(1)

Rețelele și sistemele informatice și rețelele și serviciile de comunicații îndeplinesc un rol vital pentru societate și au devenit coloana vertebrală a creșterii economice. Tehnologia informației și comunicațiilor (TIC) stă la baza sistemelor complexe care sprijină activitățile de zi cu zi ale societății, asigură funcționarea economiei în sectoare-cheie cum ar fi sănătatea, energia, finanțele și transporturile și, mai ales, susține funcționarea pieței interne.

(2)

În prezent, rețelele și sistemele informatice sunt utilizate la scară generală de cetățenii, organizațiile și întreprinderile din întreaga Uniune. Digitalizarea și conectivitatea sunt pe cale să devină caracteristici principale ale unui număr tot mai mare de produse și servicii, preconizându-se că, odată cu apariția internetului obiectelor, un număr extrem de mare de dispozitive digitale conectate vor intra în folosință în Uniune în următorul deceniu. Deși numărul dispozitivelor conectate la internet este în creștere, securitatea și reziliența nu sunt incluse suficient din faza de concepere, ceea ce duce la o securitate cibernetică insuficientă. În acest context, din cauză că certificarea nu este utilizată decât într-o măsură limitată, utilizatorii persoane fizice, organizații sau întreprinderi nu dispun de suficiente informații despre caracteristicile de securitate cibernetică ale produselor TIC, serviciilor TIC și proceselor TIC, ceea ce erodează încrederea în soluțiile digitale. Rețelele și sistemele informatice sunt capabile să susțină toate aspectele vieților noastre și de a determina creșterea economică a Uniunii. Acestea sunt elemente fundamentale pentru realizarea pieței unice digitale.

(3)

Creșterea gradului de digitalizare și conectivitate duce la agravarea riscurilor pentru securitatea cibernetică, societatea, în general, devenind astfel mai vulnerabilă la amenințările cibernetice, iar pericolele cu care se confruntă persoanele fizice, mai ales persoanele vulnerabile precum copiii, fiind extrem de mari. Pentru a atenua riscurile menționate, este necesar să fie luate toate măsurile pentru îmbunătățirea securității cibernetice în Uniune, astfel încât rețelele și sistemele informatice, rețelele de comunicații, produsele, serviciile și dispozitivele digitale utilizate de cetățeni, organizații și întreprinderi – de la întreprinderile mici și mijlocii (IMM-uri), astfel cum sunt definite în Recomandarea 2003/361/CE a Comisiei (4), la operatorii de infrastructuri critice – să fie mai bine protejate împotriva amenințărilor cibernetice.

(4)

Punând la dispoziția publicului informații relevante, Agenția Uniunii Europene pentru Securitatea Rețelelor Informatice și a Informațiilor (ENISA), instituită prin Regulamentul (UE) nr. 526/2013 al Parlamentului European și al Consiliului (5) contribuie la dezvoltarea sectorului securității cibernetice în Uniune, mai ales în ceea ce privește IMM-urile și întreprinderile nou-înființate. ENISA ar trebui să depună eforturi să coopereze mai îndeaproape cu universitățile și cu institutele de cercetare, pentru a contribui la reducerea dependenței de produse și servicii de securitate cibernetică din afara Uniunii, precum și la consolidarea lanțurilor de aprovizionare din interiorul Uniunii.

(5)

În condițiile în care atacurile cibernetice sunt în creștere, o economie și o societate conectate mai vulnerabile la amenințările și atacurile cibernetice necesită protecție mai puternică. Cu toate acestea, deși atacurile cibernetice sunt adesea transfrontaliere, competența și răspunsurile oferite de politicile autorităților de securitate cibernetică și de aplicare a legii sunt predominant naționale. Incidentele de mare amploare ar putea să perturbe furnizarea serviciilor esențiale pe întregul teritoriu al Uniunii. Aceasta necesită răspunsul și gestionarea crizelor la nivelul Uniunii în mod eficace și coordonat, bazându-se pe politicile specifice și pe instrumentele mai generale de solidaritate europeană și asistență reciprocă. În plus, pentru factorii de decizie politică, pentru industrie și pentru utilizatori este important să existe o evaluare periodică a situației în materie de securitate cibernetică și reziliență în Uniune, bazată de la date fiabile la nivelul Uniunii, precum și prognoze sistematice ale evoluțiilor, provocărilor și amenințărilor viitoare, la nivelul Uniunii și la nivel mondial.

(6)

Având în vedere intensificarea provocărilor în materie de securitate cibernetică cu care se confruntă Uniunea, este nevoie de un set cuprinzător de măsuri care să se bazeze pe acțiunile anterioare ale Uniunii și să promoveze obiective care se consolidează reciproc. Printre aceste obiective se numără sporirea și mai mult a capacitățile și a gradului de pregătire ale statelor membre și ale întreprinderilor, precum și îmbunătățirea cooperării, a schimbului de informații și coordonării între statele membre și instituțiile, organele, oficiile și agențiile Uniunii. Mai mult decât atât, amenințările cibernetice nu se opresc la frontiere, motiv pentru care este necesară dezvoltarea capacităților la nivelul Uniunii care ar putea completa acțiunea statelor membre, în special în cazul incidentelor și al crizelor cibernetice transfrontaliere de mare amploare, luând în considerare totodată importanța de a se menține și de a se consolida și mai mult capacitățile naționale de a răspunde la amenințările cibernetice, oricare ar fi amploarea acestora.

(7)

De asemenea, sunt necesare eforturi suplimentare pentru a spori gradul de sensibilizare a cetățenilor, organizațiilor și întreprinderilor cu privire la aspectele legate de securitatea cibernetică. În plus, având în vedere că incidentele subminează încrederea în furnizorii de servicii digitale și chiar în piața unică digitală, mai ales în rândul consumatorilor, ar trebui consolidată și mai mult încrederea, oferind în mod transparent informații despre nivelul de securitate al produselor TIC, serviciilor TIC și proceselor TIC, subliniind că nici măcar un nivel ridicat de securitate cibernetică nu poate garanta că un produs TIC, un serviciu TIC sau un proces TIC este pe deplin sigur. O creștere a încrederii poate fi facilitată printr-o certificare la nivelul Uniunii care să prevadă cerințe comune în materie de securitate cibernetică și criterii de evaluare aplicabile pe toate piețele naționale și în toate sectoarele.

(8)

Securitatea cibernetică nu e o chestiune legată numai de tehnologie, comportamentul uman fiind la fel de important. Din acest motiv, ar trebui promovată intens „igiena cibernetică”, și anume simple măsuri de rutină care, atunci când sunt introduse și aplicate cu regularitate de cetățeni, de organizații și de întreprinderi, reduc la minimum expunerea acestora la riscurile pe care le presupun amenințările cibernetice.

(9)

În scopul consolidării structurilor Uniunii de securitate cibernetică, este important să se mențină și să se dezvolte capacitățile statelor membre de a răspunde în mod cuprinzător la amenințările cibernetice, inclusiv la incidentele transfrontaliere.

(10)

Întreprinderile și consumatorii individuali ar trebui să dispună de informații exacte despre nivelul de asigurare la care a fost certificată securitatea produselor TIC, serviciilor TIC și proceselor TIC. În același timp, niciun produs TIC sau serviciu TIC nu este pe deplin sigur din punct de vedere cibernetic și este necesar ca normele de bază de igienă cibernetică să fie promovate și să li se acorde prioritate. Având în vedere disponibilitatea tot mai mare a dispozitivelor aferente internetului obiectelor, sectorul privat poate lua în mod voluntar o serie de măsuri pentru a consolida încrederea în produsele TIC, serviciile TIC și procesele TIC.

(11)

Produsele și sistemele TIC moderne integrează adeseori una sau mai multe tehnologii și componente terțe, cum ar fi module software, biblioteci sau interfețe de programare a aplicațiilor, sau se bazează pe acestea. Această dependență ar putea cauza riscuri suplimentare pentru securitatea cibernetică, dat fiind că vulnerabilitățile prezente în componentele terțe pot afecta și securitatea produselor TIC, a serviciilor TIC și a proceselor TIC. În numeroase cazuri, identificarea și documentarea unor astfel de dependențe le permite utilizatorilor finali de produse TIC, servicii TIC și procese TIC să își îmbunătățească activitățile de gestionare a riscurilor pentru securitatea cibernetică, îmbunătățind, de exemplu, gestionarea vulnerabilității în materie de securitate cibernetică și procedurile de remediere a acesteia.

(12)

Organizațiile, producătorii sau furnizorii implicați în conceperea și dezvoltarea produselor TIC, serviciilor TIC și proceselor TIC ar trebui încurajați să introducă măsuri încă din primele etape de concepere și dezvoltare, să protejeze de la bun început, în cel mai înalt grad posibil, securitatea respectivelor produse, servicii și procese, astfel încât producerea unor atacuri cibernetice să fie prezumată, iar impactul acestora să fie anticipat și redus la minimum (denumită în continuare „securitate începând cu momentul conceperii”). Ar trebui să se asigure securitatea pe întregul ciclu de viață al produsului TIC, serviciului TIC și procesului TIC, printr-o evoluție constantă a proceselor de concepere și de dezvoltare, pentru a se reduce riscul de prejudicii cauzate de exploatarea rău intenționată.

(13)

Întreprinderile, organizațiile și sectorul public ar trebui să configureze produsele TIC, serviciile TIC sau procesele TIC pe care le concep astfel încât să asigure un nivel mai ridicat de securitate, care să îi permită primul utilizator să primească o configurație intrinsecă cu setările cu cel mai ridicat nivel de securitate posibil (denumită în continuare „securitate implicită”) și să reducă astfel sarcina utilizatorilor de a-și configura în mod corespunzător un produs TIC, un serviciu TIC sau un proces TIC. Securitatea implicită nu ar trebui să necesite o configurare extensivă, o înțelegere tehnică specifică sau un comportament neevident din partea utilizatorului, ci ar trebui să funcționeze cu ușurință și în mod fiabil atunci când este implementată. Dacă, de la caz la caz, în urma unei analize a riscurilor și a utilizării se constată că o astfel de configurare implicită nu este fezabilă, ar trebui să li se recomande utilizatorilor să aleagă configurația cu cel mai ridicat nivel de securitate.

(14)

Regulamentul (CE) nr. 460/2004 al Parlamentului European și al Consiliului (6) a instituit ENISA cu scopul de a contribui la obiectivele de asigurare a unui nivel ridicat și eficace al securității rețelelor și a informațiilor în Uniune și la dezvoltarea unei culturi a securității rețelelor și a informațiilor, în beneficiul cetățenilor, al consumatorilor, al întreprinderilor și al administrațiilor publice. Regulamentul (CE) nr. 1007/2008 al Parlamentului European și al Consiliului (7), a prelungit mandatul ENISA până în martie 2012. Regulamentul (UE) nr. 580/2011 al Parlamentului European și al Consiliului (8) a prelungit din nou mandatul ENISA până la 13 septembrie 2013. Regulamentul (UE) nr. 526/2013 a prelungit mandatul ENISA până la 19 iunie 2020.

(15)

Uniunea a luat deja măsuri importante pentru a asigura securitatea cibernetică și a crește încrederea în tehnologiile digitale. În 2013 a fost adoptată Strategia de securitate cibernetică a Uniunii Europene, menită să orienteze politicile prin care Uniunea răspunde la amenințările cibernetice și riscurile pentru securitatea cibernetică. În cadrul eforturilor depuse pentru a proteja mai bine cetățenii în mediul online, primul act legislativ al Uniunii în domeniul securității cibernetice a fost adoptat în 2016sub forma Directivei (UE) 2016/1148 a Parlamentului European și a Consiliului (9). Directiva (UE) 2016/1148 a instituit cerințe privind capacitățile naționale în domeniul securității cibernetice, a creat primele mecanisme de intensificare a cooperării strategice și operaționale între statele membre și a introdus obligații privind măsurile de securitate și notificările incidentelor în sectoare vitale pentru economie și societate, cum ar fi energia, transporturile, furnizarea și distribuirea de apă potabilă, băncile, infrastructurile pieței financiare, asistența medicală, infrastructurile digitale, precum și furnizorii de servicii digitale esențiale (motoarele de căutare, serviciile de cloud computing și piețele online).

ENISA a primit un rol esențial de sprijinire a punerii în aplicare a directivei respective. În plus, combaterea eficace a criminalității informatice se numără printre prioritățile importante ale Agendei europene privind securitatea, contribuind la obiectivul general de obținere a unui nivel ridicat de securitate cibernetică. Alte acte juridice, cum ar fi Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (10), Directivele 2002/58/CE (11) și (UE) 2018/1972 (12) ale Parlamentului European și ale Consiliului, contribuie, de asemenea, la un nivel înalt de securitate cibernetică în cadrul pieței unice digitale.

(16)

De la adoptarea Strategiei de securitate cibernetică a Uniunii Europene, în 2013, și de la ultima revizuire a mandatului ENISA, contextul general de politici a cunoscut schimbări semnificative, întrucât mediul mondial a devenit mai incert și mai puțin sigur. În acest context și în contextul dezvoltării pozitive a rolului ENISA drept punct de referință în materie de consiliere și de expertiză și drept facilitatoare a cooperării și a consolidării capacităților, precum și în cadrul noii politici de securitate cibernetică a Uniunii, este necesar să se revizuiască mandatul ENISA pentru a stabili rolul ce îi revine în ecosistemul de securitate cibernetică rezultat în urma acestor evoluții și pentru a oferi garanția că ENISA contribuie în mod eficace la răspunsul Uniunii la provocările în materie de securitate cibernetică ce își au originea în transformarea radicală a naturii amenințărilor cibernetice, pentru care, astfel cum se recunoaște în evaluarea ENISA, mandatul actual nu este suficient.

(17)

ENISA astfel cum este instituită prin prezentul regulament ar trebui să succeadă ENISA astfel cum a fost instituită prin Regulamentul (UE) nr. 526/2013. ENISA ar trebui să ducă la îndeplinire atribuțiile care îi sunt conferite prin prezentul regulament și prin alte acte juridice ale Uniunii din domeniul securității cibernetice, printre altele prin furnizarea de consiliere și expertiză și prin exercitarea rolului de centru de informare și de cunoștințe al Uniunii. ENISA ar trebui să promoveze schimbul de bune practici între statele membre și părțile interesate din sectorul privat, oferind sugestii în materie de politici Comisiei și statelor membre, acționând ca punct de referință pentru inițiativele de politică sectorială ale Uniunii în ceea ce privește aspectele legate de securitatea cibernetică, încurajând cooperarea operațională între statele membre, precum și între statele membre și instituțiile, organele, oficiile și agențiile Uniunii.

(18)

În cadrul Deciziei (CE, Euratom) 2004/97, adoptată de comun acord de reprezentanții statelor membre, reuniți la nivel de șefi de stat sau de guvern (13), reprezentanții statelor membre au decis că ENISA își va avea sediul într-un oraș din Grecia care urma să fie stabilit de guvernul elen. Statul membru gazdă al ENISA ar trebui să asigure cele mai bune condiții posibile pentru funcționarea optimă și în mod eficient a ENISA. Pentru îndeplinirea adecvată și eficientă a atribuțiilor sale, pentru recrutarea și menținerea personalului, precum și pentru consolidarea eficienței activităților sale de relaționare este indispensabil ca ENISA să aibă un amplasament adecvat care, printre altele, să ofere conexiuni de transport și facilități adecvate pentru soții sau soțiile și copiii care însoțesc membrii personalului ENISA. Dispozițiile necesare ar trebui stabilite într-un acord încheiat între ENISA și statul membru gazdă, după obținerea aprobării consiliului de administrație al ENISA.

(19)

Având în vedere agravarea provocărilor și a riscurilor pentru securitatea cibernetică cu care se confruntă Uniunea, ar trebui crescute resursele financiare și umane alocate ENISA, care să corespundă consolidării rolului și atribuțiilor sale, precum și poziției sale critice în ecosistemul de organizații care apără ecosistemul digital al Uniunii, astfel încât ENISA să își poată îndeplini cu eficacitate atribuțiile care i-au fost conferite prin prezentul regulament.

(20)

ENISA ar trebui să dezvolte și să mențină un nivel ridicat de expertiză și să funcționeze ca punct de referință care să stabilească încrederea în piața unică grație independenței sale, calității consilierii acordate și informațiilor diseminate, transparenței procedurilor și a metodelor sale de operare, precum și eforturilor depuse în îndeplinirea atribuțiilor sale. ENISA ar trebui să sprijine activ eforturile depuse la nivel național și ar trebui să contribuie proactiv la eforturile depuse Uniunii, îndeplinindu-și totodată atribuțiile în deplină cooperare cu instituțiile, organele, oficiile și agențiile Uniunii și cu statele membre, evitând orice dublare a activităților și promovând sinergia. În plus, ENISA ar trebui să se bazeze pe informațiile primite de la sectorul privat și alte părți interesate relevante și pe cooperarea cu acestea. Este necesar să se stabilească printr-o serie de atribuții modul în care ENISA își realizează obiectivele, permițându-i în același timp să funcționeze flexibil.

(21)

Pentru a putea sprijini în mod corespunzător cooperarea operațională între statele membre, ENISA ar trebui să își consolideze și mai mult capacitățile și aptitudinile tehnice și umane. ENISA ar trebui să își sporească know-how-ul și capacitățile. ENISA și statele membre ar putea, în mod voluntar, să elaboreze programe pentru experții naționali detașați la ENISA, să creeze rezerve de experți și să facă schimburi de personal.

(22)

ENISA ar trebui să furnizeze asistență Comisiei sub formă de consiliere, avize și analize cu privire la toate chestiunile de competența Uniunii legate de elaborarea, actualizarea și revizuirea politicilor și legislației din domeniul securității cibernetice, precum și de aspectele sectoriale specifice din acest domeniu, pentru a consolida relevanța politicilor și a legislației Uniunii cu o dimensiune de securitate cibernetică și pentru a permite punerea acestora în aplicare în mod coerent la nivel național. ENISA ar trebui să acționeze ca punct de referință în ceea ce privește consilierea și expertiza pentru inițiativele de politică și legislative sectoriale ale Uniunii în cazul în care intervin chestiuni legate de securitatea cibernetică. ENISA ar trebui să informeze periodic Parlamentul European despre activitățile sale.

(23)

Nucleul public al internetului deschis, și anume principalele sale protocoale și infrastructură, care constituie un bun public global, oferă funcționalitatea esențială a internetului în ansamblu și susține funcționarea sa normală. ENISA ar trebui să sprijine securitatea nucleului public al internetului deschis și stabilitatea funcționării sale, inclusiv, printre altele, protocoalele-cheie (mai ales DNS, BGP și IPv6), exploatarea sistemului de nume de domenii (cum ar fi operarea tuturor domeniilor de nivel superior) și exploatarea zonei-rădăcină.

(24)

Atribuția fundamentală a ENISA este de a promova punerea în aplicare coerentă a cadrului juridic relevant, în special punerea în aplicare eficace a Directivei (UE) 2016/1148 și a altor instrumente juridice relevante care conțin aspecte legate de securitatea cibernetică, fapt esențial pentru sporirea rezilienței cibernetice. Având în vedere evoluția rapidă a naturii amenințărilor cibernetice, este clar că statele membre trebuie să fie sprijinite printr-o abordare mai cuprinzătoare, bazată pe mai multe politici, a consolidării rezilienței cibernetice.

(25)

ENISA ar trebui să furnizeze asistență statelor membre și instituțiilor, organelor, oficiilor și agențiilor Uniunii, venind în sprijinul eforturilor lor de a crea și de a consolida capacitățile și pregătirea necesare pentru a preveni, a detecta și a răspunde la amenințările cibernetice și incidentele și în ceea ce privește securitatea rețelelor și a sistemelor informatice. În special, ENISA ar trebui să sprijine dezvoltarea și consolidarea echipelor de intervenție în caz de incidente de securitate informatică (denumite în continuare „echipe CSIRT”) naționale și ale Uniunii prevăzute în Directiva (UE) 2016/1148, astfel încât acestea să ajungă la un nivel comun ridicat de maturitate în Uniune. Activitățile desfășurate de ENISA în privința capacităților operaționale ale statelor membre ar trebui să sprijine activ măsurile luate de statele membre pentru a-și respecta obligațiile în temeiul Directivei (UE) 2016/1148 și, prin urmare, să nu li se substituie.

(26)

ENISA ar trebui, de asemenea, să acorde asistență la elaborarea și actualizarea strategiilor în materie de securitate a rețelelor și a sistemelor informatice la nivelul Uniunii și, la cerere, la nivelul statelor membre, în special în ceea ce privește securitatea cibernetică, și ar trebui să promoveze diseminarea strategiilor respective și să monitorizeze punerea în aplicare a acestora. Totodată, ENISA ar trebui să contribuie la satisfacerea nevoilor de formare și de materiale de formare, inclusiv nevoile organismelor publice și, dacă este cazul, să asigure în mare măsură formarea formatorilor pe baza cadrului de competențe digitale pentru cetățeni pentru a ajuta statele membre și instituțiile, organele, oficiile și agențiile Uniunii să își dezvolte propriile capacități de formare.

(27)

ENISA ar trebui să sprijine statele membre în domeniul sensibilizării și al educării în materie de securitate cibernetică, prin facilitarea unei cooperări mai strânse și a schimbului de bune practici între statele membre. Acest sprijin ar putea să constea în dezvoltarea unei rețele de puncte naționale de contact în domeniul educației și în dezvoltarea unei platforme de formare în materie de securitate cibernetică. Rețeaua de puncte naționale de contact în domeniul educației ar putea funcționa în cadrul rețelei ofițerilor naționali de legătură și ar putea constitui un punct de plecare pentru viitoarea coordonare între statele membre.

(28)

ENISA ar trebui să furnizeze asistență grupului de cooperare creat prin Directiva (UE) 2016/1148 în îndeplinirea atribuțiilor sale, în special oferind expertiză, asigurând consiliere și facilitând schimbul de bune practici, printre altele în ceea ce privește identificarea operatorilor de servicii esențiale de către statele membre, precum și în legătură cu dependențele transfrontaliere în ceea ce privește riscurile și incidentele.

(29)

Pentru a încuraja cooperarea între sectorul public și cel privat și cooperarea în cadrul acestuia din urmă, mai ales pentru a susține protejarea infrastructurilor critice, ENISA ar trebui să sprijine schimbul de informații în cadrul sectoarelor și între acestea, mai ales în sectoarele enumerate în anexa II la Directiva (UE) 2016/1148, furnizând bune practici și orientări despre instrumentele disponibile, proceduri și îndrumări despre modul de abordare a chestiunilor de reglementare legate de schimbul de informații, de exemplu prin facilitarea înființării unor centre sectoriale de schimb și de analiză de informații.

(30)

Pe măsură ce impactul potențial negativ al vulnerabilităților produselor TIC, serviciilor TIC și proceselor TIC este în continuă creștere, descoperirea și remedierea acestor vulnerabilități joacă un rol important în reducerea riscului general pentru securitatea cibernetică. Cooperarea dintre organizații, producători sau furnizori de produse TIC, servicii TIC și procese TIC vulnerabile și membrii comunității de cercetare în domeniul securității cibernetice și autoritățile care descoperă astfel de vulnerabilități s-a dovedit că sporește în mod semnificativ atât ritmul descoperirii de vulnerabilități în produsele TIC, serviciile TIC și procesele TIC, cât și al remedierii acestora. Dezvăluirea coordonată a vulnerabilităților constă într-un proces structurat de cooperare în cadrul căruia vulnerabilitățile sunt raportate proprietarului sistemului informatic, dându-i organizației ocazia de a diagnostica și de a remedia vulnerabilitatea înainte ca informații detaliate referitoare la aceasta să fie divulgate părților terțe sau publicului. Procesul prevede de asemenea coordonarea între partea care descoperă vulnerabilitățile și organizație în ceea ce privește publicarea respectivelor vulnerabilități. Politicile coordonate de divulgare a vulnerabilităților ar putea juca un rol important în eforturile statelor membre de a consolida securitatea cibernetică.

(31)

ENISA ar trebui să grupeze și să analizeze rapoartele naționale puse la dispoziție în mod voluntar de echipele CSIRT și de Centrul interinstituțional de răspuns la incidente de securitate cibernetică pentru instituțiile, organele și agențiile Uniunii instituit prin Acordul între Parlamentul European, Consiliul European, Consiliul Uniunii Europene, Comisia Europeană, Curtea de Justiție a Uniunii Europene, Banca Centrală Europeană, Curtea de Conturi Europeană, Serviciul European de Acțiune Externă, Comitetul Economic și Social European, Comitetul European al Regiunilor și Banca Europeană de Investiții privind organizarea și funcționarea unui Centru de răspuns la incidente de securitate cibernetică pentru instituțiile, organele și agențiile Uniunii (CERT-UE) (14), în scopul de a contribui la stabilirea unor proceduri, limbaje și terminologii comune pentru schimbul de informații. În acest context, ENISA ar trebui de asemenea să atragă participarea sectorului privat, în cadrul Directivei (UE) 2016/1148 care prevede bazele schimbului voluntar de informații tehnice la nivel operațional în interiorul rețelei echipelor de intervenție în caz de incidente de securitate informatică (denumită în continuare „rețeaua CSIRT”) creată prin directiva menționată.

(32)

ENISA ar trebui să contribuie la răspunsurile la nivelul Uniunii în cazul unor incidente și de crize transfrontaliere de mare amploare legate de securitatea cibernetică. Această atribuție ar trebui îndeplinită în conformitate cu mandatul ENISA în temeiul prezentului regulament, iar statele membre ar trebui să convină asupra unei abordări în contextul Recomandării (UE) 2017/1584 a Comisiei (15) și al Concluziilor Consiliului din 26 iunie 2018 privind răspunsul coordonat al UE la incidentele și crizele de securitate cibernetică de mare amploare. Această atribuție ar putea include culegerea de informații relevante și exercitarea rolului de facilitare între rețeaua CSIRT și comunitatea tehnică, precum și cu factorii de decizie responsabili cu gestionarea situațiilor de criză. În plus, ENISA ar trebui să sprijine cooperarea operațională între statele membre în gestionarea din punct de vedere tehnic a incidentelor, la cererea unuia sau a mai multor state membre, facilitând schimbul de soluții tehnice relevante între statele membre și contribuind la comunicarea publică. ENISA ar trebui să sprijine cooperarea operațională testând modalitățile de desfășurare a cooperării prin exerciții periodice de securitate cibernetică.

(33)

În sprijinirea cooperării operaționale, ENISA ar trebui să apeleze la expertiza tehnică și operațională de care dispune CERT-UE, prin intermediul unei cooperări structurate. O astfel de cooperare structurată s-ar putea baza pe expertiza de care dispune ENISA. Dacă este cazul, între cele două entități ar trebui încheiate acorduri specifice pentru a se stabili modalitățile practice de punere în aplicare a acestei cooperări și pentru a se evita dublarea activităților.

(34)

În efectuarea atribuțiilor sale constând în sprijinirea cooperării operaționale în cadrul rețelei CSIRT, ENISA ar trebui să aibă posibilitatea de a oferi sprijin statelor membre, la cererea lor, de exemplu prin furnizarea de consiliere privind modul de îmbunătățire a capacităților lor de a preveni incidentele, de a le detecta și de a răspunde la acestea, prin facilitarea gestionării din punct de vedere tehnic a incidentelor care au un impact semnificativ sau substanțial sau prin asigurarea faptului că amenințările cibernetice și incidentele sunt analizate. ENISA ar trebui să faciliteze gestionarea din punct de vedere tehnic a incidentelor cu un impact semnificativ sau substanțial, mai ales sprijinind partajarea în mod voluntar a soluțiilor tehnice de către statele membre sau elaborând informații tehnice combinate, de exemplu soluții tehnice partajate în mod voluntar de statele membre. Recomandarea (UE) 2017/1584 invită statele membre să coopereze cu bună credință și să facă schimb de informații între ele și cu ENISA cu privire la incidentele și crizele de mare amploare legate de securitatea cibernetică, fără întârzieri nejustificate. Aceste informații ar trebui să constituie un ajutor suplimentar pentru ENISA în îndeplinirea atribuției sale de sprijinire a cooperării operaționale.

(35)

Ca parte a cooperării periodice la nivel tehnic desfășurate pentru a sprijini cunoașterea de către Uniune a situației, ENISA, în strânsă cooperare cu statele membre, ar trebui să pregătească periodic rapoarte aprofundate asupra situației tehnice în materie de securitate cibernetică la nivelul UE referitor la incidente și amenințări cibernetice, pe baza informațiilor disponibile în mod public, a propriei analize și a rapoartelor care i-au fost transmise de echipele CSIRT ale statelor membre sau de punctele unice de contact naționale privind securitatea rețelelor și a sistemelor informatice (denumite în continuare „punctele unice de contact”) prevăzute de Directiva (UE) 2016/1148, în ambele cazuri în mod voluntar, de Centrul european de combatere a criminalității informatice (EC3) din cadrul Europol și CERT-UE și, după caz, de Centrul de situații și de analiză a informațiilor al Uniunii Europene (INTCEN UE) din cadrul Serviciului European de Acțiune Externă. Raportul ar trebui să fie pus la dispoziția Consiliului, Comisiei, Înaltului Reprezentant al Uniunii pentru afaceri externe și politica de securitate și ale rețelei CSIRT.

(36)

Sprijinul acordat de ENISA, la cererea statelor membre afectate, pentru anchetele tehnice ex post privind incidentele care au consecințe semnificative sau substanțiale ar trebui să se axeze pe prevenirea viitoarelor incidente. Statele membre afectate ar trebui să furnizeze informațiile și asistența necesare pentru a-i permite ENISA să sprijine anchetele tehnice într-un mod eficace.

(37)

Statele membre pot invita întreprinderile afectate de incident să coopereze furnizând ENISA informațiile și asistența necesare, fără a aduce atingere dreptului lor de a proteja informații sensibile din punct de vedere comercial și informații relevante pentru securitatea publică.

(38)

Pentru a înțelege mai bine provocările din domeniul securității cibernetice și pentru a oferi consiliere strategică pe termen lung statelor membre și instituțiilor, organelor, oficiilor și agențiilor Uniunii, este necesar ca ENISA să analizeze riscurile pentru securitatea cibernetică actuale și pe cele emergente. În acest scop, ENISA ar trebui ca în cooperare cu statele membre și, după caz, cu organismele de statistică și cu alte entități să culeagă informațiile relevante care sunt puse la dispoziția publicului sau care sunt partajate în mod voluntar, să efectueze analize privind tehnologiile emergente și să furnizeze evaluări tematice privind impactul societal, juridic, economic și în materie de reglementare al inovațiilor tehnologice asupra securității rețelelor și informațiilor, în special asupra securității cibernetice. În plus, ENISA ar trebui să sprijine statele membre și instituțiile, organele, oficiile și agențiile Uniunii în ceea ce privește identificarea riscurilor pentru securitatea cibernetică emergente și prevenirea incidentelor, prin efectuarea unor analize ale amenințărilor cibernetice, vulnerabilităților și incidentelor.

(39)

Pentru a spori reziliența Uniunii, ENISA ar trebui să vizeze excelența în domeniul securității cibernetice a infrastructurilor, și în special să sprijine sectoarele enumerate în anexa II la Directiva (UE) 2016/1148, precum și a celor utilizate de furnizorii de servicii digitale enumerați în anexa III la directiva menționată, prin furnizarea de consiliere, emiterea de orientări și schimbul de bune practici. Pentru a asigura un acces mai ușor la informații mai bine structurate privind riscurile pentru securitatea cibernetică și măsurile corective posibile, ENISA ar trebui să creeze și să întrețină „platforma de informare” a Uniunii, un portal de tip ghișeu unic care să permită publicului să obțină informațiile despre securitatea cibernetică ce provin de la instituțiile, organele, oficiile și agențiile Uniunii și cele naționale. Facilitarea accesului la informații mai bine structurate despre riscurile pentru securitatea cibernetică și despre măsurile corective posibile ar putea de asemenea să ajute statele membre să își consolideze capacitățile și să își alinieze practicile, sporindu-și astfel reziliența generală la atacurile cibernetice.

(40)

ENISA ar trebui să contribuie la sensibilizarea publicului în privința riscurilor pentru securitatea cibernetică, inclusiv printr-o campanie la nivelul UE de sensibilizare și prin promovarea educării, și să furnizeze, în atenția cetățenilor, organizațiilor și întreprinderilor, orientări privind bunele practici care trebuie adoptate de fiecare utilizator în parte. De asemenea, ENISA ar trebui să contribuie la promovarea bunelor practici și soluții, care să includă igiena cibernetică și alfabetizarea cibernetică, în rândul cetățenilor, organizațiilor și întreprinderilor, prin culegerea și analizarea informațiilor aflate la dispoziția publicului referitoare la incidentele semnificative și prin întocmirea și publicarea de rapoarte și orientări pentru cetățeni, organizații și întreprinderi pentru a îmbunătăți nivelul global de pregătire și de reziliență al acestora. Totodată, ENISA ar trebui să depună eforturi pentru a le oferi consumatorilor informații relevante despre sistemele de certificare aplicabile, furnizându-le, de exemplu, orientări și recomandări. În plus, ENISA ar trebui să organizeze, în concordanță cu Planul de acțiune pentru educația digitală instituit prin Comunicarea Comisiei din 17 ianuarie 2018 și în cooperare cu statele membre și instituțiile, organele, oficiile și agențiile ale Uniunii, activități de informare și campanii publice periodice de educație pentru utilizatorii finali, având ca scop promovarea unor comportamente online mai sigure ale persoanelor și alfabetizarea digitală, precum și sensibilizarea cu privire la eventualele amenințări cibernetice, inclusiv activitățile infracționale online, cum ar fi atacurile de tip phishing, rețelele botnet, fraudele financiare și bancare, incidentele de fraudă în privința datelor, precum și promovarea consilierii de bază privind autentificarea multifactorială, corectarea erorilor, criptarea, anonimizarea și protecția datelor.

(41)

ENISA ar trebui să joace un rol central în accelerarea sensibilizării utilizatorilor finali cu privire la securitatea dispozitivelor și la utilizarea în condiții de securitate a serviciilor, și ar trebui să promoveze securitatea din faza de concepere și protejarea vieții private din faza de concepere la nivelul Uniunii. Pentru a îndeplini acest obiectiv, ENISA ar trebui să utilizeze în mod optim bunele practici și experiențele, mai ales bunele practici și experiențele instituțiilor universitare și ale cercetătorilor din domeniul securității informatice.

(42)

Pentru a sprijini întreprinderile din sectorul securității cibernetice, precum și utilizatorii de soluții de securitate cibernetică ENISA ar trebui să înființeze un „observator al pieței” și să asigure întreținerea acestuia, efectuând analize periodice ale principalelor tendințe ale pieței securității cibernetice, atât la nivelul cererii, cât și la nivelul ofertei, și diseminând informații referitoare la aceste tendințe.

(43)

ENISA ar trebui să contribuie la eforturile Uniunii de cooperare cu organizațiile internaționale, precum și în cadrele relevante de cooperare internațională din domeniul securității cibernetice. Îndeosebi, ENISA ar trebui să contribuie, după caz, la cooperarea cu organizații precum OCDE, OSCE și NATO. Această cooperare ar putea include exerciții comune de securitate cibernetică și coordonarea comună a răspunsului la incidente. Aceste activități urmează să se desfășoare cu respectarea pe deplin a principiilor de incluziune, reciprocitate și autonomie decizională ale Uniunii, fără a se aduce atingere caracterului specific al politicii de securitate și apărare din oricare stat membru.

(44)

Pentru a asigura îndeplinirea în totalitate a obiectivelor sale, ENISA ar trebui să colaboreze cu autoritățile de supraveghere ale Uniunii și cu alte autorități competente din Uniune, cu instituțiile, organele, oficiile și agențiile Uniunii, inclusiv cu CERT-UE, EC3, Agenția Europeană de Apărare (AEA), Agenția pentru Sistemul Global de Navigație prin Satelit European (Agenția GNSS European), Organismul Autorităților Europene de Reglementare în Domeniul Comunicațiilor Electronice (OAREC), Agenția Europeană pentru Gestionarea Operațională a Sistemelor Informatice la Scară Largă (eu-LISA), Banca Centrală Europeană (BCE), Autoritatea Bancară Europeană (ABE), Comitetul european pentru protecția datelor, Agenția pentru Cooperarea Autorităților de Reglementare din Domeniul Energiei (ACER), Agenția Uniunii Europene pentru Siguranța Aviației (AESA) și orice altă agenție a Uniunii implicată în securitatea cibernetică. ENISA ar trebui, de asemenea, să colaboreze cu autoritățile care îndeplinesc atribuții de protecție a datelor pentru a face schimb de know-how și de bune practici și ar trebui să ofere consiliere privind aspectele legate de securitatea cibernetică ce ar putea avea un impact asupra activității acestora. Reprezentanții autorităților naționale și ale Uniunii responsabile de aplicarea legii și de protecția datelor ar trebui să fie eligibili pentru a fi reprezentați în Grupul consultativ al ENISA. În activitatea sa de colaborare cu autoritățile responsabile de aplicarea legii, cu privire la aspectele de securitate a rețelelor și a informațiilor care ar putea avea un impact asupra activității acestora, ENISA ar trebui să respecte canalele de informații și rețelele existente.

(45)

S-ar putea institui parteneriate cu instituțiile universitare care au inițiative de cercetare în domeniile relevante și ar trebui să existe canale adecvate pentru contribuțiile din partea organizațiilor consumatorilor și altor organizații, care ar trebui luate în considerare.

(46)

ENISA, în rolul său de secretariat al rețelei CSIRT, ar trebui să sprijine echipele CSIRT ale statelor membre și CERT-UE în ceea ce privește cooperarea operațională legată de atribuțiile relevante ale rețelei CSIRT, astfel cum se menționează în Directiva (UE) 2016/1148. De asemenea, ENISA ar trebui să promoveze și să sprijine cooperarea dintre echipele CSIRT relevante în caz de incidente, atacuri sau întreruperi la nivelul rețelelor sau al infrastructurilor gestionate sau protejate de echipele CSIRT și care implică sau pot implica cel puțin două echipe CSIRT, ținând seama în mod corespunzător de procedurile standard de operare ale rețelei CSIRT.

(47)

Pentru ca Uniunea să fie mai bine pregătită să răspundă la incidente, ENISA ar trebui să organizeze în mod periodic exerciții de securitate cibernetică la nivelul Uniunii și să ajute statele membre și instituțiile, organele, oficiile și agențiile Uniunii, la cererea acestora, să organizeze astfel de exerciții. O dată la doi ani ar trebui să se organizeze un exercițiu cuprinzător pe scară largă care să includă elemente tehnice, operaționale sau strategice. În plus, ENISA ar trebui să poată organiza periodic exerciții mai puțin cuprinzătoare, având același obiectiv de a spori nivelul de pregătire a Uniunii pentru răspunde incidentelor.

(48)

ENISA ar trebui să își dezvolte și să își mențină în continuare expertiza în materie de certificare a securității cibernetice, pentru a sprijini politicile Uniunii din acest domeniu. ENISA ar trebui să se bazeze pe bunele practici existente și să promoveze adoptarea certificării de securitate cibernetică în Uniune. În acest scop, ea ar trebui, printre altele, să contribuie la instituirea și întreținerea unui cadru de certificare a securității cibernetice la nivelul Uniunii (denumit în continuare „cadru european de certificare a securității cibernetice”), pentru a crește transparența asigurării securității cibernetice a produselor TIC, a serviciilor TIC și a proceselor TIC, consolidând astfel încrederea în piața internă digitală și în competitivitatea sa.

(49)

Politicile de securitate cibernetică eficiente ar trebui să se bazeze pe metode de evaluare a riscurilor bine puse la punct, atât în sectorul public, cât și în sectorul privat. Metodele de evaluare a riscurilor sunt utilizate la diferite niveluri, fără a exista o practică comună în ceea ce privește aplicarea lor eficientă. Promovarea și dezvoltarea bunelor practici pentru evaluarea riscurilor și pentru soluții interoperabile de gestionare a riscurilor în cadrul organizațiilor din sectorul public și privat vor spori nivelul de securitate cibernetică din Uniune. În acest scop, ENISA ar trebui să sprijine cooperarea dintre părțile interesate la nivelul Uniunii, facilitând eforturile acestora referitoare la elaborarea și adoptarea de standarde europene și internaționale în ceea ce privește gestionarea riscurilor și securitatea măsurabilă a produselor, sistemelor, rețelelor și serviciilor electronice, care, împreună cu software-ul, formează rețelele și sistemele informatice.

(50)

ENISA ar trebui să încurajeze statele membre, producătorii sau furnizorii de produse TIC, de servicii TIC sau de procese TIC să își ridice standardele generale de securitate, astfel încât toți utilizatorii de internet să poată lua măsurile necesare pentru a-și asigura securitatea cibernetică personală și ar trebui să motiveze în acest sens. În special, producătorii și furnizorii de produse TIC, de servicii TIC și de procese TIC ar trebui să furnizeze toate actualizările necesare și să recheme, ar trebui să retragă sau să recicleze produsele TIC, serviciile TIC sau procesele TIC care nu îndeplinesc standardele de securitate cibernetică, iar importatorii și distribuitorii ar trebui să se asigure că produsele TIC, serviciile TIC și procesele TIC pe care le introduc pe piața Uniunii sunt conforme cerințelor aplicabile și nu prezintă niciun risc pentru consumatorii din Uniune.

(51)

În cooperare cu autoritățile competente, ENISA ar trebui să poată difuza informații privind nivelul de securitate cibernetică al produselor TIC, al serviciilor TIC și al proceselor TIC oferite pe piața internă și ar trebui să poată emite avertismente care să vizeze producătorii sau furnizorii de produse TIC, de servicii TIC și de procese TIC și care să îi oblige să îmbunătățească securitatea produselor TIC, a serviciilor TIC și a proceselor TIC ale acestora, inclusiv securitatea cibernetică.

(52)

ENISA ar trebui să ia în considerare pe deplin activitățile în curs de cercetare, dezvoltare și evaluare tehnologică, în special cele desfășurate în cadrul diferitelor inițiative de cercetare ale Uniunii, pentru a consilia instituțiile, organele, oficiile și agențiile Uniunii și, după caz, statele membre, la solicitarea acestora, cu privire la necesitățile și la prioritățile de cercetare din domeniul securității cibernetice. Pentru a identifica necesitățile și prioritățile în materie de cercetare, ENISA ar trebui de asemenea să consulte grupurile de utilizatori relevante. Mai precis, s-ar putea stabili o cooperare cu Consiliul European pentru Cercetare și cu Institutul European pentru Inovare și Tehnologie și cu Institutul pentru Studii de Securitate al Uniunii Europene.

(53)

ENISA ar trebui să consulte periodic organizațiile de standardizare, mai ales organizațiile europene de standardizare, atunci când pregătește sistemele europene de certificare a securității cibernetice.

(54)

Amenințările pentru securitatea cibernetică au o dimensiune mondială. Este necesară consolidarea cooperării internaționale pentru îmbunătățirea standardelor de securitate cibernetică, inclusiv prin definirea de norme de comportament și adoptarea de coduri de conduită comune, prin utilizarea de standarde internaționale, prin schimburi de informații și prin promovarea unei colaborări internaționale mai rapide ca răspuns la problemele de securitate a rețelelor și a informațiilor, precum și a unei abordări comune la nivel mondial a acestor probleme. În acest scop, ENISA ar trebui să sprijine continuarea implicării și cooperării Uniunii cu țări terțe și cu organizații internaționale, furnizând, după caz, expertiza și analiza necesară instituțiilor, organelor, oficiilor și agențiilor relevante ale Uniunii.

(55)

ENISA ar trebui să fie în măsură să răspundă solicitărilor ad-hoc de consiliere și asistență care îi sunt adresate de statele membre și de instituțiile, organele, oficiile și agențiile Uniunii, legate de aspecte care țin de mandatul ENISA.

(56)

Este rezonabil și se recomandă să se aplice anumite principii privind guvernanța ENISA pentru a respecta declarația comună și abordarea comună convenite în iulie 2012 de Grupul de lucru interinstituțional privind agențiile descentralizate ale UE, al căror scop este de a raționaliza activitățile agențiilor descentralizate și de a le îmbunătăți performanțele. Recomandările cuprinse în declarația comună și în abordarea comună ar trebui să se reflecte, după caz, în programele de activitate, evaluările și practicile administrative și de raportare ale ENISA.

(57)

Consiliul de administrație, alcătuit din reprezentanți ai statelor membre și ai Comisiei, ar trebui să stabilească direcția generală a activităților ENISA și să se asigure că aceasta își îndeplinește atribuțiile în conformitate cu prezentul regulament. Consiliului de administrație ar trebui să i se încredințeze competențele necesare pentru întocmirea bugetului, verificarea execuției acestuia, adoptarea normelor financiare adecvate, stabilirea unor proceduri de lucru transparente pentru luarea deciziilor de către ENISA, adoptarea documentului unic de programare al ENISA, adoptarea propriului regulament de procedură, numirea directorului executiv, luarea deciziei cu privire la prelungirea sau încetarea mandatului directorului executiv.

(58)

Pentru buna funcționare în condiții de eficacitate a ENISA, Comisia și statele membre ar trebui să se asigure că persoanele care urmează să fie numite în consiliul de administrație au nivelul adecvat de competență și de experiență profesională. Comisia și statele membre ar trebui, de asemenea, să depună eforturi pentru a limita rotația reprezentanților lor în consiliul de administrație, cu scopul de a asigura continuitatea activității acestuia.

(59)

Pentru buna funcționare a ENISA este necesar ca numirea directorului executiv să fie făcută pe baza meritelor și aptitudinilor sale administrative și manageriale atestate, precum și a competenței și experienței relevante în domeniul securității cibernetice. Directorul executiv ar trebui să își ducă la îndeplinire atribuțiile în deplină independență. Directorul executiv ar trebui să elaboreze o propunere privind programul anual de activitate al ENISA, după consultări prealabile cu Comisia, și să ia toate măsurile necesare pentru a asigura punerea în aplicare corespunzătoare a programului de activitate respectiv. Directorul executiv ar trebui să întocmească un raport anual cuprinzând și punerea în aplicare a programului anual de activitate al ENISA, care să fie prezentat consiliului de administrație, să elaboreze un proiect de situație a estimărilor de venituri și cheltuieli ale ENISA și să execute bugetul. În plus, directorul executiv ar trebui să aibă opțiunea de a înființa grupuri de lucru ad-hoc pentru a aborda aspecte specifice, în special de natură științifică, tehnică, juridică sau socioeconomică. Se consideră drept necesară instituirea unui grup de lucru ad-hoc, mai ales în legătură cu pregătirea unei anumite propuneri de sistem european de certificare a securității cibernetice (denumită în continuare „propuneri de sistem”). Directorul executiv ar trebui să se asigure că selecționarea membrilor grupurilor de lucru ad-hoc se realizează în conformitate cu cele mai înalte standarde de competență, urmărindu-se să se asigure o reprezentare echilibrată din perspectiva genului și corespunzătoare, în funcție de problemele specifice – între administrațiile publice ale statelor membre, instituțiile, organele, oficiile și agențiile Uniunii și sectorul privat, inclusiv industria, utilizatorii și experții universitari în domeniul securității rețelelor și a informațiilor.

(60)

Comitetul executiv ar trebui să contribuie la funcționarea eficace a consiliului de administrație. În cadrul lucrărilor sale pregătitoare legate de deciziile consiliului de administrație, comitetul executiv ar trebui să examineze în detaliu informațiile relevante, să analizeze opțiunile disponibile și să ofere consiliere și soluții pentru pregătirea deciziilor relevante ale consiliului de administrație.

(61)

ENISA ar trebui să aibă drept organism consultativ un grup consultativ al ENISA, pentru a asigura un dialog regulat cu sectorul privat, cu organizațiile de consumatori și cu alte părți interesate relevante. Grupul consultativ al ENISA, instituit de consiliul de administrație la propunerea directorului executiv, ar trebui să se concentreze pe probleme relevante pentru părțile interesate și să le aducă în atenția ENISA. Grupul consultativ al ENISA ar trebui să fie consultat în special în legătură cu proiectul de program anual de activitate al ENISA. Componența Grupului consultativ al ENISA și atribuțiile încredințate acestuia ar trebui să asigure faptul că părțile interesate sunt reprezentate într-o măsură suficientă în ceea ce privește activitatea ENISA.

(62)

Ar trebui instituit Grupul părților interesate pentru certificarea securității cibernetice pentru a ajuta ENISA și Comisia să faciliteze consultarea părților interesate relevante. Grupul părților interesate pentru certificarea securității cibernetice ar trebui compus din membri care să reprezinte într-o proporție echilibrată industria, în ceea ce privește atât cererea, cât și oferta de produse TIC și servicii TIC, și care să includă îndeosebi IMM-uri, furnizorii de servicii digitale, organismele europene și internaționale de standardizare, organismele de acreditare naționale, autoritățile de supraveghere a protecției datelor și organismele de evaluare a conformității în temeiul Regulamentului (CE) nr. 765/2008 al Parlamentului European și al Consiliului (16), și mediul universitar și organizațiile consumatorilor.

(63)

ENISA ar trebui să dispună de norme de prevenire și gestionare a conflictelor de interese. De asemenea, ENISA ar trebui să aplice dispozițiile relevante ale Uniunii privind accesul public la documente, prevăzute în Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului (17). Prelucrarea datelor cu caracter personal de către ENISA ar trebui să intre sub incidența Regulamentului (UE) 2018/1725 al Parlamentului European și al Consiliului (18). ENISA ar trebui să se conformeze dispozițiilor aplicabile instituțiilor, organelor, oficiilor și agențiilor Uniunii, precum și dispozițiilor legislațiilor naționale privind gestionarea informațiilor, în special a informațiilor sensibile neclasificate și a informațiilor clasificate ale Uniunii Europene (IUEC).

(64)

Pentru a garanta autonomia și independența deplină a ENISA și a-i permite să îndeplinească atribuții suplimentare, inclusiv atribuții urgente neprevăzute, ar trebui să i se aloce ENISA un buget suficient și autonom, ale cărui venituri să provină în principal din contribuția Uniunii și din contribuții ale țărilor terțe care iau parte la activitățile ENISA. Un buget corespunzător este capital pentru asigurarea faptului că ENISA dispune de capacități suficiente pentru a-și îndeplini toate atribuțiile sporite și a-și realiza obiectivele. Majoritatea angajaților ENISA ar trebui să fie implicați direct în punerea în aplicare operațională a mandatului ENISA. Statul membru gazdă și oricare alt stat membru ar trebui să poată contribui în mod voluntar la bugetul ENISA. Procedura bugetară a Uniunii ar trebui să rămână aplicabilă în ceea ce privește toate subvențiile plătibile din bugetul general al Uniunii. De asemenea, Curtea de Conturi ar trebui să auditeze conturile ENISA pentru a asigura transparența și responsabilitatea.

(65)

Certificarea securității cibernetice este importantă pentru sporirea securității produselor TIC, serviciilor TIC și proceselor TIC și a încrederii în acestea. Piața unică digitală și, mai ales, economia bazată pe date și internetul obiectelor pot prospera numai dacă publicul larg are încredere în faptul că astfel de produse, servicii și procese oferă un anumit nivel de asigurare a securității cibernetice. Autovehiculele conectate și automatizate, dispozitivele medicale electronice, sistemele industriale automatizate de control și rețelele inteligente sunt numai câteva exemple de sectoare în care certificarea este deja utilizată la scară largă sau poate fi utilizată în viitorul apropiat. Certificarea securității cibernetice este esențială și în sectoarele reglementate prin Directiva (UE) 2016/1148.

(66)

În comunicarea sa din 2016 intitulată „Consolidarea sistemului de reziliență cibernetică al Europei și încurajarea unui sector al securității cibernetice competitiv și inovator”, Comisia a subliniat că sunt necesare produse și soluții de securitate cibernetică caracterizate prin calitate superioară, accesibilitatea prețului și interoperabilitate. Oferta de produse TIC, servicii TIC și procese TIC din cadrul pieței unice rămâne foarte fragmentată din punct de vedere geografic. Această fragmentare se explică prin faptul că sectorul securității cibernetice din Europa s-a dezvoltat de-a lungul timpului în principal pe baza cererii guvernamentale naționale. În plus, lipsa de soluții interoperabile (standarde tehnice), de practici și de mecanisme de certificare la nivelul Uniunii este una dintre lacunele care afectează piața unică în domeniul securității cibernetice. Acest lucru îngreunează competitivitatea întreprinderilor europene la nivel național, la nivelul Uniunii și la nivel mondial. De asemenea acest lucru reduce posibilitățile de alegere a tehnologiilor de securitate cibernetică viabile și utilizabile la care au acces persoanele fizice și întreprinderile. În mod similar, în Comunicarea din 2017 privind evaluarea la jumătatea perioadei a punerii în aplicare a strategiei privind piața unică digitală – O piață unică digitală conectată pentru toți, Comisia a evidențiat necesitatea ca produsele și sistemele conectate să fie sigure și a apreciat că prin crearea unui cadru european de securitate pentru TIC, care să stabilească norme privind modul de organizare a certificării de securitate a TIC în Uniune, internetul s-ar putea bucura în continuare de încredere și, totodată, actuala fragmentare a pieței interne ar putea fi contracarată.

(67)

În prezent, certificarea securității cibernetice a produselor TIC, serviciilor TIC și proceselor TIC nu este utilizată decât într-o măsură limitată. Atunci când există, certificarea se aplică în principal la nivelul statelor membre sau în cadrul sistemelor instituite de sector. În acest context, un certificat eliberat de o autoritate națională de certificare a securității cibernetice nu este, în principiu, recunoscut de celelalte state membre. Prin urmare, este posibil ca întreprinderile să fie nevoite să își certifice produsele TIC, serviciile TIC și procesele TIC în fiecare dintre statele membre în care își desfășoară activitatea, de exemplu pentru a putea participa la procedurile de achiziții publice naționale, sporindu-și astfel cheltuielile. În plus, deși apar noi sisteme, nu pare să existe o abordare coerentă și holistică a aspectelor orizontale ale securității cibernetice, de exemplu în domeniul internetului obiectelor. Sistemele existente prezintă importante deficiențe și diferențe în ceea ce privește produsele vizate, nivelurile de asigurare, criteriile de fond și utilizarea efectivă, ceea ce împiedică funcționarea unor mecanisme de recunoaștere reciprocă în Uniune.

(68)

S-au depus eforturi pentru ca certificatele să beneficieze de o recunoaștere reciprocă în cadrul Uniunii, dar acestea nu au fost decât parțial încununate de succes. Cel mai important exemplu în acest sens îl constituie Acordul de recunoaștere reciprocă (ARR) al Grupului înalților funcționari pentru securitatea sistemelor informatice (SOG-IS). Deși reprezintă cel mai important model de cooperare și de recunoaștere reciprocă din domeniul certificării de securitate, SOG-IS nu cuprinde decât unele state membre. Din această cauză, ARR al SOG-IS a avut o eficacitate limitată din perspectiva pieței interne.

(69)

Prin urmare, este necesar să se adopte o abordare comună și să se instituie un cadru european de certificare a securității cibernetice prin care să se stabilească principalele cerințe orizontale pentru sistemele europene de certificare a securității cibernetice ce urmează să fie create și să se permită recunoașterea și utilizarea în toate statele membre a certificatelor europene de securitate cibernetică și a declarațiilor de conformitate UE pentru produse TIC, servicii TIC sau procese TIC. Procedând astfel, este esențial să se plece de la sistemele naționale și internaționale existente, precum și de la sistemele de recunoaștere reciprocă, mai ales SOG-IS, și să se înlesnească tranziția de la sistemele existente în cadrul acestora către sisteme din noul cadru european de certificare a securității cibernetice. Cadrul european de certificare a securității cibernetice ar trebui să aibă un dublu scop. În primul rând, ar trebui să contribuie la creșterea încrederii în produsele TIC, serviciile TIC și procesele TIC care au fost certificate în temeiul sistemelor europene de certificare de securitate cibernetică. În al doilea rând, ar trebui să evite multiplicarea de sisteme naționale de certificare a securității cibernetice ce se contrazic sau se suprapun și să permită astfel reducerea costurilor pentru întreprinderile care își desfășoară activitatea pe piața unică digitală. Sistemele europene de certificare a securității cibernetice ar trebui să fie nediscriminatorii și să se bazeze pe standarde europene sau internaționale, cu excepția cazului în care aceste standarde sunt ineficace sau inadecvate pentru îndeplinirea obiectivelor legitime ale Uniunii în această privință.

(70)

Cadrul european de certificare a securității cibernetice ar trebui instituit în mod uniform în toate statele membre pentru a împiedica practica de căutare a certificării celei mai avantajoase, generată de nivelurile diferite de strictețe în state membre diferite.

(71)

Sistemele europene de certificare a securității cibernetice ar trebui să se bazeze pe ceea ce există deja la nivel național și internațional și, dacă este necesar, pe specificațiile tehnice din foruri și consorții, culegând roadele actualelor puncte forte și evaluând și remediind punctele slabe.

(72)

Este nevoie de soluții flexibile în materie de securitate cibernetică pentru ca industria să fie cu un pas înaintea amenințărilor cibernetice; prin urmare, toate sistemele de certificare ar trebui să fie concepute astfel încât să evite riscul de a fi rapid depășite.

(73)

Comisia ar trebui să fie împuternicită să adopte sisteme europene de certificare a securității cibernetice în ceea ce privește grupuri specifice de produse TIC, servicii TIC și procese TIC. Aceste sisteme ar trebui să fie puse în aplicare și supervizate de către autoritățile naționale de certificare a securității cibernetice, iar certificatele eliberate în temeiul acestor sisteme ar trebui să fie valabile și recunoscute în întreaga Uniune. Sistemele de certificare gestionate de industrie sau de alte organizații private nu ar trebui să fie incluse în domeniul de aplicare al prezentului regulament. Cu toate acestea, organismele care gestionează sisteme de acest tip ar trebui să poată propune Comisiei să le ia în considerare ca bază pentru aprobarea lor ca sistem european de certificare a securității cibernetice.

(74)

Dispozițiile prezentului regulament ar trebui să se aplice fără a aduce atingere dreptului Uniunii care prevede norme specifice privind certificarea produselor TIC, a serviciilor TIC și a proceselor TIC. În special, Regulamentul (UE) 2016/679 cuprinde dispoziții privind instituirea de mecanisme de certificare și introducerea de sigilii și mărci de protecție a datelor pentru a demonstra conformitatea cu regulamentul respectiv a operațiunilor de prelucrare efectuate de operatori și de persoanele împuternicite de aceștia. Aceste mecanisme de certificare și sigilii și mărci de protecție a datelor ar trebui să le permită persoanelor vizate să evalueze rapid nivelul de protecție a datelor al produselor TIC, al serviciilor TIC și al proceselor TIC în cauză. Prezentul regulament nu aduce atingere certificării operațiunilor de prelucrare a datelor în temeiul Regulamentului (UE) 2016/679, inclusiv în cazul în care aceste operațiuni sunt integrate în produse TIC, servicii TIC și procese TIC.

(75)

Sistemele europene de certificare a securității cibernetice ar trebui să aibă drept scop asigurarea conformității cu cerințele specificate a produselor TIC, serviciilor TIC și proceselor TIC certificate în temeiul unui astfel de sistem, pentru a proteja disponibilitatea, autenticitatea, integritatea și confidențialitatea datelor stocate ori transmise sau prelucrate ori funcțiile sau serviciile oferite prin aceste produse, servicii și procese, sau accesibile prin intermediul lor pe durata întregului lor ciclu de viață. În prezentul regulament nu pot fi detaliate cerințele de securitate cibernetică referitoare la toate produsele TIC, serviciile TIC și procesele TIC. Produsele TIC, serviciile TIC și procesele TIC și necesitățile în materie de securitate cibernetică referitoare la acestea sunt atât de variate încât este foarte dificil să se elaboreze cerințe generale de securitate cibernetică care să fie valabile în toate circumstanțele. Prin urmare, este necesar să se adopte o noțiune largă și generală a securității cibernetice în scopul certificării, care ar trebui completată printr-o serie de obiective de securitate cibernetică specifice care să fie luate în considerare atunci când se concep sisteme europene de certificare a securității cibernetice. Modalitățile prin care aceste obiective vor fi atinse de produse TIC, servicii TIC și procese TIC specifice ar trebui detaliate și mai precis, într-o etapă ulterioară, la nivelul fiecărui sistem de certificare adoptat de Comisie, de exemplu prin trimitere la standarde sau la specificații tehnice dacă nu sunt disponibile standarde corespunzătoare.

(76)

Specificațiile tehnice de utilizat în sistemele europene de certificare a securității cibernetice ar trebui să respecte cerințele prevăzute în anexa II la Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului (19). Cu toate acestea, unele abateri de la aceste cerințe ar putea fi considerate necesare în cazuri justificate corespunzător, când respectivele specificații tehnice sunt destinate utilizării într-un sistem european de certificare a securității cibernetice care face trimitere la nivelul de asigurare „ridicat”. Motivele care stau la baza acestor abateri ar trebui puse la dispoziția publicului.

(77)

O evaluare a conformității este o procedură prin care se evaluează dacă au fost îndeplinite cerințele specifice referitoare la un produs TIC, serviciu TIC sau proces TIC. Această procedură este efectuată de o parte terță independentă, alta decât producătorul sau furnizorul produselor TIC, serviciilor TIC sau proceselor TIC care sunt evaluate. Un certificat european de securitate cibernetică ar trebui să fie eliberat în urma unei evaluări pozitive a unui produs TIC, serviciu TIC sau proces TIC. Un certificat european de securitate cibernetică ar trebui să fie considerat drept o confirmare a faptului că evaluarea s-a derulat în mod adecvat. În funcție de nivelul de asigurare, sistemul european de certificare a securității cibernetice ar trebui să indice dacă certificatul european de securitate cibernetică este eliberat de un organism privat sau de unul public. Evaluarea și certificarea de conformitate nu pot garanta în sine că produsele, serviciile TIC sau procesele TIC certificate îndeplinesc condițiile de securitate cibernetică. Acestea sunt, mai degrabă, proceduri și metodologii tehnice menite să ateste că produsele TIC, serviciile TIC și procesele TIC au fost testate și că îndeplinesc anumite cerințe de securitate cibernetică prevăzute în alte dispoziții, de exemplu în cadrul standardelor tehnice.

(78)

Alegerea, de către utilizatorii certificatelor europene de securitate cibernetică, a certificării adecvate și a cerințelor de securitate aferente ar trebui să se bazeze pe o evaluare a riscurilor asociate cu utilizarea produselor TIC, serviciilor TIC sau proceselor TIC. Astfel, nivelul de asigurare ar trebui să fie corespunzător nivelului riscului asociat cu utilizarea preconizată a unui produs TIC, serviciu TIC sau proces TIC.

(79)

Un sistem european de certificare a securității cibernetice ar putea să prevadă efectuarea unei evaluări de conformitate pe răspunderea exclusivă a producătorului sau a furnizorului de produse TIC, servicii TIC și procese TIC (denumită în continuare „autoevaluare a conformității”). În astfel de cazuri, este suficient ca producătorul sau furnizorul de produse TIC, servicii TIC și procese TIC să efectueze el însuși toate verificările pentru a asigura conformitatea produselor TIC, a serviciilor TIC sau a proceselor TIC cu sistemul european de certificare a securității cibernetice. Autoevaluarea conformității ar trebui considerată adecvată pentru produse TIC, servicii TIC și procese TIC având o complexitate redusă și care prezintă un risc scăzut pentru public, cum ar fi mecanisme de concepție și producție simple. În plus, autoevaluarea conformității ar trebui să fie permisă pentru produsele TIC, serviciile TIC și procesele TIC numai dacă acestea corespund unui nivel de asigurare „de bază”.

(80)

Un sistem european de certificare a securității cibernetice ar putea permite atât autoevaluarea conformității, cât și certificarea produselor TIC, a serviciilor TIC sau a proceselor TIC. În acest caz, sistemul ar trebui să prevadă modalități clare și ușor de înțeles, astfel încât consumatorii și alți utilizatori să diferențieze produsele TIC, serviciile TIC și procesele TIC pentru care producătorul sau furnizorul de produse TIC, servicii TIC sau procese TIC este răspunzător pentru evaluare, de produsele TIC, serviciile TIC și procesele TIC care sunt certificate de o parte terță.

(81)

Producătorul sau furnizorul de produse TIC, servicii TIC sau procese TIC care efectuează o autoevaluare a conformității ar trebui să poată să întocmească și să semneze declarația de conformitate UE în cadrul procedurii de evaluare a conformității. Declarația de conformitate UE este un document care specifică faptul că un anumit produs TIC, serviciul TIC sau proces TIC este conform cu cerințele sistemului european de certificare a securității cibernetice. Prin eliberarea și semnarea declarației de conformitate UE, producătorul sau furnizorul își asumă răspunderea pentru conformitatea produsului TIC, a serviciului TIC sau a procesului TIC cu cerințele legale ale sistemului european de certificare a securității cibernetice. O copie a declarației de conformitate UE ar trebui transmisă autorității naționale de certificare a securității cibernetice și ENISA.

(82)

Producătorii sau furnizorii de produse TIC, servicii TIC sau procese TIC ar trebui să pună la dispoziția autorității naționale competente de certificare a securității cibernetice, pe durata stabilită în sistemul european de certificare a securității cibernetice relevant, declarația de conformitate UE, documentația tehnică și toate celelalte informații relevante legate de conformitatea produselor TIC, serviciilor TIC sau proceselor TIC cu un sistem european de certificare a securității cibernetice. Documentația tehnică ar trebui să specifice cerințele aplicabile și să acopere, în măsura relevantă pentru evaluare, conceperea, producerea și exploatarea produsului TIC, a serviciului TIC sau a procesului TIC în măsura relevantă pentru autoevaluarea conformității. Documentația tehnică ar trebui să fie alcătuită astfel încât să permită evaluarea faptului că un produs TIC sau un serviciu TIC respectă cerințele relevante aplicabile în cadrul sistemului respectiv.

(83)

Guvernanța cadrului european de certificare de securitate cibernetică ține seama de implicarea statelor membre și de implicarea corespunzătoare a părților interesate și stabilește rolul Comisiei în timpul planificării și al propunerii, solicitării, pregătirii, adoptării și revizuirii sistemelor europene de certificare a securității cibernetice.

(84)

Comisia ar trebui să elaboreze, cu sprijinul Grupului european pentru certificarea securității cibernetice (ECCG) și al Grupului părților interesate pentru certificarea securității cibernetice și după o consultare deschisă și largă, un program de activitate etapizat la nivelul Uniunii pentru sistemele europene de certificare a securității cibernetice și să îl publice sub forma unui instrument fără caracter obligatoriu. Programul de activitate etapizat la nivelul Uniunii ar trebui să fie un document strategic care să permită mai ales industriei, autorităților naționale și organismelor de standardizare să pregătească în avans viitoare sisteme europene de certificare a securității cibernetice. Programul de activitate etapizat la nivelul Uniunii ar trebui să includă o prezentare multianuală a solicitărilor de propuneri de sisteme pe care Comisia intenționează să le transmită ENISA în baza unor considerente specifice, în vederea pregătirii. Comisia ar trebui să țină seama de programul de activitate etapizat la nivelul Uniunii atunci când își pregătește planul etapizat pentru standardizarea TIC și solicitările de standardizare adresate organizațiilor de standardizare europene. Ținând seama de rapiditatea cu care se introduc noile tehnologii și cu care acestea sunt, de apariția unor riscuri pentru securitatea cibernetică anterior necunoscute sau de evoluția legislației și a pieței, Comisia sau ECCG ar trebui să aibă dreptul să solicite ENISA să pregătească propuneri de sisteme care nu fuseseră incluse în programul de activitate etapizat la nivelul Uniunii. În astfel de situații, Comisia și ECCG ar trebui să evalueze și necesitatea unei asemenea solicitări, luând în considerare obiectivele generale ale prezentului regulament și necesitatea de a asigura continuitatea în ceea ce privește planificarea și utilizarea resurselor ENISA.

La primirea unei astfel de solicitări, ENISA ar trebui să pregătească fără întârzieri nejustificate propuneri de sisteme pentru, produse TIC, servicii TIC și procese TIC specifice. Comisia ar trebui să evalueze impactul pozitiv și negativ al solicitării sale asupra pieței specifice în cauză, mai ales impactul acestora asupra IMM-urilor, inovării, obstacolelor la intrare pe piața respectivă și costurilor pentru utilizatorii finali. Pe baza propunerii de sistem pregătite de ENISA, Comisia ar trebui să fie apoi împuternicită să adopte sistemul european de certificare a securității cibernetice prin intermediul unor acte de punere în aplicare. Ținând seama de scopul general și de obiectivele de securitate prevăzute în prezentul regulament, sistemele europene de certificare a securității cibernetice adoptate de Comisie ar trebui să specifice un set minim de elemente referitoare la obiectul, sfera de aplicare și funcționarea fiecărui sistem. Elementele respective ar trebui să includă, printre altele, sfera de aplicare și obiectul certificării de securitate cibernetică, inclusiv categoriile de produse TIC, servicii TIC și procese TIC care fac obiectul acesteia, specificații detaliate cu privire la cerințele de securitate cibernetică, de exemplu prin trimitere la standarde sau la specificații tehnice, criteriile specifice de evaluare și metodele de evaluare, precum și nivelul de asigurare vizat („de bază”, „substanțial” sau „ridicat”) și nivelurile de evaluare, după caz. ENISA ar trebui să poată să refuze o solicitare din partea ECCG. O astfel de decizie ar trebui adoptată de consiliul de administrație și motivată în mod corespunzător.

(85)

ENISA ar trebui să întrețină un site web care să ofere informații despre sistemele europene de certificare a securității cibernetice și să le asigure publicitatea, conținând, printre altele, cererile de pregătire a unei propuneri de sistem, precum și observațiile primite în cadrul procesului de consultare derulat de ENISA în etapa de pregătire. Site-ul ar trebui să ofere informații și despre certificatele europene de securitate cibernetică și declarațiile de conformitate UE eliberate în temeiul prezentului regulament, inclusiv informații despre retragerea și expirarea acestor certificate europene de securitate cibernetică și declarații de conformitate UE. Site-ul ar trebui să indice și sistemele naționale de certificare a securității cibernetice care au fost înlocuite de un sistem european de certificare a securității cibernetice.

(86)

Nivelul de asigurare al unui sistem european de certificare este temeiul încrederii că un produs TIC, serviciu TIC sau proces TIC îndeplinește cerințele de securitate ale unui sistem european de certificare a securității cibernetice specific. Pentru a asigura coerența cadrului european de certificare a securității cibernetice, un sistem european de certificare a securității cibernetice ar trebui să poată să specifice niveluri de asigurare pentru certificatele europene de securitate cibernetică și pentru declarațiile de conformitate UE eliberate în cadrul respectivului sistem. Fiecare certificat european de securitate cibernetică s-ar putea referi la unul din nivelurile de asigurare: „de bază”, „substanțial” sau „ridicat”, pe când declarația de conformitate UE nu s-ar putea referi decât la nivelul de asigurare „de bază”. Nivelurile de asigurare ar indica rigoarea și profunzimea corespunzătoare evaluării produsului TIC, serviciului TIC sau procesului TIC și s-ar caracteriza prin trimitere la specificațiile tehnice și la standardele și procedurile conexe, incluzând controale tehnice, al căror scop este atenuarea sau prevenirea incidentelor. Fiecare nivel de asigurare ar trebui să fie coerent în cadrul diferitelor domenii sectoriale în care se aplică certificarea.

(87)

Un sistem european de certificare a securității cibernetice ar putea specifica mai multe niveluri de evaluare în funcție de rigoarea și de profunzimea metodologiei de evaluare utilizate. Nivelurile de evaluare ar trebui să corespundă unuia din nivelurile de asigurare și să fie asociată unei combinații adecvate de componente ale asigurării. Pentru toate nivelurile de asigurare, produsul TIC, serviciul TIC sau procesul TIC ar trebui să conțină o serie de funcții securizate, astfel cum sunt precizate de sistem, care pot include: o configurație securizată a produsului livrat, un cod semnat, o actualizare securizată, atenuarea consecințelor defectelor de exploatare (exploit mitigation) și protecția completă a memoriilor în stivă sau heap. Aceste funcții ar trebui să fie dezvoltate și întreținute prin utilizarea unor abordări axate pe dezvoltare și prin instrumente conexe pentru a asigura că sunt încorporate în mod fiabil mecanisme software și hardware eficace.

(88)

Pentru nivelul de asigurare „de bază”, evaluarea ar trebui să se bazeze cel puțin pe următoarele componente ale asigurării: evaluarea ar trebui să includă cel puțin o analiză a documentației tehnice a produsului TIC, serviciului TIC sau procesului TIC de către organismul de evaluare a conformității. În cazul în care certificarea include procese TIC, procesul utilizat pentru conceperea, dezvoltarea și întreținerea unui produs TIC sau serviciu TIC ar trebui de asemenea să facă obiectul analizei tehnice. În cazul în care un sistem european de certificare a securității cibernetice prevede o autoevaluare a conformității, ar trebui să fie suficient ca producătorul sau furnizorul de produse TIC, servicii TIC sau procese TIC să fi efectuat o autoevaluare a conformității produselor TIC, serviciilor TIC sau proceselor TIC cu sistemul de certificare.

(89)

Pentru nivelul de asigurare „substanțial”, în plus față de cerințele pentru nivelul de asigurare „de bază”, evaluarea ar trebui să se bazeze cel puțin pe verificarea conformității funcțiilor de securitate ale produsului TIC, serviciului TIC sau procesului TIC cu documentația sa tehnică.

(90)

Pentru nivelul de asigurare „ridicat”, în plus față de elementele necesare pentru nivelul de asigurare „substanțial”, evaluarea ar trebui să se bazeze cel puțin pe un test de eficacitate care să evalueze rezistența funcțiilor de securitate ale produsului TIC, serviciului TIC sau procesului TIC împotriva atacurilor cibernetice lansate de persoane care au competențe și resurse semnificative.

(91)

Recurgerea la certificarea europeană de securitate cibernetică și la declarația de conformitate UE ar trebui să rămână voluntară, cu excepția cazului în care există dispoziții contrare în dreptul Uniunii sau în dreptul statelor membre adoptat în conformitate cu dreptul Uniunii. În lipsa unui drept armonizat al Uniunii, statele membre pot adopta reglementări tehnice la nivel național, care să prevadă certificarea obligatorie în cadrul unui sistem european de certificare a securității cibernetice în conformitate cu Directiva (UE) 2015/1535 a Parlamentului European și a Consiliului (20). Statele membre ar putea recurge la certificarea europeană de securitate cibernetică și în contextul achizițiilor publice și al Directivei 2014/24/UE a Parlamentului European și a Consiliului (21).

(92)

În unele domenii ar putea fi necesar, în viitor, ca anumite cerințe specifice în materie de securitate cibernetică și certificarea acestora să fie obligatorii pentru anumite produse TIC, servicii TIC sau procese TIC în scopul îmbunătățirii nivelului de securitate cibernetică în Uniune. Comisia ar trebui să monitorizeze cu regularitate impactul sistemelor europene de certificare a securității cibernetice adoptate asupra disponibilității produselor TIC, și serviciilor TIC și proceselor TIC securizate pe piața internă și să evalueze periodic nivelul de utilizare a sistemelor de certificare de către producători și de către furnizorii de produse TIC, servicii TIC sau procese TIC din Uniune. Ar trebui să se evalueze eficiența sistemelor europene de certificare a securității cibernetice și să se analizeze dacă anumite sisteme ar trebui să devină obligatorii, din perspectiva legislației Uniunii legate de securitatea cibernetică, și mai ales a Directivei (UE) 2016/1148, luând în considerare securitatea rețelelor și a sistemelor informatice utilizate de operatorii de servicii esențiale.

(93)

Certificatele europene de securitate cibernetică și declarațiile de conformitate UE ar trebui să îi ajute pe utilizatorii finali să facă alegeri în cunoștință de cauză. Prin urmare, produsele TIC, serviciile TIC și procesele TIC care au fost certificate sau pentru care a fost emisă o declarație de conformitate ar trebui însoțite de informații structurate care sunt adaptate nivelului tehnic estimat al utilizatorului final preconizat. Toate aceste informații ar trebui să fie puse la dispoziție online, și, după caz, în formă fizică. Concret, utilizatorul final ar trebui să aibă acces la informații referitoare la numărul de referință al sistemului de certificare, nivelul de asigurare, descrierea riscurilor pentru securitatea cibernetică asociate produsului TIC, serviciului TIC sau procesului TIC, și autoritatea sau organismul emitent, sau ar trebui să aibă posibilitatea de a obține la o copie a certificatului european de securitate cibernetică. În plus, utilizatorul final ar trebui să fie informat despre politica de asistență în materie de securitate cibernetică a producătorului sau a furnizorului de produse TIC, servicii TIC și procese TIC, și anume cât timp se poate aștepta utilizatorul final să primească actualizări sau corecții în materie de securitate cibernetică. După caz, ar trebui furnizate orientări privind acțiunile sau setările pe care utilizatorul final le poate aplica pentru a-și menține sau a-și crește nivelul de securitate cibernetică al produsului TIC sau al serviciului TIC și date de contact ale unui punct de contact unic pentru a raporta atacurile cibernetice și pentru a primi asistență în eventualitatea acestora (pe lângă raportarea automată). Informațiile respective ar trebui să fie actualizate periodic și să fie disponibile pe un site care să furnizeze informații despre sistemele europene de certificare a securității cibernetice.

(94)

Pentru realizarea obiectivelor prezentului regulament și pentru a se evita fragmentarea pieței interne, sistemele sau procedurile naționale de certificare a securității cibernetice pentru produsele TIC, serviciile TIC sau procesele TIC care fac obiectul unui sistem european de certificare a securității cibernetice ar trebui să înceteze să mai producă efecte de la o dată stabilită de Comisie prin intermediul actelor de punere în aplicare. În plus, statele membre ar trebui să nu introducă noi sisteme naționale de certificare a securității cibernetice pentru produse TIC, servicii TIC sau procese TIC care fac deja obiectul unui sistem european de certificare a securității cibernetice existent. Cu toate acestea, statele membre nu ar trebui împiedicate să adopte sau să mențină sisteme naționale de certificare a securității cibernetice în scopuri de securitate națională. Statele membre ar trebui să informeze Comisia și ECCG cu privire la orice intenție de a elabora noi sisteme naționale de certificare a securității cibernetice. Comisia și ECCG ar trebui să evalueze impactul noului sistem național de certificare a securității cibernetice asupra bunei funcționări a pieței interne, inclusiv din perspectiva interesului strategic de a solicita în schimb un sistem european de certificare a securității cibernetice.

(95)

Sistemele europene de certificare a securității cibernetice urmăresc armonizarea practicilor în privința securității cibernetice în Uniune. Este nevoie ca acestea să contribuie la creșterea nivelului de securitate cibernetică în Uniune. De asemenea, în modul de concepere a sistemelor europene de certificare a securității cibernetice ar trebui să se ia în calcul și să se permită dezvoltarea în continuare de inovații în domeniul securității cibernetice.

(96)

Sistemele europene de certificare a securității cibernetice ar trebui să țină seama de actualele metode de dezvoltare hardware și software și mai ales de impactul frecventelor actualizări software sau firmware aduse certificatelor europene de securitate cibernetică individuale. Sistemele europene de certificare a securității cibernetice ar trebui să precizeze condițiile în care o actualizare poate necesita ca un produs TIC, un serviciu TIC sau un proces TIC să fie certificat din nou sau ca sfera de aplicare a unui anumit certificat european de securitate cibernetică să fie restrânsă, ținând seama de orice efecte negative posibile ale actualizării asupra conformității cu cerințele de securitate ale certificatului respectiv.

(97)

Odată ce se adoptă un sistem european de certificare a securității cibernetice, producătorii sau furnizorii de produse TIC, servicii TIC sau procese TIC ar trebui să aibă posibilitatea de a depune o cerere de certificare a produselor lor TIC sau a serviciilor lor TIC pe lângă un organism de evaluare a conformității ales de ei, aflat oriunde în Uniune. Organismele de evaluare a conformității ar trebui să fie acreditate de un organism național de acreditare dacă respectă anumite cerințe specifice, stabilite în prezentul regulament. Acreditarea ar trebui să fie acordată pentru o perioadă maximă de cinci ani și să poată fi reînnoită în aceleași condiții dacă organismul de evaluare a conformității îndeplinește cerințele în continuare. Organismele naționale de acreditare ar trebui să restricționeze, să suspende sau să revoce acreditarea unui organism de evaluare a conformității în cazul în care condițiile de acreditare nu sunt sau nu mai sunt îndeplinite sau în cazul în care măsurile luate de un organism de evaluare a conformității încalcă prezentul regulament.

(98)

Trimiterile din legislația națională la standarde naționale care au încetat să mai producă efecte ca urmare a intrării în vigoare a unui sistem european de certificare a securității cibernetice poate constitui o sursă de confuzie. Prin urmare, statele membre ar trebui să reflecte adoptarea unui sistem european de certificare a securității cibernetice în legislația lor națională.

(99)

Pentru a se ajunge la standarde echivalente pe întreg teritoriul Uniunii, pentru a se facilita recunoașterea reciprocă și a se promova acceptarea generală a certificatelor europene de securitate cibernetică și a declarațiilor de conformitate UE, este necesar să se instituie un sistem de evaluare inter pares în rândul autorităților naționale de certificare a securității cibernetice. Evaluarea inter pares ar trebui să aibă drept obiect procedurile de supraveghere a conformității produselor TIC, serviciilor TIC și proceselor TIC cu certificatele europene de securitate cibernetică, de monitorizare a obligațiilor producătorilor sau ale furnizorilor de produse TIC, servicii TIC sau procese TIC care efectuează autoevaluarea conformității, de monitorizare a organismelor de evaluare a conformității, precum și adecvarea expertizei personalului organismelor care eliberează certificate pentru nivelul de asigurare „ridicat”. Prin intermediul unui act de punere în aplicare, Comisia ar trebui să elaboreze cel puțin un plan cincinal pentru evaluarea inter pares, precum și să stabilească criteriile și metodologia pentru funcționarea sistemului de evaluare inter pares.

(100)

Fără a aduce atingere sistemului general de evaluare inter pares care urmează să fie pus în practică de toate autoritățile naționale de certificare a securității cibernetice, anumite sisteme europene de certificare a securității cibernetice pot include un mecanism de evaluare inter pares pentru organismele care eliberează certificate europene de securitate cibernetică pentru produse TIC, servicii TIC sau procese TIC la nivelul de asigurare „ridicat” în temeiul respectivelor sisteme. ECCG ar trebui să sprijine punerea în practică a acestor mecanisme de evaluare inter pares. Evaluările inter pares ar trebui să evalueze îndeosebi dacă organismele în cauză își îndeplinesc atribuțiile în mod armonizat și pot include mecanisme de recurs. Rezultatele evaluărilor inter pares ar trebui puse la dispoziția publicului. Organismele în cauză pot adopta măsurile corespunzătoare pentru a-și adapta în consecință practicile și expertiza.

(101)

Statele membre ar trebui să desemneze una sau mai multe autorități naționale de certificare a securității cibernetice care să supravegheze conformitatea cu obligațiile ce decurg din prezentul regulament. O autoritate națională de certificare a securității cibernetice poate fi o autoritate deja existentă sau o nouă autoritate. Un stat membru ar trebui să aibă în același timp posibilitatea de a desemna, în urma acordului cu alt stat membru, una sau mai multe autorități naționale de certificare de securitate cibernetică pe teritoriul celuilalt stat membru.

(102)

Autoritățile naționale de certificare de securitate cibernetică ar trebui în special să monitorizeze obligațiile producătorilor sau ale furnizorilor de produse TIC, de servicii TIC sau de procese TIC stabiliți pe teritoriul lor respectiv în ceea ce privește declarația de conformitate UE și să asigure respectarea acestor obligații, ar trebui să ofere asistență organismelor naționale de acreditare la monitorizarea și supravegherea activităților derulate de organismele de evaluare a conformității, oferindu-le expertiză și informații relevante, ar trebui să autorizeze organismele de evaluare a conformității să își îndeplinească atribuțiile atunci când aceste organisme îndeplinesc cerințele suplimentare prevăzute într-un sistem european de certificare a securității cibernetice și ar trebui să monitorizeze evoluțiile relevante în domeniul certificării de securitate cibernetică. Autoritățile naționale de certificare a securității cibernetice ar trebui să trateze plângerile depuse de persoane fizice sau juridice în legătură cu certificatele europene de securitate cibernetică eliberate de respectivele autorități sau în legătură cu certificatele europene de securitate cibernetică eliberate de organismele de evaluare a conformității, atunci când astfel de certificate indică nivelul de asigurare „ridicat”, ar trebui să investigheze, în măsura în care este oportun, obiectul plângerii și să informeze reclamantul cu privire la progresele și rezultatul investigației, într-un termen rezonabil. În plus, autoritățile naționale de certificare a securității cibernetice ar trebui să coopereze cu alte autorități naționale de certificare a securității cibernetice sau cu alte autorități publice, inclusiv schimbând informații despre o posibilă neconformitate a produselor TIC, a serviciilor TIC și a proceselor TIC cu cerințele prezentului regulament sau ale anumitor sisteme europene de certificare a securității cibernetice. Comisia ar trebui să faciliteze schimbul de informații punând la dispoziție un sistem electronic general de gestionare a informațiilor, de exemplu sistemul de informare și de comunicare pentru supravegherea pieței (ICSMS) și sistemul de alertă rapidă pentru produse nealimentare periculoase (RAPEX) folosite deja de autoritățile de supraveghere a pieței în temeiul Regulamentului (CE) nr. 765/2008.

(103)

Pentru a asigura aplicarea coerentă a cadrului european de certificare a securității cibernetice, ar trebui să se instituie un ECCG, compus din reprezentanți ai autorităților naționale de certificare a securității cibernetice sau ai altor autorități naționale competente. Principalele atribuții ale ECCG ar trebui să constea în furnizarea de consiliere și asistență Comisiei în activitatea sa pentru a asigura coerența în punerea în aplicare și asigurarea respectării cadrului european de certificare a securității cibernetice, în acordarea de asistență ENISA și în cooperarea îndeaproape cu aceasta la elaborarea propunerilor de sisteme europene de certificare a securității cibernetice; în cazuri justificate corespunzător să solicite ENISA să pregătească o propunere de sistem; să adopte avize adresate ENISA cu privire la propunerile de sisteme și să adopte avize adresate Comisiei cu privire la întreținerea și revizuirea sistemelor europene de certificare a securității cibernetice existente. ECCG ar trebui să faciliteze schimbul de bune practici și de expertiză între diferitele autorități naționale de certificare a securității cibernetice care sunt responsabile cu autorizarea organismelor de evaluare a conformității și cu eliberarea certificatelor europene de securitate cibernetică.

(104)

În vederea sporirii gradului de sensibilizare și pentru a facilita acceptarea viitoarelor sisteme europene de certificare a securității cibernetice, Comisia poate emite orientări generale sau sectoriale în materie de securitate cibernetică, de exemplu cu privire la bunele practici sau la comportamentul responsabil în materie de securitate cibernetică, subliniind efectul pozitiv al utilizării de produse TIC, servicii TIC și procese TIC certificate.

(105)

Pentru a facilita și mai mult comerțul și având în vedere că lanțurile de aprovizionare TIC sunt mondiale, Uniunea poate încheia, în conformitate cu articolul 218 din Tratatul privind funcționarea Uniunii Europene (TFUE), acorduri de recunoaștere reciprocă referitoare la certificatele europene de securitate cibernetică. Ținând seama de avizele primite din partea ENISA și a Grupului european pentru certificarea securității cibernetice, Comisia poate recomanda inițierea negocierilor relevante. Fiecare sistem european de certificare a securității cibernetice ar trebui să prevadă condiții specifice pentru astfel de acorduri de recunoaștere reciprocă cu țări terțe.

(106)

În vederea asigurării unor condiții uniforme de punere în aplicare a prezentului regulament, ar trebui conferite competențe de executare Comisiei. Competențele respective ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului (22).

(107)

Procedura de examinare ar trebui utilizată pentru adoptarea actelor de punere în aplicare privind sistemele europene de certificare a securității cibernetice pentru produse TIC, servicii TIC și procese TIC, pentru adoptarea actelor de punere în aplicare privind modalitățile de desfășurare a anchetelor întreprinse de ENISA, pentru adoptarea actelor de punere în aplicare privind un plan pentru evaluarea inter pares a autorităților naționale de certificare a securității cibernetice, precum și pentru adoptarea actelor de punere în aplicare privind circumstanțele, formatele și procedurile de notificare către Comisie a organismelor acreditate de evaluare a conformității de către autoritățile naționale de certificare a securității cibernetice.

(108)

Funcționarea ENISA ar trebui să facă obiectul unei evaluări periodice și independente. Evaluarea ar trebui să țină seama de îndeplinirea de către ENISA a obiectivelor sale, de practicile sale de lucru și de relevanța atribuțiilor sale, mai ales a atribuțiilor legate de cooperarea operațională la nivelul Uniunii. Evaluarea respectivă ar trebui să analizeze impactul, eficacitatea și eficiența cadrului european de certificare a securității cibernetice. În cazul unei revizuiri, Comisia ar trebui să evalueze modul în care se poate consolida rolul ENISA de punct de referință pentru consiliere și expertiză și ar trebui să evalueze rolul potențial al ENISA de a sprijini evaluarea produselor TIC, a serviciilor TIC și a proceselor TIC ale țărilor terțe care nu respectă normele Uniunii, în cazul în care astfel de produse, servicii și procese intră în Uniune.

(109)

Întrucât obiectivele prezentului regulament nu pot fi realizate în mod satisfăcător de către statele membre, dar, având în vedere amploarea și efectele sale, pot fi realizate mai bine la nivelul Uniunii, aceasta poate adopta măsuri, în conformitate cu principiul subsidiarității, astfel cum este prevăzut la articolul 5 din Tratatul privind Uniunea Europeană (TUE). În conformitate cu principiul proporționalității, astfel cum este prevăzut la articolul respectiv, prezentul regulament nu depășește ceea ce este necesar pentru realizarea acestor obiective.

(110)

Regulamentul (UE) nr. 526/2013 ar trebui abrogat,