(1)

tinklų ir informacinės sistemos bei elektroninių ryšių tinklai ir paslaugos atlieka visuomenei gyvybiškai svarbų vaidmenį ir tapo ekonomikos augimo pamatu. Informacinėmis ir ryšių technologijomis (IRT) grindžiamos sudėtingos sistemos, kurias taikant remiama kasdienė visuomenės veikla, užtikrinamas mūsų ekonomikos pagrindinių sektorių, kaip antai sveikatos, energetikos, finansų ir transporto, funkcionavimas ir visų pirma remiamas vidaus rinkos veikimas;

(2)

piliečiai, organizacijos ir verslo įmonės visoje Sąjungoje dabar labai plačiai naudoja tinklų ir informacines sistemas. Vis daugiau produktų ir paslaugų yra grindžiami skaitmeninimu ir susietumu, ir numatoma, kad, įsitvirtinus daiktų internetui, per ateinantį dešimtmetį Sąjungoje bus įdiegtas ypatingai didelis skaičius susietųjų skaitmeninių įrenginių. Nors prie interneto prijungiama vis daugiau įrenginių, jų projektavimo etape nepakankamai atsižvelgiama į saugumą ir atsparumą, dėl to jų kibernetinis saugumas yra nepakankamas. Tomis aplinkybėmis dėl riboto sertifikavimo naudojimo pavieniai naudotojai, organizacijos ir verslo įmonės negauna pakankamai informacijos apie IRT produktų, paslaugų ir procesų kibernetinio saugumo savybes, o tai mažina pasitikėjimą skaitmeniniais sprendimais. Tinklų ir informacinės sistemos gali mums talkinti visose mūsų gyvenimo srityse ir skatinti Sąjungos ekonomikos augimą. Jos yra skaitmeninės bendrosios rinkos kūrimo pagrindas;

(3)

dėl išaugusio skaitmeninimo ir susietumo padidėjo kibernetiniam saugumui kylanti rizika, todėl visa visuomenė gali labiau nukentėti nuo kibernetinių grėsmių ir didėja gyventojams, įskaitant pažeidžiamus asmenis, pvz., vaikus, kylantys pavojai. Siekiant sumažinti šiuos pavojus, būtina imtis visų reikiamų veiksmų Sąjungoje padidinti kibernetinį saugumą, kad nuo kibernetinių grėsmių būtų geriau apsaugotos tinklų ir informacinės sistemos, ryšių tinklai, skaitmeniniai produktai, paslaugos ir įrenginiai, kuriais naudojasi piliečiai, organizacijos ir verslo įmonės – nuo mažųjų ir vidutinių įmonių (MVĮ), kaip apibrėžta Komisijos rekomendacijoje Nr. 2003/361/EB (4), iki ypatingos svarbos infrastruktūros objektų operatorių;

(4)

sudarydama visuomenei sąlygas susipažinti su atitinkama informacija, Europos Sąjungos tinklų ir informacijos apsaugos agentūra (ENISA), įsteigta Europos Parlamento ir Tarybos reglamentu (ES) Nr. 526/2013 (5), prisideda prie kibernetinio saugumo pramonės Sąjungoje vystymo, visų pirma prie MVĮ ir startuolių plėtros. ENISA turėtų siekti glaudžiau bendradarbiauti su universitetais ir mokslinių tyrimų centrais, kad būtų prisidedama prie priklausomybės nuo kibernetinio saugumo produktų ir paslaugų, kurie nėra iš Sąjungos, sumažinimo ir tiekimo grandinių Sąjungos viduje stiprinimo;

(5)

kibernetinių išpuolių daugėja, todėl susietajai ekonomikai ir visuomenei, kuri gali labiau nukentėti nuo kibernetinių grėsmių ir išpuolių, reikalinga didesnė apsauga. Vis dėlto, nors kibernetiniai išpuoliai dažnai yra tarpvalstybinio pobūdžio, kibernetinio saugumo institucijų atsakomosios politikos priemonės ir teisėsaugos institucijų kompetencijos daugiausia yra nacionalinės. Didelio masto incidentai gali sutrikdyti esminių paslaugų visoje Sąjungoje teikimą. Todėl būtinas veiksmingas ir koordinuotas Sąjungos lygmens atsakas ir krizių valdymas, paremtas tiksline politika ir bendresnio pobūdžio Europos solidarumo ir savitarpio pagalbos priemonėmis. Be to, politikos formuotojams, verslo sektoriaus atstovams ir naudotojams yra svarbu, kad reguliariai būtų vykdomas patikimais Sąjungos duomenimis grindžiamas kibernetinio saugumo ir atsparumo būklės Sąjungoje vertinimas ir sistemingai prognozuojami Sąjungos ir pasaulinio masto ateities pokyčiai, iššūkiai ir grėsmės;

(6)

atsižvelgiant į padidėjusius kibernetinio saugumo iššūkius, su kuriais susiduria Sąjunga, būtina parengti išsamų ankstesniais Sąjungos veiksmais grindžiamų priemonių, kuriomis remiami vienas kitą papildantys tikslai, rinkinį. Tie tikslai apima tolesnį valstybių narių ir įmonių pajėgumų bei parengties gerinimą, taip pat valstybių narių ir Sąjungos institucijų, įstaigų, organų ir agentūrų bendradarbiavimo, dalijimosi informacija ir veiksmų koordinavimo gerinimą. Be to, dėl tarpvalstybinio kibernetinių grėsmių pobūdžio būtina didinti Sąjungos lygmens pajėgumus, kurie galėtų papildyti valstybių narių veiksmus, visų pirma didelių tarpvalstybinių incidentų ir krizių atveju, kartu atsižvelgiant į nacionalinių reagavimo į bet kokio masto kibernetines grėsmes pajėgumų palaikymo ir tolesnio plėtojimo svarbą;

(7)

taip pat reikia dėti daugiau pastangų siekiant didinti piliečių, organizacijų ir verslo įmonių informuotumą apie kibernetinio saugumo klausimus. Be to, atsižvelgiant į tai, kad incidentai mažina pasitikėjimą skaitmeninių paslaugų teikėjais ir pačia skaitmenine bendrąja rinka, ypač tarp vartotojų, reikėtų toliau stiprinti pasitikėjimą skaidriai teikiant informaciją apie IRT produktų, paslaugų ir procesų saugumo lygį, pabrėžiant, kad net ir aukštas kibernetinio saugumo sertifikavimo lygis negali garantuoti IRT produkto, paslaugos ar proceso visiško saugumo. Padidinti pasitikėjimą galėtų pagerinti Sąjungos masto sertifikavimas, numatant bendrus kibernetinio saugumo reikalavimus ir vertinimo kriterijus visose nacionalinėse rinkose ir sektoriuose;

(8)

kibernetinis saugumas nėra vien su technologijomis susijęs klausimas, vienodai svarbus yra žmonių elgesys. Todėl reikėtų aktyviai propaguoti „kibernetinę higieną“ – nesudėtingas įprastines priemones, kurias įgyvendinę ir reguliariai taikydami piliečiai, organizacijos ir įmonės kiek įmanoma labiau sumažina kibernetinių grėsmių jiems keliamą riziką;

(9)

siekiant stiprinti Sąjungos kibernetinio saugumo struktūras, svarbu palaikyti ir plėtoti valstybių narių pajėgumus visapusiškai reaguoti į kibernetines grėsmes, įskaitant tarpvalstybinius incidentus;

(10)

įmonės ir individualūs vartotojai turėtų turėti tikslią informaciją apie tai, koks yra sertifikavimu patvirtintas jų IRT produktų, paslaugų ir procesų saugumo užtikrinimo lygis. Tuo pačiu metu joks IRT produktas ar paslauga nėra visiškai saugus kibernetiniu požiūriu, ir reikia propaguoti elementarias kibernetinės higienos taisykles ir teikti joms pirmenybę. Atsižvelgiant į tai, kad daugėja daiktų interneto įrenginių, esama daug įvairių savanoriškų priemonių, kurių gali imtis privatusis sektorius, kad sustiprintų pasitikėjimą IRT produktų, paslaugų ir procesų saugumu;

(11)

šiuolaikiniai IRT produktai ir sistemos dažnai turi integruotas vieną ar kelias trečiųjų šalių technologijas ir komponentus ir jais remiasi, pavyzdžiui, programinės įrangos modulius, bibliotekas ar taikomųjų programų sąsajas. Dėl šio rėmimosi, vadinamo „priklausomybe“, galėtų kilti papildoma rizika kibernetiniam saugumui, nes trečiųjų šalių komponentuose aptiktos pažeidžiamumo spragos taip pat galėtų pakenkti IRT produktų, paslaugų ir procesų saugumui. Daugeliu atveju tokios priklausomybės identifikavimas ir dokumentavimas sudaro galimybę galutiniams IRT produktų, paslaugų ir procesų naudotojams pagerinti savo rizikos kibernetiniam saugumui valdymo veiklą patobulinant, pavyzdžiui, naudotojų kibernetinio saugumo pažeidžiamumo spragų valdymo ir ištaisymo procedūras;

(12)

IRT produktų, paslaugų arba procesų projektavime ir plėtojime dalyvaujančios organizacijos, gamintojai ar tiekėjai turėtų būti skatinami ankstyviausiuose projektavimo ir plėtojimo etapuose diegti tokias priemones, kad tie produktai, paslaugos ir procesai būtų kiek įmanoma geriau apsaugomi, kad būtų daroma prielaida, jog kibernetinių išpuolių pasitaikys, ir būtų numatomas bei iki minimumo sumažinamas šių išpuolių poveikis (integruotasis saugumas). Saugumas turėtų būti užtikrinamas per visą IRT produkto, paslaugos ar proceso gyvavimo laikotarpį, o projektavimo ir plėtojimo procesai turėtų būti nuolat tobulinami siekiant sumažinti piktybinių veiksmų žalą;

(13)

įmonės, organizacijos ir viešasis sektorius turėtų taip konfigūruoti jų kuriamus IRT produktus, paslaugas ar procesus, kad būtų užtikrintas aukštesnis saugumo lygis, tokiu būdu pirmajam naudotojui sudarant galimybes gauti pačių saugiausių įmanomų nustatymų integruotąją konfigūraciją („integruotasis saugumas“), ir taip būtų sumažinta naudotojams tenkanti IRT produkto, paslaugos ar proceso tinkamo konfigūravimo našta. Jeigu integruotasis saugumas yra įdiegtas, jis turėtų tiesiog lengvai ir patikimai veikti – jo veikimui užtikrinti neturėtų reikėti atlikti išsamių nustatymų, arba kad naudotojas turėtų specialių techninių žinių ar atliktų kitokius, nei savaime suprantami, veiksmus. Jei konkrečiu atveju remiantis rizikos ir tinkamumo naudoti analize galima daryti išvadą, kad toks numatytasis nustatymas neįmanomas, naudotojai turėtų būti paraginti pasirinkti saugiausią nustatymą;

(14)

Europos Parlamento ir Tarybos reglamentu (EB) Nr. 460/2004 (6) įsteigta ENISA, siekiant prisidėti prie šių tikslų įgyvendinimo: užtikrinti aukštą Sąjungos tinklų ir informacijos saugumo lygį ir piliečių, vartotojų, įmonių ir viešojo administravimo institucijų labui formuoti tinklų ir informacijos saugumo kultūrą. Europos Parlamento ir Tarybos reglamentu (EB) Nr. 1007/2008 (7) ENISA įgaliojimai pratęsti iki 2012 m. kovo mėn. Europos Parlamento ir Tarybos reglamentu (ES) Nr. 580/2011 (8) ENISA įgaliojimai buvo dar pratęsti iki 2013 m. rugsėjo 13 d. Reglamentu (ES) Nr. 526/2013 ENISA įgaliojimai buvo pratęsti iki 2020 m. birželio 19 d.;

(15)

Sąjunga jau ėmėsi svarbių veiksmų siekdama užtikrinti kibernetinį saugumą ir padidinti pasitikėjimą skaitmeninėmis technologijomis. 2013 m. buvo priimta Europos Sąjungos kibernetinio saugumo strategija siekiant nubrėžti Sąjungos politikos atsako į kibernetines grėsmes ir riziką gaires. Kad piliečiai būtų geriau apsaugoti internete, 2016 m. priimtas pirmasis Sąjungos kibernetinio saugumo srities teisės procedūra priimamas aktas – Europos Parlamento ir Tarybos direktyva (ES) 2016/1148 (9). Direktyva (ES) 2016/1148 buvo nustatyti reikalavimai, susiję su kibernetinio saugumo srities nacionaliniais pajėgumais, sukurti pirmieji mechanizmai, kuriais siekiama stiprinti strateginį ir operatyvinį valstybių narių bendradarbiavimą, ir nustatytos pareigos, susijusios su saugumo priemonėmis ir pranešimais apie incidentus sektoriuose, kurie yra itin svarbūs ekonomikai ir visuomenei, pvz., energetikos, transporto, geriamo vandens tiekimo ir paskirstymo, bankininkystės, finansų rinkų infrastruktūros, sveikatos priežiūros, skaitmeninės infrastruktūros, taip pat pagrindinių skaitmeninių paslaugų teikėjų (paieškos sistemų, debesijos kompiuterijos paslaugų ir elektroninių prekyviečių).

Vienas iš pagrindinių vaidmenų remiant tos direktyvos įgyvendinimą buvo priskirtas ENISA. Be to, veiksminga kova su kibernetiniais nusikaltimais yra svarbus Europos saugumo darbotvarkės prioritetas, prisidedantis prie bendro tikslo užtikrinti aukštą kibernetinio saugumo lygį. Prie aukšto kibernetinio saugumo lygio bendrojoje skaitmeninėje rinkoje prisideda ir kiti teisės aktai, pavyzdžiui, Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 (10), Europos Parlamento ir Tarybos direktyvos 2002/58/EB (11) ir (ES) 2018/1972 (12).

(16)

nuo tada, kai 2013 m. buvo priimta Europos Sąjungos kibernetinio saugumo strategija ir buvo atlikta paskiausia ENISA įgaliojimų peržiūra, įvyko didelių bendrų politinių aplinkybių pokyčių, susijusių su mažiau nuspėjama ir mažiau saugia pasauline aplinka. Šiomis aplinkybėmis ir atsižvelgiant į pozityvią ENISA vaidmens kaip informacinio centro, kuris teikia rekomendacijas ir ekspertines žinias, taip pat padeda bendradarbiauti ir stiprinti pajėgumus, raidą, taip pat remiantis nauja Sąjungos kibernetinio saugumo politika, būtina peržiūrėti ENISA įgaliojimus, kad būtų apibrėžtas jos vaidmuo pasikeitusioje kibernetinio saugumo ekosistemoje ir užtikrinti, kad ji veiksmingai prisidėtų prie Sąjungos veiksmų reaguojant į kibernetinio saugumo iššūkius, kylančius dėl radikaliai pasikeitusios kibernetinių grėsmių padėties, o šiam tikslui pasiekti, kaip pripažinta ENISA vertinime, esamų įgaliojimų nepakanka;

(17)

šiuo reglamentu įsteigta ENISA turėtų pakeisti Reglamentu (ES) Nr. 526/2013 įsteigtą ENISA. ENISA turėtų vykdyti šiuo reglamentu ir kitais kibernetinio saugumo srities Sąjungos teisės aktais jai pavestas užduotis, be kita ko, teikdama ekspertines žinias ir teikdama rekomendacijas bei atlikdama Sąjungos informacijos ir žinių centro funkcijas. Ji turėtų skatinti keistis geriausios praktikos pavyzdžiais tarp valstybių narių ir privačių suinteresuotųjų subjektų, teikdama politikos pasiūlymus Komisijai ir valstybėms narėms, veikdama kaip informacinis centras vykdant Sąjungos sektorių politikos iniciatyvas kibernetinio saugumo klausimais ir skatindama operatyvinį valstybių narių tarpusavio ir valstybių narių bei Sąjungos institucijų, įstaigų, organų ir agentūrų bendradarbiavimą;

(18)

Sprendimu 2004/97/EB, Euratomas, kurį bendru susitarimu priėmė valstybių narių atstovai, posėdžiavę valstybės arba Vyriausybės vadovų lygiu (13), valstybių narių atstovai nusprendė, kad ENISA būstinė bus viename iš Graikijos miestų, dėl kurio nuspręs Graikijos Vyriausybė. ENISA priimančioji valstybė narė turėtų užtikrinti kuo geresnes jos sklandžios ir veiksmingos veiklos sąlygas. Kad ENISA tinkamai ir veiksmingai vykdytų savo užduotis, samdytų ir išsaugotų darbuotojus bei veiksmingiau vykdytų tinklaveiką, yra būtina ENISA įkurdinti tinkamoje vietovėje, be kita ko, užtikrinant tinkamas transporto jungtis ir infrastruktūrą su ENISA darbuotojais atvykstantiems sutuoktiniams ir vaikams. ENISA ir priimančiosios valstybės narės susitarime, sudarytame gavus ENISA Valdančiosios tarybos pritarimą, turėtų būti nustatytos reikiamos nuostatos;

(19)

atsižvelgiant į didėjančią kibernetiniam saugumui kylančią riziką ir iššūkius, su kuriais susiduria Sąjunga, reikėtų padidinti ENISA skiriamus finansinius ir žmogiškuosius išteklius, kad būtų atsižvelgta į išaugusį jos vaidmenį ir uždavinius, taip pat labai svarbų jos vaidmenį Sąjungos skaitmeninę ekosistemą ginančių organizacijų ekosistemoje, kad ENISA galėtų veiksmingai atlikti jai pagal šį Reglamentą pavestas užduotis;

(20)

ENISA turėtų kurti ir išlaikyti aukšto lygio ekspertines žinias ir veikti kaip informacinis centras, skatinantis pasitikėti bendrąja rinka – visa tai ji galėtų pasiekti būdama nepriklausoma, teikdama kokybiškas rekomendacijas ir skleisdama kokybišką informaciją, užtikrindama savo procedūrų ir veiklos būdų skaidrumą bei uoliai vykdydama savo užduotis. Vykdydama savo užduotis ENISA turėtų aktyviai remti nacionalinius veiksmus ir iniciatyviai prisidėti prie Sąjungos veiksmų, visapusiškai bendradarbiaudama su Sąjungos institucijomis, įstaigomis, organais ir agentūromis bei valstybėmis narėmis, vengdama darbo dubliavimo ir propaguodama sinergiją. Be to, ENISA turėtų remtis privačiojo sektoriaus ir kitų atitinkamų suinteresuotųjų subjektų indėliu ir bendradarbiavimu su jais. Užduočių sąraše turėtų būti nurodyta, kaip ENISA turi siekti savo tikslų, tačiau jos veiklos sąlygos turėtų būti lanksčios;

(21)

kad galėtų valstybėms narėms teikti tinkamą paramą operatyvinio bendradarbiavimo srityje, ENISA turėtų toliau stiprinti savo techninius ir žmogiškuosius pajėgumus ir įgūdžius. ENISA turėtų plėsti savo praktinę patirtį ir pajėgumus. ENISA ir valstybės narės savanorišku pagrindu galėtų plėtoti nacionalinių ekspertų komandiravimo į ENISA programas, telkiant ekspertus ir vykdant darbuotojų mainus;

(22)

ENISA turėtų padėti Komisijai teikdama rekomendacijas, nuomones ir analizę visais Sąjungos klausimais, susijusiais su politikos ir teisės kūrimu, atnaujinimais ir peržiūromis kibernetinio saugumo srityje, ir jų specifiniais sektorių aspektais, siekiant padidinti kibernetinio saugumo aspektą apimančios Sąjungos politikos ir teisės aktualumą ir sudaryti galimybę tą politiką ir teisę nuosekliai įgyvendinti nacionaliniu lygmeniu. Rengiant Sąjungos sektorinę politiką ir teisės aktų iniciatyvas kibernetinio saugumo klausimais ENISA turėtų veikti kaip informacinis centras, teikdama rekomendacijas ir ekspertines žinias. ENISA turėtų reguliariai teikti informaciją Europos Parlamentui apie savo veiklą;

(23)

atvirojo interneto viešasis pagrindas, kitaip tariant – interneto pagrindiniai protokolai ir infrastruktūra, kurie yra pasaulinės viešosios gėrybės, užtikrina esmines viso interneto funkcines galimybes ir nuo jų priklauso jo įprastas veikimas. ENISA turėtų remti atvirojo interneto viešojo pagrindo funkcionavimo saugumą ir stabilumą, įskaitant pagrindinius protokolus (visų pirma DNS, BGP ir IPv6), domeno vardų sistemos veikimą (kaip antai visų aukščiausio lygio domenų vardų veikimą) ir šakninės zonos veikimą, bet ne tik tai;

(24)

pagrindinė ENISA užduotis yra skatinti nuosekliai įgyvendinti atitinkamus teisės aktus, visų pirma veiksmingai įgyvendinti Direktyvą (ES) 2016/1148 ir kitus susijusius teisinius dokumentus, į kuriuos įtrauktos kibernetinio saugumo srities nuostatos, nes tai itin svarbu siekiant padidinti kibernetinį atsparumą. Turint omenyje sparčiai kintančią kibernetinių grėsmių padėtį, akivaizdu, kad valstybėms narėms būtina padėti pasiūlant platesnį, įvairias politikos sritis apimantį požiūrį į kibernetinio atsparumo didinimą;

(25)

ENISA turėtų padėti valstybėms narėms ir Sąjungos institucijoms, įstaigoms, organams ir agentūroms joms dedant pastangas plėtoti ir stiprinti pajėgumą ir parengtį užkirsti kelią tinklų ir informacinių sistemų saugumui kylančioms kibernetinėms grėsmėms ir incidentams, juos nustatyti ir į juos reaguoti. Visų pirma ENISA turėtų padėti plėtoti ir stiprinti nacionalines ir Sąjungos reagavimo į kompiuterių saugumo incidentus tarnybas (toliau – CSIRT), nurodytas Direktyvoje (ES) 2016/1148, kad Sąjungoje būtų užtikrintas vienodas aukštas jų kompetencijos lygis. ENISA vykdoma veikla, susijusi su valstybių narių operaciniais pajėgumais, turėtų aktyviai remti veiksmus, kurių imasi pačios valstybės narės siekdamos vykdyti savo pareigas pagal Direktyvą (ES) 2016/1148, ir todėl neturėtų jų pakeisti;

(26)

ENISA taip pat turėtų padėti rengti ir atnaujinti tinklų ir informacinių sistemų saugumo, visų pirma kibernetinio saugumo, strategijas Sąjungos lygmeniu ir, gavusi prašymą, valstybių narių lygmeniu, skatinti tokių strategijų sklaidą ir stebėti jų įgyvendinimo pažangą. Taip pat ENISA turėtų prisidėti patenkinant mokymų rengimo ir mokomosios medžiagos teikimo poreikius, įskaitant viešųjų įstaigų poreikius, ir, kai tinkama, plačiu mastu rengti instruktorius, remiantis Piliečiams skirta Europos skaitmeninės kompetencijos programa siekiant padėti valstybėms narėms ir Sąjungos institucijoms, įstaigoms, organams ir agentūroms plėtoti savo mokymo pajėgumus;

(27)

ENISA turėtų remti valstybių narių veiklą informuotumo didinimo ir švietimo kibernetinio saugumo klausimais srityje, palengvindama jų glaudesnį bendradarbiavimą ir keitimąsi geriausios praktikos pavyzdžiais. Tokią paramą galėtų sudaryti nacionalinių švietimo informacinių centrų tinklo ir mokymo kibernetinio saugumo srityje platformos sukūrimas. Nacionalinių švietimo informacinių centrų tinklas galėtų būti nacionalinių ryšių palaikymo pareigūnų tinklo dalis ir sudaryti pradines sąlygas būsimam koordinavimui valstybėse narėse;

(28)

ENISA turėtų padėti pagal Direktyvą (ES) 2016/1148 sukurtai Bendradarbiavimo grupei vykdyti jos užduotis, visų pirma susijusias su valstybių narių esminių paslaugų teikėjų nustatymu, be kita ko, klausimais, susijusiais su tarpvalstybine priklausomybe, rizika ir incidentais, teikdama ekspertines žinias bei rekomendacijas ir sudaryti palankesnes sąlygas keistis geriausia praktika;

(29)

siekiant skatinti viešojo ir privačiojo sektorių bendradarbiavimą ir bendradarbiavimą privačiajame sektoriuje, visų pirma stiprinti paramą ypatingos svarbos infrastruktūros apsaugai, ENISA turėtų remti dalijimąsi informacija sektoriuose ir tarp sektorių, visų pirma Direktyvos (ES) 2016/1148 II priede išvardytuose sektoriuose, dalydamasi geriausios praktikos pavyzdžiais ir teikdama rekomendacijas dėl esamų priemonių ir procedūrų, taip pat rekomendacijas, kaip spręsti su dalijimusi informacija susijusius reguliavimo klausimus, pavyzdžiui, padėdama steigti sektorių keitimosi informacija ir jos analizės centrus;

(30)

kadangi potencialus IRT produktų, paslaugų ir procesų pažeidžiamumo spragų neigiamas poveikis nuolat didėja, aptikti ir pašalinti tokias pažeidžiamumo spragas labai svarbu mažinant bendrą kibernetiniam saugumui kylančią riziką. Patirtis rodo, kad organizacijų, pažeidžiamų IRT produktų, paslaugų ir procesų gamintojų ar teikėjų ir kibernetinio saugumo tyrimų bendruomenės narių bei Vyriausybių, kurios aptinka pažeidžiamumo spragas, bendradarbiavimas žymiai padidina IRT produktų, paslaugų ir procesų pažeidžiamumo spragų aptikimo ir pašalinimo lygį. Suderintas pažeidžiamumo spragų atskleidimas yra struktūrinis bendradarbiavimo procesas, per kurį informacinės sistemos savininkui pranešama apie pažeidžiamumo spragas, suteikiant tai organizacijai galimybę problemą diagnozuoti ir išspręsti prieš atskleidžiant išsamią informaciją apie pažeidžiamumo spragą trečiosioms šalims arba visuomenei. Taip pat procese numatytas problemą aptikusio subjekto ir organizacijos veiksmų koordinavimas, susijęs su tų pažeidžiamumo spragų viešu paskelbimu. Suderinto pažeidžiamumo spragų atskleidimo politika gali atlikti svarbų vaidmenį valstybių narių pastangų stiprinti kibernetinį saugumą kontekste;

(31)

Agentūra turėtų apibendrinti ir analizuoti savanoriškai pasidalintas nacionalines CSIRT ir Europos institucijų, įstaigų, organų ir agentūrų Kompiuterinių incidentų tyrimo tarnybos, įsteigtos Europos Parlamento, Europos Vadovų Tarybos, Europos Sąjungos Tarybos, Europos Komisijos, Europos Sąjungos Teisingumo Teismo, Europos Centrinio Banko, Europos Audito Rūmų, Europos išorės veiksmų tarnybos, Europos ekonomikos ir socialinių reikalų komiteto, Europos regionų komiteto ir Europos investicijų banko susitarimu dėl Sąjungos institucijų, įstaigų, organų ir agentūrų Kompiuterinių incidentų tyrimo tarnybos (CERT-EU) darbo organizavimo ir veiklos (14), ataskaitas, siekdama prisidėti prie bendrų keitimosi informacija procedūrų, kalbos ir terminijos kūrimo. Remdamasi Direktyva (ES) 2016/1148, kuria padėtas pamatas savanoriškiems techninės informacijos mainams ta direktyva įkurtos reagavimo į kompiuterių saugumo incidentus tarnybos tinkle (toliau – CSIRT tinklas) operatyviniu lygmeniu, ENISA taip pat turėtų įtraukti privatųjį sektorių;

(32)

ENISA turėtų padėti Sąjungos lygmeniu reaguoti į didelio masto tarpvalstybinius su kibernetiniu saugumu susijusius incidentus ir krizes. Ta veikla turėtų būti vykdoma laikantis ENISA įgaliojimų pagal šį reglamentą ir požiūrio, dėl kurio turi susitarti valstybės narės pagal Komisijos rekomendaciją (ES) 2017/1584 (15) ir 2018 m. birželio 26 d. Tarybos išvadas dėl ES koordinuoto atsako į didelio masto kibernetinio saugumo incidentus ir krizes. Vykdydama šią veiklą ENISA galėtų rinkti svarbią informaciją ir prisiimti tarpininkės tarp CSIRT tinklo, techninės bendruomenės ir už krizių valdymą atsakingų sprendimus priimančių asmenų vaidmenį. Be to, ENISA turėtų remti operatyvinį valstybių narių bendradarbiavimą, jei to paprašo viena arba daugiau valstybių narių, padėti valdyti incidentus techniniu požiūriu, sudarydama palankesnes sąlygas valstybėms narėms keistis tinkamais techniniais sprendimais ir prisidėdama prie viešųjų ryšių. ENISA turėtų remti šį procesą, per reguliarias kibernetinio saugumo pratybas išbandydama tokio bendradarbiavimo būdus;

(33)

remdama operatyvinį bendradarbiavimą, ENISA turėtų naudotis esamomis CERT-EU techninėmis ir operatyvinėmis ekspertinėmis žiniomis pasinaudodama struktūriniu bendradarbiavimu. Toks struktūrinis bendradarbiavimas galėtų sustiprinti ENISA ekspertines žinias. Kai tikslinga, turėtų būti sudaryti specialūs šių dviejų organizacijų susitarimai, siekiant nustatyti, kaip toks bendradarbiavimas bus įgyvendinamas praktiškai ir išvengti veiklos dubliavimo;

(34)

vykdydama savo užduotis, kuriomis remiamas operatyvinis bendradarbiavimas CSIRT tinkle, ENISA turėtų galėti valstybėms narėms paprašius teikti joms paramą, pavyzdžiui, teikdama rekomendacijas, kaip pagerinti jų pajėgumus užkirsti kelią incidentams, juos aptikti ir į juos reaguoti, palengvindama didelį arba esminį poveikį turinčių incidentų techninį valdymą arba užtikrindama kibernetinių grėsmių ir incidentų analizę. ENISA turėtų palengvinti didelį arba esminį poveikį turinčių incidentų techninį valdymą, visų pirma teikdama paramą savanoriškam valstybių narių dalijimuisi techniniais sprendimais arba rengdama bendrą techninę informaciją, kuri galėtų apimti, pavyzdžiui, valstybių narių savanoriškai pasidalytus techninius sprendimus. Rekomendacijoje (ES) 2017/1584 rekomenduojama, kad valstybės narės geranoriškai bendradarbiautų ir nedelsdamos dalytųsi tarpusavyje bei su ENISA informacija apie didelio masto su kibernetiniu saugumu susijusius incidentus ir krizes. Tokia informacija dar labiau padėtų ENISA vykdyti savo operatyvinio bendradarbiavimo rėmimo užduotis;

(35)

reguliaraus techninio bendradarbiavimo, padedančio būti geriau informuotiems apie padėtį Sąjungoje, dalis turėtų būti ENISA reguliariai, glaudžiai bendradarbiaujant su valstybėmis narėmis, rengiamos išsamios ES kibernetinio saugumo techninės padėties ataskaitos, kuriose apžvelgiami incidentai ir kibernetinės grėsmės ir kurios grindžiamos viešai prieinama informacija, pačios Agentūros atliekama analize ir ataskaitomis, kurias Agentūrai pateikė valstybių narių CSIRT arba Direktyvoje (ES) 2016/1148 nurodyti nacionaliniai bendrieji tinklų ir informacinių sistemų saugumo informaciniai centrai (toliau – bendrasis informacinis centras) (tiek vieni, tiek kiti – savanoriškai), Europolo Europos kovos su elektroniniu nusikalstamumu centras (EC3), CERT-EU ir, kai tikslinga, Europos išorės veiksmų tarnybai priklausantis Europos Sąjungos žvalgybos analizės centras (EU INTCEN). Ta ataskaita turėtų būti pateikta Tarybai, Komisijai, Sąjungos vyriausiajam įgaliotiniui užsienio reikalams ir saugumo politikai ir CSIRT tinklui;

(36)

ENISA susijusių valstybių narių prašymu remiant didelį arba esminį poveikį turinčių incidentų ex post techninius tyrimus, daugiausia dėmesio turėtų būti skiriama incidentų prevencijai ateityje. Susijusios valstybės narės turėtų teikti būtiną informaciją ir pagalbą, kad ENISA galėtų veiksmingai prisidėti prie ex-post techninio tyrimo;

(37)

valstybės narės gali paraginti nuo incidento nukentėjusias įmones bendradarbiauti, suteikiant būtiną informaciją ir pagalbą ENISA, nepažeidžiant jų teisės apsaugoti neskelbtiną komercinę informaciją ir su visuomenės saugumu susijusią informaciją;

(38)

siekdama geriau suprasti kibernetinio saugumo srities problemas ir teikti strategines ilgalaikes rekomendacijas valstybėms narėms ir Sąjungos institucijoms, įstaigoms, organams ir agentūroms, ENISA turi analizuoti esamą ir naujausią kibernetinio saugumo riziką. Šiuo tikslu ENISA, bendradarbiaudama su valstybėmis narėmis ir prireikus su statistikos įstaigomis ir kitomis įstaigomis, turėtų rinkti reikiamą informaciją, kuri yra viešai prieinama arba savanoriškai pateikiama, ir vykdyti naujausių technologijų analizę bei teikti teminius vertinimus, susijusius su numatomu technologinių inovacijų poveikiu tinklų ir informacijos saugumui, visų pirma kibernetiniam saugumui, pasireiškiančiu visuomeniniu, teisiniu, ekonominiu ir reguliavimo aspektais. Be to, ENISA, vykdydama grėsmių, pažeidžiamumo spragų ir incidentų analizę, turėtų padėti valstybėms narėms ir Sąjungos institucijoms, įstaigoms. organams ir agentūroms nustatyti naujausius kibernetinės rizikos veiksnius ir užkirsti kelią kibernetinio saugumo incidentams;

(39)

kad padidintų Sąjungos atsparumą, ENISA turėtų plėtoti mokslinę kompetenciją infrastruktūros objektų, kurie užtikrina visų pirma Direktyvos (ES) 2016/1148 II priede išvardytų sektorių veiklą ir kuriuos naudoja tos direktyvos III priede išvardyti skaitmeninių paslaugų teikėjai, kibernetinio saugumo srityje, teikdama rekomendacijas, gaires ir dalydamasi geriausia praktika. Siekdama užtikrinti lengvesnę prieigą prie geriau susistemintos informacijos apie kibernetiniam saugumui kylančią riziką ir galimas jos mažinimo priemones, ENISA turėtų sukurti ir palaikyti Sąjungos informacijos centrą – vieno langelio principu veikiantį portalą, kuriame visuomenei būtų prieinama Sąjungos ir nacionalinių institucijų, įstaigų, organų ir agentūrų teikiama informacija apie kibernetinį saugumą. Paprastesnė prieiga prie geriau susistemintos informacijos apie kibernetiniam saugumui kylančią riziką ir galimas jos mažinimo priemones taip pat galėtų padėti valstybėms narėms sustiprinti savo pajėgumus ir suderinti savo praktiką, taip padidinant bendrą jų atsparumą kibernetiniams išpuoliams;

(40)

ENISA turėtų padėti didinti visuomenės informuotumą, be kita ko, pasitelkiant visos ES masto informuotumo didinimo kampaniją, propaguojant švietimą apie su kibernetiniu saugumu susijusią riziką, ir piliečiams, organizacijoms bei įmonėms pateikti atskiriems naudotojams skirtas konsultacijas gerosios praktikos klausimais. ENISA taip pat turėtų padėti skatinti piliečius, organizacijas ir įmones taikyti geriausią praktiką ir sprendimus, įskaitant kibernetinę higieną ir kibernetinį raštingumą, šiuo tikslu rinkdama ir analizuodama viešai prieinamą informaciją apie didelius incidentus, taip pat rengdama ir viešai skelbdama ataskaitas ir konsultacijas piliečiams, organizacijoms ir įmonėms, kad būtų pagerintas bendras jų parengties ir atsparumo lygis. ENISA taip pat turėtų siekti suteikti vartotojams svarbią informaciją apie taikomas sertifikavimo schemas, pvz. parengdama gaires ir rekomendacijas. ENISA, laikydamasi 2018 m. sausio 17 d. Komisijos komunikate nustatyto Skaitmeninio švietimo veiksmų plano ir bendradarbiaudama su valstybėmis narėmis ir Sąjungos institucijomis, įstaigomis, organais ir agentūromis, taip pat turėtų organizuoti reguliarias galutiniams naudotojams skirtas informavimo ir visuomenės švietimo kampanijas, kuriomis būtų siekiama propaguoti saugesnį asmens elgesį internetinėje aplinkoje ir skaitmeninį raštingumą ir didinti informuotumą apie galimas kibernetines grėsmes kibernetinėje erdvėje, įskaitant nusikalstamą veiklą internete, pavyzdžiui, išpuolius siekiant vykdyti duomenų vagystes, botnetus, finansinį ir bankinį sukčiavimą, su duomenimis susijusio sukčiavimo atvejus, propaguoti bazinį daugiaveiksnį tapatumo nustatymą, bei teikti rekomendacijas pataisų, šifravimo, anoniminimo ir duomenų apsaugos srityse;

(41)

ENISA turėtų atlikti pagrindinį vaidmenį spartindama galutinių naudotojų informuotumą apie įrenginių saugumą ir saugų paslaugų naudojimą, ir propaguoti Sąjungos lygmeniu integruotąjį saugumą ir integruotąją privatumo apsaugą. Siekdama to tikslo ENISA turėtų kuo optimaliau panaudoti geriausią praktiką ir patirtį, visų pirma geriausią praktiką ir patirtį, gautą iš akademinių įstaigų ir IT saugumo tyrėjų;

(42)

siekdama padėti kibernetinio saugumo sektoriuje veikiančioms įmonėms bei kibernetinio saugumo sprendimų naudotojams ENISA turėtų sukurti rinkos stebėjimo centrą ir palaikyti jo veiklą reguliariai analizuodama svarbiausias kibernetinio saugumo rinkos paklausos ir pasiūlos tendencijas ir skleisdama apie jas informaciją;

(43)

ENISA turėtų prisidėti prie Sąjungos pastangų kibernetinio saugumo srityje bendradarbiauti su tarptautinėmis organizacijomis ir pagal atitinkamas tarptautinio bendradarbiavimo sistemas. Visų pirma ENISA, kai tinkama, turėtų prisidėti prie bendradarbiavimo su tokiomis organizacijomis, kaip EBPO, ESBO ir NATO. Toks bendradarbiavimas galėtų apimti bendras pratybas kibernetinio saugumo srityje ir bendro atsako į kibernetinius incidentus koordinavimą. Vykdant tą veiklą turi būti visapusiškai laikomasi įtraukumo, abipusiškumo ir Sąjungos sprendimų priėmimo autonomijos principų, nedarant poveikio valstybių narių saugumo ir gynybos politikos specifikai;

(44)

siekiant užtikrinti, kad ENISA pasiektų visus savo tikslus, ji turėtų bendradarbiauti su atitinkamomis Sąjungos priežiūros institucijomis ir kitomis kompetentingomis institucijomis Sąjungoje, Sąjungos institucijomis, įstaigomis, organais ir agentūromis, be kita ko, CERT-EU, EC3, Europos gynybos agentūra (EGA), Europos pasaulinės palydovinės navigacijos sistemos agentūra (Europos GNSS agentūra), Europos elektroninių ryšių reguliuotojų institucija (BEREC), Europos Sąjungos didelės apimties IT sistemų laisvės, saugumo ir teisingumo erdvėje operacijų valdymo agentūra (eu-LISA), Europos Centriniu Banku (ECB), Europos bankininkystės institucija (EBI), Europos duomenų apsaugos valdyba, Energetikos reguliavimo institucijų bendradarbiavimo agentūra (ACER), Europos Sąjungos aviacijos saugos agentūra (EASA) ir kitomis su kibernetiniu saugumu susijusiomis Sąjungos agentūromis. ENISA taip pat turėtų bendradarbiauti su duomenų apsaugos institucijomis siekiant keistis praktine patirtimi ir geriausios praktikos pavyzdžiais ir teikti rekomendacijas dėl poveikį jų darbui galinčių daryti kibernetinio saugumo aspektų. Nacionalinių ir Sąjungos teisėsaugos ir duomenų apsaugos institucijų atstovams turėtų būti suteikta teisė dalyvauti ENISA patariamosios grupės veikloje. Bendradarbiaudama su teisėsaugos įstaigomis dėl tinklų ir informacijos saugumo aspektų, galinčių turėti įtakos jų darbui, ENISA turėtų naudotis esamais informacijos kanalais ir sukurtais tinklais;

(45)

galėtų būti kuriamos partnerystės su akademinėmis įstaigomis, kurios yra parengusios mokslinių tyrimų iniciatyvų atitinkamose srityse, o vartotojų organizacijų ir kitų organizacijų informacija turėtų būti perduodama tinkamais kanalais ir į ją reikėtų atsižvelgti;

(46)

ENISA, vykdydama CSIRT tinklo sekretoriato funkciją, turėtų remti valstybių narių CSIRT ir CERT-EU operatyvinį bendradarbiavimą, taip pat padėti vykdant visas atitinkamas CSIRT tinklo užduotis, kaip apibrėžta Direktyvoje (ES) 2016/1148. Be to, ENISA turėtų skatinti ir remti atitinkamų CSIRT bendradarbiavimą incidentų, išpuolių arba tinklo ar infrastruktūros, kurią valdo ar saugo CSIRT ir kurioje dalyvauja ar gali dalyvauti bent dvi CSIRT, sutrikimų atvejais, deramai atsižvelgdama į CSIRT tinklo standartines veiklos procedūras;

(47)

kad Sąjunga būtų geriau pasirengusi reaguoti į kibernetinio saugumo incidentus, ENISA turėtų organizuoti reguliarias Sąjungos lygmens kibernetinio saugumo pratybas ir valstybių narių, Sąjungos institucijų, įstaigų, organų ir agentūrų prašymu padėti joms organizuoti pratybas. Vieną kartą per dvejus metus turėtų būti surengtos didelio masto visapusiškos pratybos, apimančios techninius, operatyvinius ir strateginius elementus. Be to, ENISA turėtų galėti reguliariai rengti ne tokias visapusiškas pratybas, siekdama to paties tikslo – didinti Sąjungos parengtį reaguoti į incidentus;

(48)

kad galėtų prisidėti prie Sąjungos kibernetinio saugumo sertifikavimo politikos, ENISA turėtų toliau plėtoti ir išlaikyti savo kompetenciją šiais klausimais. ENISA turėtų pasinaudoti esama geriausia praktika ir skatinti kibernetinio saugumo sertifikavimo diegimą Sąjungoje, be kita ko, prisidėdama prie Sąjungos lygmens kibernetinio saugumo sertifikavimo sistemos (Europos kibernetinio saugumo sertifikavimo sistema) sukūrimo ir taikymo, kad būtų didinamas IRT produktų, paslaugų ir procesų kibernetinio saugumo užtikrinimo skaidrumas ir taip stiprinamas pasitikėjimas skaitmenine vidaus rinka ir jos konkurencingumas;

(49)

veiksminga kibernetinio saugumo politika viešajame ir privačiajame sektoriuose turėtų būti grindžiama gerai parengtais rizikos vertinimo metodais. Rizikos vertinimo metodai taikomi įvairiais lygmenimis, nėra bendros praktikos, kaip juos veiksmingai taikyti. Geriausių rizikos vertinimo ir sąveikiųjų rizikos valdymo sprendimų populiarinimas ir plėtojimas viešojo sektoriaus ir privačiojo sektoriaus organizacijose padidins kibernetinio saugumo lygį Sąjungoje. Todėl ENISA turėtų remti suinteresuotųjų subjektų bendradarbiavimą Sąjungos lygmeniu ir palengvinti jų pastangas nustatyti Europos ir tarptautinius standartus rizikos valdymo, taip pat elektroninių produktų, sistemų, tinklų ir paslaugų, kurios kartu su programine įranga sudaro tinklų ir informacijos sistemas, išmatuojamojo saugumo srityje ir jų laikytis;

(50)

ENISA turėtų skatinti valstybes nares, produktų gamintojus ir paslaugų teikėjus griežtinti savo bendruosius saugumo standartus, kad visi interneto naudotojai galėtų imtis reikiamų veiksmų savo asmeniniam kibernetiniam saugumui užtikrinti ir būtų skatinami tai daryti. Visų pirma, paslaugų teikėjai ir produktų gamintojai turėtų teikti būtinus naujinius ir atšaukti, atsiimti arba perdirbti kibernetinio saugumo standartų neatitinkančius IRT produktus, paslaugas arba IRT procesus, o importuotojai ir platintojai turėtų užtikrinti, kad IRT produktai, IRT paslaugos ir IRT procesai, kuriuos jie teikia Sąjungos rinkai, atitiktų taikomus reikalavimus ir nekeltų rizikos Sąjungos vartotojams;

(51)

bendradarbiaudama su kompetentingomis institucijomis ENISA turėtų galėti skleisti informaciją apie vidaus rinkoje siūlomų IRT produktų, IRT paslaugų ir IRT procesų kibernetinio saugumo lygį ir įspėti paslaugų teikėjus bei gamintojus ir reikalauti, kad jie pagerintų savo IRT produktų, IRT paslaugų ir IRT procesų saugumą;

(52)

ENISA turėtų visiškai atsižvelgti į šiuo metu vykdomą mokslinių tyrimų, plėtros ir technologijų vertinimo veiklą, visų pirma atliekamą pagal įvairias Sąjungos mokslinių tyrimų iniciatyvas, siekdama teikti rekomendacijas Sąjungos institucijoms, įstaigoms, organams ir agentūroms, ir, kai aktualu ir joms paprašius – valstybėms narėms – dėl mokslinių tyrimų poreikių kibernetinio saugumo srityje. Kad nustatytų mokslinių tyrimų poreikius ir prioritetus, ENISA taip pat turėtų konsultuotis su atitinkamomis naudotojų grupėmis. Konkrečiau, būtų galima užmegzti bendradarbiavimą su Europos mokslinių tyrimų taryba, Europos inovacijos ir technologijos institutu ir Europos Sąjungos saugumo studijų institutu;

(53)

ENISA turėtų reguliariai konsultuotis su standartizacijos organizacijomis, visų pirma Europos standartizacijos organizacijomis, kai rengiamos Europos kibernetinio saugumo sertifikavimo schemos;

(54)

kibernetinės grėsmės yra pasaulinės. Būtinas glaudesnis tarptautinis bendradarbiavimas, kad būtų patobulinti kibernetinio saugumo standartai, įskaitant bendrų elgesio normų apibrėžimą ir elgesio kodeksus, tarptautinių standartų taikymą bei dalijimąsi informacija, skatinant spartesnį tarptautinį bendradarbiavimą reaguojant į tinklų ir informacijos saugumo problemas ir vadovaujantis visuotiniu požiūriu į jas. Tuo tikslu ENISA turėtų remti tolesnį Sąjungos ryšių mezgimą ir bendradarbiavimą su trečiosiomis šalimis ir tarptautinėmis organizacijomis, kai tinkama, teikdama atitinkamoms Sąjungos institucijoms, įstaigoms, organams ir agentūroms reikalingas ekspertines žinias ir analizę;

(55)

ENISA turėtų būti pajėgi reaguoti į valstybių narių ir Sąjungos institucijų, įstaigų, organų ir agentūrų ad hoc prašymus teikti rekomendacijas ir pagalbą, susijusius su ENISA įgaliojimų tikslais;

(56)

tikslinga ir rekomenduotina įgyvendinti tam tikrus ENISA valdymo principus, nustatytus bendrame pareiškime ir bendrame požiūryje, dėl kurių 2012 m. liepos mėn. susitarė Tarpinstitucinė darbo grupė ES decentralizuotų agentūrų klausimais; šiuo pareiškimu ir požiūriu siekiama racionalizuoti decentralizuotų agentūrų veiklą ir pagerinti jų darbą. Atitinkamai šiame reglamente taip pat turėtų būti atsižvelgta į rekomendacijas, pateiktas bendrame pareiškime ir bendrame požiūryje, skirtas ENISA darbo programoms, ENISA vertinimams ir ENISA ataskaitų teikimui bei administracinei veiklai;

(57)

iš valstybių narių ir Komisijos atstovų sudaryta Valdančioji taryba turėtų nustatyti bendrąją ENISA veiklos kryptį ir užtikrinti, kad savo užduotis ji vykdytų pagal šį reglamentą. Valdančiajai tarybai turėtų būti suteikti įgaliojimai, būtini sudaryti biudžetą, tikrinti, kaip biudžetas vykdomas, priimti reikiamas finansines taisykles, sukurti skaidrias ENISA sprendimų priėmimo procedūras, priimti ENISA bendrąjį programavimo dokumentą, nustatyti savo darbo tvarkos taisykles, paskirti vykdomąjį direktorių ir nuspręsti dėl vykdomojo direktoriaus kadencijos pratęsimo bei jos nutraukimo;

(58)

siekiant, kad ENISA funkcionuotų tinkamai ir veiksmingai, Komisija ir valstybės narės turėtų užtikrinti, kad į Valdančiąją tarybą būtų skiriami tinkamų profesinių žinių ir atitinkamos patirties turintys asmenys. Komisija ir valstybės narės taip pat turėtų stengtis riboti savo atstovų Valdančiojoje taryboje kaitą, kad būtų užtikrintas jos veiklos tęstinumas;

(59)

kad ENISA veiktų sklandžiai, jos vykdomasis direktorius turi būti skiriamas atsižvelgiant į nuopelnus ir į dokumentais pagrįstus administracinio ir vadovaujamojo darbo įgūdžius, kibernetiniam saugumui svarbią patirtį ir kompetenciją, o vykdomojo direktoriaus pareigos turėtų būti atliekamos visiškai nepriklausomai. Pasitaręs su Komisija vykdomasis direktorius turėtų parengti ENISA metinės darbo programos pasiūlymą ir imtis visų būtinų veiksmų, kad užtikrintų tinkamą tos programos įgyvendinimą. Vykdomasis direktorius turėtų parengti Valdančiajai tarybai teikiamą metinę ataskaitą, be kita ko, apimančią Agentūros metinės darbo programos įgyvendinimą, ENISA pajamų ir išlaidų sąmatos projektą, ir vykdyti biudžetą. Be to, vykdomajam direktoriui turėtų būti leista steigti ad hoc darbo grupes konkretiems, visų pirma moksliniams, techniniams, teisiniams ar socialiniams ir ekonominiams klausimams spręsti. Visų pirma, laikoma, kad ad hoc darbo grupę būtina steigti konkrečiai potencialiai Europos kibernetinio saugumo sertifikavimo schemai (toliau – potenciali schema) parengti. Vykdomasis direktorius turėtų užtikrinti, kad ad hoc darbo grupės nariai būtų išrinkti pagal aukščiausius dalyko ekspertinių žinių standartus ir, atsižvelgiant į konkrečius nagrinėjamus klausimus, atitinkamai subalansuotai ir užtikrinant lyčių pusiausvyrą būtų atstovaujama valstybių narių viešojo administravimo institucijoms, Sąjungos institucijoms, įstaigoms, organams ir agentūroms bei privačiajam sektoriui, įskaitant pramonės sektorių, naudotojus ir tinklų bei informacijos saugumo akademinius ekspertus;

(60)

Vykdomoji valdyba turėtų prisidėti prie veiksmingo Valdančiosios tarybos veikimo. Atlikdama parengiamąjį darbą, susijusį su Valdančiosios tarybos sprendimais, Vykdomoji valdyba turėtų išsamiai išnagrinėti atitinkamą informaciją ir apsvarstyti turimas galimybes bei teikti rekomendacijas ir sprendimus siekiant parengti Valdančiosios tarybos sprendimus;

(61)

siekiant užtikrinti nuolatinį dialogą su privačiuoju sektoriumi, vartotojų organizacijomis ir kitais atitinkamais suinteresuotaisiais subjektais, ENISA turėtų būti įsteigta ENISA patariamoji grupė, veikianti kaip patariamasis organas. Vykdomojo direktoriaus pasiūlymu Valdančiosios tarybos įsteigta ENISA patariamoji grupė daugiausia dėmesio turėtų skirti klausimams, kurie svarbūs suinteresuotiesiems subjektams, ir į tuos klausimus atkreipti ENISA dėmesį. Turėtų būti konsultuojamasi su ENISA patariamąja grupe visų pirma dėl ENISA metinės darbo programos projekto. ENISA patariamosios grupės sudėtis ir šiai grupei priskirtos užduotys, turėtų užtikrinti pakankamą suinteresuotųjų subjektų atstovavimą ENISA veikloje;

(62)

siekiant padėti ENISA ir Komisijai sudaryti palankesnes sąlygas konsultacijoms su atitinkamais suinteresuotaisiais subjektais, turėtų būti įsteigta Suinteresuotųjų subjektų kibernetinio saugumo sertifikavimo grupė. Suinteresuotųjų subjektų kibernetinio saugumo sertifikavimo grupę turėtų sudaryti nariai, proporcingai atstovaujantys: pramonės sektoriui, tiek IRT produktų ir paslaugų paklausos, tiek pasiūlos segmentuose, įskaitant visų pirma MVĮ, skaitmeninių paslaugų teikėjams, Europos ir tarptautinėms standartizacijos įstaigoms, nacionalinėms akreditacijos įstaigoms, duomenų apsaugos priežiūros institucijoms ir atitikties vertinimo įstaigoms pagal Europos Parlamento ir Tarybos reglamentą (EB) Nr. 765/2008 (16), akademinei bendruomenei ir vartotojų organizacijoms;

(63)

ENISA turėtų priimti interesų konfliktų prevencijos ir valdymo taisykles. ENISA taip pat turėtų taikyti atitinkamas Sąjungos nuostatas dėl galimybės visuomenei susipažinti su dokumentais, kaip nustatyta Europos Parlamento ir Tarybos reglamente (EB) Nr. 1049/2001 (17). ENISA asmens duomenis turėtų tvarkyti laikydamasi Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 (18). ENISA turėtų laikytis Sąjungos institucijoms, įstaigoms, organams ir agentūroms taikytinų nuostatų ir nacionalinės teisės aktų dėl informacijos, visų pirma neskelbtinos neįslaptintos ir Europos Sąjungos įslaptintos informacijos (ESĮI) tvarkymo;

(64)

siekiant užtikrinti visišką ENISA autonomiją ir nepriklausomumą ir suteikti jai galimybę vykdyti papildomas ir naujas užduotis, įskaitant nenumatytas užduotis kritiniais atvejais, ENISA turėtų būti skiriamas pakankamas ir nepriklausomas biudžetas, kurio pajamas iš esmės sudarytų Sąjungos įnašas ir ENISA veikloje dalyvaujančių trečiųjų šalių įnašai. Tinkamas biudžetas yra itin svarbus siekiant užtikrinti, kad ENISA turėtų pakankamai pajėgumų, kad galėtų atlikti visas savo didėjančias užduotis ir pasiekti tikslus. Dauguma ENISA darbuotojų turėtų tiesiogiai dalyvauti praktiškai vykdant ENISA įgaliojimus. Priimančiajai valstybei narei ir bet kuriai kitai valstybei narei turėtų būti leidžiama savanoriškais įnašais prisidėti prie ENISA biudžeto. Mokant subsidijas iš Sąjungos bendrojo biudžeto, turėtų būti toliau taikoma Sąjungos biudžeto procedūra. Be to, Audito Rūmai turėtų atlikti ENISA apskaitos auditą, kad būtų užtikrintas skaidrumas ir atskaitomybė;

(65)

kibernetinio saugumo sertifikavimas yra labai svarbus didinant pasitikėjimą IRT produktais, paslaugomis ir procesais bei jų saugumą. Bendroji skaitmeninė rinka, ypač duomenų ekonomika ir daiktų internetas, gali klestėti tik tuo atveju, jeigu plačioji visuomenė pasitikės, jog tokie produktai, paslaugos ir procesai pasižymi tam tikro lygio kibernetiniu saugumu. Susietųjų ir automatizuotų automobilių, elektroninių medicinos priemonių, pramoninių automatizuotų valdymo sistemų ar pažangiųjų elektros energijos tinklų sektoriai yra tik keli sektorių, kuriuose sertifikavimas jau yra plačiai naudojamas arba, tikėtina, bus naudojamas artimiausioje ateityje, pavyzdžiai. Kibernetinio saugumo sertifikavimas taip pat yra itin svarbus Direktyva (ES) 2016/1148 reglamentuojamiems sektoriams;

(66)

2016 m. komunikate „Europos kibernetinio atsparumo sistemos stiprinimas ir kibernetinio saugumo pramonės konkurencingumo ir novatoriškumo skatinimas“ Komisija nurodė kokybiškų, įperkamų ir sąveikių kibernetinio saugumo produktų ir sprendimų poreikį. IRT produktų, paslaugų ir procesų teikimas bendrojoje rinkoje geografiniu požiūriu tebėra labai susiskaidęs. Taip yra dėl to, kad kibernetinio saugumo sektorius Europoje daugiausia vystėsi priklausomai nuo nacionalinės valdžios sudaromos paklausos. Be to, kiti bendrąją kibernetinio saugumo rinką neigiamai veikiantys trūkumai yra sąveikių sprendimų (techninių standartų), metodų ir Sąjungos masto sertifikavimo mechanizmų stoka. Tai apsunkina Europos įmonių galimybes konkuruoti nacionaliniu, Sąjungos ir pasauliniu lygmenimis. Tai taip pat mažina perspektyvių ir tinkamų naudoti kibernetinio saugumo technologijų, kurios prieinamos fiziniams asmenims bei įmonėms, pasirinkimo galimybes. Be to, 2017 m. komunikate „Bendrosios skaitmeninės rinkos strategijos įgyvendinimo laikotarpio vidurio peržiūros. Sujungta bendroji skaitmeninė rinka visiems“ Komisija pabrėžė saugių susietųjų produktų ir sistemų poreikį ir nurodė, kad sukūrus Europos IRT saugumo sistemą, kurioje būtų nustatytos taisyklės, kaip Sąjungoje organizuoti IRT saugumo sertifikavimą, būtų galima išsaugoti pasitikėjimą internetu ir spręsti dabartinio kibernetinio saugumo rinkos susiskaidymo problemą;

(67)

šiuo metu IRT produktų, paslaugų ir procesų kibernetinio saugumo sertifikavimas yra taikomas ribotai. Kai jie sertifikuojami, toks sertifikavimas dažniausiai vykdomas valstybių narių lygmeniu arba pagal pramonės sektoriaus inicijuojamas schemas. Vadinasi. vienos nacionalinės kibernetinio saugumo sertifikavimo institucijos išduotas sertifikatas iš esmės kitose valstybėse narėse nepripažįstamas. Todėl bendrovėms gali reikėti savo IRT produktus, paslaugas ir procesus sertifikuoti keliose valstybėse narėse, kuriose jos vykdo veiklą, pavyzdžiui, siekiant dalyvauti nacionalinėse viešųjų pirkimų procedūrose, o dėl to didėja jų išlaidos. Be to, nors atsiranda naujų schemų, atrodo, nėra nuoseklaus ir visapusiško požiūrio į horizontalius kibernetinio saugumo klausimus, pavyzdžiui, daiktų interneto srityje. Esamose schemose yra didelių trūkumų ir skirtumų, susijusių su produktų aprėptimi, saugumo užtikrinimo lygiais, esminiais kriterijais ir faktiniu naudojimu, kurie trukdo abipusio pripažinimo mechanizmams Sąjungoje;

(68)

jau anksčiau buvo imtasi tam tikrų veiksmų siekiant užtikrinti sertifikatų tarpusavio pripažinimą Europoje. Tačiau jie tik iš dalies buvo sėkmingi. Svarbiausias pavyzdys šiuo požiūriu – vyresniųjų pareigūnų grupės informacinių sistemų saugumo klausimais (SOG-IS) tarpusavio pripažinimo susitarimas. Nors saugumo sertifikavimo srityje tai yra svarbiausias bendradarbiavimo ir tarpusavio pripažinimo modelis, SOG-IS apima tik dalį Sąjungos valstybių narių. Tai riboja SOG-IS tarpusavio pripažinimo susitarimo veiksmingumą vidaus rinkoje;

(69)

todėl, būtina priimti bendrą požiūrį ir sukurti Europos kibernetinio saugumo sertifikavimo sistemą, kurioje būtų nustatyti pagrindiniai kuriamoms Europos kibernetinio saugumo sertifikavimo schemoms keliami horizontalieji reikalavimai ir kuria būtų sudarytos sąlygos IRT produktų, paslaugų arba procesų Europos kibernetinio saugumo sertifikatus bei ES atitikties pareiškimus pripažinti ir taikyti visose valstybėse narėse. Atliekant šį darbą labai svarbu remtis esamomis nacionalinėmis ir tarptautinėmis schemomis, taip pat tarpusavio pripažinimo sistemomis, ypač SOG-IS, ir sudaryti sąlygas sklandžiam perėjimui nuo esamų schemų pagal tokias sistemas prie schemų pagal naująją Europos kibernetinio sertifikavimo sistemą. Europos sistema turėtų būti siekiama dvejopo tikslo: viena vertus, ji turėtų padėti didinti pasitikėjimą IRT produktais, paslaugomis ir procesais, kurie buvo sertifikuoti pagal Europos kibernetinio sertifikavimo schemas. Kita vertus, ji turėtų padėti išvengti, kad nebedidėtų viena kitai prieštaraujančių arba besidubliuojančių nacionalinių kibernetinio saugumo sertifikavimo schemų skaičius, ir taip sumažinti bendrojoje skaitmeninėje rinkoje veikiančių įmonių išlaidas. Europos kibernetinio sertifikavimo schemos turėtų būti nediskriminacinės ir pagrįstos Europos arba tarptautiniais standartais, išskyrus tuos standartus, kurie yra neveiksmingi arba netinkami siekiant įgyvendinti teisėtus šios srities Sąjungos tikslus;

(70)

siekiant išvengti palankesnės ES sertifikatų išdavimo sąlygų ieškojimo praktikos, kuri taikoma dėl skirtingo reikalavimų griežtumo lygio valstybėse narėse, ši Europos kibernetinio saugumo sertifikavimo sistema turėtų būti diegiama vienodai visose valstybėse narėse;

(71)

Europos kibernetinio sertifikavimo schemos turėtų būti grindžiamos tuo, kas jau veikia tarptautiniu ir nacionaliniu lygmeniu ir, jei būtina, forumų ir konsorciumų teikiamomis techninėmis specifikacijomis, mokantis iš dabartinių privalumų ir vertinant bei ištaisant trūkumus;

(72)

lankstūs kibernetinio saugumo sprendimai reikalingi tam, kad pramonės sektorius būtų žingsniu priekyje kibernetinių grėsmių, todėl bet kokia sertifikavimo schema turėtų būti kuriama taip, kad būtų išvengta rizikos, kad ji greitai pasens;

(73)

Komisija turėtų būti įgaliota tvirtinti konkrečioms IRT produktų, paslaugų ir procesų grupėms taikomas Europos kibernetinio saugumo sertifikavimo schemas. Tas schemas įgyvendinti ir prižiūrėti turėtų nacionalinės kibernetinio saugumo sertifikavimo institucijos, o pagal tas schemas išduoti sertifikatai turėtų galioti ir būti pripažįstami visoje Sąjungoje. Šis reglamentas neturėtų būti taikomas pramonės sektoriaus ar kitų privačių organizacijų naudojamoms sertifikavimo schemoms. Tačiau tokias schemas naudojantys subjektai turėtų galėti siūlyti Komisijai jų pagrindu patvirtinti Europos kibernetinio sertifikavimo schemą;

(74)

šio reglamento nuostatomis neturėtų būti daromas poveikis Sąjungos teisės aktams, kuriais nustatomos specialios IRT produktų, paslaugų ir procesų sertifikavimo taisyklės. Visų pirma Reglamente (ES) 2016/679 išdėstytos nuostatos dėl sertifikavimo mechanizmų ir duomenų apsaugos ženklų bei žymenų nustatymo, siekiant įrodyti duomenų valdytojų ir tvarkytojų vykdomų tvarkymo operacijų atitiktį tam reglamentui. Tokie sertifikavimo mechanizmai ir duomenų apsaugos ženklai ir žymenys turėtų sudaryti sąlygas duomenų subjektams greitai įvertinti atitinkamų IRT produktų, paslaugų ir procesų duomenų apsaugos lygį. Šiuo reglamentu nedaromas poveikis duomenų tvarkymo operacijų sertifikavimui pagal Reglamentą (ES) 2016/679, taip pat tais atvejais, kai tokios operacijos pagal Bendrąjį duomenų apsaugos reglamentą integruotos į IRT produktus, paslaugas ir procesus;

(75)

Europos kibernetinio saugumo sertifikavimo schemų tikslas turėtų būti užtikrinti, kad pagal tokias schemas sertifikuoti IRT produktai, paslaugos ir procesai atitiktų nustatytus reikalavimus, siekiant apsaugoti saugomų, perduodamų ar tvarkomų duomenų prieinamumą, autentiškumą, vientisumą ir konfidencialumą arba tais produktais, paslaugomis ir procesais suteikiamas arba per juos prieinamas susijusias funkcijas ar paslaugas viso jų gyvavimo ciklo metu. Šiame reglamente neįmanoma išsamiai nustatyti visiems IRT produktams, paslaugoms ir procesams keliamų kibernetinio saugumo reikalavimų. IRT produktai, paslaugos ir procesai bei kibernetinio saugumo poreikiai, susiję su tais produktais, paslaugomis ir procesais, yra tokie įvairūs, kad labai sunku nustatyti bendrus visiems produktams ir paslaugoms galiojančius kibernetinio saugumo reikalavimus. Todėl sertifikavimo tikslu reikalinga plati ir bendra kibernetinio saugumo samprata, kurią papildytų konkretūs kibernetinio saugumo tikslai, į kuriuos turi būti atsižvelgta rengiant Europos kibernetinio saugumo sertifikavimo schemas. Kaip tie tikslai turi būti pasiekti sertifikuojant konkrečius IRT produktus, paslaugas ir procesus, turėtų būti toliau išsamiai nurodyta atskiros Komisijos tvirtinamos sertifikavimo schemos lygmeniu, pavyzdžiui, nurodant standartus ar technines specifikacijas, kai tinkamų standartų nėra;

(76)

Europos kibernetinio saugumo sertifikavimo schemose naudotinos techninės specifikacijos turėtų būti nustatytos laikantis Europos Parlamento ir Tarybos reglamento (ES) Nr. 1025/2012 (19) II priede išdėstytų reikalavimų. Vis dėlto tinkamai pagrįstais atvejais būtų galima laikyti, kad kai kurie nukrypimai nuo šių principų yra reikalingi, kai tos techninės specifikacijos turi būti naudojamos Europos kibernetinio saugumo sertifikavimo schemoje, patvirtinančioje aukštą saugumo užtikrinimo lygį. Tokių nukrypimų priežastys turėtų būti pateikiamos viešai;

(77)

atitikties vertinimas – procedūra, kurios metu vertinama, ar buvo įvykdyti nustatyti reikalavimai, susiję su IRT produktu, paslauga arba procesu. Šią procedūrą vykdo nepriklausoma trečioji šalis, kuri nėra vertinamo IRT produkto gamintoja, IRT paslaugos teikėja ar IRT proceso vykdytoja. Po sėkmingo IRT produkto, paslaugos ar proceso įvertinimo turėtų būti išduodamas Europos kibernetinio saugumo sertifikatas. Europos kibernetinio saugumo sertifikatas turėtų būti laikomas patvirtinimu, kad įvertinimas buvo tinkamai atliktas. Priklausomai nuo saugumo užtikrinimo lygio, Europos kibernetinio saugumo sertifikavimo schemoje turėtų būti nurodyta, ar Europos kibernetinio saugumo sertifikatą išduoda privati, ar viešoji įstaiga. Pats atitikties vertinimas ir sertifikavimas negali užtikrinti, kad IRT produktai, paslaugos ir procesai kibernetiniu požiūriu yra saugūs. Tai greičiau procedūros ir techninės metodikos, kuriomis patvirtinama, kad IRT produktai, paslaugos ir procesai buvo išbandyti ir kad jie atitinka tam tikrus kitur, pavyzdžiui, techniniuose standartuose, nustatytus kibernetinio saugumo reikalavimus;

(78)

Europos kibernetinio saugumo sertifikatų naudotojai, rinkdamiesi tinkamą sertifikavimą ir susijusius saugumo reikalavimus, turėtų remtis IRT produktų, paslaugų ar procesų naudojimo rizikos analize. Todėl saugumo užtikrinimo lygis turėtų atitikti rizikos, susijusios su IRT produktų, paslaugų ar procesų paskirtimi, lygį;

(79)

Europos kibernetinio saugumo sertifikavimo schemoje gali būti numatyta, kad atitikties vertinimas vykdomas tik IRT produktų, paslaugų ar procesų gamintojo ar teikėjo atsakomybe (toliau – savarankiškas atitikties vertinimas). Tokiais atvejais turėtų pakakti, kad gamintojas arba teikėjas pats atliktų visus patikrinimus siekdamas užtikrinti IRT produktų, paslaugų ar procesų atitiktį Europos kibernetinio saugumo sertifikavimo schemai. Savarankiškas atitikties vertinimas turėtų būti laikomas tinkamu nesudėtingiems IRT produktams, paslaugoms ir procesais (pvz., paprastam projektavimo ir gamybos mechanizmui), dėl kurių nekyla didelė rizika viešajam interesui. Be to, savarankiškas atitikties vertinimas gali būti taikomas tik IRT produktams ir paslaugoms, atitinkantiems bazinį saugumo užtikrinimo lygį;

(80)

Europos kibernetinio saugumo sertifikavimo schemose galėtų būti numatytas tiek IRT produktų, paslaugų ir procesų savarankiškas atitikties vertinimas, tiek jų sertifikavimas. Tokiu atveju schemoje turėtų būti numatytos aiškios ir suprantamos priemonės, kad vartotojai ar kiti naudotojai galėtų atskirti, kurie IRT produktai, paslaugos ir procesai yra vertinami gamintojo arba teikėjo atsakomybe, o kuriuos IRT produktus, paslaugas ir procesus sertifikuoja trečioji šalis;

(81)

IRT produktų gamintojas arba paslaugų teikėjas, kuris atlieka savarankišką atitikties vertinimą, vykdydamas atitikties vertinimo procedūrą turėtų parengti ir pasirašyti ES atitikties pareiškimą. ES atitikties pareiškimas – dokumentas, kuriame pareiškiama, jog tam tikras IRT produktas, paslauga arba procesas atitinka Europos kibernetinio saugumo sertifikavimo schemos reikalavimus. Parengęs ir pasirašęs ES atitikties pareiškimą, gamintojas arba teikėjas prisiima atsakomybę už IRT produkto, paslaugos arba proceso atitiktį teisiniams Europos kibernetinio saugumo sertifikavimo schemos reikalavimams. ES atitikties pareiškimo kopija turėtų būti pateikta nacionalinei kibernetinio saugumo sertifikavimo institucijai ir ENISA;

(82)

ES atitikties pareiškimą ir visos kitos svarbios informacijos, susijusios su IRT produktų, paslaugų ar procesų atitiktimi Europos kibernetinio saugumo sertifikavimo schemai, techninę dokumentaciją IRT produktų gamintojas arba paslaugų teikėjas turėtų saugoti konkrečioje Europos kibernetinio saugumo sertifikavimo schemoje nurodytą laikotarpį, kad galėtų juos pateikti kompetentingai nacionalinei kibernetinio saugumo sertifikavimo institucijai. Techninėje dokumentacijoje turėtų būti nurodyti taikytini reikalavimai ir, jeigu tai svarbu vertinimui atlikti, aprašomas IRT produkto, paslaugos arba proceso projektas, gamyba ir naudojimas. Techniniai dokumentai turėtų būti parengti taip, kad būtų galima įvertinti IRT produkto ar paslaugos atitiktį pagal schemą taikomiems reikalavimams;

(83)

Europos kibernetinio saugumo sertifikavimo sistemos valdymo mechanizme atsižvelgiama į valstybių narių dalyvavimą ir į atitinkamą suinteresuotųjų subjektų dalyvavimą ir nustatomas Komisijos vaidmuo planuojant ir teikiant pasiūlymus, prašymus, rengiant, priimant ir peržiūrint Europos kibernetinio saugumo sertifikavimo schemą;

(84)

Komisija turėtų, padedant Europos kibernetinio saugumo sertifikavimo grupei (toliau – EKSSG) ir Suinteresuotųjų subjektų kibernetinio saugumo sertifikavimo grupei ir surengusi atviras bei ir plataus masto konsultacijas, parengti tęstinę Sąjungos darbo programą, skirtą Europos kibernetinio saugumo sertifikavimo schemoms, ir ją paskelbti kaip teisiškai neprivalomą dokumentą. Tęstinė Sąjungos darbo programa turėtų būti strateginis dokumentas, sudarantis galimybę tam tikram pramonės sektoriui, nacionalinėms institucijoms ir standartizacijos įstaigoms iš anksto pasirengti visų pirma būsimoms Europos kibernetinio saugumo sertifikavimo schemoms. Tęstinėje Sąjungos darbo programoje turėtų būti pateikta daugiametė prašymų parengti potencialias schemas, kuriuos Komisija dėl konkrečių priežasčių ketina pateikti ENISA, apžvalga. Komisija turėtų atsižvelgti į šią tęstinę Sąjungos darbo programą rengdama tęstinį IRT standartizacijos planą ir Europos standartizacijos organizacijoms skirtus standartizacijos prašymus. Atsižvelgdama spartų naujų technologijų diegimą ir taikymą, į atsiradusias anksčiau nežinomas rizikos kibernetiniam saugumui rūšis arba teisės aktų bei rinkos pokyčius, Komisija arba EKSSG turėtų turėti galimybę prašyti ENISA parengti potencialias schemas, kurios nebuvo įtrauktos į tęstinę Sąjungos darbo programą. Tokiais atvejais Komisija ir EKSSG turėtų įvertinti tokio prašymo būtinumą, atsižvelgiant į bendrus šio reglamento uždavinius ir tikslus ir užtikrinant ENISA išteklių planavimo ir naudojimo tęstinumą.

Gavusi tokį prašymą, ENISA turėtų nedelsdama parengti konkretiems IRT, produktams, paslaugoms ar IRT procesams skirtas potencialias schemas. Komisija turėtų įvertinti teigiamą ir neigiamą jos prašymo poveikį konkrečiai rinkai, ypač poveikį MVĮ, inovacijoms, kliūtims patekti į tą rinką ir galutiniams naudotojams tenkančioms išlaidoms. Tada Komisija remiantis agentūros ENISA pasiūlyta potencialia schema turėtų būti įgaliota priimti įgyvendinimo aktus, kuriais būtų patvirtinta Europos kibernetinio saugumo sertifikavimo schema. Atsižvelgiant į bendrąjį šio reglamento tikslą ir jame nustatytus saugumo tikslus, Komisijos patvirtintose Europos kibernetinio saugumo sertifikavimo schemose turėtų būti nustatyti būtiniausi individualios schemos elementai, susiję su dalyku, taikymo sritimi ir veikimu. Tie elementai, be kita ko, turėtų apimti kibernetinio saugumo sertifikavimo taikymo sritį ir tikslą, taip pat IRT produktų, paslaugų ir procesų, kuriems taikomas sertifikavimas, kategorijas, išsamias kibernetinio saugumo reikalavimų specifikacijas, pavyzdžiui, nurodant standartus ar technines specifikacijas, konkrečius vertinimo kriterijus ir vertinimo metodus, taip pat numatomą saugumo užtikrinimo lygį, kuris gali būti bazinis, pakankamai aukštas ir (arba) aukštas, taip pat, kai taikytina, vertinimo lygius. ENISA turėtų galėti tinkamai pagrįstais atvejais atmesti Europos kibernetinio saugumo sertifikavimo grupės (EKSSG) prašymą. Tokius sprendimus turėtų priimti Valdančioji taryba ir jie turėtų būti tinkamai pagrįsti;

(85)

ENISA turėtų administruoti interneto svetainę, kurioje būtų teikiama informacija apie Europos kibernetinio saugumo sertifikavimo schemas ir jų reklama, ir kurioje, be kita ko, turėtų būti pateikti prašymai parengti potencialią schemą, taip pat per parengiamąjį etapą ENISA vykdyto konsultacijų proceso metu gauta grįžtamoji informacija. Interneto svetainėje taip pat turėtų būti teikiama informacija apie pagal šį reglamentą išduotus Europos kibernetinio saugumo sertifikatus ir ES atitikties pareiškimus, taip pat informacija apie tokių Europos kibernetinio saugumo sertifikatų ir ES atitikties pareiškimų panaikinimą ir galiojimo pabaigą. Interneto svetainėje taip pat turėtų būti nurodytos nacionalinės kibernetinio saugumo sertifikavimo schemos, kurias pakeitė Europos kibernetinio saugumo sertifikavimo schema;

(86)

Europos sertifikavimo schemos saugumo užtikrinimo lygis – pagrindas, kuriuo remiantis patvirtinama, kad IRT produktas, procesas ar paslauga atitinka tam tikros Europos kibernetinio saugumo sertifikavimo schemos saugumo reikalavimus. Siekiant užtikrinti Europos kibernetinio saugumo sertifikavimo sistemos nuoseklumą, Europos kibernetinio saugumo sertifikavimo schemoje turėtų būti galima apibrėžti pagal tą schemą išduodamų Europos kibernetinio saugumo sertifikatų ir ES atitikties pareiškimų saugumo užtikrinimo lygius. Kiekvienas Europos kibernetinio saugumo sertifikatas galėtų patvirtinti vieną iš saugumo užtikrinimo lygių: bazinį, pakankamai aukštą arba aukštą, o ES atitikties pareiškimas galėtų patvirtinti tik bazinį saugumo užtikrinimo lygį. Nuo saugumo užtikrinimo lygio priklausytų atitinkamas IRT produkto, paslaugos ar proceso vertinimo griežtumas ir išsamumas ir jis būtų apibūdinamas pagal tas specifikacijas, standartus ir procedūras, įskaitant technines kontrolės priemones, kurių tikslas – sušvelninti incidentus arba užkirsti jiems kelią. Kiekvienas saugumo užtikrinimo lygis turėtų būti nuoseklus įvairiose sektorių srityse, kuriose taikomas sertifikavimas;

(87)

Europos kibernetinio saugumo sertifikavimo schemoje galėtų būti nustatyti keli vertinimo lygiai, priklausomai nuo taikomos vertinimo metodikos griežtumo ir išsamumo. Vertinimo lygiai turėtų atitikti vieną iš saugumo užtikrinimo lygių ir turėtų būti susieta su tinkamu saugumo užtikrinimo komponentų deriniu. Visų saugumo užtikrinimo lygių atveju IRT produktas, paslauga ar procesas turėtų turėti tam tikrų saugių funkcijų, kaip nurodyta schemoje, kurios, be kita ko, gali būti šios: saugi standartinė konfigūracija, pasirašytasis kodas, saugus naujinimas ir galimybių pasinaudoti saugumo spragomis sumažinimas ir visapusiškos dėklo arba masyvo atminties apsaugos priemonės. Šios funkcijos turėtų būti sukurtos ir palaikomos naudojant į saugumą orientuotus kūrimo metodus ir susijusias priemones, kad būtų užtikrintas patikimas veiksmingų programinės ir aparatinės įrangos mechanizmų integravimas;

(88)

bazinio saugumo užtikrinimo lygio atveju atliekant vertinimą turėtų būti remiamasi bent šiais saugumo užtikrinimo komponentais: vertinimas turėtų apimti bent atitikties vertinimo įstaigos atliekamą IRT produkto, paslaugos ar proceso techninių dokumentų peržiūrą. Jei sertifikuojami IRT procesai, techninė peržiūra taip pat turėtų būti taikoma produktų ar paslaugų projektavimo, kūrimo ir palaikymo procesui. Tais atvejais, kai Europos kibernetinio saugumo sertifikavimo schemoje numatoma galimybė atlikti savarankišką atitikties vertinimą, turėtų pakakti, kad gamintojas arba paslaugų teikėjas būtų atlikęs savarankišką IRT produktų, paslaugų ar procesų atitikties sertifikavimo schemai vertinimą;

(89)

vertinimas dėl pakankamai aukšto saugumo užtikrinimo lygio, be bazinio saugumo užtikrinimo lygio komponentų, turėtų būti paremtas bent patikrinimu, ar IRT produkto, paslaugos ar proceso saugumo funkcinės galimybės atitinka jų techninius dokumentus;

(90)

vertinimas dėl aukšto saugumo užtikrinimo lygio, be pakankamai aukšto saugumo užtikrinimo lygio komponentų, turėtų būti paremtas bent efektyvumo bandymu, kuriuo įvertinamas IRT produkto, paslaugos ar proceso saugumo funkcinių galimybių atsparumas sudėtingų kibernetinių išpuolių, kuriuos vykdo aukšto lygio įgūdžių ir didelių išteklių turintys subjektai, rizikai;

(91)

Europos kibernetinio saugumo sertifikavimas arba ES atitikties pareiškimas turėtų likti neprivalomi, išskyrus atvejus, kai Sąjungos teisę ar pagal Sąjungos teisę priimtoje valstybių narių teisėje numatyta kitaip. Jeigu nėra suderintos Sąjungos teisės, valstybės narės gali pagal Europos Parlamento ir Tarybos direktyvą (ES) 2015/1535 (20) priimti nacionalines technines taisykles, kuriose būtų numatytas privalomas sertifikavimas pagal Europos kibernetinio saugumo sertifikavimo schemą. Valstybės narės taip pat gali pasinaudoti Europos kibernetinio saugumo sertifikavimu viešųjų pirkimų ir Europos Parlamento ir Tarybos direktyvos 2014/24/ES (21) kontekste;

(92)

kai kuriose srityse ateityje gali prireikti nustatyti, kad konkretūs kibernetinio saugumo reikalavimai ir sertifikavimas pagal juos būtų privalomi tam tikriems IRT produktams, paslaugoms ar procesams, siekiant padidinti kibernetinio saugumo lygį Sąjungoje. Komisija turėtų nuolat stebėti patvirtintų Europos kibernetinio saugumo sertifikavimo schemų poveikį saugių IRT produktų, paslaugų ir procesų prieinamumui vidaus rinkoje ir įvertinti, kaip plačiai sertifikavimo schemomis naudojasi gamintojai ir paslaugų teikėjai Sąjungoje. Dėl Europos kibernetinio saugumo sertifikavimo schemų efektyvumo ir poreikio konkrečias schemas padaryti privalomomis turėtų būti sprendžiama atsižvelgiant į Sąjungos teisės aktus, susijusius su kibernetiniu saugumu, visų pirma į Direktyvą (ES) 2016/1148, siekiant užtikrinti esminių paslaugų operatorių naudojamų tinklų ir informacinių sistemų saugumą;

(93)

Europos kibernetinio saugumo sertifikatai ir ES atitikties pareiškimai turėtų padėti galutiniams naudotojams priimti pagrįstus sprendimus. Todėl kartu su IRT produktais, paslaugomis ir procesais, kurie buvo sertifikuoti ar kuriems buvo išduotas ES atitikties pareiškimas, turėtų būti pateikiama susisteminta informacija, pritaikyta tikėtinam techniniam numatomo naudotojo lygiui. Visa tokia informacija turėtų būti pateikiama internetu, o tam tikra informacija galėtų būti pateikiama nevirtualia, fizine forma. Galutinis naudotojas turėtų galėti gauti informaciją apie sertifikavimo schemos registracijos numerį, saugumo užtikrinimo lygį, kibernetinio saugumo rizikos, susijusios su IRT produktu, paslauga ar procesu, aprašymą, ir sertifikatą išdavusią instituciją ar įstaigą arba turėtų turėti galimybę gauti Europos kibernetinio saugumo sertifikato kopiją. Be to, galutinis naudotojas turėtų būti informuotas apie IRT produktų, paslaugų ar procesų gamintojo ar teikėjo taikomą paramos politiką kibernetinio saugumo srityje, t. y. per kiek laiko galutinis naudotojas gali tikėtis gauti kibernetinio saugumo atnaujinimus ar pataisas. Jeigu taikytina, turėtų būti teikiami patarimai dėl veiksmų ar nustatymų, kuriuos galutinis naudotojas gali atlikti siekdamas palaikyti ar padidinti IRT produkto, paslaugos ar proceso kibernetinį saugumą, ir bendrojo informacinio centro, kuriam būtų galima (papildomai prie automatinio pranešimo) pranešti apie kibernetinį išpuolį ar jo atveju gauti pagalbą, kontaktinė informacija. Ta informacija turėtų būti nuolat atnaujinama ir pateikiama informaciją apie Europos kibernetinio saugumo sertifikavimo schemas teikiančioje interneto svetainėje;

(94)

tačiau, siekiant įgyvendinti šio reglamento tikslus ir išvengti vidaus rinkos susiskaidymo, nacionalinės kibernetinio saugumo sertifikavimo schemos arba procedūros, skirtos IRT produktams, paslaugoms ir procesams, kuriems taikoma Europos kibernetinio saugumo sertifikavimo schema, turėtų nustoti galioti nuo Komisijos priimtu įgyvendinimo aktu nustatytos dienos. Be to, valstybės narės neturėtų nustatyti naujų nacionalinių kibernetinio saugumo sertifikavimo schemų, skirtų IRT produktams, paslaugoms ir procesams, kuriems jau taikoma galiojanti Europos kibernetinio saugumo sertifikavimo schema. Vis dėlto valstybėms narėms neturėtų būti trukdoma priimti arba toliau taikyti nacionalines kibernetinio saugumo sertifikavimo schemas nacionalinio saugumo tikslais. Valstybės narės turėtų informuoti Komisiją ir EKSSG apie ketinimą parengti naujas nacionalines kibernetinio saugumo sertifikavimo schemas. Komisija ir EKSSG turėtų įvertinti naujų nacionalinių kibernetinio sertifikavimo schemų poveikį tinkamam vidaus rinkos veikimui ir atsižvelgiant į strateginį interesą vietoj jų pageidauti Europos kibernetinio sertifikavimo schemos;

(95)

Europos kibernetinio saugumo sertifikavimo schemos yra skirtos padėti suderinti kibernetinio saugumo praktiką Sąjungoje. Jomis turi būti prisidėta prie kibernetinio saugumo lygio Sąjungoje padidinimo. Projektuojant Europos kibernetinio saugumo sertifikavimo schemas turėtų būti atsižvelgiama į inovacijas kibernetinio saugumo srityje ir sudarytos sąlygos jas kurti;

(96)

Europos kibernetinio sertifikavimo schemose turėtų būti atsižvelgiama į esamus programinės ir aparatinės įrangos kūrimo metodus ir visų pirma į dažnų programinės ar programinės aparatinės įrangos atnaujinimų poveikį individualiems Europos kibernetinio saugumo sertifikatams. Europos kibernetinio saugumo sertifikavimo schemose turėtų būti nurodyta, kokiomis sąlygomis dėl atnaujinimo gali būti reikalaujama, kad IRT produktas, paslauga ar procesas būtų pakartotinai sertifikuojami arba kad tam tikro Europos kibernetinio saugumo sertifikato taikymo sritis būtų sumažinta atsižvelgiant, kad atnaujinimas gali daryti neigiamą poveikį atitikčiai to sertifikato saugumo reikalavimams;

(97)

patvirtinus Europos kibernetinio saugumo sertifikavimo schemą IRT produktų gamintojai arba IRT paslaugų ar procesų teikėjai turėtų turėti galimybę teikti prašymą jų pasirinktai atitikties vertinimo įstaigai, įsisteigusiai bet kur Sąjungoje, sertifikuoti jų IRT produktus, paslaugas ar procesus. Atitikties vertinimo įstaigas, jeigu jos atitinka tam tikrus šiame reglamente nustatytus reikalavimus, turėtų akredituoti nacionalinė akreditacijos įstaiga. Akreditacija turėtų būti suteikiama ne ilgesniam kaip penkerių metų laikotarpiui ir turėtų būti pratęsiama tomis pačiomis sąlygomis, jei atitikties vertinimo įstaiga toliau atitinka reikalavimus. Nacionalinės akreditacijos įstaigos turėtų apriboti, laikinai sustabdyti arba panaikinti atitikties vertinimo įstaigos akreditaciją, jeigu akreditacijos sąlygos nevykdomos arba nebevykdomos arba jeigu atitikties vertinimo įstaiga pažeidžia šį reglamentą;

(98)

nacionalinės teisės aktuose pateikiamos nuorodos į nacionalinius standartus, kurie nustojo galioti dėl to, kad įsigaliojo Europos kibernetinio saugumo sertifikavimo schema, gali kelti painiavą. Todėl valstybės narės turėtų Europos kibernetinio saugumo sertifikavimo schemos patvirtinimą atspindėti savo nacionalinės teisės aktuose;

(99)

siekiant visoje Sąjungoje turėti lygiaverčius standartus, palengvinti Europos kibernetinio saugumo sertifikatų ir ES atitikties pareiškimų tarpusavio pripažinimą ir skatinti bendrą pasitikėjimą jais, būtina įdiegti nacionalinių kibernetinio saugumo sertifikavimo institucijų tarpusavio peržiūros sistemą. Tarpusavio peržiūra turėtų apimti procedūras, skirtas prižiūrėti IRT produktų, paslaugų ir procesų atitiktį Europos kibernetinio saugumo sertifikatams, stebėti, kaip savarankišką atitikties vertinimą atliekantys gamintojai ar teikėjai vykdo pareigas, vykdyti atitikties vertinimo įstaigų stebėseną, taip pat vertinti, ar įstaigų, išduodančių sertifikatus dėl aukšto saugumo užtikrinimo lygio, darbuotojai turi tinkamų ekspertinių žinių. Komisija turėtų priimti įgyvendinimo aktus, kuriuose nustatytų bent penkerių metų tarpusavio peržiūrų planą, taip pat išdėstytų tarpusavio peržiūros sistemos veikimo kriterijus ir metodiką;

(100)

nedarant poveikio bendrajai tarpusavio peržiūros sistemai, kuri Europos kibernetinio saugumo sertifikavimo sistemos kontekste būtų įdiegta visose nacionalinėse kibernetinio saugumo sertifikavimo institucijose, tam tikrose Europos kibernetinio saugumo sertifikavimo schemose gali būti numatytas tarpusavio vertinimo mechanizmas, skirtas įstaigoms, išduodančioms IRT produktų, paslaugų ir procesų Europos kibernetinio saugumo sertifikatus dėl aukšto saugumo užtikrinimo lygio pagal tokias schemas. EKSSG turėtų remti tokių tarpusavio vertinimo mechanizmų įgyvendinimą. Atliekant tarpusavio vertinimus visų pirma turėtų būti vertinama, ar atitinkamos įstaigos suderintai vykdo savo užduotis, taip pat juose gali būti numatyti apskundimo mechanizmai. Tarpusavio vertinimų rezultatai turėtų būti skelbiami viešai. Atitinkamos įstaigos gali atitinkamai patvirtinti atitinkamas savo praktikos ir ekspertinių žinių pritaikymo priemones;

(101)

valstybės narės turėtų paskirti vieną ar kelias nacionalines kibernetinio saugumo sertifikavimo institucijas, kurios prižiūrėtų, kaip vykdomos iš šio reglamento kylančios pareigos. Jeigu valstybė narė mano tai esant tikslinga, užduotys gali būti pavedamos jau veikiančioms institucijoms. Be to, valstybė narė turėtų galėti abipusiu susitarimu su kita valstybe nare nuspręsti paskirti vieną ar kelias nacionalines kibernetinio saugumo sertifikavimo institucijas tos kitos valstybės narės teritorijoje;

(102)

nacionalinės kibernetinio saugumo sertifikavimo institucijos visų pirma turėtų stebėti, kaip jų atitinkamoje teritorijoje įsisteigę IRT produktų gamintojai arba IRT paslaugų ar procesų teikėjai vykdo su ES atitikties pareiškimu susijusias pareigas, ir užtikrinti jų vykdymą, padėti nacionalinėms akreditacijos įstaigoms vykdyti atitikties vertinimo įstaigų atliekamą stebėsenos ir priežiūros veiklą teikdama joms ekspertines žinias ir atitinkamą informaciją, įgalioti atitikties vertinimo įstaigas atlikti jų užduotis, kai tos įstaigos tenkina papildomus Europos kibernetinio saugumo sertifikavimo schemoje nustatytus reikalavimus, ir stebėti svarbius pokyčius kibernetinio saugumo sertifikavimo srityje. Nacionalinės kibernetinio saugumo sertifikavimo institucijos taip pat turėtų nagrinėti fizinių ar juridinių asmenų pateiktus skundus, susijusius su tų institucijų išduotais Europos kibernetinio saugumo sertifikatais arba atitikties vertinimo įstaigų išduotais Europos kibernetinio saugumo sertifikatais, patvirtinančiais aukštą saugumo užtikrinimo lygį, tinkamu mastu tirti skundo objektą ir per pagrįstą laikotarpį informuoti skundo pateikėją apie tyrimo eigą ir rezultatus. Be to, nacionalinės kibernetinio saugumo sertifikavimo institucijos turėtų bendradarbiauti su kitomis nacionalinėmis kibernetinio saugumo sertifikavimo institucijomis ar kitomis valdžios institucijomis, be kita ko, dalydamosi informacija apie galimą IRT produktų, paslaugų ir procesų neatitiktį šio reglamento arba konkrečių Europos kibernetinio saugumo sertifikavimo schemų reikalavimams. Komisija turėtų sudaryti palankias sąlygas tokiam dalijimuisi informacija suteikdama galimybę naudotis bendrąja elektroninės informacijos teikimo sistema, pavyzdžiui, rinkos priežiūros informacine ryšių sistema (ICSMS) ir skubių pranešimų apie pavojingus ne maisto produktus sistema (RAPEX), kuriomis pagal Reglamentą (EB) Nr. 765/2008 jau naudojasi rinkos priežiūros institucijos;

(103)

siekiant užtikrinti nuoseklų Europos kibernetinio saugumo sertifikavimo sistemos taikymą reikėtų įsteigti iš nacionalinių kibernetinio saugumo sertifikavimo institucijų arba kitų atitinkamų nacionalinių institucijų atstovų sudarytą EKSSG. Pagrindinės EKSSG užduotys turėtų būti konsultuoti Komisiją ir padėti jai užtikrinti nuoseklų Europos kibernetinio saugumo sertifikavimo sistemos įgyvendinimą ir taikymą, padėti ENISA ir glaudžiai su ja bendradarbiauti rengiant potencialias kibernetinio saugumo sertifikavimo schemas, tinkamai pagrįstais atvejais prašyti ENISA parengti potencialią schemą, priimti ENISA skirtas nuomones dėl potencialių schemų ir Komisijai skirtas nuomones, susijusias su esamų Europos kibernetinio saugumo sertifikavimo schemų palaikymu ir peržiūra. EKSSG turėtų sudaryti palankesnes sąlygas įvairioms nacionalinėms kibernetinio saugumo sertifikavimo institucijoms, atsakingoms už atitikties vertinimo įstaigų įgaliojimą ir Europos kibernetinio saugumo sertifikatų išdavimą, keistis gerąja praktika ir ekspertinėmis žiniomis;

(104)

siekdama padidinti informuotumą ir būsimų Sąjungos kibernetinio saugumo sertifikavimo schemų priimtinumą, Komisija gali parengti bendras arba konkrečiam sektoriui skirtas kibernetinio saugumo rekomendacijas, pavyzdžiui, dėl gerosios kibernetinio saugumo praktikos, arba atsakingo saugaus elgesio kibernetinėje erdvėje, ir pabrėžti teigiamą sertifikuotų IRT produktų, paslaugų ir procesų naudojimo poveikį;

(105)

siekiant dar labiau palengvinti prekybą ir pripažįstant, kad IRT tiekimo grandinės yra pasaulinio masto, pagal Sutarties dėl Europos Sąjungos veikimo (SESV) 218 straipsnį Sąjunga gali sudaryti susitarimus dėl Europos kibernetinio saugumo sertifikatų tarpusavio pripažinimo. Komisija, atsižvelgdama į ENISA ir Europos kibernetinio saugumo sertifikavimo grupės nuomonę, gali rekomenduoti pradėti atitinkamas derybas. Kiekvienoje Europos kibernetinio saugumo sertifikavimo schemoje turėtų būti nustatytos konkrečios tarpusavio pripažinimo susitarimų su trečiosiomis valstybėmis sąlygos;

(106)

siekiant užtikrinti vienodas šio reglamento įgyvendinimo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai. Tais įgaliojimais turėtų būti naudojamasi laikantis Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011 (22);

(107)

turėtų būti naudojama nagrinėjimo procedūra siekiant priimti įgyvendinimo aktus dėl IRT produktų, paslaugų ir procesų Europos kibernetinio saugumo sertifikavimo schemų, dėl ENISA atliekamų tyrimų tvarkos, dėl nacionalinių kibernetinio saugumo sertifikavimo institucijų tarpusavio peržiūros plano, taip pat dėl aplinkybių, formatų ir procedūrų, susijusių su nacionalinių kibernetinio saugumo sertifikavimo institucijų pranešimu Komisijai apie akredituotas atitikties vertinimo įstaigas;

(108)

ENISA veikla turėtų būti vertinama reguliariai ir nepriklausomai. Turėtų būti vertinama, ar ENISA vykdo savo tikslus, jos darbo metodai ir jos užduočių aktualumas, ypač jos užduotys, susijusios su operatyviniu bendradarbiavimu Sąjungos lygmeniu. Atliekant tą vertinimą taip pat turėtų būti įvertintas Europos kibernetinio saugumo sertifikavimo sistemos poveikis, veiksmingumas ir efektyvumas. Kalbant apie peržiūrą, Komisija turėtų įvertinti, kaip galima sustiprinti ENISA, kaip informacinio centro, vaidmenį teikiant rekomendacijas ir ekspertines žinias, ir įvertinti ENISA vaidmenį padedant vertinti į Sąjungos rinką patenkančius trečiųjų valstybių IRT produktus, paslaugas ir procesus, kurie neatitinka Sąjungos taisyklių reikalavimų;

(109)

kadangi šio reglamento tikslų valstybės narės negali deramai pasiekti, o dėl jo masto ir poveikio tų tikslų būtų geriau siekti Sąjungos lygmeniu, laikydamasi Europos Sąjungos sutarties (toliau – ES sutartis) 5 straipsnyje nustatyto subsidiarumo principo Sąjunga gali patvirtinti priemones. Pagal tame straipsnyje nustatytą proporcingumo principą šiuo reglamentu neviršijama to, kas būtina tiems tikslams pasiekti;

(110)

Reglamentas (ES) Nr. 526/2013 turėtų būti panaikintas,