-a postoji niz dobrovoljnih mjera koje privatni sektor može poduzeti kako bi ojačao povjerenje u sigurnost IKT proizvoda, IKT usluga i IKT procesa.

(11)

Moderni IKT proizvodi i sustavi često se integriraju i oslanjaju se na jednu ili više tehnologija i komponenti treće strane, kao što su softverski moduli, knjižnice ili aplikacijska programska sučelja. To oslanjanje, koje se naziva „ovisnost”, moglo bi predstavljati dodatne kibersigurnosne rizike jer bi ranjivosti prisutne u komponentama treće strane mogle utjecati i na sigurnost IKT proizvoda, IKT usluga i IKT procesa. U mnogim slučajevima utvrđivanje i dokumentiranje takvih ovisnosti omogućuje krajnjim korisnicima IKT proizvoda, IKT usluga i IKT procesa da poboljšaju svoje aktivnosti upravljanja kibersigurnosnim rizicima poboljšanjem, primjerice, korisničkih postupaka upravljanja ranjivostima i otklanjanja ranjivosti u području kibersigurnosti.

(12)

Trebalo bi poticati organizacije, proizvođače ili pružatelje usluga koji su uključeni u oblikovanje i razvoj IKT proizvoda, IKT usluga i IKT procesa da u najranijim fazama oblikovanja i razvoja provedu mjere radi zaštite sigurnosti tih proizvoda, procesa i usluga u najvećoj mogućoj mjeri, na način da se pretpostavlja pojava napada te da se njihov učinak očekuje i smanjuje na najmanju moguću mjeru („integrirana sigurnost”). Sigurnosti bi trebalo jamčiti tijekom cijelog životnog vijeka IKT proizvoda, IKT usluge i IKT procesa i to tako da se postupci oblikovanja i razvoja stalno razvijaju s ciljem smanjenja štete od zlonamjernog iskorištavanja.

(13)

Poduzeća, organizacije i javni sektor trebali bi konfigurirati IKT proizvode, IKT procese ili IKT usluge koje osmišljavaju tako da se osigura viši stupanj sigurnosti, što bi prvom korisniku omogućilo da dobije zadanu konfiguraciju s najsigurnijim mogućim postavkama („zadana sigurnost”) čime bi se smanjilo opterećenje za korisnike da na odgovarajući način moraju konfigurirati IKT proizvod, IKT uslugu i IKT procesd. Zadana sigurnost ne bi trebala zahtijevati opsežnu konfiguraciju ni specifično tehničko razumijevanje ili neintuitivno ponašanje korisnika već bi, ako je ugrađena, trebala funkcionirati jednostavno i pouzdano. Ako se na pojedinačnoj osnovi analizom rizika i upotrebljivosti pokaže da takve zadane postavke nisu ostvarive, korisnike bi trebalo upozoriti da se odluče za najsigurniju postavku.

(14)

Uredbom (EZ) br. 460/2004 Europskog parlamenta i Vijeća (6) osnovana je ENISA za potrebe doprinosa ciljevima osiguravanja visoke i učinkovite razine mrežne i informacijske sigurnosti u Uniji te razvoja kulture mrežne i informacijske sigurnosti u korist građana, potrošača, poduzeća i javnih uprava. Uredbom (EZ) br. 1007/2008 Europskog parlamenta i Vijeća (7) produljen je mandat ENISA-e do ožujka 2012. Uredbom (EU) br. 580/2011 Europskog parlamenta i Vijeća (8) dodatno je produljen mandat ENISA-e do 13. rujna 2013. Uredbom (EU) br. 526/2013 mandat ENISA-e produljen je do 19. lipnja 2020.

(15)

Unija je već poduzela važne korake kako bi osigurala kibersigurnost i povećala povjerenje u digitalne tehnologije. Godine 2013. donesena je Strategija Europske unije za kibersigurnost kako bi se usmjerio politički odgovor Unije na kiberprijetnje i kiberrizike. S ciljem bolje zaštite građana na internetu Unija je 2016. donijela prvi zakonodavni akt u području kibersigurnosti u obliku Direktive (EU) 2016/1148 Europskog parlamenta i Vijeća (9). Direktivom (EU) 2016/1148 utvrđuju se zahtjevi u pogledu nacionalnih sposobnosti u području kibersigurnosti, uspostavljeni su prvi mehanizmi za jačanje strateške i operativne suradnje među državama članicama i uvedene su obveze u pogledu sigurnosnih mjera i obavijesti o incidentima u sektorima koji su od ključne važnosti za gospodarstvo i društvo, kao što su energetika, promet, opskrba pitkom vodom i njezina distribucija, bankarstvo, infrastruktura financijskog tržišta, zdravstvena skrb, digitalna infrastruktura i pružatelji ključnih digitalnih usluga (tražilice, usluge računalstva u oblaku i internetska tržišta).

ENISA je dobila ključnu ulogu u podupiranju provedbe te direktive. Nadalje, djelotvorna borba protiv kiberkriminaliteta važan je prioritet Europskog programa sigurnosti, čime se doprinosi općem cilju postizanja visoke razine kibersigurnosti. Drugi pravni akti, kao što su Uredba (EU) 2016/679 Europskog parlamenta i Vijeća (10) i direktive 2002/58/EZ (11) i (EU) 2018/1972 (12) Europskog parlamenta i Vijeća, također doprinose visokoj razini kibersigurnosti na jedinstvenom digitalnom tržištu.

(16)

Od donošenja strategije Europske unije o kibersigurnosti iz 2013. i posljednje revizije mandata ENISA-ee znatno se promijenio opći kontekst politike rastom neizvjesnosti i nesigurnosti globalnog okruženja. Imajući to u vidu te u kontekstu pozitivnog razvoja uloge ENISA-e kao referentne točke za savjetovanje i stručno znanje, posredovatelja suradnje i izgradnje kapaciteta te u okviru nove politike Unije u području kibersigurnosti nužno je preispitati mandat ENISA-e kako bi se utvrdila njezina uloga u promijenjenom kibersigurnosnom ekosustavu i osiguralo da ona djelotvorno doprinosi odgovoru Unije na kiberizazove koji proizlaze iz bitno preobraženog okruženja kiberprijetnji na koje ENISA, kao što se pokazalo tijekom njezine evaluacije, u okviru svojeg trenutačnog mandata, ne može dostatno odgovoriti.

(17)

ENISA osnovana ovom Uredbom trebala bi naslijediti ENISA-u osnovanu Uredbom (EU) br. 526/2013. ENISA bi trebala izvršavati zadaće koje su joj povjerene ovom Uredbom i drugim pravnim aktima Unije u području kibersigurnosti pružanjem, među ostalim, savjeta i stručnog znanja te djelujući kao centar za informacije i znanje u Uniji. Ona bi trebala promicati razmjenu najbolje prakse među državama članicama i privatnim dionicima, Komisiji i državama članicama trebala bi davati prijedloge o politikama, djelovati kao referentna točka za sektorske inicijative politike Unije u području kibersigurnosti i poticati operativnu suradnju među državama članicama i između država članica i institucija, tijela, ureda i agencija Unije.

(18)

Odlukom 2004/97/EZ, Euratom donesenom zajedničkim dogovorom predstavnika država članica koji su se sastali na razini šefova država i vlada (13), predstavnici država članica odlučili su da će sjedište ENISA-e biti u Grčkoj u gradu koji odredi grčka vlada. Država članica domaćin ENISA-e trebala bi osigurati najbolje moguće uvjete za njezin nesmetan i učinkovit rad. Za pravilno i učinkovito obavljanje zadaća, za odabir i zadržavanje osoblja te za jačanje učinkovitosti aktivnosti umrežavanja nužno je da se ENISA nalazi na odgovarajućoj lokaciji na kojoj su, među ostalim, osigurani odgovarajuća prometna povezanost te prostori za supružnike i djecu koji prate članove osoblja ENISA-e. Potrebne aranžmane trebalo bi utvrditi u sporazumu između ENISA-e i države članice domaćina koji se sklapa nakon dobivanja suglasnosti Upravljačkog odbora ENISA-e.

(19)

S obzirom na sve veće rizike i izazove u području kibersigurnosti s kojima se Unija suočava, trebalo bi povećati financijske i ljudske resurse dodijeljene ENISA-i u skladu s njezinom pojačanom ulogom i zadaćama i njezinom ključnom ulogom u ekosustavu organizacija koje brane digitalni ekosustav Unije koji bi ENISA-i omogućili da učinkovito izvršava zadaće koje su joj dodijeljene ovom Uredbom.

(20)

ENISA bi trebala razviti i održavati visoku razinu stručnosti i djelovati kao referentna točka koja svojom neovisnošću, kvalitetom savjeta i informacija koje pruža, transparentnošću postupaka i metoda rada te marljivošću u obavljanju svojih zadaća uspostavlja povjerenje u jedinstveno tržište. ENISA bi trebala aktivno podupirati nacionalne napore te bi trebala proaktivno doprinositi naporima Unije obavljajući pritom svoje zadaće u potpunoj suradnji s institucijama, tijelima, uredima i agencijama Unije te s državama članicama, uz izbjegavanje udvostručavanja posla i promicanje sinergije. Nadalje, rad ENISA-e trebao bi se temeljiti na informacijama dobivenima od privatnog sektora i relevantnih dionika i suradnji s njima. Skupom zadaća trebao bi se utvrditi način na koji će ENISA ostvariti svoje ciljeve, pri čemu joj se treba omogućiti fleksibilnost u radu.

(21)

ENISA bi trebala dodatno ojačati vlastite tehničke i ljudske sposobnosti i vještine kako bi mogla pružiti odgovarajuću potporu operativnoj suradnji između država članica. ENISA bi trebala povećati svoje znanje i iskustvo te sposobnosti. ENISA i države članice mogli bi na dobrovoljnoj osnovi osmisliti programe za upućivanje nacionalnih stručnjaka u ENISA-u, stvaranje skupina stručnjaka i razmjenu osoblja.

(22)

ENISA bi trebala pomagati Komisiji davanjem savjeta, mišljenja i analiza u vezi sa svim pitanjima Unije koja se odnose na razvoj, ažuriranje i preispitivanje politika i prava u području kibersigurnosti te njihovih sektorskih aspekata radi jačanja relevantnosti politika i prava Unije s dimenzijom kibersigurnosti i omogućavanja dosljednosti u njihovoj provedbi na nacionalnoj razini. ENISA bi trebala djelovati kao referentna točka za pružanje savjeta i stručnog znanja o sektorskoj politici i pravnim inicijativama Unije kada je riječ o pitanjima kibersigurnosti. ENISA bi trebala redovito obavješćivati Europski parlament o svojim aktivnostima.

(23)

Javna jezgra otvorenog interneta, odnosno njegovi glavni protokoli i infrastruktura koji su globalno javno dobro, omogućuje temeljnu funkcionalnost interneta i osnova je njegova normalnog funkcioniranja. ENISA bi trebala podupirati sigurnost i stabilnost funkcioniranja javne jezgre otvorenog interneta, uključujući, ali ne ograničavajući se na ključne protokole (posebno DNS, BGP i IPv6), rad sustava naziva domena (DNS) (kao što je funkcioniranje svih vršnih domena), te rad korijenske zone (root zone).

(24)

Osnovna je zadaća ENISA-e promicati dosljednu provedbu odgovarajućeg pravnog okvira, a posebno učinkovitu provedbu Direktive (EU) 2016/1148 i drugih relevantnih pravnih instrumenata koji sadržavaju aspekte kibersigurnosti, što je od ključne važnosti za povećanje kiberotpornosti. S obzirom na kiberprijetnje koje se brzo razvijaju, jasno je da države članice trebaju potporu sveobuhvatnijeg, horizontalnog pristupa izgradnji kiberotpornosti.

(25)

ENISA bi trebala pomagati državama članicama i institucijama, tijelima, uredima i agencijama Unije u njihovim naporima usmjerenima na izgradnju i jačanje sposobnosti i pripravnosti s ciljem sprječavanja i otkrivanja kiberprijetnji i kiberincidenata i odgovora na njih te u vezi sa sigurnošću mrežnih i informacijskih sustava. ENISA bi posebno trebala poduprijeti razvoj i jačanje nacionalnih i Unijinih timova za odgovor na računalne sigurnosne incidente („CSIRT-ovi”) iz Direktive (EU) 2016/1148 s ciljem postizanja visoke zajedničke razine njihove zrelosti u Uniji. Aktivnostima ENISA-e koje se odnose na operativne kapacitete država članica trebale bi se aktivno podupirati mjere koje države članice poduzimaju radi ispunjenja svojih obveza proizašlih iz Direktive (EU) 2016/1148 te ih stoga ne bi trebale nadomjestiti.

(26)

ENISA bi usto trebala pomagati u razvoju i ažuriranju strategija o sigurnosti mrežnih i informacijskih sustava na razini Unije i, na zahtjev, na razini država članica, osobito o kibersigurnosti, te bi trebala promicati širenje tih strategija i pratiti njihovu provedbu. ENISA bi ujedno trebala doprinositi pokrivanju potreba za osposobljavanjem i obrazovnim materijalima, uključujući potrebe javnih tijela, i prema potrebi, u velikoj mjeri „osposobljavati voditelje osposobljavanja” nadovezujući se na Okvir digitalne kompetencije za građane kako bi pomogla državama članicama te institucijama, tijelima, uredima i agencijama Unije da razviju vlastite sposobnosti za osposobljavanje.

(27)

ENISA bi trebala podupirati države članice u području podizanja svijesti i obrazovanja o kibersigurnosti olakšavanjem bliže koordinacije i razmjene najboljih praksi među državama članicama. Takva bi se potpora mogla sastojati od razvoja mreže nacionalnih obrazovnih kontaktnih točaka i razvoja platforme za osposobljavanje u području kibersigurnosti. Mreža nacionalnih obrazovnih kontaktnih točaka mogla bi djelovati u okviru mreže nacionalnih časnika za vezu te osigurati početnu točku za buduću koordinaciju unutar država članica.

(28)

ENISA bi trebala pomagati Skupini za suradnju osnovanoj Direktivom (EU) 2016/1148 pri izvršavanju njezinih zadaća, posebno pružanjem stručnog znanja i savjeta te olakšavanjem razmjene najbolje prakse, među ostalim, u pogledu utvrđivanja operatora ključnih usluga u državama članicama, kao i u pogledu prekograničnih ovisnosti, rizika i incidenata.

(29)

S ciljem poticanja suradnje između javnog i privatnog sektora te unutar privatnog sektora, posebice radi potpore zaštiti kritične infrastrukture, ENISA bi trebala podupirati unutarsektorsku i međusektorsku razmjenu informacija, osobito u sektorima s popisa u Prilogu II. Direktivi (EU) 2016/1148, pružanjem najboljih praksi i smjernica o dostupnim alatima i postupcima, kao i pružanjem smjernica za rješavanje regulatornih pitanja povezanih s razmjenom informacija, primjerice olakšavanjem uspostave sektorskih centara za razmjenu i analizu informacija.

(30)

Budući da je mogući negativni učinak ranjivosti IKT proizvoda, IKT usluga i IKT procesa u stalnom porastu, pronalaženje i otklanjanje takvih ranjivosti ima važnu ulogu u smanjenju ukupnih kibersigurnosnih rizika. Pokazalo se da se suradnjom između organizacija, proizvođača ili pružatelja ranjivih IKT proizvoda, IKT usluga i IKT procesa te članova istraživačke zajednice u području kibersigurnosti i vladâ, koji pronalaze takve ranjivosti, znatno povećava i stopa otkrivanja i stopa uklanjanja ranjivosti IKT proizvoda, IKT usluga i IKT procesa. Koordinirano otkrivanje ranjivosti odvija se strukturiranim postupkom suradnje u kojem se ranjivosti prijavljuju vlasniku informacijskog sustava, čime se organizaciji omogućuje da dijagnosticira i otkloni ranjivost prije nego što se detaljne informacije o njoj otkriju trećim stranama ili javnosti. Tim se postupkom predviđa i koordinacija između strane koja je otkrila ranjivosti i organizacije u pogledu objave tih ranjivosti. Politike koordiniranog otkrivanja ranjivosti mogle bi imati važnu ulogu u nastojanjima država članica da poboljšaju kibersigurnost.

(31)

ENISA bi trebala objedinjavati i analizirati dobrovoljno podijeljena zajednička nacionalna izvješća CSIRT-ova i međuinstitucijskog tima za hitne računalne intervencije za institucije, tijela i agencije Unije uspostavljenog Dogovorom između Europskog parlamenta, Europskog vijeća, Vijeća Europske unije, Europske komisije, Suda Europske unije, Europske središnje banke, Europskog revizorskog suda, Europske službe za vanjsko djelovanje, Europskog gospodarskog i socijalnog odbora, Europskog Odbora regija i Europske investicijske banke o organizaciji i radu tima za hitne računalne intervencije za institucije, tijela i agencije Unije (CERT-EU) (14) radi doprinosa uspostavi zajedničkih postupaka, jezika i terminologije za razmjenu informacija. U tom bi kontekstu ENISA trebala uključiti i privatni sektor u okvir Direktive (EU) 2016/1148 kojom se utvrđuje osnova za dobrovoljnu razmjenu tehničkih informacija na operativnoj razini u okviru mreže timova za odgovor na računalne sigurnosne incidente („mreža CSIRT-ova”) uspostavljene tom direktivom.

(32)

ENISA bi trebala doprinijeti odgovorima na razini Unije u slučaju prekograničnih incidenata i kriza velikih razmjera povezanih s kibersigurnošću. Tu bi zadaću ENISA trebala obavljati sukladno svojem mandatu u skladu s ovom Uredbom i pristupom koji trebaju dogovoriti države članice u kontekstu Preporuke Komisije (EU) 2017/1584 (15) i Zaključaka Vijeća od 26. lipnja 2018. o koordiniranom odgovoru EU-a na kiberincidente i kiberkrize velikih razmjera. Ta bi zadaća mogla uključivati prikupljanje relevantnih informacija i posredovanje između mreže CSIRT-ova i tehničke zajednice te između donositelja odluka koji su odgovorni za upravljanje krizom. Nadalje, ENISA bi trebala podupirati operativnu suradnju među državama članicama, ako to zahtijeva jedna ili više država članica, pri rješavanju incidenata s tehničkog gledišta olakšavanjem relevantne razmjene tehničkih rješenja među državama članicama i doprinosom komunikaciji s javnošću. ENISA bi trebala podupirati operativnu suradnju ispitivanjem uređenja za takvu suradnju s pomoću redovnih vježbi u području kibersigurnosti.

(33)

ENISA bi pri podupiranju operativne suradnje trebala iskoristiti dostupnu tehničku i operativnu stručnost CERT-EU-a u okviru strukturirane suradnje. Takvom strukturiranom suradnjom moglo bi se izgraditi stručno znanje ENISA-e. Prema potrebi trebalo bi definirati odgovarajuće namjenske aranžmane između ta dva subjekta kako bi se utvrdila praktična provedba takve suradnje i izbjeglo udvostručivanje aktivnosti.

(34)

U obavljanju svoje zadaće pružanja potpore operativnoj suradnji u okviru mreže CSIRT-ova ENISA bi trebala moći pružiti potporu državama članicama na njihov zahtjev, primjerice pružanjem savjeta o tome kako poboljšati njihove sposobnosti za sprečavanje, otkrivanje i odgovor na incidente, olakšavanjem tehničkog rješavanja incidenata sa značajnim ili bitnim učinkom, ili osiguravanjem da kiberprijetnje i kiberincidenati budu podvrgnuti analizi. ENISA bi trebala olakšati tehničko rješavanje incidenata sa značajnim ili bitnim učinkom i to posebice podupiranjem dobrovoljne razmjene tehničkih rješenja među državama članicama ili izradom objedinjenih tehničkih informacija kao što su tehnička rješenja koja države članice dobrovoljno razmjenjuju. U Preporuci (EU) 2017/1584 preporučuje se da države članice surađuju u dobroj vjeri te da uzajamno i s ENISA-om bez nepotrebnog odlaganja razmjenjuju informacije o incidentima i krizama velikih razmjera povezanima s kibersigurnošću. Takvim bi se informacijama dodatno pomoglo ENISA-i pri izvršavanju zadaća podupiranja operativne suradnje.

(35)

U okviru redovne suradnje na tehničkoj razini s ciljem podupiranja informiranosti o stanju u Uniji, ENISA bi trebala u bliskoj suradnji s državama članicama izrađivati redovito i temeljito tehničko izvješće o stanju kibersigurnosti EU-a u pogledu incidenata i kiberprijetnji, na temelju javno dostupnih informacija, vlastite analize i izvješća koje s njom dijele CSIRT-ovi država članica ili nacionalne jedinstvene kontaktne točke za sigurnost mrežnih i informacijskih sustava („jedinstvene kontaktne točke”) iz Direktive (EU) 2016/1148,u oba slučaja na dobrovoljnoj osnovi, Europski centar za kiberkriminalitet (EC3) pri Europolu, CERT-EU i, prema potrebi, Obavještajni i situacijski centar EU-a (EU INTCEN) pri Europskoj službi za vanjsko djelovanje. To bi izvješće trebalo biti dostupno Vijeću, Komisiji, Visokom predstavniku Unije za vanjske poslove i sigurnosnu politiku i mreži CSIRT-ova.

(36)

Potpora ENISA-e ex-post tehničkim istragama incidenata sa značajnim ili bitnim učinkom poduzete na zahtjev pogođenih država članica trebala bi biti usmjerena na sprečavanje budućih incidenata. Dotične države članice trebale bi pružiti potrebne informacije i pomoć kako bi ENISA mogla učinkovito podupirati ex-post tehničku istragu.

(37)

Države članice mogu pozvati poduzeća pogođena incidentom da surađuju pružanjem potrebnih informacija i pomoći ENISA-i ne dovodeći u pitanje njihovo pravo na zaštitu poslovno osjetljivih informacija i informacija koje se odnose na javnu sigurnost.

(38)

Kako bi bolje razumjela izazove u području kibersigurnosti i s ciljem pružanja strateških dugoročnih savjeta državama članicama i institucijama, tijelima, uredima i agencijama Unije, ENISA mora analizirati postojeće i nove kibersigurnosne rizike. U tu svrhu ENISA bi trebala, u suradnji s državama članicama i, prema potrebi, s tijelima za statistiku i drugim tijelima, prikupljati relevantne javno dostupne informacije ili one dobrovoljno stavljene na raspolaganje i provoditi analize novih tehnologija te davati tematske procjene očekivanih društvenih, pravnih, gospodarskih i regulatornih učinaka tehnoloških inovacija na mrežnu i informacijsku sigurnost, a posebno na kibersigurnost. Nadalje, ENISA bi analizom kiberprijetnji, ranjivosti i incidenata trebala pomagati državama članicama i institucijama, tijelima, uredima i agencijama Unije u prepoznavanju novih kibersigurnosnih rizika i sprečavanju incidenata.

(39)

S ciljem povećanja otpornosti Unije ENISA bi trebala razvijati stručnost u području kibersigurnosti infrastruktura posebno radi potpore sektorima iz Priloga II. Direktivi (EU) 2016/1148 i onih koje upotrebljavaju pružatelji digitalnih usluga navedeni u Prilogu III. toj direktivi pružanjem savjeta, izdavanjem smjernica i razmjenom najboljih praksi. Kako bi osigurala lakši pristup bolje strukturiranim informacijama o kibersigurnosnim rizicima i mogućim lijekovima, ENISA bi trebala razviti i održavati „informativni centar” Unije, središnji portal na kojem će javnost moći na jednom mjestu dobiti informacije o kibersigurnosti koje potječu od institucija, tijela, ureda i agencija na razini Unije i nacionalnoj razini. Olakšavanje pristupa bolje strukturiranim informacijama o kibersigurnosnim rizicima i mogućim lijekovima moglo bi također pomoći državama članicama da ojačaju svoje sposobnosti i usklade svoje prakse, čime bi povećale svoju ukupnu otpornost na kibernapade.

(40)

ENISA bi trebala doprinositi podizanju osviještenosti javnosti o kibersigurnosti, među ostalim putem kampanje podizanja svijesti na razini EU-a promicanjem obrazovanja, i davanjem savjeta o dobrim praksama za pojedinačne korisnike koje su namijenjene građanima, organizacijama i poduzećima. ENISA bi trebala doprinositi i promicanju najboljih praksi i rješenja, među ostalim kiberhigijenu i kiberpismenost, na razini građana, organizacija i poduzeća prikupljanjem i analizom javno dostupnih informacija o značajnim incidentima te sastavljanjem i objavljivanjem izvješća i savjeta za građane, organizacije i poduzeća kako bi se poboljšala njihova opća razina pripravnosti i otpornosti. ENISA bi također trebala težiti tome da potrošačima pruži relevantne informacije o primjenjivim programima certifikacije, na primjer davanjem smjernica i preporuka. ENISA bi, nadalje, u skladu s akcijskim planom o digitalnom obrazovanju uspostavljenim u Komunikaciji Komisije od 17. siječnja 2018. i u suradnji s državama članicama i institucijama, tijelima, uredima i agencijama Unije trebala organizirati redovite kampanje informiranja i obrazovanja krajnjih korisnika s ciljem poticanja sigurnijeg ponašanja pojedinaca na internetu, digitalne pismenosti i podizanja osviještenosti o potencijalnim kiberprijetnjama, uključujući kriminalne aktivnosti na internetu kao što su phishing napadi, mreže zaraženih računala (botnet), financijske i bankovne prijevare, prijevare povezane s podacima, te promicanja osnovnih savjeta o višestrukoj autentifikaciji, zakrpama, enkripciji, anonimizaciji i zaštiti podataka.

(41)

ENISA bi trebala imati glavnu ulogu u bržem osvješćivanju krajnjih korisnika o sigurnosti uređaja i sigurnom korištenju uslugama te bi trebala promicati integriranu sigurnost i integriranu privatnost na razini Unije. U postizanju tog cilja ENISA bi trebala najbolje iskoristiti dostupne najbolje prakse i iskustva, posebice najbolje prakse i iskustva akademskih institucija i istraživača u području IT sigurnosti.

(42)

Kako bi pružala potporu poduzećima koja djeluju u sektoru kibersigurnosti i korisnicima kibersigurnosnih rješenja, ENISA bi trebala razviti i održavati „opservatorij tržišta” provođenjem redovitih analiza i širenjem informacija o glavnim kretanjima na kibersigurnosnom tržištu na strani ponude i potražnje.

(43)

ENISA bi trebala doprinositi naporima Unije u suradnji s međunarodnim organizacijama te u okviru odgovarajućih okvira za međunarodnu suradnju u području kibersigurnosti. ENISA bi prema potrebi posebno trebala doprinositi suradnji s organizacijama kao što su OECD, OESS i NATO. Takva suradnja mogla bi, među ostalim, uključivati zajedničke vježbe u području kibersigurnosti i zajedničku koordinaciju odgovora na incidente. Te se aktivnosti trebaju provoditi u potpunosti poštujući Unijina načela uključivosti, uzajamnosti i autonomije u donošenju odluka, ne dovodeći u pitanje posebnu narav sigurnosne i obrambene politike nijedne države članice.

(44)

Kako bi se osiguralo da ENISA u potpunosti ostvari svoje ciljeve, ona bi se trebala povezati s relevantnim nadzornim tijelima Unije i drugim nadležnim tijelima u Uniji, institucijama, tijelima, uredima i agencijama Unije, među ostalim s CERT-EU-om, EC3-om, Europskom obrambenom agencijom (EDA), Agencijom za europski globalni navigacijski satelitski sustav (Europska agencija za GNSS), Uredom tijela europskih regulatora za elektroničke komunikacije (BEREC), Europskom agencijom za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde (eu-LISA), Europskom središnjom bankom (ESB), Europskim nadzornim tijelom za bankarstvo (EBA), Europskim odborom za zaštitu podataka, Agencijom Unije za suradnju energetskih regulatora (ACER), Europskom agencijom za sigurnost zračnog prometa (EASA) i sa svim drugim agencijama Unije koje djeluju u području kibersigurnosti. ENISA bi se trebala povezati i s nadležnim tijelima za zaštitu podataka s ciljem razmjene znanja i najbolje prakse i trebala bi davati savjete o aspektima kibersigurnosti koji bi mogli utjecati na njihov rad. Predstavnici nacionalnih tijela za izvršavanje zakonodavstva i tijela za izvršavanje zakonodavstva na razini Unije te nacionalnih tijela i tijela Unije za zaštitu privatnosti trebali bi imati pravo da budu zastupljeni u savjetodavnoj skupini ENISA-e. Pri povezivanju s tijelima za izvršavanje zakonodavstva u vezi s pitanjima mrežne i informacijske sigurnosti koji mogu utjecati na njihov rad, ENISA bi trebala poštovati postojeće informacijske kanale i uspostavljene mreže.

(45)

Mogla bi se uspostaviti partnerstva s akademskim institucijama u kojima su pokrenute istraživačke inicijative u relevantnim područjima te bi trebali postojati odgovarajući kanali za doprinose organizacija potrošača i drugih organizacija koje bi trebalo uzeti u obzir.

(46)

ENISA bi u svojoj ulozi tajništva mreže CSIRT-ova trebala podupirati CSIRT-ove u državama članicama i CERT-EU u operativnoj suradnji u vezi s relevantnim zadaćama mreže CSIRT-ova kako su navedene u Direktivi (EU) 2016/1148. Nadalje, ENISA bi trebala poticati i podržavati suradnju između relevantnih CSIRT-ova u slučaju incidenata, napada ili poremećaja mreža ili infrastrukture kojima upravljaju ili koje oni štite i koje uključuju ili imaju mogućnost uključivanja najmanje dva CSIRT-a uzimajući u obzir standardne operativne postupke mreže CSIRT-ova.

(47)

S ciljem povećanja pripravnosti Unije za odgovor na incidente ENISA bi trebala redovito organizirati vježbe u području kibersigurnosti na razini Unije te državama članicama, institucijama, tijelima, uredima i agencijama Unije na njihov zahtjev pomagati pri organizaciji takvih vježbi. Jednom svake dvije godine trebalo bi organizirati sveobuhvatne vježbe velikog razmjera koja bi obuhvaćala tehničke, operativne ili strateške elemente. Osim toga, ENISA bi trebala moći redovito organizirati manje opsežne vježbe s istim ciljem povećanja pripravnosti Unije za odgovor na incidente

(48)

ENISA bi trebala dalje razvijati i održavati svoje stručno znanje u području kibersigurnosne certifikacije radi potpore politici Unije u tom području. ENISA bi se trebala oslanjati na postojeće najbolje prakse te bi trebala promicati prihvaćanje kibersigurnosne certifikacije u Uniji, među ostalim doprinosom uspostavi okvira za kibersigurnosnu certifikaciju na razini Unije (europski okvir za kibersigurnosnu certifikaciju) i njegovu održavanju, s ciljem povećanja transparentnosti kibersigurnosnog jamstva za IKT proizvode, IKT usluge i IKT procese, jačajući time povjerenje u digitalno unutarnje tržište i njegovu konkurentnost.

(49)

Učinkovita kibersigurnosna politika trebala bi se temeljiti na dobro razrađenim metodama procjene rizika i u javnom i u privatnom sektoru. Metode za procjenu rizika upotrebljavaju se na različitim razinama, međutim ne postoji zajednička praksa u pogledu njihove učinkovite primjene. Poticanjem i razvojem najboljih praksa za procjenu rizika i za interoperabilna rješenja za upravljanje rizicima u organizacijama javnog i privatnog sektora povećat će se razina kibersigurnosti u Uniji. U tu bi svrhu ENISA trebala podupirati suradnju između dionika na razini Unije i olakšavati njihova nastojanja u vezi s utvrđivanjem i preuzimanjem europskih i međunarodnih norma za upravljanje rizicima i za mjerljivu sigurnost elektroničkih proizvoda, sustava, mreža i usluga koji zajedno sa softverom čine mrežne i informacijske sustave.

(50)

ENISA bi trebala ohrabrivati države članice, proizvođače ili pružatelje IKT proizvoda, IKT usluga ili IKT procesa da povećaju svoje opće sigurnosne norme kako bi svi korisnici interneta mogli poduzeti potrebne korake za osiguranje svoje osobne kibersigurnosti te bi ih trebala poticati da to učine. Konkretno, proizvođači i pružatelji IKT proizvoda, IKT usluga i IKT procesa trebali bi osigurati sva nužna ažuriranja i trebali bi opozvati, povući ili reciklirati IKT proizvode, IKT usluge i IKT procese koji ne zadovoljavaju kibersigurnosne norme, dok bi uvoznici i distributeri trebali osigurati da IKT proizvodi, IKT usluge i IKT procesi koje stavljaju na tržište Unije ispunjavaju primjenjive zahtjeve i ne predstavljaju rizik za potrošače Unije.

(51)

ENISA bi, u suradnji s nadležnim tijelima, trebala moći širiti informacije o razini kibersigurnosti IKT proizvoda, IKT usluga i IKT procesa koje se nude na unutarnjem tržištu te bi pružateljima i proizvođačima IKT proizvoda, IKT usluga i IKT procesa trebala izdavati upozorenja u kojima od njih traži da poboljšaju sigurnost svojih IKT proizvoda, IKT usluga i IKT procesa, uključujući kibersigurnost.

(52)

ENISA bi trebala u potpunosti uzeti u obzir aktualne aktivnosti istraživanja, razvoja i tehnoloških ocjena, a osobito one aktivnosti koje se provode u okviru različitih istraživačkih inicijativa Unije kako bi institucijama, tijelima, uredima i agencijama Unije te, kada je to relevantno, državama članicama na njihov zahtjev pružala savjete o istraživačkim potrebama i prioritetima u području kibersigurnosti. S ciljem utvrđivanja istraživačkih potreba i prioriteta ENISA bi se također trebala savjetovati s relevantnim skupinama korisnika. Konkretnije, mogla bi se uspostaviti suradnja s Europskim istraživačkim vijećem, Europskim institutom za inovacije i tehnologiju te s Institutom Europske unije za sigurnosne studije.

(53)

Prilikom izrade europskih programa kibersigurnosne certifikacije ENISA bi se trebala redovito savjetovati s organizacijama za normizaciju, a posebno s europskim organizacijama za normizaciju.

(54)

Kiberprijetnje su globalni problem. Potrebna je i bliža međunarodna suradnja radi unaprjeđenja kibersigurnosnih normi, što obuhvaća potrebu za definiranjem zajedničkih normi ponašanja, donošenja kodeksa ponašanja, upotrebu međunarodnih normi i razmjenu informacija, poticanje brže međunarodne suradnje kao odgovor na pitanja mrežne i informacijske sigurnosti, kao i poticanje zajedničkog globalnog pristupa tim pitanjima. ENISA bi u tu svrhu, prema potrebi, pružanjem potrebnog stručnog znanja i analize relevantnim institucijama, tijelima, uredima i agencijama Unije trebala podupirati daljnje uključivanje Unije te njezinu suradnju s trećim zemljama i međunarodnim organizacijama.

(55)

ENISA bi trebala moći odgovoriti na ad hoc zahtjeve za savjet i pomoć država članica i institucija, tijela, ureda i agencija Unije o pitanjima koja su obuhvaćena njezinim mandatom.

(56)

Razumno je i preporučuje se primijeniti određena načela u vezi s upravljanjem ENISA-om radi usklađenosti sa zajedničkom izjavom i zajedničkim pristupom koje je u srpnju 2012. dogovorila Međuinstitucionalna radna skupina za decentralizirane agencije EU-a, čija je svrha pojednostavnjivanje aktivnosti decentraliziranih agencija i poboljšanje njihova djelovanja. U ovoj bi Uredbi ujedno trebalo prema potrebi odraziti preporuke iz zajedničke izjave i zajedničkog pristupa za programe rada ENISA-e, evaluacije ENISA-e te prakse ENISA-e u vezi s izvješćivanjem i upravljanjem.

(57)

Upravljački odbor sastavljen od predstavnika država članica i Komisije trebao bi utvrditi opće usmjerenje rada ENISA-e i osigurati da ona obavlja svoje zadaće u skladu s ovom Uredbom. Upravljačkom odboru trebalo bi povjeriti ovlasti potrebne za izradu proračuna, provjeru izvršenja proračuna, donošenje odgovarajućih financijskih pravila, uspostavu transparentnih radnih postupaka za donošenje odluka ENISA-e, donošenje jedinstvenog programskog dokumenta ENISA-e, donošenje svog poslovnika, imenovanje izvršnog direktora i odlučivanje o produljenju ili prestanku mandata izvršnog direktora.

(58)

S ciljem pravilnog i djelotvornog funkcioniranja ENISA-e Komisija i države članice trebale bi osigurati da osobe koje će imenovati u Upravljački odbor imaju odgovarajuća stručna znanja i iskustvo. Komisija i države članice također bi trebale ograničiti učestalost izmjena njihovih predstavnika u Upravljačkom odboru kako bi se osigurao kontinuitet njihova rada.

(59)

Kako bi se osiguralo nesmetano funkcioniranje ENISA-e, njezin izvršni direktor imenuje se na temelju zasluga i dokazanih administrativnih i rukovoditeljskih sposobnosti, kao i sposobnosti i iskustava relevantnih za kibersigurnost. Dužnosti izvršnog direktora trebalo bi obavljati potpuno neovisno. Izvršni direktor trebao bi, nakon prethodnog savjetovanja s Komisijom, pripremiti prijedlog godišnjeg programa rada ENISA-e te bi trebao poduzeti sve potrebne korake kako bi osigurao njegovu pravilnu provedbu. Izvršni direktor trebao bi izraditi godišnje izvješće koje se dostavlja Upravljačkom odboru, a koje obuhvaća provedbu godišnjeg programa rada ENISA-e, sastaviti nacrt izvješća o procjenama prihoda i rashoda ENISA-e te provoditi proračun. Nadalje, izvršni direktor trebao bi imati mogućnost osnivanja ad hoc radnih skupina za rješavanje određenih pitanja, a posebno pitanja znanstvene, tehničke, pravne ili socioekonomske prirode. Osobito, u vezi s pripremom posebnog prijedloga europskog programa kibersigurnosne certifikacije („prijedlog programa certifikacije”), smatra se da je potrebno osnivanje ad hoc radne skupine.Izvršni direktor trebao bi osigurati odabir članova ad hoc radnih skupina u skladu s najvišim normama stručnosti, nastojeći pritom osigurati rodnu ravnotežu i primjerenu ravnotežu, ovisno o specifičnim pitanjima, među predstavnicima javnih uprava država članica, institucija, tijela, ureda i agencija Unije i privatnog sektora, uključujući industriju, korisnike i akademske stručnjake iz područja mrežne i informacijske sigurnosti.

(60)

Izvršni odbor trebao bi doprinositi učinkovitosti Upravljačkog odbora. U okviru priprema povezanih s donošenjem odluka Upravljačkog odbora, Izvršni bi odbor trebao detaljno ispitivati relevantne informacije i istraživati dostupne mogućnosti te nuditi savjete i rješenja za pripremu odluka Upravljačkog odbora.

(61)

ENISA bi trebala imati Savjetodavnu skupinu ENISA-e kao savjetodavno tijelo kako bi se osigurao redoviti dijalog s privatnim sektorom, organizacijama potrošača i drugim interesnim skupinama. Savjetodavna skupina ENISA-e, koju na prijedlog izvršnog direktora osniva Upravljački odbor, trebala bi se usredotočiti na pitanja relevantna za dionike te bi trebala ENISA-i skretati pozornost na njih. Sa Savjetodavnom skupinom ENISA-e posebno se treba savjetovati u pogledu nacrta godišnjeg programa rada ENISA-e. Sastav Savjetodavne skupine ENISA-e i zadaće koje su joj dodijeljene trebali bi osigurati dostatnu zastupljenost dionika u radu ENISA-e.

(62)

Potrebno je uspostaviti Interesnu skupinu za kibersigurnosnu certifikaciju kako bi ENISA-i i Komisiji pomogla u olakšavanju savjetovanja relevantnih dionika. Interesna skupina za kibersigurnosnu certifikaciju trebala bi se sastojati od članova koji predstavljaju industriju u uravnoteženim udjelima, kako na strani potražnje tako i na strani ponude IKT proizvoda i IKT usluga, uključujući posebno MSP-ove, pružatelje digitalnih usluga, europska i međunarodna tijela za normizaciju, nacionalna akreditacijska tijela, nadzorna tijela za zaštitu podataka i tijela za ocjenjivanje sukladnosti u skladu s Uredbom (EZ) br. 765/2008 Europskog parlamenta i Vijeća (16) te akademsku zajednicu i organizacije potrošača.

(63)

ENISA bi trebala uspostaviti pravila o sprečavanju sukoba interesa i upravljanju njime. ENISA bi trebala također primjenjivati relevantne odredbe Unije o javnom pristupu dokumentima u skladu s Uredbom (EZ) br. 1049/2001 Europskog parlamenta i Vijeća (17). ENISA bi trebala obrađivati osobne podatke u skladu s Uredbom (EU) 2018/1725 Europskog parlamenta i Vijeća (18) ENISA bi se trebala pridržavati odredaba primjenjivih na institucije, tijela, urede i agencije Unije i nacionalnog zakonodavstva u vezi s postupanjem s osjetljivim dokumentima, posebno s osjetljivim neklasificiranim podacima i klasificiranim podacima Europske unije.

(64)

Kako bi se zajamčila potpuna autonomija i neovisnost ENISA-e i kako bi joj se omogućilo obavljanje dodatnih zadaća, uključujući nepredviđene hitne zadaće, ENISA-i bi trebalo osigurati dostatan i autonoman proračun čiji bi prihodi prvenstveno trebali dolaziti iz doprinosa Unije i doprinosa trećih zemalja koje sudjeluju u radu ENISA-e. Prikladan proračun od presudne je važnosti kako bi se osiguralo da ENISA ima dovoljne kapacitete za ispunjavanje svih svojih zadaća i postizanje ciljeva, koji su sve brojniji. Veći dio osoblja ENISA-e trebao bi izravno sudjelovati u operativnoj provedbi mandata ENISA-e. Državi članici domaćinu ili bilo kojoj drugoj državi članici trebalo bi omogućiti davanje dobrovoljnih doprinosa proračunu ENISA-e. Na subvencije koje se financiraju iz općeg proračuna Unije trebao bi se i dalje primjenjivati proračunski postupak Unije. Nadalje, Revizorski sud trebao bi provesti reviziju računovodstvene dokumentacije ENISA-e radi osiguranja transparentnosti i odgovornosti.

(65)

Kibersigurnosna certifikacija ima važnu ulogu u jačanju povjerenja u IKT proizvode, IKT usluge i IKT procese. Jedinstveno digitalno tržište, posebno podatkovno gospodarstvo i IoT, mogu se razvijati samo ako postoji opće povjerenje javnosti da se takvim proizvodima, uslugama i procesima osigurava određena razina kibersigurnosti. Povezani i automatizirani automobili, elektronički medicinski proizvodi, industrijski automatizirani kontrolni sustavi i pametne mreže samo su primjeri sektora u kojima se certifikacija već u velikoj mjeri primjenjuje ili će se vjerojatno primjenjivati u skoroj budućnosti. Kibersigurnosna certifikacija od ključne je važnosti u sektorima uređenima Direktivom (EU) 2016/1148.

(66)

U svojoj komunikaciji iz 2016. pod naslovom „Jačanje europskog sustava kibernetičke sigurnosti i poticanje konkurentne i inovativne industrije kibernetičke sigurnosti” Komisija je istaknula potrebu za visokokvalitetnim, povoljnim i interoperabilnim proizvodima i rješenjima za kibersigurnost. Ponuda IKT proizvoda, IKT usluga i IKT procesa na jedinstvenom tržištu vrlo je zemljopisno rascjepkana. To je zato što se industrija kibersigurnosti u Europi u velikoj mjeri razvila na temelju potražnje nacionalnih vlada. Nadalje, nepostojanje interoperabilnih rješenja (tehničke norme), praksi i mehanizama certifikacije na razini Unije neki su od nedostataka koji utječu na jedinstveno tržište kibersigurnosti. Time je europskim poduzećima otežano tržišno natjecanje na nacionalnoj razini, na razini Uniji i na globalnoj razini. Također je ograničen izbor održivih i iskoristivih kibersigurnosnih tehnologija koje su dostupne građanima i poduzećima.Slično tomu, u svojoj Komunikaciji iz 2017. o preispitivanju provedbe Strategije jedinstvenog digitalnog tržišta na sredini provedbenog razdoblja - Povezano jedinstveno digitalno tržište za sve, Komisija je istaknula da su potrebni sigurni povezani proizvodi i sustavi te navela je da bi se stvaranjem europskog okvira za sigurnost IKT-a kojim se utvrđuju pravila o organizaciji sigurnosne certifikacije u području IKT-a u Uniji moglo očuvati povjerenje u internet i riješiti trenutačni problem fragmentacije unutarnjeg tržišta.

(67)

Trenutačno se kibersigurnosna certifikacija IKT proizvoda, IKT usluga i IKT procesa provodi samo u ograničenoj mjeri. Ako postoji, ona se većinom provodi na razini države članice ili u okviru programa industrijskih sektora. U tom kontekstu certifikat koji je izdalo nacionalno tijelo za kibersigurnosnu certifikaciju druge države članice u načelu ne priznaju. Trgovačka društva stoga možda moraju certificirati svoje IKT proizvode, IKT usluge i IKT procese u nekoliko država članica u kojima posluju, na primjer radi sudjelovanja u nacionalnim postupcima javne nabave, što povećava njihove troškove. Nadalje, iako se pojavljuju novi programi, čini se da ne postoji usklađen i holistički pristup pitanjima horizontalne kibersigurnosti, na primjer u području IoT-a. U postojećim programima postoje znatni nedostaci i razlike u pogledu pokrivenosti proizvoda, jamstvene razine, materijalnih kriterija i stvarne upotrebe, čime se otežava uspostava mehanizama uzajamnog priznavanja u Uniji.

(68)

Bilo je pokušaja postizanja uzajamnog priznavanja certifikata u Uniji. Međutim, oni su bili samo djelomično uspješni. Najvažniji primjer u tome pogledu jest sporazum o uzajamnom priznavanju (MRA) Skupine viših dužnosnika za sigurnost informacijskih sustava (SOG-IS). Iako predstavlja najvažniji model suradnje i uzajamnog priznavanja u području sigurnosne certifikacije, SOG-IS obuhvaća samo dio država članica. Time je ograničena djelotvornost sporazuma o uzajamnom priznavanju SOG-IS-a sa stajališta unutarnjeg tržišta.

(69)

Stoga je potrebno usvojiti zajednički pristup i uspostaviti europski okvir za kibersigurnosnu certifikaciju kojim se utvrđuju glavni horizontalni zahtjevi za razvoj budućih europskih programa kibersigurnosne certifikacije i koji omogućuje priznavanje i uporabu europskih kibersigurnosnih certifikata i EU izjava o sukladnosti za IKT proizvode, IKT usluge ili IKT procese u svim državama članicama. Pritom je ključno nadovezati se na postojeće nacionalne i međunarodne programe i sustave uzajamnog priznavanja, osobito SOG-IS, te omogućiti neometan prijelaz iz postojećih programa u takvim sustavima na programe u novom europskom okviru za kibersigurnosnu certifikaciju. Europski okvir za kibersigurnosnu certifikaciju trebao bi imati dvostruku svrhu. Prvo, njime bi se trebalo doprinijeti povećanju povjerenja u IKT proizvode, IKT usluge i IKT procese koji su certificirani u skladu s tim europskim programima kibersigurnosne certifikacije. Drugo, on bi trebao pomoći da se izbjegne umnožavanje proturječnih ili preklapajućih nacionalnih programa kibersigurnosne certifikacije i tako smanjiti troškove poduzećima koja djeluju na jedinstvenom digitalnom tržištu. Europski programi kibersigurnosne certifikacije trebali bi biti nediskriminirajući i temeljiti se na europskim ili međunarodnim normama, osim ako su te norme neučinkovite ili neprimjerene za ispunjavanje zakonitih ciljeva Unije u tom pogledu.

(70)

Taj europski okvir za kibersigurnosnu certifikaciju trebalo bi na ujednačen način uspostaviti u svim državama članicama kako bi se izbjegla praksa „traženja povoljnije certifikacije” zbog razlika u razini strogoće u različitim državama članicama.

(71)

Europske programe kibersigurnosne certifikacije trebalo bi temeljiti na onome što već postoji na međunarodnoj i nacionalnoj razini te, prema potrebi, na tehničkim specifikacijama iz foruma i konzorcijâ, učenju od sadašnjih pozitivnih primjera te analiziranju i ispravljanju nedostataka.

(72)

Potrebna su fleksibilna rješenja kako bi taj sektor bio korak ispred kiberprijetnji te bi stoga trebalo osigurati da programi certifikacije budu tako osmišljeni da se izbjegne rizik da ubrzo postanu zastarjeli.

(73)

Komisija bi trebala imati ovlasti donositi europske programe kibersigurnosne certifikacije za određene skupine IKT proizvoda, IKT usluga i IKT procesa. Te programe trebala bi provoditi i nadzirati nacionalna tijela za kibersigurnosnu certifikaciju, a certifikati izdani u okviru tih programa trebali bi biti valjani i priznati u cijeloj Uniji. Programi certifikacije kojima upravlja industrija ili privatne organizacije trebali bi biti izvan područja primjene ove Uredbe. Međutim, tijela koja provode takve programe trebala bi moći Komisiji predložiti da razmotri odobravanje tih programa kao europskih programa kibersigurnosne certifikacije.

(74)

Odredbama ove Uredbe ne bi se smjelo dovoditi u pitanje pravo Unije kojim se propisuju posebna pravila o certifikaciji IKT proizvoda, IKT usluga i IKT procesa. Naime, u Uredbi (EU) 2016/679 utvrđene su odredbe o uspostavi mehanizama certifikacije te pečata i oznaka za zaštitu podataka za potrebe dokazivanja usklađenosti s tom Uredbom postupaka obrade koje obavljaju voditelji ili izvršitelji obrade. Tim mehanizmima certifikacije te pečatima i oznakama za zaštitu podataka trebalo bi se osobama čiji se podaci obrađuju omogućiti da brzo ocijene razinu zaštite podataka relevantnih IKT proizvoda, IKT usluga i IKT procesa. Ovom Uredbom ne dovodi se u pitanje certifikacija postupaka obrade podataka u skladu s Uredbom (EU) 2016/679, uključujući i kada su ti postupci ugrađeni u IKT proizvode, IKT usluge i IKT procese.

(75)

Svrha europskih programa kibersigurnosne certifikacije trebala bi biti osiguravanje toga da IKT proizvodi, IKT usluge i IKT procesi koji su certificirani u okviru takvog programa zadovoljavaju određene zahtjeve čiji je cilj zaštita dostupnosti, izvornosti, cjelovitosti i povjerljivosti pohranjenih, poslanih ili obrađenih podataka ili povezanih funkcija ili usluga koje se nude ili kojima se može pristupiti s pomoću tih proizvoda, usluga i procesa, tijekom njihova životnog ciklusa. U ovoj Uredbi ne mogu se podrobno utvrditi kibersigurnosni zahtjevi povezani sa svim IKT proizvodima, IKT uslugama i IKT procesima. IKT proizvodi, IKT usluge i IKT procesi te kibersigurnosne potrebe povezane s tim proizvodima, uslugama i procesima toliko su različiti da je teško osmisliti opće kibersigurnosne zahtjeve koji se mogu primijeniti u svim okolnostima. Stoga je za potrebe certifikacije potrebno prihvatiti širok i općenit pojam kibersigurnosti koji bi trebalo dopuniti skupom kibersigurnosnih ciljeva koje treba uzeti u obzir pri izradi europskih programa kibersigurnosne certifikacije. Načine postizanja tih ciljeva u određenim IKT proizvodima, IKT uslugama i IKT procesima trebalo bi potom podrobnije opisati na razini pojedinačnog programa certifikacije koji je donijela Komisija, na primjer upućivanjem na norme ili tehničke specifikacije ako nisu dostupne odgovarajuće norme.

(76)

Tehničke specifikacije koje treba upotrebljavati u europskom programu kibersigurnosne certifikacije trebale bi poštovati zahtjeve određene u Prilogu II. Uredbi (EU) br. 1025/2012 Europskog parlamenta i Vijeća (19). Neka odstupanja od tih zahtjeva mogla bi se ipak smatrati potrebnima u opravdanim slučajevima upotrebe tih tehničkih specifikacija u europskom programu kibersigurnosne certifikacije koji se odnosi na visoku jamstvenu razinu. Razlozi za takva odstupanja trebali bi biti javno dostupni.

(77)

Ocjenjivanje sukladnosti postupak je kojim se evaluira jesu li ispunjeni određeni zahtjevi koji se odnose na IKT proizvod, IKT uslugu ili IKT proces. Taj postupak provodi neovisna treća strana koja nije proizvođač ili pružatelj IKT proizvoda, IKT usluga ili IKT procesa koji se ocjenjuje. Nakon uspješne evaluacije IKT proizvoda, IKT usluge ili IKT procesa trebalo bi izdati europski kibersigurnosni certifikat. Europski kibersigurnosni certifikat trebalo bi smatrati potvrdom da je evaluacija pravilno provedena. Ovisno o jamstvenoj razini, u okviru europskog programa kibersigurnosne certifikacije trebalo bi navesti izdaje li europski kibersigurnosni certifikat privatno ili javno tijelo. Ocjenjivanjem sukladnosti i certifikacijom ne može se samim po sebi jamčiti kibersigurnost certificiranih IKT proizvoda, IKT usluga i IKT procesa. Umjesto toga, riječ je o postupcima i tehničkoj metodologiji kojima se potvrđuje da su IKT proizvodi IKT usluge i IKT procesi testirani i da su u skladu s određenim kibersigurnosnim zahtjevima koji su propisani drugdje, na primjer u tehničkim normama.

(78)

Odabir odgovarajuće certifikacije i pripadajućih joj sigurnosnih zahtjeva, koji vrše korisnici europskih kibersigirnosnih certifikata, trebao bi se temeljiti na analizi rizika povezanih s uporabom IKT proizvoda, IKT usluga ili IKT procesa. Slijedom toga, jamstvena razina trebala bi biti razmjerna razini rizika povezanog s predviđenom uporabom IKT proizvoda, IKT usluge ili IKT procesa.

(79)

Europskim programima kibersigurnosne certifikacije moglo bi se osigurati da se ocjenjivanje sukladnosti provodi pod isključivom odgovornošću proizvođača ili pružatelja IKT proizvoda IKT usluga ili IKT procesa („samoocjenjivanje sukladnosti”). U takvim bi slučajevima trebalo biti dovoljno da proizvođač ili pružatelj IKT proizvoda, IKT usluga i IKT procesa sam provodi sve provjere kako bi osigurao da su IKT proizvod, IKT usluga ili IKT proces budu sukladni s europskim programom kibersigurnosne certifikacije. Samoocjenjivanje sukladnosti trebalo bi smatrati primjerenom za IKT proizvode, IKT usluge i IKT procese niske razine složenosti koji predstavljaju nizak rizik za javnost kao što su mehanizmi jednostavnog dizajna i proizvodnje. Osim toga, samoocjenjivanje sukladnosti trebalo bi biti dopušteno samo za IKT proizvode, IKT usluge i IKT procese kada oni odgovaraju osnovnoj jamstvenoj razini.

(80)

U okviru europskih programa kibersigurnosne certifikacije moglo bi se omogućiti i samoocjenjivanje sukladnosti i certifikaciju IKT proizvoda, IKT usluga i IKT procesa. U tom slučaju programom bi trebalo osigurati jasan i razumljiv način s pomoću kojeg bi potrošači ili drugi korisnici razlikovali IKT proizvode, IKT usluge i IKT procese s obzirom na to čiji je proizvođač ili pružatelj IKT proizvoda, IKT usluga i IKT procesa odgovoran za ocjenu te IKT proizvode, IKT usluge i IKT procese koje certificira treća strana.

(81)

Proizvođač ili pružatelj IKT proizvoda, IKT usluga ili IKT procesa koji provodi samoocjenjivanje sukladnosti trebao bi moći sastaviti i potpisati EU izjavu o sukladnosti kao dio postupka ocjenjivanja sukladnosti. EU izjava o sukladnosti dokument je u kojem se navodi da određeni IKT proizvod, IKT usluga ili IKT proces ispunjava zahtjeve europskog programa kibersigurnosne certifikacije. Izdavanjem i potpisivanjem EU izjave o sukladnosti proizvođač ili pružatelj IKT proizvoda, IKT usluge ili IKT procesa preuzima odgovornost za sukladnost IKT proizvoda, IKT usluge ili IKT procesa s pravnim zahtjevima europskog programa kibersigurnosne certifikacije. Primjerak EU izjave o sukladnosti trebalo bi podnijeti nacionalnom tijelu za kibersigurnosnu certifikaciju i ENISA-i.

(82)

Proizvođači ili pružatelji IKT proizvoda, IKT usluga ili IKT procesa trebali bi EU izjavu o sukladnosti, tehničku dokumentaciju i sve druge informacije o sukladnosti IKT proizvoda, IKT usluga ili IKT procesa s europskim programom kibersigurnosne certifikacije trebali bi držati dostupnom nadležnom nacionalnom tijelu za kibersigurnosnu certifikaciju u razdoblju utvrđenom u relevantnom europskom programu kibersigurnosne certifikacije. U tehničkoj bi dokumentacijom trebalo pobliže odrediti zahtjeve koji se primjenjuju u okviru programa i trebalo bi obuhvatiti dizajn, izrada i funkcioniranje IKT proizvoda, IKT usluge ili IKT procesa u mjeri u kojoj je to relevantno za samoocjenjivanje sukladnosti. Tehničku dokumentaciju trebalo bi sastaviti tako da se omogući ocjena jesu li IKT proizvod, IKT usluga ili IKT proces sukladni s zahtjevima koji se primjenjuju u okviru tog programa.

(83)

Pri upravljanju europskim okvirom za kibersigurnosnu certifikaciju uzima se u obzir sudjelovanje država članica te odgovarajuće sudjelovanje dionika i utvrđuje uloga Komisije tijekom planiranja i predlaganja, traženja, izrade, donošenja i preispitivanja europskih programa kibersigurnosne certifikacije.

(84)

Komisija bi uz potporu Europske skupine za kibersigurnosnu certifikaciju („ECCG”) i Interesne skupine za kibersigurnosnu certifikaciju trebala pripremiti kontinuirani program rada Unije za europsku kibersigurnosnu certifikaciju te nakon otvorenog i širokog savjetovanja i objaviti ga u obliku pravno neobvezujućeg instrumenta. Kontinuirani program rada Unije trebao bi biti strateški dokument kojim se omogućuje industriji, nacionalnim tijelima i tijelima za normizaciju da se unaprijed pripreme za buduće europske programe kibersigurnosne certifikacije. Kontinuirani program rada Unije trebao bi obuhvaćati višegodišnji pregled zahtjeva za izradu prijedloga programa certifikacije koje Komisija namjerava dostaviti ENISA-i na izradu na temelju određenih razloga. Komisija bi kontinuirani program rada Unije trebala uzeti u obzir tijekom izrade svojeg Kontinuiranog plana normizacije IKT-a i zahtjevâ za normizacijom upućenih europskim organizacijama za normizaciju. S obzirom na brzo uvođenje i prihvaćanje novih tehnologija, pojavu prethodno nepoznatih kibersigurnosnih rizika i promjena u zakonodavstvu i na tržištu, Komisija ili ECCG trebali bi imati pravo zatražiti od ENISA-e da izradi prijedloge programa certifikacije koji nisu bili uključeni u kontinuirani program rada Unije. U takvim slučajevima, Komisija i ECCG također bi trebali procijeniti nužnost takvog zahtjeva uzimajući u obzir opće ciljeve ove Uredbe i potrebu osiguravanja kontinuiteta u pogledu planiranja i uporabe resursa ENISA-e.

Nakon takvog zahtjeva ENISA bi trebala izraditi prijedloge programa certifikacije za određene IKT proizvode, IKT usluge ili IKT procese. Komisija bi trebala procijeniti pozitivan i negativan učinak zahtjeva na određeno tržište u pitanju, a posebice njegov učinak u odnosu na mala i srednja poduzeća, na inovacije, na prepreke pristupa tom tržištu i na trošak za krajnje korisnike. Komisija bi na temelju prijedloga programa certifikacije koji je predložila ENISA trebala imati ovlasti donijeti europski program kibersigurnosne certifikacije s pomoću provedbenih akata. Uzimajući u obzir opću svrhu i sigurnosne ciljeve utvrđene u ovoj Uredbi, u europskim programima kibersigurnosne certifikacije koje donosi Komisija trebalo bi odrediti minimalni skup elemenata koji se odnose na predmet, područje primjene i funkcioniranje pojedinačnog programa. Ti elementi trebali bi uključivati, među ostalim, područje primjene i cilj kibersigurnosne certifikacije, uključujući kategorije obuhvaćenih IKT proizvoda, IKT usluga i IKT procesa, detaljnu specifikaciju kibersigurnosnih zahtjeva, na primjer upućivanjem na norme ili tehničke specifikacije, posebne kriterije i metode evaluacije i predviđenu jamstvenu razinu: osnovnu, znatnu ili visoku i prema potrebi, razine evaluacije. ENISA bi trebala moći odbiti zahtjev ECCG-a. Takve odluke trebao bi donositi Upravljački odbor i one bi trebale biti propisno obrazložene.

(85)

ENISA bi trebala održavati internetske stranice na kojima se pružaju informacije o europskim programima kibersigurnosne certifikacije i daje im vidljivost, a koje bi, među ostalim, trebale uključivati zahtjeve za izradu prijedloga programa certifikacije kao i povratne informacije dobivene u okviru postupka savjetovanja koje ENISA provodi u pripremnoj fazi. Internetske stranice također bi trebale pružati informacije o europskim kibersigurnosnim certifikatima i EU izjavama o sukladnosti izdanima na temelju ove Uredbe, uključujući informacije o njihovu povlačenju i isteku valjanosti tih europskih kibersigurnosnih certifikata i EU izjava o sukladnosti. Na internetskim stranicama trebali bi se navoditi i oni nacionalni programi kibersigurnosne certifikacije koji su zamijenjeni europskim programom kibersigurnosne certifikacije.

(86)

Jamstvena razina europskog programa certifikacije temelj je za povjerenje u to da IKT proizvod, IKT usluga ili IKT proces zadovoljava sigurnosne zahtjeve određenog europskog programa kibersigurnosne certifikacije. Kako bi se osigurala dosljednost europskog okvira za kibersigurnosnu certifikaciju, europskim programom kibersigurnosne certifikacije trebalo bi moći definirati jamstvene razine za europske kibersigurnosne certifikate i EU izjave o sukladnosti izdane u okviru tog programa. Svaki bi se europski kibersigurnosni certifikat mogao odnositi na jednu od jamstvenih razina: osnovnu, znatnu ili visoku, dok bi se EU izjava o sukladnosti mogla odnositi samo na osnovnu jamstvenu razinu. Jamstvene razine osigurale bi odgovarajuću strogoću i opsežnost evaluacije IKT proizvoda, IKT usluge ili IKT procesa i određivalo bi ih upućivanje na tehničke specifikacije, norme i s njima povezane procedure, uključujući tehničke kontrole, čija je svrha ublažiti ili spriječiti incidente. Svaka jamstvena razina trebala bi biti usklađena među različitim sektorima u kojima se primjenjuje certifikacija.

(87)

U okviru europskog programa kibersigurnosne certifikacije moglo bi se utvrditi nekoliko razina evaluacije ovisno o strogoći i opsežnosti upotrijebljene metodologije evaluacije. Razine evaluacije trebale bi odgovarati jednoj od jamstvenih razina i trebale bi biti povezane s odgovarajućom kombinacijom sastavnica jamstva. Pri svim jamstvenim razinama IKT proizvod, IKT usluga ili IKT proces trebali bi sadržavati određen broj sigurnih funkcija, kako je predviđeno programom, koje mogu uključivati: sigurnu zadanu konfiguraciju, potpisanu šifru, sigurno ažuriranje i ublažavanje mogućnosti iskorištavanja te potpunu zaštitu stack ili heap memorije. Te bi funkcije trebale biti razvijene i održavati se upotrebom razvojnih pristupa usmjerenih na sigurnost i s njima povezanih alata kako bi se osiguralo da su učinkoviti mehanizmi softvera i hardvera pouzdano ugrađeni.

(88)

Za osnovnu jamstvenu razinu evaluacija bi se trebala rukovoditi barem sljedećim sastavnicama jamstva: evaluacija bi trebala uključivati barem pregled tehničke dokumentacije IKT proizvoda, IKT usluge ili IKT procesa od strane tijela za ocjenjivanje sukladnosti. Ako certifikacija uključuje IKT procese, postupak koji se upotrebljava za oblikovanje, razvoj i održavanje IKT proizvoda, IKT usluge ili IKT procesa trebao bi također biti podložan tehničkom preispitivanju. U slučajevima kada se europskim programom kibersigurnosne certifikacije predviđa samoocjenjivanje sukladnosti, trebalo bi biti dovoljno da proizvođač ili pružatelj IKT proizvoda, IKT usluga ili IKT procesa provede samoocjenjivanje sukladnosti IKT proizvoda, IKT usluga ili IKT procesa s programom certifikacije.

(89)

Kad je riječ o znatnoj jamstvenoj razini, evaluacija bi, uz zahtjeve za osnovnu jamstvenu razinu, trebala uključivati barem provjeru sukladnosti sigurnosnih funkcija IKT proizvoda, IKT usluge ili IKT procesa s njegovom tehničkom dokumentacijom.

(90)

Kad je riječ o visokoj jamstvenoj razini, evaluacija bi, uz zahtjeve za znatnu jamstvenu razinu, trebala uključivati barem ispitivanje učinkovitosti kojim se procjenjuje otpornost sigurnosnih funkcija IKT proizvoda, IKT usluge ili IKT procesa na napredne kibernapade koje provode osobe koje posjeduju značajne vještine i resurse.

(91)

Primjena europske kibersigurnosne certifikacije i EU izjava o sukladnosti trebala bi i dalje biti dobrovoljna, osim ako je u pravu Unije ili pravu država članica donesenom u skladu s pravom Unije predviđeno drugačije. U nedostatku usklađenog prava Unije, države članice mogu donijeti nacionalne tehničke propise kojima se predviđa obvezna certifikacija u okviru europskog programa kibersigurnosne certifikacije u skladu s Direktivom (EU) 2015/1535 Europskog parlamenta i Vijeća (20). Države članice također mogu upotrebljavati i europsku kibersigurnosnu certifikaciju u kontekstu javne nabave i Direktive 2014/24/EU Europskog parlamenta i Vijeća (21).

(92)

U budućnosti bi u nekim područjima moglo biti potrebno odrediti da pojedini kibersigurnosni zahtjevi i njihova certifikacija budu obvezni za određene IKT proizvode, IKT usluge ili IKT procese kako bi se poboljšala razina kibersigurnosti u Uniji. Komisija bi trebala redovito pratiti učinak donesenih europskih programa kibersigurnosne certifikacije na dostupnost sigurnih IKT proizvoda, IKT usluga i IKT procesa na unutarnjem tržištu te bi trebala redovito procjenjivati koliko se proizvođači ili pružatelji IKT proizvoda, IKT usluga ili IKT procesa u Uniji koriste programima certifikacije. Učinkovitost europskih programa kibersigurnosne certifikacije i pitanje bi li određeni programi trebali biti obvezni trebalo bi procijeniti u svjetlu zakonodavstva Unije koje se odnosi na kibersigurnost, a posebno Direktive (EU) 2016/1148 vodeći računa o sigurnosti mrežnih i informacijskih sustava koje upotrebljavaju operatori ključnih usluga.

(93)

Europski kibersigurnosni certifikati i EU izjava o sukladnosti trebali bi krajnjim korisnicima pomoći pri donošenju informiranih odluka. IKT proizvodi, IKT usluge i IKT procesi koji su certificirani ili za koje je izdana EU izjava o sukladnosti trebali bi stoga biti popraćeni strukturiranim informacijama koje su prilagođene očekivanoj tehničkoj razini predviđenog krajnjeg korisnika. Sve bi takve informacije trebale biti dostupne na internetu, a, gdje je to primjereno, i u fizičkom obliku. Krajnji korisnik trebao bi imati pristup informacijama o referentnom broju programa certifikacije, jamstvenoj razini, opisu rizikâ povezanih s IKT proizvodom, IKT uslugom ili IKT procesom te tijelu izdavatelja ili preslici europskog kibersigurnosnog certifikata. Osim toga, krajnjeg bi korisnika trebalo obavijestiti o politici kibersigurnosne podrške, odnosno o tome koliko dugo krajnji korisnik može očekivati primati kibersigurnosna ažuriranja ili zakrpe, o proizvođaču ili pružatelju IKT proizvoda, IKT usluga ili IKT procesa. Prema potrebi, trebalo bi pružiti i savjete o radnjama ili postavkama koje krajnji korisnik može provesti kako bi održao ili ojačao kibersigurnost IKT proizvoda ili IKT usluge te podatke za kontakt jedinstvene kontaktne točki za prijavu i potporu u slučaju kibernapada (uz automatsko izvješćivanje). Te bi informacije trebalo redovito ažurirati i trebale bi biti obznanjene na internetskim stranicama koje pružaju informacije o europskim programima kibersigurnosne certifikacije.

(94)

Kako bi se ostvarili ciljevi ove Uredbe i izbjegla fragmentacija unutarnjeg tržišta, nacionalni programi kibersigurnosne certifikacije ili postupci za IKT proizvode, IKT usluge i IKT procese obuhvaćene europskim programom kibersigurnosne certifikacije trebali bi prestati biti valjani od datuma koji Komisija odredi provedbenim aktima. Štoviše, države članice ne bi trebale uvoditi nove nacionalne programe kibersigurnosne certifikacije IKT proizvoda, IKT usluga i IKT procesa koji su već obuhvaćeni postojećim europskim programom kibersigurnosne certifikacije. Međutim, države članice ne bi trebalo sprečavati da donesu ili zadrže nacionalne programe certifikacije za potrebe nacionalne sigurnosti.Države članice trebale bi priopćiti Komisiji i ECCG-u svaku namjeru izrade novog nacionalnog programa kibersigurnosne certifikacije. Komisija i ECCG trebali bi procijeniti učinke novog nacionalnog programa kibersigurnosne certifikacije na pravilno funkcioniranje unutarnjeg tržišta i s obzirom na strateški interes da se umjesto toga zatraži europski program kibersigurnosne certifikacije.

(95)

Svrha europskih programa kibersigurnosne certifikacije jest da pomognu u usklađivanju kibersigurnosnih praksi u Uniji. Oni trebaju doprinijeti povećanju razine kibersigurnosti u Uniji. Pri osmišljavanju europskih programa kibersigurnosne certifikacije treba voditi računa o razvoju inovacija u području kibersigurnosti te ostaviti prostor za njih.

(96)

U okviru europskih programa kibersigurnosne certifikacije trebalo bi uzeti u obzir postojeće metode razvoja softvera i hardvera, a posebno učinak čestih ažuriranja softvera ili ugrađenih programa na pojedinačne europske kibersigurnosne certifikate. U europskim programima kibersigurnosne certifikacije trebalo bi navesti uvjete pod kojima bi se zbog ažuriranja moglo zahtijevati da se IKT proizvod, IKT usluga ili IKT proces ponovno certificiraju ili da se područje primjene određenog europskog kibersigurnosnog certifikata smanji uzimajući u obzir sve moguće štetne učinke ažuriranja na sukladnost sa sigurnosnim zahtjevima tog certifikata.

(97)

Nakon donošenja europskog programa kibersigurnosne certifikacije proizvođači ili pružatelji IKT proizvoda, IKT usluga ili IKT procesa trebali bi moći podnijeti zahtjev za certifikaciju svojih IKT proizvoda ili IKT usluga tijelu za ocjenjivanje sukladnosti po svojem izboru bilo gdje u Uniji. Tijela za ocjenjivanje sukladnosti trebalo bi akreditirati nacionalno akreditacijsko tijelo ako ispunjavaju određene zahtjeve propisane ovom Uredbom. Akreditacija bi se trebala izdavati na najviše pet godina i trebala bi se moći obnoviti pod istim uvjetima ako tijelo za ocjenjivanje sukladnosti i nadalje ispunjava zahtjeve. Nacionalna akreditacijska tijela trebala bi ograničiti, suspendirati ili ukinuti akreditaciju tijela za ocjenjivanje sukladnosti ako ono ne ispunjava uvjete za akreditaciju, ili ih je prestalo ispunjavati, ili ako se mjerama koje je poduzelo tijelo za ocjenjivanje sukladnosti krši ova Uredba.

(98)

Upućivanja u nacionalnom zakonodavstvu na nacionalne norme koje su prestale proizvoditi učinke zbog stupanja na snagu europskog programa kibersigurnosne certifikacije mogu biti izvor zabune. Države članice trebale bi stoga u svojem nacionalnom zakonodavstvu odraziti donošenje europskog programa kibersigurnosne certifikacije.

(99)

Kako bi se postigle istovjetne norme u cijeloj Uniji, olakšalo uzajamno priznavanje i promicalo opće prihvaćanje europskih kibersigurnosnih certifikata i EU izjava o sukladnosti, potrebno je uspostaviti sustav istorazinskog ocjenjivanja među nacionalnim tijelima za kibersigurnosnu certifikaciju. Istorazinsko ocjenjivanje trebalo bi obuhvatiti postupke za nadzor sukladnosti IKT proizvoda, IKT usluga i IKT procesa s europskim kibersigurnosnim certifikatima, za praćenje obveza proizvođača ili pružatelja IKT proizvoda, IKT usluga i IKT procesa koji provode samoocjenjivanje sukladnosti, za praćenje tijelâ za ocjenjivanje sukladnosti te primjerenost stručnog znanja osoblja tijela koja izdaju certifikate za visoku jamstvenu razinu. Komisija bi trebala provedbenim aktom moći utvrditi barem petogodišnji plan istorazinskog ocjenjivanja, kao i definirati kriterije i metodologije za rad sustava istorazinskog ocjenjivanja.

(100)

Ne dovodeći u pitanje opći sustav istorazinskog ocjenjivanja koji treba uspostaviti u svim nacionalnim tijelima za kibersigurnosnu certifikaciju, unutar okvira za europsku kibersigurnosnu certifikaciju, određeni europski programi kibersigurnosne certifikacije mogu uključivati mehanizam istorazinske ocjene za tijela koja izdaju europske kibersigurnosne certifikate za IKT proizvode, IKT usluge i IKT procese za visoku jamstvenu razinu u okviru takvih programa.ECCG bi trebao podupirati provedbu takvih mehanizama istorazinske ocjene. Istorazinskim bi ocjenama trebalo konkretno ocijeniti obavljaju li dotična tijela svoje zadaće na usklađen način i one mogu uključivati mehanizme za žalbu. Rezultati istorazinskih ocjena trebali bi biti javno dostupni. Dotična bi tijela mogu donijeti odgovarajuće mjere za prilagodbu svojih praksi i stručnog znanja.

(101)

Države članice trebale bi imenovati jedno ili više nacionalnih tijela za kibersigurnosnu certifikaciju u svrhu nadzora usklađenosti s obvezama koje proizlaze iz ove Uredbe. Nacionalno tijelo za kibersigurnosnu certifikaciju može biti novo ili već postojeće tijelo. Država članica također bi trebala moći imenovati, nakon dogovora s drugom državom članicom, jedno ili više nacionalnih tijela za kibersigurnosnu certifikaciju na državnom području te druge države članice.

(102)

Nacionalna tijela za kibersigurnosnu certifikaciju posebno bi trebala pratiti i izvršavati obveze proizvođača ili pružatelja IKT proizvoda, IKT usluga i IKT procesa s poslovnim nastanom na njihovu državnom području u vezi s EU izjavom o sukladnosti, trebala bi pomagati nacionalnim tijelima za akreditaciju u praćenju i nadzoru aktivnosti tijela za ocjenjivanje sukladnosti tako što će im pružiti stručno znanje i relevantne informacije, trebala bi ovlastiti tijela za ocjenjivanje sukladnosti za izvršavanje svojih zadaća ako ta tijela ispunjavaju dodatne zahtjeve iz europskog programa kibersigurnosne certifikacije i trebala bi pratiti relevantne promjene u području kibersigurnosne certifikacije. Nacionalna tijela za kibersigurnosnu certifikaciju trebala bi također rješavati pritužbe fizičkih ili pravnih osoba u pogledu europskih kibersigurnosnih certifikata koje su sama izdala ili, u vezi s europskim kibersigurnosnim certifikatima koje su izdala tijela za ocjenjivanje sukladnosti, kada ti certifikati navode visoku jamstvenu razinu, trebala bi u prikladnoj mjeri istražiti predmet pritužbe te bi u razumnom roku trebala obavijestiti podnositelja pritužbe o napretku i rezultatu istrage. Nadalje, nacionalna tijela za kibersigurnosnu certifikaciju trebala bi surađivati s drugim nacionalnim tijelima za kibersigurnosnu certifikaciju ili s drugim javnim tijelima, među ostalim razmjenom informacija o mogućoj neusklađenosti IKT proizvoda, IKT usluga i IKT procesa sa zahtjevima iz ove Uredbe ili s posebnim europskim programima kibersigurnosne certifikacije. Komisija bi trebala olakšati tu razmjenu informacija stavljanjem na raspolaganje općeg elektroničko-informacijskog sustava podrške, primjerice postojećeg Informacijskog i komunikacijskog sustava za tržišni nadzor (ICSMS) i sustava brzog uzbunjivanja za opasne neprehrambene proizvode (RAPEX) kojima se već koriste tijela za nadzor tržišta u skladu s Uredbom (EZ) br. 765/2008.

(103)

Radi osiguranja dosljedne primjene europskog okvira za kibersigurnosnu certifikaciju trebalo bi osnovati ECCG koji se sastoji od predstavnika nacionalnih tijela za kibersigurnosnu certifikaciju ili drugih relevantnih nacionalnih tijela. Glavne bi zadaće ECCG-a trebale biti savjetovanje Komisije i pomoć Komisiji u njezinu radu prema osiguranju dosljedne provedbe i primjene europskog okvira za kibersigurnosnu certifikaciju, pomoć ENISA-i i bliska suradnja s njome u izradi prijedloga programâ certifikacije, u propisno opravdanim slučajevima, da od ENISA-e zatraži izradu prijedloga programa certifikacije i donošenje mišljenja upućenih ENISA-i o prijedlozima programa certifikacije te donošenje mišljenja upućenih Komisiji o održavanju i preispitivanju postojećih europskih programa kibersigurnosne certifikacije. ECCG bi trebao olakšati razmjenu dobre prakse i stručnog znanja između raznih nacionalnih tijela za kibersigurnosnu certifikaciju koja su odgovorna za ovlašćivanje tijela za ocjenjivanje sukladnosti i izdavanje europskih kibersigurnosnih certifikata.

(104)

S ciljem podizanja svijesti i radi lakšeg prihvaćanja budućih europskih programa kibersigurnosne certifikacije Europska komisija može izdati opće ili sektorske smjernice u području kibersigurnosti, na primjer o dobroj praksi u području kibersigurnosti ili odgovornom ponašanju povezanom s kibersigurnošću, ističući pozitivan učinak uporabe certificiranih IKT proizvoda, IKT usluga i IKT procesa.

(105)

Kako bi se dodatno olakšala trgovina i prepoznalo da su lanci opskrbe IKT-a globalni Unija može sklopiti sporazume o uzajamnom priznavanju europskih kibersigurnosnih certifikata u skladu s člankom 218. Ugovora o funkcioniranju Europske unije (UFEU). Komisija može, uzimajući u obzir savjete ENISA-e i Europske skupine za kibersigurnosnu certifikaciju, preporučiti pokretanje relevantnih pregovora. Svakim europskim programom kibersigurnosne certifikacije trebalo bi osigurati posebne uvjete za takve sporazume o uzajamnom priznavanju s trećim zemljama.

(106)

Kako bi se osigurali ujednačeni uvjeti za provedbu ove Uredbe, Komisiji bi trebalo dodijeliti provedbene ovlasti. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća (22).

(107)

Postupak ispitivanja trebao bi se upotrebljavati za donošenje provedbenih akata o europskim programima kibersigurnosne certifikacije za IKT proizvode, IKT usluge i IKT procese, za donošenje provedbenih akata o uređenju za provođenje istraga ENISA-e, za donošenje provedbenih akata o planu istorazinskog ocjenjivanja nacionalnih tijela za kibersigurnosnu certifikaciju te za donošenje provedbenih akata o okolnostima, formatima i postupcima u skladu s kojima nacionalna tijela za kibersigurnosnu certifikaciju Komisiji dostavljaju obavijesti o akreditiranim tijelima za ocjenjivanje sukladnosti.

(108)

Rad ENISA-e trebao bi podlijegati redovitoj i neovisnoj evaluaciji. Tom bi evaluacijom trebalo uzeti u obzir ostvaruje li ENISA svoje ciljeve, njezin način rada i relevantnost njezinih zadaća, posebno njezine zadaće u vezi s operativnom suradnjom na razini Unije. Tom bi evaluacijom također trebalo procijeniti i učinak, djelotvornost i učinkovitost europskog okvira za kibersigurnosnu certifikaciju. U slučaju preispitivanja Komisija bi trebala ocijeniti kako se uloga ENISA-e kao referentne točke za savjetovanje i stručno znanje može ojačati te bi također trebala ocijeniti mogućnost za ulogu ENISA-e u podupiranju ocjene IKT proizvoda, IKT usluga i IKT procesa iz trećih zemalja koji nisu usklađeni s pravilima Unije, kada takvi proizvodi, usluge i procesi ulaze u Uniju.

(109)

S obzirom na to da ciljeve ove Uredbe ne mogu dostatno ostvariti države članice, nego se oni, zbog opsega ili učinaka djelovanja, na bolji način mogu ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji (UEU). U skladu s načelom proporcionalnosti utvrđenim u tom članku, ova Uredba ne prelazi ono što je potrebno za ostvarivanje tih ciljeva.

(110)

Uredbu (EU) br. 526/2013 trebalo bi staviti izvan snage,