Regulamentul 881/17-apr-2019 privind ENISA (Agenţia Uniunii Europene pentru Securitate Cibernetică) şi privind certificarea securităţii cibernetice pentru tehnologia informaţiei şi comunicaţiilor şi de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică)
Acte UE
Jurnalul Oficial 151L
În vigoare Versiune de la: 7 Iunie 2019
Regulamentul 881/17-apr-2019 privind ENISA (Agenţia Uniunii Europene pentru Securitate Cibernetică) şi privind certificarea securităţii cibernetice pentru tehnologia informaţiei şi comunicaţiilor şi de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică)
Dată act: 17-apr-2019
Emitent: Consiliul Uniunii Europene;Parlamentul European
(Text cu relevanţă pentru SEE)
PARLAMENTUL EUROPEAN ŞI CONSILIUL UNIUNII EUROPENE,
având în vedere Tratatul privind funcţionarea Uniunii Europene, în special articolul 114,
având în vedere propunerea Comisiei Europene,
după transmiterea proiectului de act legislativ către parlamentele naţionale,
având în vedere avizul Comitetului Economic şi Social European (1),
(1)JO C 227, 28.6.2018, p. 86
având în vedere avizul Comitetului Regiunilor (2),
(2)JO C 176, 23.5.2018, p. 29.
hotărând în conformitate cu procedura legislativă ordinară (3),
(3)Poziţia Parlamentului European din 12 martie 2019 (nepublicată încă în Jurnalul Oficial) şi Decizia Consiliului din 9 aprilie 2019.
întrucât:
(1)Reţelele şi sistemele informatice şi reţelele şi serviciile de comunicaţii îndeplinesc un rol vital pentru societate şi au devenit coloana vertebrală a creşterii economice. Tehnologia informaţiei şi comunicaţiilor (TIC) stă la baza sistemelor complexe care sprijină activităţile de zi cu zi ale societăţii, asigură funcţionarea economiei în sectoare-cheie cum ar fi sănătatea, energia, finanţele şi transporturile şi, mai ales, susţine funcţionarea pieţei interne.
(2)În prezent, reţelele şi sistemele informatice sunt utilizate la scară generală de cetăţenii, organizaţiile şi întreprinderile din întreaga Uniune. Digitalizarea şi conectivitatea sunt pe cale să devină caracteristici principale ale unui număr tot mai mare de produse şi servicii, preconizându-se că, odată cu apariţia internetului obiectelor, un număr extrem de mare de dispozitive digitale conectate vor intra în folosinţă în Uniune în următorul deceniu. Deşi numărul dispozitivelor conectate la internet este în creştere, securitatea şi rezilienţa nu sunt incluse suficient din faza de concepere, ceea ce duce la o securitate cibernetică insuficientă. În acest context, din cauză că certificarea nu este utilizată decât într-o măsură limitată, utilizatorii persoane fizice, organizaţii sau întreprinderi nu dispun de suficiente informaţii despre caracteristicile de securitate cibernetică ale produselor TIC, serviciilor TIC şi proceselor TIC, ceea ce erodează încrederea în soluţiile digitale. Reţelele şi sistemele informatice sunt capabile să susţină toate aspectele vieţilor noastre şi de a determina creşterea economică a Uniunii. Acestea sunt elemente fundamentale pentru realizarea pieţei unice digitale.
(3)Creşterea gradului de digitalizare şi conectivitate duce la agravarea riscurilor pentru securitatea cibernetică, societatea, în general, devenind astfel mai vulnerabilă la ameninţările cibernetice, iar pericolele cu care se confruntă persoanele fizice, mai ales persoanele vulnerabile precum copiii, fiind extrem de mari. Pentru a atenua riscurile menţionate, este necesar să fie luate toate măsurile pentru îmbunătăţirea securităţii cibernetice în Uniune, astfel încât reţelele şi sistemele informatice, reţelele de comunicaţii, produsele, serviciile şi dispozitivele digitale utilizate de cetăţeni, organizaţii şi întreprinderi - de la întreprinderile mici şi mijlocii (IMM-uri), astfel cum sunt definite în Recomandarea 2003/361/CE a Comisiei (4), la operatorii de infrastructuri critice - să fie mai bine protejate împotriva ameninţărilor cibernetice.
(4)Recomandarea Comisiei din 6 mai 2003 privind definirea microîntreprinderilor şi a întreprinderilor mici şi mijlocii (JO L 124, 20.5.2003, p. 36).
(4)Punând la dispoziţia publicului informaţii relevante, Agenţia Uniunii Europene pentru Securitatea Reţelelor Informatice şi a Informaţiilor (ENISA), instituită prin Regulamentul (UE) nr. 526/2013 al Parlamentului European şi al Consiliului (5) contribuie la dezvoltarea sectorului securităţii cibernetice în Uniune, mai ales în ceea ce priveşte IMM-urile şi întreprinderile nou-înfiinţate. ENISA ar trebui să depună eforturi să coopereze mai îndeaproape cu universităţile şi cu institutele de cercetare, pentru a contribui la reducerea dependenţei de produse şi servicii de securitate cibernetică din afara Uniunii, precum şi la consolidarea lanţurilor de aprovizionare din interiorul Uniunii.
(5)Regulamentul (UE) nr. 526/2013 al Parlamentului European şi al Consiliului din 21 mai 2013 privind Agenţia Uniunii Europene pentru Securitatea Reţelelor şi a Informaţiilor (ENISA) şi de abrogare a Regulamentului (CE) nr. 460/2004 (JO L 165, 18.6.2013, p. 41).
(5)În condiţiile în care atacurile cibernetice sunt în creştere, o economie şi o societate conectate mai vulnerabile la ameninţările şi atacurile cibernetice necesită protecţie mai puternică. Cu toate acestea, deşi atacurile cibernetice sunt adesea transfrontaliere, competenţa şi răspunsurile oferite de politicile autorităţilor de securitate cibernetică şi de aplicare a legii sunt predominant naţionale. Incidentele de mare amploare ar putea să perturbe furnizarea serviciilor esenţiale pe întregul teritoriu al Uniunii. Aceasta necesită răspunsul şi gestionarea crizelor la nivelul Uniunii în mod eficace şi coordonat, bazându-se pe politicile specifice şi pe instrumentele mai generale de solidaritate europeană şi asistenţă reciprocă. În plus, pentru factorii de decizie politică, pentru industrie şi pentru utilizatori este important să existe o evaluare periodică a situaţiei în materie de securitate cibernetică şi rezilienţă în Uniune, bazată de la date fiabile la nivelul Uniunii, precum şi prognoze sistematice ale evoluţiilor, provocărilor şi ameninţărilor viitoare, la nivelul Uniunii şi la nivel mondial.
(6)Având în vedere intensificarea provocărilor în materie de securitate cibernetică cu care se confruntă Uniunea, este nevoie de un set cuprinzător de măsuri care să se bazeze pe acţiunile anterioare ale Uniunii şi să promoveze obiective care se consolidează reciproc. Printre aceste obiective se numără sporirea şi mai mult a capacităţile şi a gradului de pregătire ale statelor membre şi ale întreprinderilor, precum şi îmbunătăţirea cooperării, a schimbului de informaţii şi coordonării între statele membre şi instituţiile, organele, oficiile şi agenţiile Uniunii. Mai mult decât atât, ameninţările cibernetice nu se opresc la frontiere, motiv pentru care este necesară dezvoltarea capacităţilor la nivelul Uniunii care ar putea completa acţiunea statelor membre, în special în cazul incidentelor şi al crizelor cibernetice transfrontaliere de mare amploare, luând în considerare totodată importanţa de a se menţine şi de a se consolida şi mai mult capacităţile naţionale de a răspunde la ameninţările cibernetice, oricare ar fi amploarea acestora.
(7)De asemenea, sunt necesare eforturi suplimentare pentru a spori gradul de sensibilizare a cetăţenilor, organizaţiilor şi întreprinderilor cu privire la aspectele legate de securitatea cibernetică. În plus, având în vedere că incidentele subminează încrederea în furnizorii de servicii digitale şi chiar în piaţa unică digitală, mai ales în rândul consumatorilor, ar trebui consolidată şi mai mult încrederea, oferind în mod transparent informaţii despre nivelul de securitate al produselor TIC, serviciilor TIC şi proceselor TIC, subliniind că nici măcar un nivel ridicat de securitate cibernetică nu poate garanta că un produs TIC, un serviciu TIC sau un proces TIC este pe deplin sigur. O creştere a încrederii poate fi facilitată printr-o certificare la nivelul Uniunii care să prevadă cerinţe comune în materie de securitate cibernetică şi criterii de evaluare aplicabile pe toate pieţele naţionale şi în toate sectoarele.
(8)Securitatea cibernetică nu e o chestiune legată numai de tehnologie, comportamentul uman fiind la fel de important. Din acest motiv, ar trebui promovată intens "igiena cibernetică", şi anume simple măsuri de rutină care, atunci când sunt introduse şi aplicate cu regularitate de cetăţeni, de organizaţii şi de întreprinderi, reduc la minimum expunerea acestora la riscurile pe care le presupun ameninţările cibernetice.
(9)În scopul consolidării structurilor Uniunii de securitate cibernetică, este important să se menţină şi să se dezvolte capacităţile statelor membre de a răspunde în mod cuprinzător la ameninţările cibernetice, inclusiv la incidentele transfrontaliere.
(10)Întreprinderile şi consumatorii individuali ar trebui să dispună de informaţii exacte despre nivelul de asigurare la care a fost certificată securitatea produselor TIC, serviciilor TIC şi proceselor TIC. În acelaşi timp, niciun produs TIC sau serviciu TIC nu este pe deplin sigur din punct de vedere cibernetic şi este necesar ca normele de bază de igienă cibernetică să fie promovate şi să li se acorde prioritate. Având în vedere disponibilitatea tot mai mare a dispozitivelor aferente internetului obiectelor, sectorul privat poate lua în mod voluntar o serie de măsuri pentru a consolida încrederea în produsele TIC, serviciile TIC şi procesele TIC.
(11)Produsele şi sistemele TIC moderne integrează adeseori una sau mai multe tehnologii şi componente terţe, cum ar fi module software, biblioteci sau interfeţe de programare a aplicaţiilor, sau se bazează pe acestea. Această dependenţă ar putea cauza riscuri suplimentare pentru securitatea cibernetică, dat fiind că vulnerabilităţile prezente în componentele terţe pot afecta şi securitatea produselor TIC, a serviciilor TIC şi a proceselor TIC. În numeroase cazuri, identificarea şi documentarea unor astfel de dependenţe le permite utilizatorilor finali de produse TIC, servicii TIC şi procese TIC să îşi îmbunătăţească activităţile de gestionare a riscurilor pentru securitatea cibernetică, îmbunătăţind, de exemplu, gestionarea vulnerabilităţii în materie de securitate cibernetică şi procedurile de remediere a acesteia.
(12)Organizaţiile, producătorii sau furnizorii implicaţi în conceperea şi dezvoltarea produselor TIC, serviciilor TIC şi proceselor TIC ar trebui încurajaţi să introducă măsuri încă din primele etape de concepere şi dezvoltare, să protejeze de la bun început, în cel mai înalt grad posibil, securitatea respectivelor produse, servicii şi procese, astfel încât producerea unor atacuri cibernetice să fie prezumată, iar impactul acestora să fie anticipat şi redus la minimum (denumită în continuare "securitate începând cu momentul conceperii"). Ar trebui să se asigure securitatea pe întregul ciclu de viaţă al produsului TIC, serviciului TIC şi procesului TIC, printr-o evoluţie constantă a proceselor de concepere şi de dezvoltare, pentru a se reduce riscul de prejudicii cauzate de exploatarea rău intenţionată.
(13)Întreprinderile, organizaţiile şi sectorul public ar trebui să configureze produsele TIC, serviciile TIC sau procesele TIC pe care le concep astfel încât să asigure un nivel mai ridicat de securitate, care să îi permită primul utilizator să primească o configuraţie intrinsecă cu setările cu cel mai ridicat nivel de securitate posibil (denumită în continuare "securitate implicită") şi să reducă astfel sarcina utilizatorilor de a-şi configura în mod corespunzător un produs TIC, un serviciu TIC sau un proces TIC. Securitatea implicită nu ar trebui să necesite o configurare extensivă, o înţelegere tehnică specifică sau un comportament neevident din partea utilizatorului, ci ar trebui să funcţioneze cu uşurinţă şi în mod fiabil atunci când este implementată. Dacă, de la caz la caz, în urma unei analize a riscurilor şi a utilizării se constată că o astfel de configurare implicită nu este fezabilă, ar trebui să li se recomande utilizatorilor să aleagă configuraţia cu cel mai ridicat nivel de securitate.
(14)Regulamentul (CE) nr. 460/2004 al Parlamentului European şi al Consiliului (6) a instituit ENISA cu scopul de a contribui la obiectivele de asigurare a unui nivel ridicat şi eficace al securităţii reţelelor şi a informaţiilor în Uniune şi la dezvoltarea unei culturi a securităţii reţelelor şi a informaţiilor, în beneficiul cetăţenilor, al consumatorilor, al întreprinderilor şi al administraţiilor publice. Regulamentul (CE) nr. 1007/2008 al Parlamentului European şi al Consiliului (7), a prelungit mandatul ENISA până în martie 2012. Regulamentul (UE) nr. 580/2011 al Parlamentului European şi al Consiliului (8) a prelungit din nou mandatul ENISA până la 13 septembrie 2013. Regulamentul (UE) nr. 526/2013 a prelungit mandatul ENISA până la 19 iunie 2020.
(6)Regulamentul (CE) nr. 460/2004 al Parlamentului European şi al Consiliului din 10 martie 2004 privind instituirea Agenţiei Europene pentru Securitatea Reţelelor Informatice şi a Datelor (JO L 77, 13.3.2004, p. 1).
(7)Regulamentul (CE) nr. 1007/2008 al Parlamentului European şi al Consiliului din 24 septembrie 2008 de modificare a Regulamentului (CE) nr. 460/2004 privind instituirea Agenţiei Europene pentru Securitatea Reţelelor Informatice şi a Datelor, în ceea ce priveşte durata de funcţionare a acesteia (JO L 293, 31.10.2008, p. 1).
(8)Regulamentul (UE) nr. 580/2011 al Parlamentului European şi al Consiliului din 8 iunie 2011 de modificare a Regulamentului (CE) nr. 460/2004 privind instituirea Agenţiei Europene pentru Securitatea Reţelelor Informatice şi a Datelor, în ceea ce priveşte durata de funcţionare a acesteia (JO L 165, 24.6.2011, p. 3).
(15)Uniunea a luat deja măsuri importante pentru a asigura securitatea cibernetică şi a creşte încrederea în tehnologiile digitale. În 2013 a fost adoptată Strategia de securitate cibernetică a Uniunii Europene, menită să orienteze politicile prin care Uniunea răspunde la ameninţările cibernetice şi riscurile pentru securitatea cibernetică. În cadrul eforturilor depuse pentru a proteja mai bine cetăţenii în mediul online, primul act legislativ al Uniunii în domeniul securităţii cibernetice a fost adoptat în 2016 sub forma Directivei (UE) 2016/1148 a Parlamentului European şi a Consiliului (9). Directiva (UE) 2016/1148 a instituit cerinţe privind capacităţile naţionale în domeniul securităţii cibernetice, a creat primele mecanisme de intensificare a cooperării strategice şi operaţionale între statele membre şi a introdus obligaţii privind măsurile de securitate şi notificările incidentelor în sectoare vitale pentru economie şi societate, cum ar fi energia, transporturile, furnizarea şi distribuirea de apă potabilă, băncile, infrastructurile pieţei financiare, asistenţa medicală, infrastructurile digitale, precum şi furnizorii de servicii digitale esenţiale (motoarele de căutare, serviciile de cloud computing şi pieţele online).
(9)Directiva (UE) 2016/1148 a Parlamentului European şi a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a reţelelor şi a sistemelor informatice în Uniune (JO L 194, 19.7.2016, p. 1).
ENISA a primit un rol esenţial de sprijinire a punerii în aplicare a directivei respective. În plus, combaterea eficace a criminalităţii informatice se numără printre priorităţile importante ale Agendei europene privind securitatea, contribuind la obiectivul general de obţinere a unui nivel ridicat de securitate cibernetică. Alte acte juridice, cum ar fi Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului (10), Directivele 2002/58/CE (11) şi (UE) 2018/1972 (12) ale Parlamentului European şi ale Consiliului, contribuie, de asemenea, la un nivel înalt de securitate cibernetică în cadrul pieţei unice digitale.
(10)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) (JO L 119, 4.5.2016, p. 1).
(11)Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice) (JO L 201, 31.7.2002, p. 37).
(12)Directiva (UE) 2018/1972 a Parlamentului European şi a Consiliului din 11 decembrie 2018 de instituire a Codului european al comunicaţiilor electronice (JO L 321, 17.12.2018, p. 36).
(16)De la adoptarea Strategiei de securitate cibernetică a Uniunii Europene, în 2013, şi de la ultima revizuire a mandatului ENISA, contextul general de politici a cunoscut schimbări semnificative, întrucât mediul mondial a devenit mai incert şi mai puţin sigur. În acest context şi în contextul dezvoltării pozitive a rolului ENISA drept punct de referinţă în materie de consiliere şi de expertiză şi drept facilitatoare a cooperării şi a consolidării capacităţilor, precum şi în cadrul noii politici de securitate cibernetică a Uniunii, este necesar să se revizuiască mandatul ENISA pentru a stabili rolul ce îi revine în ecosistemul de securitate cibernetică rezultat în urma acestor evoluţii şi pentru a oferi garanţia că ENISA contribuie în mod eficace la răspunsul Uniunii la provocările în materie de securitate cibernetică ce îşi au originea în transformarea radicală a naturii ameninţărilor cibernetice, pentru care, astfel cum se recunoaşte în evaluarea ENISA, mandatul actual nu este suficient.
(17)ENISA astfel cum este instituită prin prezentul regulament ar trebui să succeadă ENISA astfel cum a fost instituită prin Regulamentul (UE) nr. 526/2013. ENISA ar trebui să ducă la îndeplinire atribuţiile care îi sunt conferite prin prezentul regulament şi prin alte acte juridice ale Uniunii din domeniul securităţii cibernetice, printre altele prin furnizarea de consiliere şi expertiză şi prin exercitarea rolului de centru de informare şi de cunoştinţe al Uniunii. ENISA ar trebui să promoveze schimbul de bune practici între statele membre şi părţile interesate din sectorul privat, oferind sugestii în materie de politici Comisiei şi statelor membre, acţionând ca punct de referinţă pentru iniţiativele de politică sectorială ale Uniunii în ceea ce priveşte aspectele legate de securitatea cibernetică, încurajând cooperarea operaţională între statele membre, precum şi între statele membre şi instituţiile, organele, oficiile şi agenţiile Uniunii.
(18)În cadrul Deciziei (CE, Euratom) 2004/97, adoptată de comun acord de reprezentanţii statelor membre, reuniţi la nivel de şefi de stat sau de guvern (13), reprezentanţii statelor membre au decis că ENISA îşi va avea sediul într-un oraş din Grecia care urma să fie stabilit de guvernul elen. Statul membru gazdă al ENISA ar trebui să asigure cele mai bune condiţii posibile pentru funcţionarea optimă şi în mod eficient a ENISA. Pentru îndeplinirea adecvată şi eficientă a atribuţiilor sale, pentru recrutarea şi menţinerea personalului, precum şi pentru consolidarea eficienţei activităţilor sale de relaţionare este indispensabil ca ENISA să aibă un amplasament adecvat care, printre altele, să ofere conexiuni de transport şi facilităţi adecvate pentru soţii sau soţiile şi copiii care însoţesc membrii personalului ENISA. Dispoziţiile necesare ar trebui stabilite într-un acord încheiat între ENISA şi statul membru gazdă, după obţinerea aprobării consiliului de administraţie al ENISA.
(13)Decizia (CE, Euratom) 2004/97 adoptată de comun acord de reprezentanţii statelor membre, reuniţi la nivel de şefi de stat sau de guvern din 13 decembrie 2003 privind amplasarea sediilor anumitor oficii şi agenţii ale Uniunii Europene (JO L 29, 3.2.2004, p. 15).
(19)Având în vedere agravarea provocărilor şi a riscurilor pentru securitatea cibernetică cu care se confruntă Uniunea, ar trebui crescute resursele financiare şi umane alocate ENISA, care să corespundă consolidării rolului şi atribuţiilor sale, precum şi poziţiei sale critice în ecosistemul de organizaţii care apără ecosistemul digital al Uniunii, astfel încât ENISA să îşi poată îndeplini cu eficacitate atribuţiile care i-au fost conferite prin prezentul regulament.
(20)ENISA ar trebui să dezvolte şi să menţină un nivel ridicat de expertiză şi să funcţioneze ca punct de referinţă care să stabilească încrederea în piaţa unică graţie independenţei sale, calităţii consilierii acordate şi informaţiilor diseminate, transparenţei procedurilor şi a metodelor sale de operare, precum şi eforturilor depuse în îndeplinirea atribuţiilor sale. ENISA ar trebui să sprijine activ eforturile depuse la nivel naţional şi ar trebui să contribuie proactiv la eforturile depuse Uniunii, îndeplinindu-şi totodată atribuţiile în deplină cooperare cu instituţiile, organele, oficiile şi agenţiile Uniunii şi cu statele membre, evitând orice dublare a activităţilor şi promovând sinergia. În plus, ENISA ar trebui să se bazeze pe informaţiile primite de la sectorul privat şi alte părţi interesate relevante şi pe cooperarea cu acestea. Este necesar să se stabilească printr-o serie de atribuţii modul în care ENISA îşi realizează obiectivele, permiţându-i în acelaşi timp să funcţioneze flexibil.
(21)Pentru a putea sprijini în mod corespunzător cooperarea operaţională între statele membre, ENISA ar trebui să îşi consolideze şi mai mult capacităţile şi aptitudinile tehnice şi umane. ENISA ar trebui să îşi sporească know-how-ul şi capacităţile. ENISA şi statele membre ar putea, în mod voluntar, să elaboreze programe pentru experţii naţionali detaşaţi la ENISA, să creeze rezerve de experţi şi să facă schimburi de personal.
(22)ENISA ar trebui să furnizeze asistenţă Comisiei sub formă de consiliere, avize şi analize cu privire la toate chestiunile de competenţa Uniunii legate de elaborarea, actualizarea şi revizuirea politicilor şi legislaţiei din domeniul securităţii cibernetice, precum şi de aspectele sectoriale specifice din acest domeniu, pentru a consolida relevanţa politicilor şi a legislaţiei Uniunii cu o dimensiune de securitate cibernetică şi pentru a permite punerea acestora în aplicare în mod coerent la nivel naţional. ENISA ar trebui să acţioneze ca punct de referinţă în ceea ce priveşte consilierea şi expertiza pentru iniţiativele de politică şi legislative sectoriale ale Uniunii în cazul în care intervin chestiuni legate de securitatea cibernetică. ENISA ar trebui să informeze periodic Parlamentul European despre activităţile sale.
(23)Nucleul public al internetului deschis, şi anume principalele sale protocoale şi infrastructură, care constituie un bun public global, oferă funcţionalitatea esenţială a internetului în ansamblu şi susţine funcţionarea sa normală. ENISA ar trebui să sprijine securitatea nucleului public al internetului deschis şi stabilitatea funcţionării sale, inclusiv, printre altele, protocoalele-cheie (mai ales DNS, BGP şi IPv6), exploatarea sistemului de nume de domenii (cum ar fi operarea tuturor domeniilor de nivel superior) şi exploatarea zonei-rădăcină.
(24)Atribuţia fundamentală a ENISA este de a promova punerea în aplicare coerentă a cadrului juridic relevant, în special punerea în aplicare eficace a Directivei (UE) 2016/1148 şi a altor instrumente juridice relevante care conţin aspecte legate de securitatea cibernetică, fapt esenţial pentru sporirea rezilienţei cibernetice. Având în vedere evoluţia rapidă a naturii ameninţărilor cibernetice, este clar că statele membre trebuie să fie sprijinite printr-o abordare mai cuprinzătoare, bazată pe mai multe politici, a consolidării rezilienţei cibernetice.
(25)ENISA ar trebui să furnizeze asistenţă statelor membre şi instituţiilor, organelor, oficiilor şi agenţiilor Uniunii, venind în sprijinul eforturilor lor de a crea şi de a consolida capacităţile şi pregătirea necesare pentru a preveni, a detecta şi a răspunde la ameninţările cibernetice şi incidentele şi în ceea ce priveşte securitatea reţelelor şi a sistemelor informatice. În special, ENISA ar trebui să sprijine dezvoltarea şi consolidarea echipelor de intervenţie în caz de incidente de securitate informatică (denumite în continuare "echipe CSIRT") naţionale şi ale Uniunii prevăzute în Directiva (UE) 2016/1148, astfel încât acestea să ajungă la un nivel comun ridicat de maturitate în Uniune. Activităţile desfăşurate de ENISA în privinţa capacităţilor operaţionale ale statelor membre ar trebui să sprijine activ măsurile luate de statele membre pentru a-şi respecta obligaţiile în temeiul Directivei (UE) 2016/1148 şi, prin urmare, să nu li se substituie.
(26)ENISA ar trebui, de asemenea, să acorde asistenţă la elaborarea şi actualizarea strategiilor în materie de securitate a reţelelor şi a sistemelor informatice la nivelul Uniunii şi, la cerere, la nivelul statelor membre, în special în ceea ce priveşte securitatea cibernetică, şi ar trebui să promoveze diseminarea strategiilor respective şi să monitorizeze punerea în aplicare a acestora. Totodată, ENISA ar trebui să contribuie la satisfacerea nevoilor de formare şi de materiale de formare, inclusiv nevoile organismelor publice şi, dacă este cazul, să asigure în mare măsură formarea formatorilor pe baza cadrului de competenţe digitale pentru cetăţeni pentru a ajuta statele membre şi instituţiile, organele, oficiile şi agenţiile Uniunii să îşi dezvolte propriile capacităţi de formare.
(27)ENISA ar trebui să sprijine statele membre în domeniul sensibilizării şi al educării în materie de securitate cibernetică, prin facilitarea unei cooperări mai strânse şi a schimbului de bune practici între statele membre. Acest sprijin ar putea să constea în dezvoltarea unei reţele de puncte naţionale de contact în domeniul educaţiei şi în dezvoltarea unei platforme de formare în materie de securitate cibernetică. Reţeaua de puncte naţionale de contact în domeniul educaţiei ar putea funcţiona în cadrul reţelei ofiţerilor naţionali de legătură şi ar putea constitui un punct de plecare pentru viitoarea coordonare între statele membre.
(28)ENISA ar trebui să furnizeze asistenţă grupului de cooperare creat prin Directiva (UE) 2016/1148 în îndeplinirea atribuţiilor sale, în special oferind expertiză, asigurând consiliere şi facilitând schimbul de bune practici, printre altele în ceea ce priveşte identificarea operatorilor de servicii esenţiale de către statele membre, precum şi în legătură cu dependenţele transfrontaliere în ceea ce priveşte riscurile şi incidentele.
(29)Pentru a încuraja cooperarea între sectorul public şi cel privat şi cooperarea în cadrul acestuia din urmă, mai ales pentru a susţine protejarea infrastructurilor critice, ENISA ar trebui să sprijine schimbul de informaţii în cadrul sectoarelor şi între acestea, mai ales în sectoarele enumerate în anexa II la Directiva (UE) 2016/1148, furnizând bune practici şi orientări despre instrumentele disponibile, proceduri şi îndrumări despre modul de abordare a chestiunilor de reglementare legate de schimbul de informaţii, de exemplu prin facilitarea înfiinţării unor centre sectoriale de schimb şi de analiză de informaţii.
(30)Pe măsură ce impactul potenţial negativ al vulnerabilităţilor produselor TIC, serviciilor TIC şi proceselor TIC este în continuă creştere, descoperirea şi remedierea acestor vulnerabilităţi joacă un rol important în reducerea riscului general pentru securitatea cibernetică. Cooperarea dintre organizaţii, producători sau furnizori de produse TIC, servicii TIC şi procese TIC vulnerabile şi membrii comunităţii de cercetare în domeniul securităţii cibernetice şi autorităţile care descoperă astfel de vulnerabilităţi s-a dovedit că sporeşte în mod semnificativ atât ritmul descoperirii de vulnerabilităţi în produsele TIC, serviciile TIC şi procesele TIC, cât şi al remedierii acestora. Dezvăluirea coordonată a vulnerabilităţilor constă într-un proces structurat de cooperare în cadrul căruia vulnerabilităţile sunt raportate proprietarului sistemului informatic, dându-i organizaţiei ocazia de a diagnostica şi de a remedia vulnerabilitatea înainte ca informaţii detaliate referitoare la aceasta să fie divulgate părţilor terţe sau publicului. Procesul prevede de asemenea coordonarea între partea care descoperă vulnerabilităţile şi organizaţie în ceea ce priveşte publicarea respectivelor vulnerabilităţi. Politicile coordonate de divulgare a vulnerabilităţilor ar putea juca un rol important în eforturile statelor membre de a consolida securitatea cibernetică.
(31)ENISA ar trebui să grupeze şi să analizeze rapoartele naţionale puse la dispoziţie în mod voluntar de echipele CSIRT şi de Centrul interinstituţional de răspuns la incidente de securitate cibernetică pentru instituţiile, organele şi agenţiile Uniunii instituit prin Acordul între Parlamentul European, Consiliul European, Consiliul Uniunii Europene, Comisia Europeană, Curtea de Justiţie a Uniunii Europene, Banca Centrală Europeană, Curtea de Conturi Europeană, Serviciul European de Acţiune Externă, Comitetul Economic şi Social European, Comitetul European al Regiunilor şi Banca Europeană de Investiţii privind organizarea şi funcţionarea unui Centru de răspuns la incidente de securitate cibernetică pentru instituţiile, organele şi agenţiile Uniunii (CERT-UE) (14), în scopul de a contribui la stabilirea unor proceduri, limbaje şi terminologii comune pentru schimbul de informaţii. În acest context, ENISA ar trebui de asemenea să atragă participarea sectorului privat, în cadrul Directivei (UE) 2016/1148 care prevede bazele schimbului voluntar de informaţii tehnice la nivel operaţional în interiorul reţelei echipelor de intervenţie în caz de incidente de securitate informatică (denumită în continuare "reţeaua CSIRT") creată prin directiva menţionată.
(14)JO C 12, 13.1.2018, p. 1.
(32)ENISA ar trebui să contribuie la răspunsurile la nivelul Uniunii în cazul unor incidente şi de crize transfrontaliere de mare amploare legate de securitatea cibernetică. Această atribuţie ar trebui îndeplinită în conformitate cu mandatul ENISA în temeiul prezentului regulament, iar statele membre ar trebui să convină asupra unei abordări în contextul Recomandării (UE) 2017/1584 a Comisiei (15) şi al Concluziilor Consiliului din 26 iunie 2018 privind răspunsul coordonat al UE la incidentele şi crizele de securitate cibernetică de mare amploare. Această atribuţie ar putea include culegerea de informaţii relevante şi exercitarea rolului de facilitare între reţeaua CSIRT şi comunitatea tehnică, precum şi cu factorii de decizie responsabili cu gestionarea situaţiilor de criză. În plus, ENISA ar trebui să sprijine cooperarea operaţională între statele membre în gestionarea din punct de vedere tehnic a incidentelor, la cererea unuia sau a mai multor state membre, facilitând schimbul de soluţii tehnice relevante între statele membre şi contribuind la comunicarea publică. ENISA ar trebui să sprijine cooperarea operaţională testând modalităţile de desfăşurare a cooperării prin exerciţii periodice de securitate cibernetică.
(15)Recomandarea (UE) 2017/1584 a Comisiei din 13 septembrie 2017 privind răspunsul coordonat la incidentele şi crizele de securitate cibernetică de mare amploare (JO L 239, 19.9.2017, p. 36).
(33)În sprijinirea cooperării operaţionale, ENISA ar trebui să apeleze la expertiza tehnică şi operaţională de care dispune CERT-UE, prin intermediul unei cooperări structurate. O astfel de cooperare structurată s-ar putea baza pe expertiza de care dispune ENISA. Dacă este cazul, între cele două entităţi ar trebui încheiate acorduri specifice pentru a se stabili modalităţile practice de punere în aplicare a acestei cooperări şi pentru a se evita dublarea activităţilor.
(34)În efectuarea atribuţiilor sale constând în sprijinirea cooperării operaţionale în cadrul reţelei CSIRT, ENISA ar trebui să aibă posibilitatea de a oferi sprijin statelor membre, la cererea lor, de exemplu prin furnizarea de consiliere privind modul de îmbunătăţire a capacităţilor lor de a preveni incidentele, de a le detecta şi de a răspunde la acestea, prin facilitarea gestionării din punct de vedere tehnic a incidentelor care au un impact semnificativ sau substanţial sau prin asigurarea faptului că ameninţările cibernetice şi incidentele sunt analizate. ENISA ar trebui să faciliteze gestionarea din punct de vedere tehnic a incidentelor cu un impact semnificativ sau substanţial, mai ales sprijinind partajarea în mod voluntar a soluţiilor tehnice de către statele membre sau elaborând informaţii tehnice combinate, de exemplu soluţii tehnice partajate în mod voluntar de statele membre. Recomandarea (UE) 2017/1584 invită statele membre să coopereze cu bună credinţă şi să facă schimb de informaţii între ele şi cu ENISA cu privire la incidentele şi crizele de mare amploare legate de securitatea cibernetică, fără întârzieri nejustificate. Aceste informaţii ar trebui să constituie un ajutor suplimentar pentru ENISA în îndeplinirea atribuţiei sale de sprijinire a cooperării operaţionale.
(35)Ca parte a cooperării periodice la nivel tehnic desfăşurate pentru a sprijini cunoaşterea de către Uniune a situaţiei, ENISA, în strânsă cooperare cu statele membre, ar trebui să pregătească periodic rapoarte aprofundate asupra situaţiei tehnice în materie de securitate cibernetică la nivelul UE referitor la incidente şi ameninţări cibernetice, pe baza informaţiilor disponibile în mod public, a propriei analize şi a rapoartelor care i-au fost transmise de echipele CSIRT ale statelor membre sau de punctele unice de contact naţionale privind securitatea reţelelor şi a sistemelor informatice (denumite în continuare "punctele unice de contact") prevăzute de Directiva (UE) 2016/1148, în ambele cazuri în mod voluntar, de Centrul european de combatere a criminalităţii informatice (EC3) din cadrul Europol şi CERT-UE şi, după caz, de Centrul de situaţii şi de analiză a informaţiilor al Uniunii Europene (INTCEN UE) din cadrul Serviciului European de Acţiune Externă. Raportul ar trebui să fie pus la dispoziţia Consiliului, Comisiei, Înaltului Reprezentant al Uniunii pentru afaceri externe şi politica de securitate şi ale reţelei CSIRT.
(36)Sprijinul acordat de ENISA, la cererea statelor membre afectate, pentru anchetele tehnice ex post privind incidentele care au consecinţe semnificative sau substanţiale ar trebui să se axeze pe prevenirea viitoarelor incidente. Statele membre afectate ar trebui să furnizeze informaţiile şi asistenţa necesare pentru a-i permite ENISA să sprijine anchetele tehnice într-un mod eficace.
(37)Statele membre pot invita întreprinderile afectate de incident să coopereze furnizând ENISA informaţiile şi asistenţa necesare, fără a aduce atingere dreptului lor de a proteja informaţii sensibile din punct de vedere comercial şi informaţii relevante pentru securitatea publică.
(38)Pentru a înţelege mai bine provocările din domeniul securităţii cibernetice şi pentru a oferi consiliere strategică pe termen lung statelor membre şi instituţiilor, organelor, oficiilor şi agenţiilor Uniunii, este necesar ca ENISA să analizeze riscurile pentru securitatea cibernetică actuale şi pe cele emergente. În acest scop, ENISA ar trebui ca în cooperare cu statele membre şi, după caz, cu organismele de statistică şi cu alte entităţi să culeagă informaţiile relevante care sunt puse la dispoziţia publicului sau care sunt partajate în mod voluntar, să efectueze analize privind tehnologiile emergente şi să furnizeze evaluări tematice privind impactul societal, juridic, economic şi în materie de reglementare al inovaţiilor tehnologice asupra securităţii reţelelor şi informaţiilor, în special asupra securităţii cibernetice. În plus, ENISA ar trebui să sprijine statele membre şi instituţiile, organele, oficiile şi agenţiile Uniunii în ceea ce priveşte identificarea riscurilor pentru securitatea cibernetică emergente şi prevenirea incidentelor, prin efectuarea unor analize ale ameninţărilor cibernetice, vulnerabilităţilor şi incidentelor.
(39)Pentru a spori rezilienţa Uniunii, ENISA ar trebui să vizeze excelenţa în domeniul securităţii cibernetice a infrastructurilor, şi în special să sprijine sectoarele enumerate în anexa II la Directiva (UE) 2016/1148, precum şi a celor utilizate de furnizorii de servicii digitale enumeraţi în anexa III la directiva menţionată, prin furnizarea de consiliere, emiterea de orientări şi schimbul de bune practici. Pentru a asigura un acces mai uşor la informaţii mai bine structurate privind riscurile pentru securitatea cibernetică şi măsurile corective posibile, ENISA ar trebui să creeze şi să întreţină "platforma de informare" a Uniunii, un portal de tip ghişeu unic care să permită publicului să obţină informaţiile despre securitatea cibernetică ce provin de la instituţiile, organele, oficiile şi agenţiile Uniunii şi cele naţionale. Facilitarea accesului la informaţii mai bine structurate despre riscurile pentru securitatea cibernetică şi despre măsurile corective posibile ar putea de asemenea să ajute statele membre să îşi consolideze capacităţile şi să îşi alinieze practicile, sporindu-şi astfel rezilienţa generală la atacurile cibernetice.
(40)ENISA ar trebui să contribuie la sensibilizarea publicului în privinţa riscurilor pentru securitatea cibernetică, inclusiv printr-o campanie la nivelul UE de sensibilizare şi prin promovarea educării, şi să furnizeze, în atenţia cetăţenilor, organizaţiilor şi întreprinderilor, orientări privind bunele practici care trebuie adoptate de fiecare utilizator în parte. De asemenea, ENISA ar trebui să contribuie la promovarea bunelor practici şi soluţii, care să includă igiena cibernetică şi alfabetizarea cibernetică, în rândul cetăţenilor, organizaţiilor şi întreprinderilor, prin culegerea şi analizarea informaţiilor aflate la dispoziţia publicului referitoare la incidentele semnificative şi prin întocmirea şi publicarea de rapoarte şi orientări pentru cetăţeni, organizaţii şi întreprinderi pentru a îmbunătăţi nivelul global de pregătire şi de rezilienţă al acestora. Totodată, ENISA ar trebui să depună eforturi pentru a le oferi consumatorilor informaţii relevante despre sistemele de certificare aplicabile, furnizându-le, de exemplu, orientări şi recomandări. În plus, ENISA ar trebui să organizeze, în concordanţă cu Planul de acţiune pentru educaţia digitală instituit prin Comunicarea Comisiei din 17 ianuarie 2018 şi în cooperare cu statele membre şi instituţiile, organele, oficiile şi agenţiile ale Uniunii, activităţi de informare şi campanii publice periodice de educaţie pentru utilizatorii finali, având ca scop promovarea unor comportamente online mai sigure ale persoanelor şi alfabetizarea digitală, precum şi sensibilizarea cu privire la eventualele ameninţări cibernetice, inclusiv activităţile infracţionale online, cum ar fi atacurile de tip phishing, reţelele botnet, fraudele financiare şi bancare, incidentele de fraudă în privinţa datelor, precum şi promovarea consilierii de bază privind autentificarea multifactorială, corectarea erorilor, criptarea, anonimizarea şi protecţia datelor.
(41)ENISA ar trebui să joace un rol central în accelerarea sensibilizării utilizatorilor finali cu privire la securitatea dispozitivelor şi la utilizarea în condiţii de securitate a serviciilor, şi ar trebui să promoveze securitatea din faza de concepere şi protejarea vieţii private din faza de concepere la nivelul Uniunii. Pentru a îndeplini acest obiectiv, ENISA ar trebui să utilizeze în mod optim bunele practici şi experienţele, mai ales bunele practici şi experienţele instituţiilor universitare şi ale cercetătorilor din domeniul securităţii informatice.
(42)Pentru a sprijini întreprinderile din sectorul securităţii cibernetice, precum şi utilizatorii de soluţii de securitate cibernetică ENISA ar trebui să înfiinţeze un "observator al pieţei" şi să asigure întreţinerea acestuia, efectuând analize periodice ale principalelor tendinţe ale pieţei securităţii cibernetice, atât la nivelul cererii, cât şi la nivelul ofertei, şi diseminând informaţii referitoare la aceste tendinţe.
(43)ENISA ar trebui să contribuie la eforturile Uniunii de cooperare cu organizaţiile internaţionale, precum şi în cadrele relevante de cooperare internaţională din domeniul securităţii cibernetice. Îndeosebi, ENISA ar trebui să contribuie, după caz, la cooperarea cu organizaţii precum OCDE, OSCE şi NATO. Această cooperare ar putea include exerciţii comune de securitate cibernetică şi coordonarea comună a răspunsului la incidente. Aceste activităţi urmează să se desfăşoare cu respectarea pe deplin a principiilor de incluziune, reciprocitate şi autonomie decizională ale Uniunii, fără a se aduce atingere caracterului specific al politicii de securitate şi apărare din oricare stat membru.
(44)Pentru a asigura îndeplinirea în totalitate a obiectivelor sale, ENISA ar trebui să colaboreze cu autorităţile de supraveghere ale Uniunii şi cu alte autorităţi competente din Uniune, cu instituţiile, organele, oficiile şi agenţiile Uniunii, inclusiv cu CERT-UE, EC3, Agenţia Europeană de Apărare (AEA), Agenţia pentru Sistemul Global de Navigaţie prin Satelit European (Agenţia GNSS European), Organismul Autorităţilor Europene de Reglementare în Domeniul Comunicaţiilor Electronice (OAREC), Agenţia Europeană pentru Gestionarea Operaţională a Sistemelor Informatice la Scară Largă (eu-LISA), Banca Centrală Europeană (BCE), Autoritatea Bancară Europeană (ABE), Comitetul european pentru protecţia datelor, Agenţia pentru Cooperarea Autorităţilor de Reglementare din Domeniul Energiei (ACER), Agenţia Uniunii Europene pentru Siguranţa Aviaţiei (AESA) şi orice altă agenţie a Uniunii implicată în securitatea cibernetică. ENISA ar trebui, de asemenea, să colaboreze cu autorităţile care îndeplinesc atribuţii de protecţie a datelor pentru a face schimb de know-how şi de bune practici şi ar trebui să ofere consiliere privind aspectele legate de securitatea cibernetică ce ar putea avea un impact asupra activităţii acestora. Reprezentanţii autorităţilor naţionale şi ale Uniunii responsabile de aplicarea legii şi de protecţia datelor ar trebui să fie eligibili pentru a fi reprezentaţi în Grupul consultativ al ENISA. În activitatea sa de colaborare cu autorităţile responsabile de aplicarea legii, cu privire la aspectele de securitate a reţelelor şi a informaţiilor care ar putea avea un impact asupra activităţii acestora, ENISA ar trebui să respecte canalele de informaţii şi reţelele existente.
(45)S-ar putea institui parteneriate cu instituţiile universitare care au iniţiative de cercetare în domeniile relevante şi ar trebui să existe canale adecvate pentru contribuţiile din partea organizaţiilor consumatorilor şi altor organizaţii, care ar trebui luate în considerare.
(46)ENISA, în rolul său de secretariat al reţelei CSIRT, ar trebui să sprijine echipele CSIRT ale statelor membre şi CERT- UE în ceea ce priveşte cooperarea operaţională legată de atribuţiile relevante ale reţelei CSIRT, astfel cum se menţionează în Directiva (UE) 2016/1148. De asemenea, ENISA ar trebui să promoveze şi să sprijine cooperarea dintre echipele CSIRT relevante în caz de incidente, atacuri sau întreruperi la nivelul reţelelor sau al infrastructurilor gestionate sau protejate de echipele CSIRT şi care implică sau pot implica cel puţin două echipe CSIRT, ţinând seama în mod corespunzător de procedurile standard de operare ale reţelei CSIRT.
(47)Pentru ca Uniunea să fie mai bine pregătită să răspundă la incidente, ENISA ar trebui să organizeze în mod periodic exerciţii de securitate cibernetică la nivelul Uniunii şi să ajute statele membre şi instituţiile, organele, oficiile şi agenţiile Uniunii, la cererea acestora, să organizeze astfel de exerciţii. O dată la doi ani ar trebui să se organizeze un exerciţiu cuprinzător pe scară largă care să includă elemente tehnice, operaţionale sau strategice. În plus, ENISA ar trebui să poată organiza periodic exerciţii mai puţin cuprinzătoare, având acelaşi obiectiv de a spori nivelul de pregătire a Uniunii pentru răspunde incidentelor.
(48)ENISA ar trebui să îşi dezvolte şi să îşi menţină în continuare expertiza în materie de certificare a securităţii cibernetice, pentru a sprijini politicile Uniunii din acest domeniu. ENISA ar trebui să se bazeze pe bunele practici existente şi să promoveze adoptarea certificării de securitate cibernetică în Uniune. În acest scop, ea ar trebui, printre altele, să contribuie la instituirea şi întreţinerea unui cadru de certificare a securităţii cibernetice la nivelul Uniunii (denumit în continuare "cadru european de certificare a securităţii cibernetice"), pentru a creşte transparenţa asigurării securităţii cibernetice a produselor TIC, a serviciilor TIC şi a proceselor TIC, consolidând astfel încrederea în piaţa internă digitală şi în competitivitatea sa.
(49)Politicile de securitate cibernetică eficiente ar trebui să se bazeze pe metode de evaluare a riscurilor bine puse la punct, atât în sectorul public, cât şi în sectorul privat. Metodele de evaluare a riscurilor sunt utilizate la diferite niveluri, fără a exista o practică comună în ceea ce priveşte aplicarea lor eficientă. Promovarea şi dezvoltarea bunelor practici pentru evaluarea riscurilor şi pentru soluţii interoperabile de gestionare a riscurilor în cadrul organizaţiilor din sectorul public şi privat vor spori nivelul de securitate cibernetică din Uniune. În acest scop, ENISA ar trebui să sprijine cooperarea dintre părţile interesate la nivelul Uniunii, facilitând eforturile acestora referitoare la elaborarea şi adoptarea de standarde europene şi internaţionale în ceea ce priveşte gestionarea riscurilor şi securitatea măsurabilă a produselor, sistemelor, reţelelor şi serviciilor electronice, care, împreună cu software-ul, formează reţelele şi sistemele informatice.
(50)ENISA ar trebui să încurajeze statele membre, producătorii sau furnizorii de produse TIC, de servicii TIC sau de procese TIC să îşi ridice standardele generale de securitate, astfel încât toţi utilizatorii de internet să poată lua măsurile necesare pentru a-şi asigura securitatea cibernetică personală şi ar trebui să motiveze în acest sens. În special, producătorii şi furnizorii de produse TIC, de servicii TIC şi de procese TIC ar trebui să furnizeze toate actualizările necesare şi să recheme, ar trebui să retragă sau să recicleze produsele TIC, serviciile TIC sau procesele TIC care nu îndeplinesc standardele de securitate cibernetică, iar importatorii şi distribuitorii ar trebui să se asigure că produsele TIC, serviciile TIC şi procesele TIC pe care le introduc pe piaţa Uniunii sunt conforme cerinţelor aplicabile şi nu prezintă niciun risc pentru consumatorii din Uniune.
(51)În cooperare cu autorităţile competente, ENISA ar trebui să poată difuza informaţii privind nivelul de securitate cibernetică al produselor TIC, al serviciilor TIC şi al proceselor TIC oferite pe piaţa internă şi ar trebui să poată emite avertismente care să vizeze producătorii sau furnizorii de produse TIC, de servicii TIC şi de procese TIC şi care să îi oblige să îmbunătăţească securitatea produselor TIC, a serviciilor TIC şi a proceselor TIC ale acestora, inclusiv securitatea cibernetică.
(52)ENISA ar trebui să ia în considerare pe deplin activităţile în curs de cercetare, dezvoltare şi evaluare tehnologică, în special cele desfăşurate în cadrul diferitelor iniţiative de cercetare ale Uniunii, pentru a consilia instituţiile, organele, oficiile şi agenţiile Uniunii şi, după caz, statele membre, la solicitarea acestora, cu privire la necesităţile şi la priorităţile de cercetare din domeniul securităţii cibernetice. Pentru a identifica necesităţile şi priorităţile în materie de cercetare, ENISA ar trebui de asemenea să consulte grupurile de utilizatori relevante. Mai precis, s-ar putea stabili o cooperare cu Consiliul European pentru Cercetare şi cu Institutul European pentru Inovare şi Tehnologie şi cu Institutul pentru Studii de Securitate al Uniunii Europene.
(53)ENISA ar trebui să consulte periodic organizaţiile de standardizare, mai ales organizaţiile europene de standardizare, atunci când pregăteşte sistemele europene de certificare a securităţii cibernetice.
(54)Ameninţările pentru securitatea cibernetică au o dimensiune mondială. Este necesară consolidarea cooperării internaţionale pentru îmbunătăţirea standardelor de securitate cibernetică, inclusiv prin definirea de norme de comportament şi adoptarea de coduri de conduită comune, prin utilizarea de standarde internaţionale, prin schimburi de informaţii şi prin promovarea unei colaborări internaţionale mai rapide ca răspuns la problemele de securitate a reţelelor şi a informaţiilor, precum şi a unei abordări comune la nivel mondial a acestor probleme. În acest scop, ENISA ar trebui să sprijine continuarea implicării şi cooperării Uniunii cu ţări terţe şi cu organizaţii internaţionale, furnizând, după caz, expertiza şi analiza necesară instituţiilor, organelor, oficiilor şi agenţiilor relevante ale Uniunii.
(55)ENISA ar trebui să fie în măsură să răspundă solicitărilor ad-hoc de consiliere şi asistenţă care îi sunt adresate de statele membre şi de instituţiile, organele, oficiile şi agenţiile Uniunii, legate de aspecte care ţin de mandatul ENISA.
(56)Este rezonabil şi se recomandă să se aplice anumite principii privind guvernanţa ENISA pentru a respecta declaraţia comună şi abordarea comună convenite în iulie 2012 de Grupul de lucru interinstituţional privind agenţiile descentralizate ale UE, al căror scop este de a raţionaliza activităţile agenţiilor descentralizate şi de a le îmbunătăţi performanţele. Recomandările cuprinse în declaraţia comună şi în abordarea comună ar trebui să se reflecte, după caz, în programele de activitate, evaluările şi practicile administrative şi de raportare ale ENISA.
(57)Consiliul de administraţie, alcătuit din reprezentanţi ai statelor membre şi ai Comisiei, ar trebui să stabilească direcţia generală a activităţilor ENISA şi să se asigure că aceasta îşi îndeplineşte atribuţiile în conformitate cu prezentul regulament. Consiliului de administraţie ar trebui să i se încredinţeze competenţele necesare pentru întocmirea bugetului, verificarea execuţiei acestuia, adoptarea normelor financiare adecvate, stabilirea unor proceduri de lucru transparente pentru luarea deciziilor de către ENISA, adoptarea documentului unic de programare al ENISA, adoptarea propriului regulament de procedură, numirea directorului executiv, luarea deciziei cu privire la prelungirea sau încetarea mandatului directorului executiv.
(58)Pentru buna funcţionare în condiţii de eficacitate a ENISA, Comisia şi statele membre ar trebui să se asigure că persoanele care urmează să fie numite în consiliul de administraţie au nivelul adecvat de competenţă şi de experienţă profesională. Comisia şi statele membre ar trebui, de asemenea, să depună eforturi pentru a limita rotaţia reprezentanţilor lor în consiliul de administraţie, cu scopul de a asigura continuitatea activităţii acestuia.
(59)Pentru buna funcţionare a ENISA este necesar ca numirea directorului executiv să fie făcută pe baza meritelor şi aptitudinilor sale administrative şi manageriale atestate, precum şi a competenţei şi experienţei relevante în domeniul securităţii cibernetice. Directorul executiv ar trebui să îşi ducă la îndeplinire atribuţiile în deplină independenţă. Directorul executiv ar trebui să elaboreze o propunere privind programul anual de activitate al ENISA, după consultări prealabile cu Comisia, şi să ia toate măsurile necesare pentru a asigura punerea în aplicare corespunzătoare a programului de activitate respectiv. Directorul executiv ar trebui să întocmească un raport anual cuprinzând şi punerea în aplicare a programului anual de activitate al ENISA, care să fie prezentat consiliului de administraţie, să elaboreze un proiect de situaţie a estimărilor de venituri şi cheltuieli ale ENISA şi să execute bugetul. În plus, directorul executiv ar trebui să aibă opţiunea de a înfiinţa grupuri de lucru ad-hoc pentru a aborda aspecte specifice, în special de natură ştiinţifică, tehnică, juridică sau socioeconomică. Se consideră drept necesară instituirea unui grup de lucru ad-hoc, mai ales în legătură cu pregătirea unei anumite propuneri de sistem european de certificare a securităţii cibernetice (denumită în continuare "propuneri de sistem"). Directorul executiv ar trebui să se asigure că selecţionarea membrilor grupurilor de lucru ad-hoc se realizează în conformitate cu cele mai înalte standarde de competenţă, urmărindu-se să se asigure o reprezentare echilibrată din perspectiva genului şi corespunzătoare, în funcţie de problemele specifice - între administraţiile publice ale statelor membre, instituţiile, organele, oficiile şi agenţiile Uniunii şi sectorul privat, inclusiv industria, utilizatorii şi experţii universitari în domeniul securităţii reţelelor şi a informaţiilor.
(60)Comitetul executiv ar trebui să contribuie la funcţionarea eficace a consiliului de administraţie. În cadrul lucrărilor sale pregătitoare legate de deciziile consiliului de administraţie, comitetul executiv ar trebui să examineze în detaliu informaţiile relevante, să analizeze opţiunile disponibile şi să ofere consiliere şi soluţii pentru pregătirea deciziilor relevante ale consiliului de administraţie.
(61)ENISA ar trebui să aibă drept organism consultativ un grup consultativ al ENISA, pentru a asigura un dialog regulat cu sectorul privat, cu organizaţiile de consumatori şi cu alte părţi interesate relevante. Grupul consultativ al ENISA, instituit de consiliul de administraţie la propunerea directorului executiv, ar trebui să se concentreze pe probleme relevante pentru părţile interesate şi să le aducă în atenţia ENISA. Grupul consultativ al ENISA ar trebui să fie consultat în special în legătură cu proiectul de program anual de activitate al ENISA. Componenţa Grupului consultativ al ENISA şi atribuţiile încredinţate acestuia ar trebui să asigure faptul că părţile interesate sunt reprezentate într-o măsură suficientă în ceea ce priveşte activitatea ENISA.
(62)Ar trebui instituit Grupul părţilor interesate pentru certificarea securităţii cibernetice pentru a ajuta ENISA şi Comisia să faciliteze consultarea părţilor interesate relevante. Grupul părţilor interesate pentru certificarea securităţii cibernetice ar trebui compus din membri care să reprezinte într-o proporţie echilibrată industria, în ceea ce priveşte atât cererea, cât şi oferta de produse TIC şi servicii TIC, şi care să includă îndeosebi IMM-uri, furnizorii de servicii digitale, organismele europene şi internaţionale de standardizare, organismele de acreditare naţionale, autorităţile de supraveghere a protecţiei datelor şi organismele de evaluare a conformităţii în temeiul Regulamentului (CE) nr. 765/2008 al Parlamentului European şi al Consiliului (16), şi mediul universitar şi organizaţiile consumatorilor.
(16)Regulamentul (CE) nr. 765/2008 al Parlamentului European şi al Consiliului din 9 iulie 2008 de stabilire a cerinţelor de acreditare şi de supraveghere a pieţei în ceea ce priveşte comercializarea produselor şi de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218, 13.8.2008, p. 30).
(63)ENISA ar trebui să dispună de norme de prevenire şi gestionare a conflictelor de interese. De asemenea, ENISA ar trebui să aplice dispoziţiile relevante ale Uniunii privind accesul public la documente, prevăzute în Regulamentul (CE) nr. 1049/2001 al Parlamentului European şi al Consiliului (17). Prelucrarea datelor cu caracter personal de către ENISA ar trebui să intre sub incidenţa Regulamentului (UE) 2018/1725 al Parlamentului European şi al Consiliului (18). ENISA ar trebui să se conformeze dispoziţiilor aplicabile instituţiilor, organelor, oficiilor şi agenţiilor Uniunii, precum şi dispoziţiilor legislaţiilor naţionale privind gestionarea informaţiilor, în special a informaţiilor sensibile neclasificate şi a informaţiilor clasificate ale Uniunii Europene (IUEC).
(17)Regulamentul (CE) nr. 1049/2001 al Parlamentului European şi al Consiliului din 30 mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului şi ale Comisiei (JO L 145, 31.5.2001, p. 43).
(18)Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului din 23 octombrie 2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (CE) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).
(64)Pentru a garanta autonomia şi independenţa deplină a ENISA şi a-i permite să îndeplinească atribuţii suplimentare, inclusiv atribuţii urgente neprevăzute, ar trebui să i se aloce ENISA un buget suficient şi autonom, ale cărui venituri să provină în principal din contribuţia Uniunii şi din contribuţii ale ţărilor terţe care iau parte la activităţile ENISA. Un buget corespunzător este capital pentru asigurarea faptului că ENISA dispune de capacităţi suficiente pentru a-şi îndeplini toate atribuţiile sporite şi a-şi realiza obiectivele. Majoritatea angajaţilor ENISA ar trebui să fie implicaţi direct în punerea în aplicare operaţională a mandatului ENISA. Statul membru gazdă şi oricare alt stat membru ar trebui să poată contribui în mod voluntar la bugetul ENISA. Procedura bugetară a Uniunii ar trebui să rămână aplicabilă în ceea ce priveşte toate subvenţiile plătibile din bugetul general al Uniunii. De asemenea, Curtea de Conturi ar trebui să auditeze conturile ENISA pentru a asigura transparenţa şi responsabilitatea.
(65)Certificarea securităţii cibernetice este importantă pentru sporirea securităţii produselor TIC, serviciilor TIC şi proceselor TIC şi a încrederii în acestea. Piaţa unică digitală şi, mai ales, economia bazată pe date şi internetul obiectelor pot prospera numai dacă publicul larg are încredere în faptul că astfel de produse, servicii şi procese oferă un anumit nivel de asigurare a securităţii cibernetice. Autovehiculele conectate şi automatizate, dispozitivele medicale electronice, sistemele industriale automatizate de control şi reţelele inteligente sunt numai câteva exemple de sectoare în care certificarea este deja utilizată la scară largă sau poate fi utilizată în viitorul apropiat. Certificarea securităţii cibernetice este esenţială şi în sectoarele reglementate prin Directiva (UE) 2016/1148.
(66)În comunicarea sa din 2016 intitulată "Consolidarea sistemului de rezilienţă cibernetică al Europei şi încurajarea unui sector al securităţii cibernetice competitiv şi inovator", Comisia a subliniat că sunt necesare produse şi soluţii de securitate cibernetică caracterizate prin calitate superioară, accesibilitatea preţului şi interoperabilitate. Oferta de produse TIC, servicii TIC şi procese TIC din cadrul pieţei unice rămâne foarte fragmentată din punct de vedere geografic. Această fragmentare se explică prin faptul că sectorul securităţii cibernetice din Europa s-a dezvoltat de-a lungul timpului în principal pe baza cererii guvernamentale naţionale. În plus, lipsa de soluţii interoperabile (standarde tehnice), de practici şi de mecanisme de certificare la nivelul Uniunii este una dintre lacunele care afectează piaţa unică în domeniul securităţii cibernetice. Acest lucru îngreunează competitivitatea întreprinderilor europene la nivel naţional, la nivelul Uniunii şi la nivel mondial. De asemenea acest lucru reduce posibilităţile de alegere a tehnologiilor de securitate cibernetică viabile şi utilizabile la care au acces persoanele fizice şi întreprinderile. În mod similar, în Comunicarea din 2017 privind evaluarea la jumătatea perioadei a punerii în aplicare a strategiei privind piaţa unică digitală - O piaţă unică digitală conectată pentru toţi, Comisia a evidenţiat necesitatea ca produsele şi sistemele conectate să fie sigure şi a apreciat că prin crearea unui cadru european de securitate pentru TIC, care să stabilească norme privind modul de organizare a certificării de securitate a TIC în Uniune, internetul s-ar putea bucura în continuare de încredere şi, totodată, actuala fragmentare a pieţei interne ar putea fi contracarată.
(67)În prezent, certificarea securităţii cibernetice a produselor TIC, serviciilor TIC şi proceselor TIC nu este utilizată decât într-o măsură limitată. Atunci când există, certificarea se aplică în principal la nivelul statelor membre sau în cadrul sistemelor instituite de sector. În acest context, un certificat eliberat de o autoritate naţională de certificare a securităţii cibernetice nu este, în principiu, recunoscut de celelalte state membre. Prin urmare, este posibil ca întreprinderile să fie nevoite să îşi certifice produsele TIC, serviciile TIC şi procesele TIC în fiecare dintre statele membre în care îşi desfăşoară activitatea, de exemplu pentru a putea participa la procedurile de achiziţii publice naţionale, sporindu-şi astfel cheltuielile. În plus, deşi apar noi sisteme, nu pare să existe o abordare coerentă şi holistică a aspectelor orizontale ale securităţii cibernetice, de exemplu în domeniul internetului obiectelor. Sistemele existente prezintă importante deficienţe şi diferenţe în ceea ce priveşte produsele vizate, nivelurile de asigurare, criteriile de fond şi utilizarea efectivă, ceea ce împiedică funcţionarea unor mecanisme de recunoaştere reciprocă în Uniune.
(68)S-au depus eforturi pentru ca certificatele să beneficieze de o recunoaştere reciprocă în cadrul Uniunii, dar acestea nu au fost decât parţial încununate de succes. Cel mai important exemplu în acest sens îl constituie Acordul de recunoaştere reciprocă (ARR) al Grupului înalţilor funcţionari pentru securitatea sistemelor informatice (SOG-IS). Deşi reprezintă cel mai important model de cooperare şi de recunoaştere reciprocă din domeniul certificării de securitate, SOG-IS nu cuprinde decât unele state membre. Din această cauză, ARR al SOG-IS a avut o eficacitate limitată din perspectiva pieţei interne.
(69)Prin urmare, este necesar să se adopte o abordare comună şi să se instituie un cadru european de certificare a securităţii cibernetice prin care să se stabilească principalele cerinţe orizontale pentru sistemele europene de certificare a securităţii cibernetice ce urmează să fie create şi să se permită recunoaşterea şi utilizarea în toate statele membre a certificatelor europene de securitate cibernetică şi a declaraţiilor de conformitate UE pentru produse TIC, servicii TIC sau procese TIC. Procedând astfel, este esenţial să se plece de la sistemele naţionale şi internaţionale existente, precum şi de la sistemele de recunoaştere reciprocă, mai ales SOG-IS, şi să se înlesnească tranziţia de la sistemele existente în cadrul acestora către sisteme din noul cadru european de certificare a securităţii cibernetice. Cadrul european de certificare a securităţii cibernetice ar trebui să aibă un dublu scop. În primul rând, ar trebui să contribuie la creşterea încrederii în produsele TIC, serviciile TIC şi procesele TIC care au fost certificate în temeiul sistemelor europene de certificare de securitate cibernetică. În al doilea rând, ar trebui să evite multiplicarea de sisteme naţionale de certificare a securităţii cibernetice ce se contrazic sau se suprapun şi să permită astfel reducerea costurilor pentru întreprinderile care îşi desfăşoară activitatea pe piaţa unică digitală. Sistemele europene de certificare a securităţii cibernetice ar trebui să fie nediscriminatorii şi să se bazeze pe standarde europene sau internaţionale, cu excepţia cazului în care aceste standarde sunt ineficace sau inadecvate pentru îndeplinirea obiectivelor legitime ale Uniunii în această privinţă.
(70)Cadrul european de certificare a securităţii cibernetice ar trebui instituit în mod uniform în toate statele membre pentru a împiedica practica de căutare a certificării celei mai avantajoase, generată de nivelurile diferite de stricteţe în state membre diferite.
(71)Sistemele europene de certificare a securităţii cibernetice ar trebui să se bazeze pe ceea ce există deja la nivel naţional şi internaţional şi, dacă este necesar, pe specificaţiile tehnice din foruri şi consorţii, culegând roadele actualelor puncte forte şi evaluând şi remediind punctele slabe.
(72)Este nevoie de soluţii flexibile în materie de securitate cibernetică pentru ca industria să fie cu un pas înaintea ameninţărilor cibernetice; prin urmare, toate sistemele de certificare ar trebui să fie concepute astfel încât să evite riscul de a fi rapid depăşite.
(73)Comisia ar trebui să fie împuternicită să adopte sisteme europene de certificare a securităţii cibernetice în ceea ce priveşte grupuri specifice de produse TIC, servicii TIC şi procese TIC. Aceste sisteme ar trebui să fie puse în aplicare şi supervizate de către autorităţile naţionale de certificare a securităţii cibernetice, iar certificatele eliberate în temeiul acestor sisteme ar trebui să fie valabile şi recunoscute în întreaga Uniune. Sistemele de certificare gestionate de industrie sau de alte organizaţii private nu ar trebui să fie incluse în domeniul de aplicare al prezentului regulament. Cu toate acestea, organismele care gestionează sisteme de acest tip ar trebui să poată propune Comisiei să le ia în considerare ca bază pentru aprobarea lor ca sistem european de certificare a securităţii cibernetice.
(74)Dispoziţiile prezentului regulament ar trebui să se aplice fără a aduce atingere dreptului Uniunii care prevede norme specifice privind certificarea produselor TIC, a serviciilor TIC şi a proceselor TIC. În special, Regulamentul (UE) 2016/679 cuprinde dispoziţii privind instituirea de mecanisme de certificare şi introducerea de sigilii şi mărci de protecţie a datelor pentru a demonstra conformitatea cu regulamentul respectiv a operaţiunilor de prelucrare efectuate de operatori şi de persoanele împuternicite de aceştia. Aceste mecanisme de certificare şi sigilii şi mărci de protecţie a datelor ar trebui să le permită persoanelor vizate să evalueze rapid nivelul de protecţie a datelor al produselor TIC, al serviciilor TIC şi al proceselor TIC în cauză. Prezentul regulament nu aduce atingere certificării operaţiunilor de prelucrare a datelor în temeiul Regulamentului (UE) 2016/679, inclusiv în cazul în care aceste operaţiuni sunt integrate în produse TIC, servicii TIC şi procese TIC.
(75)Sistemele europene de certificare a securităţii cibernetice ar trebui să aibă drept scop asigurarea conformităţii cu cerinţele specificate a produselor TIC, serviciilor TIC şi proceselor TIC certificate în temeiul unui astfel de sistem, pentru a proteja disponibilitatea, autenticitatea, integritatea şi confidenţialitatea datelor stocate ori transmise sau prelucrate ori funcţiile sau serviciile oferite prin aceste produse, servicii şi procese, sau accesibile prin intermediul lor pe durata întregului lor ciclu de viaţă. În prezentul regulament nu pot fi detaliate cerinţele de securitate cibernetică referitoare la toate produsele TIC, serviciile TIC şi procesele TIC. Produsele TIC, serviciile TIC şi procesele TIC şi necesităţile în materie de securitate cibernetică referitoare la acestea sunt atât de variate încât este foarte dificil să se elaboreze cerinţe generale de securitate cibernetică care să fie valabile în toate circumstanţele. Prin urmare, este necesar să se adopte o noţiune largă şi generală a securităţii cibernetice în scopul certificării, care ar trebui completată printr-o serie de obiective de securitate cibernetică specifice care să fie luate în considerare atunci când se concep sisteme europene de certificare a securităţii cibernetice. Modalităţile prin care aceste obiective vor fi atinse de produse TIC, servicii TIC şi procese TIC specifice ar trebui detaliate şi mai precis, într-o etapă ulterioară, la nivelul fiecărui sistem de certificare adoptat de Comisie, de exemplu prin trimitere la standarde sau la specificaţii tehnice dacă nu sunt disponibile standarde corespunzătoare.
(76)Specificaţiile tehnice de utilizat în sistemele europene de certificare a securităţii cibernetice ar trebui să respecte cerinţele prevăzute în anexa II la Regulamentul (UE) nr. 1025/2012 al Parlamentului European şi al Consiliului (19). Cu toate acestea, unele abateri de la aceste cerinţe ar putea fi considerate necesare în cazuri justificate corespunzător, când respectivele specificaţii tehnice sunt destinate utilizării într-un sistem european de certificare a securităţii cibernetice care face trimitere la nivelul de asigurare "ridicat". Motivele care stau la baza acestor abateri ar trebui puse la dispoziţia publicului.
(19)Regulamentul (UE) nr. 1025/2012 al Parlamentului European şi al Consiliului din 25 octombrie 2012 privind standardizarea europeană, de modificare a Directivelor 89/686/CEE şi 93/15/CEE ale Consiliului şi a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE şi 2009/105/CE ale Parlamentului European şi ale Consiliului şi de abrogare a Deciziei 87/95/CEE a Consiliului şi a Deciziei nr. 1673/2006/CE a Parlamentului European şi a Consiliului (JO L 316, 14.11.2012, p. 12).
(77)O evaluare a conformităţii este o procedură prin care se evaluează dacă au fost îndeplinite cerinţele specifice referitoare la un produs TIC, serviciu TIC sau proces TIC. Această procedură este efectuată de o parte terţă independentă, alta decât producătorul sau furnizorul produselor TIC, serviciilor TIC sau proceselor TIC care sunt evaluate. Un certificat european de securitate cibernetică ar trebui să fie eliberat în urma unei evaluări pozitive a unui produs TIC, serviciu TIC sau proces TIC. Un certificat european de securitate cibernetică ar trebui să fie considerat drept o confirmare a faptului că evaluarea s-a derulat în mod adecvat. În funcţie de nivelul de asigurare, sistemul european de certificare a securităţii cibernetice ar trebui să indice dacă certificatul european de securitate cibernetică este eliberat de un organism privat sau de unul public. Evaluarea şi certificarea de conformitate nu pot garanta în sine că produsele, serviciile TIC sau procesele TIC certificate îndeplinesc condiţiile de securitate cibernetică. Acestea sunt, mai degrabă, proceduri şi metodologii tehnice menite să ateste că produsele TIC, serviciile TIC şi procesele TIC au fost testate şi că îndeplinesc anumite cerinţe de securitate cibernetică prevăzute în alte dispoziţii, de exemplu în cadrul standardelor tehnice.
(78)Alegerea, de către utilizatorii certificatelor europene de securitate cibernetică, a certificării adecvate şi a cerinţelor de securitate aferente ar trebui să se bazeze pe o evaluare a riscurilor asociate cu utilizarea produselor TIC, serviciilor TIC sau proceselor TIC. Astfel, nivelul de asigurare ar trebui să fie corespunzător nivelului riscului asociat cu utilizarea preconizată a unui produs TIC, serviciu TIC sau proces TIC.
(79)Un sistem european de certificare a securităţii cibernetice ar putea să prevadă efectuarea unei evaluări de conformitate pe răspunderea exclusivă a producătorului sau a furnizorului de produse TIC, servicii TIC şi procese TIC (denumită în continuare "autoevaluare a conformităţii"). În astfel de cazuri, este suficient ca producătorul sau furnizorul de produse TIC, servicii TIC şi procese TIC să efectueze el însuşi toate verificările pentru a asigura conformitatea produselor TIC, a serviciilor TIC sau a proceselor TIC cu sistemul european de certificare a securităţii cibernetice. Autoevaluarea conformităţii ar trebui considerată adecvată pentru produse TIC, servicii TIC şi procese TIC având o complexitate redusă şi care prezintă un risc scăzut pentru public, cum ar fi mecanisme de concepţie şi producţie simple. În plus, autoevaluarea conformităţii ar trebui să fie permisă pentru produsele TIC, serviciile TIC şi procesele TIC numai dacă acestea corespund unui nivel de asigurare "de bază".
(80)Un sistem european de certificare a securităţii cibernetice ar putea permite atât autoevaluarea conformităţii, cât şi certificarea produselor TIC, a serviciilor TIC sau a proceselor TIC. În acest caz, sistemul ar trebui să prevadă modalităţi clare şi uşor de înţeles, astfel încât consumatorii şi alţi utilizatori să diferenţieze produsele TIC, serviciile TIC şi procesele TIC pentru care producătorul sau furnizorul de produse TIC, servicii TIC sau procese TIC este răspunzător pentru evaluare, de produsele TIC, serviciile TIC şi procesele TIC care sunt certificate de o parte terţă.
(81)Producătorul sau furnizorul de produse TIC, servicii TIC sau procese TIC care efectuează o autoevaluare a conformităţii ar trebui să poată să întocmească şi să semneze declaraţia de conformitate UE în cadrul procedurii de evaluare a conformităţii. Declaraţia de conformitate UE este un document care specifică faptul că un anumit produs TIC, serviciul TIC sau proces TIC este conform cu cerinţele sistemului european de certificare a securităţii cibernetice. Prin eliberarea şi semnarea declaraţiei de conformitate UE, producătorul sau furnizorul îşi asumă răspunderea pentru conformitatea produsului TIC, a serviciului TIC sau a procesului TIC cu cerinţele legale ale sistemului european de certificare a securităţii cibernetice. O copie a declaraţiei de conformitate UE ar trebui transmisă autorităţii naţionale de certificare a securităţii cibernetice şi ENISA.
(82)Producătorii sau furnizorii de produse TIC, servicii TIC sau procese TIC ar trebui să pună la dispoziţia autorităţii naţionale competente de certificare a securităţii cibernetice, pe durata stabilită în sistemul european de certificare a securităţii cibernetice relevant, declaraţia de conformitate UE, documentaţia tehnică şi toate celelalte informaţii relevante legate de conformitatea produselor TIC, serviciilor TIC sau proceselor TIC cu un sistem european de certificare a securităţii cibernetice. Documentaţia tehnică ar trebui să specifice cerinţele aplicabile şi să acopere, în măsura relevantă pentru evaluare, conceperea, producerea şi exploatarea produsului TIC, a serviciului TIC sau a procesului TIC în măsura relevantă pentru autoevaluarea conformităţii. Documentaţia tehnică ar trebui să fie alcătuită astfel încât să permită evaluarea faptului că un produs TIC sau un serviciu TIC respectă cerinţele relevante aplicabile în cadrul sistemului respectiv.
(83)Guvernanţa cadrului european de certificare de securitate cibernetică ţine seama de implicarea statelor membre şi de implicarea corespunzătoare a părţilor interesate şi stabileşte rolul Comisiei în timpul planificării şi al propunerii, solicitării, pregătirii, adoptării şi revizuirii sistemelor europene de certificare a securităţii cibernetice.
(84)Comisia ar trebui să elaboreze, cu sprijinul Grupului european pentru certificarea securităţii cibernetice (ECCG) şi al Grupului părţilor interesate pentru certificarea securităţii cibernetice şi după o consultare deschisă şi largă, un program de activitate etapizat la nivelul Uniunii pentru sistemele europene de certificare a securităţii cibernetice şi să îl publice sub forma unui instrument fără caracter obligatoriu. Programul de activitate etapizat la nivelul Uniunii ar trebui să fie un document strategic care să permită mai ales industriei, autorităţilor naţionale şi organismelor de standardizare să pregătească în avans viitoare sisteme europene de certificare a securităţii cibernetice. Programul de activitate etapizat la nivelul Uniunii ar trebui să includă o prezentare multianuală a solicitărilor de propuneri de sisteme pe care Comisia intenţionează să le transmită ENISA în baza unor considerente specifice, în vederea pregătirii. Comisia ar trebui să ţină seama de programul de activitate etapizat la nivelul Uniunii atunci când îşi pregăteşte planul etapizat pentru standardizarea TIC şi solicitările de standardizare adresate organizaţiilor de standardizare europene. Ţinând seama de rapiditatea cu care se introduc noile tehnologii şi cu care acestea sunt, de apariţia unor riscuri pentru securitatea cibernetică anterior necunoscute sau de evoluţia legislaţiei şi a pieţei, Comisia sau ECCG ar trebui să aibă dreptul să solicite ENISA să pregătească propuneri de sisteme care nu fuseseră incluse în programul de activitate etapizat la nivelul Uniunii. În astfel de situaţii, Comisia şi ECCG ar trebui să evalueze şi necesitatea unei asemenea solicitări, luând în considerare obiectivele generale ale prezentului regulament şi necesitatea de a asigura continuitatea în ceea ce priveşte planificarea şi utilizarea resurselor ENISA.
La primirea unei astfel de solicitări, ENISA ar trebui să pregătească fără întârzieri nejustificate propuneri de sisteme pentru, produse TIC, servicii TIC şi procese TIC specifice. Comisia ar trebui să evalueze impactul pozitiv şi negativ al solicitării sale asupra pieţei specifice în cauză, mai ales impactul acestora asupra IMM-urilor, inovării, obstacolelor la intrare pe piaţa respectivă şi costurilor pentru utilizatorii finali. Pe baza propunerii de sistem pregătite de ENISA, Comisia ar trebui să fie apoi împuternicită să adopte sistemul european de certificare a securităţii cibernetice prin intermediul unor acte de punere în aplicare. Ţinând seama de scopul general şi de obiectivele de securitate prevăzute în prezentul regulament, sistemele europene de certificare a securităţii cibernetice adoptate de Comisie ar trebui să specifice un set minim de elemente referitoare la obiectul, sfera de aplicare şi funcţionarea fiecărui sistem. Elementele respective ar trebui să includă, printre altele, sfera de aplicare şi obiectul certificării de securitate cibernetică, inclusiv categoriile de produse TIC, servicii TIC şi procese TIC care fac obiectul acesteia, specificaţii detaliate cu privire la cerinţele de securitate cibernetică, de exemplu prin trimitere la standarde sau la specificaţii tehnice, criteriile specifice de evaluare şi metodele de evaluare, precum şi nivelul de asigurare vizat ("de bază", "substanţial" sau "ridicat") şi nivelurile de evaluare, după caz. ENISA ar trebui să poată să refuze o solicitare din partea ECCG. O astfel de decizie ar trebui adoptată de consiliul de administraţie şi motivată în mod corespunzător.
(85)ENISA ar trebui să întreţină un site web care să ofere informaţii despre sistemele europene de certificare a securităţii cibernetice şi să le asigure publicitatea, conţinând, printre altele, cererile de pregătire a unei propuneri de sistem, precum şi observaţiile primite în cadrul procesului de consultare derulat de ENISA în etapa de pregătire. Site-ul ar trebui să ofere informaţii şi despre certificatele europene de securitate cibernetică şi declaraţiile de conformitate UE eliberate în temeiul prezentului regulament, inclusiv informaţii despre retragerea şi expirarea acestor certificate europene de securitate cibernetică şi declaraţii de conformitate UE. Site-ul ar trebui să indice şi sistemele naţionale de certificare a securităţii cibernetice care au fost înlocuite de un sistem european de certificare a securităţii cibernetice.
(86)Nivelul de asigurare al unui sistem european de certificare este temeiul încrederii că un produs TIC, serviciu TIC sau proces TIC îndeplineşte cerinţele de securitate ale unui sistem european de certificare a securităţii cibernetice specific. Pentru a asigura coerenţa cadrului european de certificare a securităţii cibernetice, un sistem european de certificare a securităţii cibernetice ar trebui să poată să specifice niveluri de asigurare pentru certificatele europene de securitate cibernetică şi pentru declaraţiile de conformitate UE eliberate în cadrul respectivului sistem. Fiecare certificat european de securitate cibernetică s-ar putea referi la unul din nivelurile de asigurare: "de bază", "substanţial" sau "ridicat", pe când declaraţia de conformitate UE nu s-ar putea referi decât la nivelul de asigurare "de bază". Nivelurile de asigurare ar indica rigoarea şi profunzimea corespunzătoare evaluării produsului TIC, serviciului TIC sau procesului TIC şi s-ar caracteriza prin trimitere la specificaţiile tehnice şi la standardele şi procedurile conexe, incluzând controale tehnice, al căror scop este atenuarea sau prevenirea incidentelor. Fiecare nivel de asigurare ar trebui să fie coerent în cadrul diferitelor domenii sectoriale în care se aplică certificarea.
(87)Un sistem european de certificare a securităţii cibernetice ar putea specifica mai multe niveluri de evaluare în funcţie de rigoarea şi de profunzimea metodologiei de evaluare utilizate. Nivelurile de evaluare ar trebui să corespundă unuia din nivelurile de asigurare şi să fie asociată unei combinaţii adecvate de componente ale asigurării. Pentru toate nivelurile de asigurare, produsul TIC, serviciul TIC sau procesul TIC ar trebui să conţină o serie de funcţii securizate, astfel cum sunt precizate de sistem, care pot include: o configuraţie securizată a produsului livrat, un cod semnat, o actualizare securizată, atenuarea consecinţelor defectelor de exploatare (exploit mitigation) şi protecţia completă a memoriilor în stivă sau heap. Aceste funcţii ar trebui să fie dezvoltate şi întreţinute prin utilizarea unor abordări axate pe dezvoltare şi prin instrumente conexe pentru a asigura că sunt încorporate în mod fiabil mecanisme software şi hardware eficace.
(88)Pentru nivelul de asigurare "de bază", evaluarea ar trebui să se bazeze cel puţin pe următoarele componente ale asigurării: evaluarea ar trebui să includă cel puţin o analiză a documentaţiei tehnice a produsului TIC, serviciului TIC sau procesului TIC de către organismul de evaluare a conformităţii. În cazul în care certificarea include procese TIC, procesul utilizat pentru conceperea, dezvoltarea şi întreţinerea unui produs TIC sau serviciu TIC ar trebui de asemenea să facă obiectul analizei tehnice. În cazul în care un sistem european de certificare a securităţii cibernetice prevede o autoevaluare a conformităţii, ar trebui să fie suficient ca producătorul sau furnizorul de produse TIC, servicii TIC sau procese TIC să fi efectuat o autoevaluare a conformităţii produselor TIC, serviciilor TIC sau proceselor TIC cu sistemul de certificare.
(89)Pentru nivelul de asigurare "substanţial", în plus faţă de cerinţele pentru nivelul de asigurare "de bază", evaluarea ar trebui să se bazeze cel puţin pe verificarea conformităţii funcţiilor de securitate ale produsului TIC, serviciului TIC sau procesului TIC cu documentaţia sa tehnică.
(90)Pentru nivelul de asigurare "ridicat", în plus faţă de elementele necesare pentru nivelul de asigurare "substanţial", evaluarea ar trebui să se bazeze cel puţin pe un test de eficacitate care să evalueze rezistenţa funcţiilor de securitate ale produsului TIC, serviciului TIC sau procesului TIC împotriva atacurilor cibernetice lansate de persoane care au competenţe şi resurse semnificative.
(91)Recurgerea la certificarea europeană de securitate cibernetică şi la declaraţia de conformitate UE ar trebui să rămână voluntară, cu excepţia cazului în care există dispoziţii contrare în dreptul Uniunii sau în dreptul statelor membre adoptat în conformitate cu dreptul Uniunii. În lipsa unui drept armonizat al Uniunii, statele membre pot adopta reglementări tehnice la nivel naţional, care să prevadă certificarea obligatorie în cadrul unui sistem european de certificare a securităţii cibernetice în conformitate cu Directiva (UE) 2015/1535 a Parlamentului European şi a Consiliului (20). Statele membre ar putea recurge la certificarea europeană de securitate cibernetică şi în contextul achiziţiilor publice şi al Directivei 2014/24/UE a Parlamentului European şi a Consiliului (21).
(20)Directiva (UE) 2015/1535 a Parlamentului European şi a Consiliului din 9 septembrie 2015 referitoare la procedura de furnizare de informaţii în domeniul reglementărilor tehnice şi al normelor privind serviciile societăţii informaţionale (JO L 241, 17.9.2015, p. 1).
(21)Directiva 2014/24/UE a Parlamentului European şi a Consiliului din 26 februarie 2014 privind achiziţiile publice şi de abrogare a Directivei 2004/18/CE (JO L 94, 28.3.2014, p. 65).
(92)În unele domenii ar putea fi necesar, în viitor, ca anumite cerinţe specifice în materie de securitate cibernetică şi certificarea acestora să fie obligatorii pentru anumite produse TIC, servicii TIC sau procese TIC în scopul îmbunătăţirii nivelului de securitate cibernetică în Uniune. Comisia ar trebui să monitorizeze cu regularitate impactul sistemelor europene de certificare a securităţii cibernetice adoptate asupra disponibilităţii produselor TIC, şi serviciilor TIC şi proceselor TIC securizate pe piaţa internă şi să evalueze periodic nivelul de utilizare a sistemelor de certificare de către producători şi de către furnizorii de produse TIC, servicii TIC sau procese TIC din Uniune. Ar trebui să se evalueze eficienţa sistemelor europene de certificare a securităţii cibernetice şi să se analizeze dacă anumite sisteme ar trebui să devină obligatorii, din perspectiva legislaţiei Uniunii legate de securitatea cibernetică, şi mai ales a Directivei (UE) 2016/1148, luând în considerare securitatea reţelelor şi a sistemelor informatice utilizate de operatorii de servicii esenţiale.
(93)Certificatele europene de securitate cibernetică şi declaraţiile de conformitate UE ar trebui să îi ajute pe utilizatorii finali să facă alegeri în cunoştinţă de cauză. Prin urmare, produsele TIC, serviciile TIC şi procesele TIC care au fost certificate sau pentru care a fost emisă o declaraţie de conformitate ar trebui însoţite de informaţii structurate care sunt adaptate nivelului tehnic estimat al utilizatorului final preconizat. Toate aceste informaţii ar trebui să fie puse la dispoziţie online, şi, după caz, în formă fizică. Concret, utilizatorul final ar trebui să aibă acces la informaţii referitoare la numărul de referinţă al sistemului de certificare, nivelul de asigurare, descrierea riscurilor pentru securitatea cibernetică asociate produsului TIC, serviciului TIC sau procesului TIC, şi autoritatea sau organismul emitent, sau ar trebui să aibă posibilitatea de a obţine la o copie a certificatului european de securitate cibernetică. În plus, utilizatorul final ar trebui să fie informat despre politica de asistenţă în materie de securitate cibernetică a producătorului sau a furnizorului de produse TIC, servicii TIC şi procese TIC, şi anume cât timp se poate aştepta utilizatorul final să primească actualizări sau corecţii în materie de securitate cibernetică. După caz, ar trebui furnizate orientări privind acţiunile sau setările pe care utilizatorul final le poate aplica pentru a-şi menţine sau a-şi creşte nivelul de securitate cibernetică al produsului TIC sau al serviciului TIC şi date de contact ale unui punct de contact unic pentru a raporta atacurile cibernetice şi pentru a primi asistenţă în eventualitatea acestora (pe lângă raportarea automată). Informaţiile respective ar trebui să fie actualizate periodic şi să fie disponibile pe un site care să furnizeze informaţii despre sistemele europene de certificare a securităţii cibernetice.
(94)Pentru realizarea obiectivelor prezentului regulament şi pentru a se evita fragmentarea pieţei interne, sistemele sau procedurile naţionale de certificare a securităţii cibernetice pentru produsele TIC, serviciile TIC sau procesele TIC care fac obiectul unui sistem european de certificare a securităţii cibernetice ar trebui să înceteze să mai producă efecte de la o dată stabilită de Comisie prin intermediul actelor de punere în aplicare. În plus, statele membre ar trebui să nu introducă noi sisteme naţionale de certificare a securităţii cibernetice pentru produse TIC, servicii TIC sau procese TIC care fac deja obiectul unui sistem european de certificare a securităţii cibernetice existent. Cu toate acestea, statele membre nu ar trebui împiedicate să adopte sau să menţină sisteme naţionale de certificare a securităţii cibernetice în scopuri de securitate naţională. Statele membre ar trebui să informeze Comisia şi ECCG cu privire la orice intenţie de a elabora noi sisteme naţionale de certificare a securităţii cibernetice. Comisia şi ECCG ar trebui să evalueze impactul noului sistem naţional de certificare a securităţii cibernetice asupra bunei funcţionări a pieţei interne, inclusiv din perspectiva interesului strategic de a solicita în schimb un sistem european de certificare a securităţii cibernetice.
(95)Sistemele europene de certificare a securităţii cibernetice urmăresc armonizarea practicilor în privinţa securităţii cibernetice în Uniune. Este nevoie ca acestea să contribuie la creşterea nivelului de securitate cibernetică în Uniune. De asemenea, în modul de concepere a sistemelor europene de certificare a securităţii cibernetice ar trebui să se ia în calcul şi să se permită dezvoltarea în continuare de inovaţii în domeniul securităţii cibernetice.
(96)Sistemele europene de certificare a securităţii cibernetice ar trebui să ţină seama de actualele metode de dezvoltare hardware şi software şi mai ales de impactul frecventelor actualizări software sau firmware aduse certificatelor europene de securitate cibernetică individuale. Sistemele europene de certificare a securităţii cibernetice ar trebui să precizeze condiţiile în care o actualizare poate necesita ca un produs TIC, un serviciu TIC sau un proces TIC să fie certificat din nou sau ca sfera de aplicare a unui anumit certificat european de securitate cibernetică să fie restrânsă, ţinând seama de orice efecte negative posibile ale actualizării asupra conformităţii cu cerinţele de securitate ale certificatului respectiv.
(97)Odată ce se adoptă un sistem european de certificare a securităţii cibernetice, producătorii sau furnizorii de produse TIC, servicii TIC sau procese TIC ar trebui să aibă posibilitatea de a depune o cerere de certificare a produselor lor TIC sau a serviciilor lor TIC pe lângă un organism de evaluare a conformităţii ales de ei, aflat oriunde în Uniune. Organismele de evaluare a conformităţii ar trebui să fie acreditate de un organism naţional de acreditare dacă respectă anumite cerinţe specifice, stabilite în prezentul regulament. Acreditarea ar trebui să fie acordată pentru o perioadă maximă de cinci ani şi să poată fi reînnoită în aceleaşi condiţii dacă organismul de evaluare a conformităţii îndeplineşte cerinţele în continuare. Organismele naţionale de acreditare ar trebui să restricţioneze, să suspende sau să revoce acreditarea unui organism de evaluare a conformităţii în cazul în care condiţiile de acreditare nu sunt sau nu mai sunt îndeplinite sau în cazul în care măsurile luate de un organism de evaluare a conformităţii încalcă prezentul regulament.
(98)Trimiterile din legislaţia naţională la standarde naţionale care au încetat să mai producă efecte ca urmare a intrării în vigoare a unui sistem european de certificare a securităţii cibernetice poate constitui o sursă de confuzie. Prin urmare, statele membre ar trebui să reflecte adoptarea unui sistem european de certificare a securităţii cibernetice în legislaţia lor naţională.
(99)Pentru a se ajunge la standarde echivalente pe întreg teritoriul Uniunii, pentru a se facilita recunoaşterea reciprocă şi a se promova acceptarea generală a certificatelor europene de securitate cibernetică şi a declaraţiilor de conformitate UE, este necesar să se instituie un sistem de evaluare inter pares în rândul autorităţilor naţionale de certificare a securităţii cibernetice. Evaluarea inter pares ar trebui să aibă drept obiect procedurile de supraveghere a conformităţii produselor TIC, serviciilor TIC şi proceselor TIC cu certificatele europene de securitate cibernetică, de monitorizare a obligaţiilor producătorilor sau ale furnizorilor de produse TIC, servicii TIC sau procese TIC care efectuează autoevaluarea conformităţii, de monitorizare a organismelor de evaluare a conformităţii, precum şi adecvarea expertizei personalului organismelor care eliberează certificate pentru nivelul de asigurare "ridicat". Prin intermediul unui act de punere în aplicare, Comisia ar trebui să elaboreze cel puţin un plan cincinal pentru evaluarea inter pares, precum şi să stabilească criteriile şi metodologia pentru funcţionarea sistemului de evaluare inter pares.
(100)Fără a aduce atingere sistemului general de evaluare inter pares care urmează să fie pus în practică de toate autorităţile naţionale de certificare a securităţii cibernetice, anumite sisteme europene de certificare a securităţii cibernetice pot include un mecanism de evaluare inter pares pentru organismele care eliberează certificate europene de securitate cibernetică pentru produse TIC, servicii TIC sau procese TIC la nivelul de asigurare "ridicat" în temeiul respectivelor sisteme. ECCG ar trebui să sprijine punerea în practică a acestor mecanisme de evaluare inter pares. Evaluările inter pares ar trebui să evalueze îndeosebi dacă organismele în cauză îşi îndeplinesc atribuţiile în mod armonizat şi pot include mecanisme de recurs. Rezultatele evaluărilor inter pares ar trebui puse la dispoziţia publicului. Organismele în cauză pot adopta măsurile corespunzătoare pentru a-şi adapta în consecinţă practicile şi expertiza.
(101)Statele membre ar trebui să desemneze una sau mai multe autorităţi naţionale de certificare a securităţii cibernetice care să supravegheze conformitatea cu obligaţiile ce decurg din prezentul regulament. O autoritate naţională de certificare a securităţii cibernetice poate fi o autoritate deja existentă sau o nouă autoritate. Un stat membru ar trebui să aibă în acelaşi timp posibilitatea de a desemna, în urma acordului cu alt stat membru, una sau mai multe autorităţi naţionale de certificare de securitate cibernetică pe teritoriul celuilalt stat membru.
(102)Autorităţile naţionale de certificare de securitate cibernetică ar trebui în special să monitorizeze obligaţiile producătorilor sau ale furnizorilor de produse TIC, de servicii TIC sau de procese TIC stabiliţi pe teritoriul lor respectiv în ceea ce priveşte declaraţia de conformitate UE şi să asigure respectarea acestor obligaţii, ar trebui să ofere asistenţă organismelor naţionale de acreditare la monitorizarea şi supravegherea activităţilor derulate de organismele de evaluare a conformităţii, oferindu-le expertiză şi informaţii relevante, ar trebui să autorizeze organismele de evaluare a conformităţii să îşi îndeplinească atribuţiile atunci când aceste organisme îndeplinesc cerinţele suplimentare prevăzute într-un sistem european de certificare a securităţii cibernetice şi ar trebui să monitorizeze evoluţiile relevante în domeniul certificării de securitate cibernetică. Autorităţile naţionale de certificare a securităţii cibernetice ar trebui să trateze plângerile depuse de persoane fizice sau juridice în legătură cu certificatele europene de securitate cibernetică eliberate de respectivele autorităţi sau în legătură cu certificatele europene de securitate cibernetică eliberate de organismele de evaluare a conformităţii, atunci când astfel de certificate indică nivelul de asigurare "ridicat", ar trebui să investigheze, în măsura în care este oportun, obiectul plângerii şi să informeze reclamantul cu privire la progresele şi rezultatul investigaţiei, într-un termen rezonabil. În plus, autorităţile naţionale de certificare a securităţii cibernetice ar trebui să coopereze cu alte autorităţi naţionale de certificare a securităţii cibernetice sau cu alte autorităţi publice, inclusiv schimbând informaţii despre o posibilă neconformitate a produselor TIC, a serviciilor TIC şi a proceselor TIC cu cerinţele prezentului regulament sau ale anumitor sisteme europene de certificare a securităţii cibernetice. Comisia ar trebui să faciliteze schimbul de informaţii punând la dispoziţie un sistem electronic general de gestionare a informaţiilor, de exemplu sistemul de informare şi de comunicare pentru supravegherea pieţei (ICSMS) şi sistemul de alertă rapidă pentru produse nealimentare periculoase (RAPEX) folosite deja de autorităţile de supraveghere a pieţei în temeiul Regulamentului (CE) nr. 765/2008.
(103)Pentru a asigura aplicarea coerentă a cadrului european de certificare a securităţii cibernetice, ar trebui să se instituie un ECCG, compus din reprezentanţi ai autorităţilor naţionale de certificare a securităţii cibernetice sau ai altor autorităţi naţionale competente. Principalele atribuţii ale ECCG ar trebui să constea în furnizarea de consiliere şi asistenţă Comisiei în activitatea sa pentru a asigura coerenţa în punerea în aplicare şi asigurarea respectării cadrului european de certificare a securităţii cibernetice, în acordarea de asistenţă ENISA şi în cooperarea îndeaproape cu aceasta la elaborarea propunerilor de sisteme europene de certificare a securităţii cibernetice; în cazuri justificate corespunzător să solicite ENISA să pregătească o propunere de sistem; să adopte avize adresate ENISA cu privire la propunerile de sisteme şi să adopte avize adresate Comisiei cu privire la întreţinerea şi revizuirea sistemelor europene de certificare a securităţii cibernetice existente. ECCG ar trebui să faciliteze schimbul de bune practici şi de expertiză între diferitele autorităţi naţionale de certificare a securităţii cibernetice care sunt responsabile cu autorizarea organismelor de evaluare a conformităţii şi cu eliberarea certificatelor europene de securitate cibernetică.
(104)În vederea sporirii gradului de sensibilizare şi pentru a facilita acceptarea viitoarelor sisteme europene de certificare a securităţii cibernetice, Comisia poate emite orientări generale sau sectoriale în materie de securitate cibernetică, de exemplu cu privire la bunele practici sau la comportamentul responsabil în materie de securitate cibernetică, subliniind efectul pozitiv al utilizării de produse TIC, servicii TIC şi procese TIC certificate.
(105)Pentru a facilita şi mai mult comerţul şi având în vedere că lanţurile de aprovizionare TIC sunt mondiale, Uniunea poate încheia, în conformitate cu articolul 218 din Tratatul privind funcţionarea Uniunii Europene (TFUE), acorduri de recunoaştere reciprocă referitoare la certificatele europene de securitate cibernetică. Ţinând seama de avizele primite din partea ENISA şi a Grupului european pentru certificarea securităţii cibernetice, Comisia poate recomanda iniţierea negocierilor relevante. Fiecare sistem european de certificare a securităţii cibernetice ar trebui să prevadă condiţii specifice pentru astfel de acorduri de recunoaştere reciprocă cu ţări terţe.
(106)În vederea asigurării unor condiţii uniforme de punere în aplicare a prezentului regulament, ar trebui conferite competenţe de executare Comisiei. Competenţele respective ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European şi al Consiliului (22).
(22)Regulamentul (UE) nr. 182/2011 al Parlamentului European şi al Consiliului din 16 februarie 2011 de stabilire a normelor şi principiilor generale privind mecanismele de control de către statele membre al exercitării competenţelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).
(107)Procedura de examinare ar trebui utilizată pentru adoptarea actelor de punere în aplicare privind sistemele europene de certificare a securităţii cibernetice pentru produse TIC, servicii TIC şi procese TIC, pentru adoptarea actelor de punere în aplicare privind modalităţile de desfăşurare a anchetelor întreprinse de ENISA, pentru adoptarea actelor de punere în aplicare privind un plan pentru evaluarea inter pares a autorităţilor naţionale de certificare a securităţii cibernetice, precum şi pentru adoptarea actelor de punere în aplicare privind circumstanţele, formatele şi procedurile de notificare către Comisie a organismelor acreditate de evaluare a conformităţii de către autorităţile naţionale de certificare a securităţii cibernetice.
(108)Funcţionarea ENISA ar trebui să facă obiectul unei evaluări periodice şi independente. Evaluarea ar trebui să ţină seama de îndeplinirea de către ENISA a obiectivelor sale, de practicile sale de lucru şi de relevanţa atribuţiilor sale, mai ales a atribuţiilor legate de cooperarea operaţională la nivelul Uniunii. Evaluarea respectivă ar trebui să analizeze impactul, eficacitatea şi eficienţa cadrului european de certificare a securităţii cibernetice. În cazul unei revizuiri, Comisia ar trebui să evalueze modul în care se poate consolida rolul ENISA de punct de referinţă pentru consiliere şi expertiză şi ar trebui să evalueze rolul potenţial al ENISA de a sprijini evaluarea produselor TIC, a serviciilor TIC şi a proceselor TIC ale ţărilor terţe care nu respectă normele Uniunii, în cazul în care astfel de produse, servicii şi procese intră în Uniune.
(109)Întrucât obiectivele prezentului regulament nu pot fi realizate în mod satisfăcător de către statele membre, dar, având în vedere amploarea şi efectele sale, pot fi realizate mai bine la nivelul Uniunii, aceasta poate adopta măsuri, în conformitate cu principiul subsidiarităţii, astfel cum este prevăzut la articolul 5 din Tratatul privind Uniunea Europeană (TUE). În conformitate cu principiul proporţionalităţii, astfel cum este prevăzut la articolul respectiv, prezentul regulament nu depăşeşte ceea ce este necesar pentru realizarea acestor obiective.
(110)Regulamentul (UE) nr. 526/2013 ar trebui abrogat,
ADOPTĂ PREZENTUL REGULAMENT:
-****-
Art. 1: Obiect şi domeniu de aplicare
(1)În vederea asigurării bunei funcţionări a pieţei interne, urmărind în acelaşi timp atingerea, în Uniune, a unui nivel ridicat de securitate cibernetică, de rezilienţă cibernetică şi de încredere, prezentul regulament stabileşte:
a)obiectivele, atribuţiile şi aspectele organizaţionale legate de ENISA (Agenţia Uniunii Europene pentru Securitate Cibernetică); şi
b)un cadru pentru instituirea de sisteme europene de certificare a securităţii cibernetice cu scopul de a asigura un nivel adecvat de securitate cibernetică a produselor TIC, serviciilor TIC şi proceselor TIC în Uniune, precum şi cu scopul de a evita fragmentarea pieţei interne în ceea ce priveşte sistemele de certificare a securităţii cibernetice din Uniune.
Cadrul menţionat la primul paragraf litera (b) se aplică fără a aduce atingere dispoziţiilor specifice cuprinse în alte acte juridice ale Uniunii privind certificarea voluntară sau obligatorie.
(2)Prezentul regulament nu aduce atingere competenţelor statelor membre în ceea ce priveşte activităţile aferente securităţii publice, apărării, securităţii naţionale şi nici activităţilor statului din domeniul dreptului penal.
Art. 2: Definiţii
În sensul prezentului regulament, se aplică următoarele definiţii:
1."securitate cibernetică" înseamnă activităţile necesare pentru protejarea reţelelor şi a sistemelor informatice, a utilizatorilor unor astfel de sisteme şi a altor persoane afectate de ameninţări cibernetice;
2."reţea şi sistem informatic" înseamnă reţea şi sistem informatic astfel cum sunt definite la articolul 4 punctul 1 din Directa (UE) 2016/1148;
3."strategie naţională privind securitatea reţelelor şi a sistemelor informatice" înseamnă o strategie naţională privind securitatea reţelelor şi a sistemelor informatice astfel cum este definită la articolul 4 punctul 3 din Directiva (UE) 2016/1148;
4."operator de servicii esenţiale" înseamnă un operator de servicii esenţiale astfel cum este definit la articolul 4 punctul 4 din Directiva (UE) 2016/1148;
5."furnizor de servicii digitale" înseamnă un furnizor de servicii digitale astfel cum este definit la articolul 4 punctul 6 din Directiva (UE) 2016/1148;
6."incident" înseamnă un incident astfel cum este definit la articolul 4 punctul 7 din Directiva (UE) 2016/1148;
7."administrarea incidentului" înseamnă o administrare a incidentului astfel cum este definită la articolul 4 punctul 8 din Directiva (UE) 2016/1148;
8."ameninţare cibernetică" înseamnă orice circumstanţă, eveniment sau acţiune potenţială care ar putea cauza daune sau perturbări la nivelul reţelelor şi al sistemelor informatice, precum şi la nivelul utilizatorilor unor astfel de sisteme şi al altor persoane, sau care poate avea un alt fel de impact negativ asupra acestora;
9."sistem european de certificare a securităţii cibernetice" înseamnă un set cuprinzător de norme, cerinţe tehnice, standarde şi proceduri, instituite la nivelul Uniunii, care se aplică certificării sau evaluării conformităţii anumitor produse TIC, servicii TIC şi procese TIC;
10."sistem naţional de certificare a securităţii cibernetice" înseamnă un set cuprinzător de norme, cerinţe tehnice, standarde şi proceduri elaborate şi adoptate de o autoritate naţională publică, care se aplică certificării sau evaluării conformităţii produselor TIC, serviciilor TIC şi proceselor TIC care intră în domeniul de aplicare al sistemului în cauză;
11."certificat european de securitate cibernetică" înseamnă un document emis de un organism relevant prin care se atestă că un anumit produs TIC, serviciu TIC sau proces TIC a fost evaluat în scopul verificării conformităţii cu cerinţele de securitate specifice prevăzute în cadrul unui sistem european de certificare a securităţii cibernetice;
12."produs TIC" înseamnă un element sau un grup de elemente al unei reţele sau al unui sistem informatic;
13."serviciu TIC" înseamnă un serviciu care constă integral sau preponderent în transmiterea, stocarea, extragerea sau prelucrarea informaţiei prin intermediul reţelelor şi al sistemelor informatice;
14."proces TIC" înseamnă un set de activităţi desfăşurate pentru a concepe, a dezvolta, a furniza sau a întreţine un produs TIC sau un serviciu TIC;
15."acreditare" înseamnă acreditare astfel cum este definită la articolul 2 punctul 10 din Regulamentul (CE) nr. 765/2008;
16."organism naţional de acreditare" înseamnă un organism naţional de acreditare astfel cum este definit la articolul 2 punctul 11 din Regulamentul (CE) nr. 765/2008;
17."evaluare a conformităţii" înseamnă o evaluare a conformităţii astfel cum este definită la articolul 2 punctul 12 din Regulamentul (CE) nr. 765/2008;
18."organism de evaluare a conformităţii" înseamnă un organism de evaluare a conformităţii astfel cum este definit la articolul 2 punctul 13 din Regulamentul (CE) nr. 765/2008;
19."standard" înseamnă un standard astfel cum este definit la articolul 2 punctul 1 din Regulamentul (UE) nr. 1025/2012;
20."specificaţie tehnică" înseamnă un document care stabileşte cerinţele tehnice pe care trebuie să le îndeplinească un produs TIC, un serviciu TIC sau un proces TIC, ori procedurile de evaluare a conformităţii referitoare la acestea;
21."nivel de asigurare" înseamnă temeiul încrederii că un produs TIC, un serviciu TIC sau un proces TIC întruneşte cerinţele de securitate ale unui sistem european de certificare a securităţii cibernetice specific şi indică nivelul la care a fost evaluat un produs TIC, un serviciu TIC sau un proces TIC, dar care nu măsoară ca atare securitatea produsului TIC, a serviciului TIC sau a procesului TIC în cauză;
22."autoevaluare a conformităţii" înseamnă o acţiune desfăşurată de un producător sau de un furnizor de produse TIC, de servicii TIC sau de procese TIC, care evaluează dacă respectivele produse TIC, servicii TIC sau procese TIC îndeplinesc cerinţele unui sistem european de certificare a securităţii cibernetice specific.
Art. 3: Mandat
(1)ENISA îndeplineşte atribuţiile care îi sunt încredinţate în temeiul prezentului regulament în scopul de a asigura un nivel comun ridicat de securitate cibernetică în întreaga Uniune, inclusiv sprijinind în mod activ statele membre şi instituţiile, organele, oficiile şi agenţiile Uniunii pentru a-şi îmbunătăţi securitatea cibernetică. ENISA serveşte drept punct de referinţă în ceea ce priveşte consilierea şi expertiza în materie de securitate cibernetică pentru instituţiile, organele, oficiile şi agenţiile Uniunii, precum şi pentru alte părţi interesate relevante din Uniune.
ENISA contribuie la reducerea fragmentării pe piaţa internă prin îndeplinirea atribuţiilor care îi sunt încredinţate în temeiul prezentului regulament.
(2)ENISA îndeplineşte atribuţiile care îi sunt încredinţate prin acte juridice ale Uniunii care stabilesc măsuri de apropiere a actelor cu putere de lege şi a actelor administrative ale statelor membre care au legătură cu securitatea cibernetică.
(3)În îndeplinirea atribuţiilor sale, ENISA acţionează în mod independent, evitând să dubleze activităţile statelor membre şi ţinând seama de expertiza pe care o au deja statele membre.
(4)ENISA îşi dezvoltă propriile resurse, inclusiv capacităţile şi competenţele tehnice şi umane, necesare pentru a îndeplini atribuţiile care îi sunt încredinţate în temeiul prezentului regulament.
Art. 4: Obiective
(1)ENISA este un centru de expertiză în materie de securitate cibernetică, datorită independenţei sale, calităţii ştiinţifice şi tehnice a consilierii şi asistenţei acordate şi a informaţiilor furnizate, transparenţei procedurilor de operare şi metodelor de funcţionare, precum şi a diligenţei cu care îşi îndeplineşte atribuţiile.
(2)ENISA oferă asistenţă instituţiilor, organelor, oficiilor şi agenţiilor Uniunii, precum şi statelor membre, la elaborarea şi punerea în aplicare a politicilor Uniunii legate de securitatea cibernetică, inclusiv a politicilor sectoriale privind securitatea cibernetică.
(3)ENISA sprijină consolidarea capacităţilor şi procesul de pregătire în întreaga Uniune, furnizând asistenţă instituţiilor, organelor, oficiilor şi agenţiilor Uniunii, precum şi statelor membre şi părţilor interesate din sectorul public şi privat pentru a spori protecţia reţelelor şi a sistemelor informatice ale acestora, pentru a dezvolta şi a îmbunătăţi rezilienţa cibernetică şi capacităţile de răspuns şi pentru a dezvolta aptitudini şi competenţe în domeniul securităţii cibernetice.
(4)ENISA promovează cooperarea, inclusiv schimbul de informaţii şi coordonarea la nivelul Uniunii între statele membre, instituţiile, organele, oficiile şi agenţiile Uniunii şi părţile interesate relevante din sectorul public şi privat cu privire la chestiuni legate de securitatea cibernetică.
(5)ENISA contribuie la sporirea capacităţilor de securitate cibernetică la nivelul Uniunii pentru a sprijini acţiunile statelor membre în materie de prevenire a ameninţărilor cibernetice şi de răspuns la acestea, în special în cazul incidentelor transfrontaliere.
(6)ENISA promovează recurgerea la certificarea europeană a securităţii cibernetice, cu scopul de a evita fragmentarea pieţei interne. ENISA contribuie la instituirea şi menţinerea unui cadru de certificare europeană a securităţii cibernetice în conformitate cu titlul III din prezentul regulament, pentru a creşte transparenţa securităţii cibernetice a produselor TIC, a serviciilor TIC şi a proceselor TIC, consolidând astfel încrederea în piaţa internă digitală şi în competitivitatea acesteia.
(7)ENISA promovează un nivel ridicat de sensibilizare în privinţa securităţii cibernetice, inclusiv a igienei cibernetice şi alfabetizării cibernetice a cetăţenilor, organizaţiilor şi întreprinderilor.
Art. 5: Elaborarea şi punerea în aplicare a politicii şi a dreptului Uniunii
ENISA contribuie la elaborarea şi punerea în aplicare a politicii şi a dreptului Uniunii:
1.acordând asistenţă şi consiliere cu privire la elaborarea şi revizuirea politicii şi a dreptului Uniunii în domeniul securităţii cibernetice, precum şi cu privire la iniţiative politice şi legislative sectoriale în cazul în care sunt implicate aspecte legate de securitatea cibernetică, în special prin furnizarea de avize independente şi analize şi prin desfăşurarea de lucrări pregătitoare;
2.acordând asistenţă statelor membre pentru punerea în aplicare cu coerenţă a politicii şi dreptului Uniunii privind securitatea cibernetică, mai ales în ceea ce priveşte Directiva (UE) 2016/1148, inclusiv prin intermediul emiterii avizelor, orientărilor, consilierii şi bunelor practici referitoare la teme precum gestionarea riscurilor, raportarea incidentelor şi schimbul de informaţii, precum şi facilitând schimbul de bune practici între autorităţile competente în această privinţă;
3.acordând asistenţă statelor membre şi instituţiilor, organelor, oficiilor şi agenţiilor Uniunii la elaborarea şi promovarea unor politici în materie de securitate cibernetică legate de susţinerea disponibilităţii sau a integrităţii generale a nucleului public al internetului deschis;
4.contribuind la activitatea grupului de cooperare instituit în temeiul articolului 11 din Directiva (UE) 2016/1148, prin furnizarea de expertiză şi de asistenţă;
5.sprijinind:
(a)elaborarea şi punerea în aplicare a politicii Uniunii în domeniul identităţii electronice şi al serviciilor de încredere, în special furnizând consiliere şi orientări tehnice, precum şi prin facilitarea schimbului de bune practici între autorităţile competente;
(b)promovarea unui nivel sporit de securitate a comunicaţiilor electronice, inclusiv prin furnizarea de consiliere şi de expertiză, precum şi prin facilitarea schimbului de bune practici între autorităţile competente;
(c)statele membre în punerea în aplicare a aspectelor specifice legate de securitatea cibernetică cuprinse în politica şi dreptul Uniunii referitoare la protecţia datelor şi a vieţii private, inclusiv prin consilierea Comitetului european pentru protecţia datelor, la cerea acestuia.
6.sprijinind revizuirea periodică a activităţilor legate de politica Uniunii prin elaborarea unui raport anual privind stadiul punerii în aplicare a cadrului juridic aplicabil în ceea ce priveşte:
(a)informările privind notificările incidentelor transmise de statele membre prin punctele unice de contact grupului de cooperare în temeiul articolului 10 alineatul (3) din Directiva (UE) 2016/1148;
(b)rezumatul notificărilor privind încălcarea securităţii sau pierderea integrităţii primite de la prestatorii de servicii de încredere, transmise ENISA de organismele de supraveghere în temeiul articolului 19 alineatul (3) din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului (23);
(23)Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE (JO L 257, 28.8.2014, p. 73).
(c)notificările privind incidentele de securitate transmise de furnizorii de reţele publice de comunicaţii electronice sau servicii de comunicaţii electronice destinate publicului, transmise ENISA de autorităţile competente în temeiul articolului 40 din Directiva (UE) 2018/1972.
Art. 6: Consolidarea capacităţilor
(1)ENISA acordă asistenţă:
a)statelor membre, în eforturile lor de a îmbunătăţi prevenirea, detectarea şi analizarea ameninţărilor cibernetice şi a incidentelor şi capacitatea de răspuns la acestea, prin furnizarea cunoştinţelor şi a expertizei necesare;
b)statelor membre şi instituţiilor, organelor, oficiilor şi agenţiilor Uniunii la elaborarea şi punerea în aplicare a politicilor pentru divulgarea vulnerabilităţilor în mod voluntar;
c)instituţiilor, organelor, oficiilor şi agenţiilor Uniunii, în eforturile lor de a îmbunătăţi prevenirea, detectarea şi analiza ameninţărilor cibernetice şi a incidentelor şi de a îmbunătăţi capacităţile de răspuns la astfel de ameninţări cibernetice şi incidente, mai ales printr-un sprijin adecvat acordat CERT-UE;
d)statelor membre în ceea ce priveşte dezvoltarea echipelor CSIRT naţionale, la solicitarea acestora, în temeiul articolului 9 alineatul (5) din Directiva (UE) 2016/1148;
e)statelor membre în ceea ce priveşte elaborarea strategiilor naţionale privind securitatea reţelelor şi a sistemelor informatice, la solicitarea acestora în temeiul articolului 7 alineatul (2) din Directiva (UE) 2016/1148 şi promovează difuzarea acestor strategii în întreaga Uniune şi constată progresele înregistrate în punerea lor în aplicare, pentru a promova bunele practici;
f)instituţiilor Uniunii, în ceea ce priveşte elaborarea şi revizuirea strategiilor Uniunii referitoare la securitatea cibernetică, promovarea difuzării acestora, precum şi urmărirea progreselor înregistrate în punerea lor în aplicare;
g)echipelor CSIRT naţionale şi ale Uniunii, în ceea ce priveşte creşterea nivelului capacităţilor proprii, inclusiv prin promovarea dialogului şi a schimbului de informaţii, pentru a garanta că, având în vedere stadiul actual al tehnologiei, fiecare echipă CSIRT dispune de un set comun de capacităţi minime şi funcţionează în conformitate cu cele mai bune practici;
h)statelor membre, prin organizarea în mod regulat a exerciţiilor în materie de securitate cibernetică la nivelul Uniunii menţionate la articolul 7 alineatul (5) cel puţin o dată la doi ani şi prin formularea de recomandări de politici bazate pe procesul de evaluare a exerciţiilor şi pe învăţămintele desprinse în urma acestora;
i)organismelor publice relevante, prin oferirea de cursuri de formare privind securitatea cibernetică, în cooperare cu părţile interesate acolo unde este cazul;
j)grupului de cooperare, în ceea ce priveşte schimbul de bune practici, în special în ceea ce priveşte identificarea de către statele membre a operatorilor de servicii esenţiale, în temeiul articolului 11 alineatul (3) litera (l) din Directiva (UE) 2016/1148, inclusiv în legătură cu dependenţa transfrontalieră legată de riscuri şi incidente.
(2)ENISA sprijină schimbul de informaţii în cadrul sectoarelor şi între acestea, mai ales în sectoarele enumerate în anexa II la Directiva (UE) 2016/1148, prin furnizarea de bune practici şi de orientări privind instrumentele disponibile, proceduri, precum şi privind modul de abordare a aspectelor de reglementare legate de schimbul de informaţii.
Art. 7: Cooperarea operaţională la nivelul Uniunii
(1)ENISA sprijină cooperarea operaţională între statele membre, instituţiile, organele, oficiile şi agenţiile Uniunii, precum şi între părţile interesate.
(2)ENISA cooperează la nivel operaţional şi stabileşte sinergii cu instituţiile, organele, oficiile şi agenţiile Uniunii, inclusiv cu CERT-UE, cu serviciile care au atribuţii de combatere a criminalităţii informatice şi cu autorităţile de supraveghere care au atribuţii de protecţie a vieţii private şi a datelor cu caracter personal, în vederea abordării problemelor de interes comun, inclusiv prin:
a)schimbul de know-how şi de bune practici;
b)furniz area de consiliere şi emiterea de orientări privind chestiunile relevante legate de securitatea cibernetică;
c)stabilirea modalităţilor practice pentru executarea unor atribuţii specifice, după consultarea Comisiei.
(3)ENISA asigură secretariatul reţelei CSIRT în temeiul articolului 12 alineatul (2) din Directiva (UE) 2016/1148 şi, în această capacitate, sprijină activ schimbul de informaţii şi cooperarea între membrii acesteia.
(4)ENISA sprijină statele membre în cooperarea operaţională cu reţeaua CSIRT:
a)acordându-le consiliere cu privire la modul în care îşi pot îmbunătăţi capacităţile de a preveni, de a detecta incidentele şi de a răspunde la acestea, precum şi acordându-le consiliere, la cererea unuia sau mai multor state membre, în legătură cu o ameninţare cibernetică specifică;
b)acordându-le asistenţă, la cererea unuia sau mai multor state membre, la evaluarea incidentelor cu un impact semnificativ sau substanţial prin furnizarea de expertiză şi prin facilitarea administrării din punct de vedere tehnic a respectivelor incidente, mai ales susţinând schimbul voluntar de informaţii relevante şi de soluţii tehnice între statele membre;
c)analizând vulnerabilităţile şi incidentele pe baza informaţiilor disponibile public sau a informaţiilor furnizate în mod voluntar de statele membre în acest scop; şi
d)la cererea unuia sau mai multor state membre, oferind sprijin în legătură cu anchetele tehnice ex post privind incidentele cu un impact semnificativ sau substanţial în înţelesul Directivei (UE) 2016/1148.
În îndeplinirea acestor atribuţii, ENISA şi CERT-UE desfăşoară o cooperare structurată pentru a beneficia de sinergii şi pentru a evita dublarea activităţilor.
(5)ENISA organizează exerciţii periodice de securitate cibernetică la nivelul Uniunii şi sprijină statele membre şi instituţiile, organele, oficiile şi agenţiile Uniunii în ceea ce priveşte organizarea de exerciţii de securitate cibernetică, la cererea acestora. Aceste exerciţii de securitate cibernetică la nivelul Uniunii pot include elemente tehnice, operaţionale sau strategice. Din doi în doi ani, ENISA organizează un exerciţiu cuprinzător la scară largă.
După caz, ENISA contribuie, de asemenea, la exerciţiile sectoriale de securitate cibernetică şi sprijină organizarea acestora, împreună cu organizaţiile relevante care participă, de asemenea, la exerciţiile de securitate cibernetică desfăşurate la nivelul Uniunii.
(6)În strânsă cooperare cu statele membre, ENISA întocmeşte periodic un raport aprofundat asupra situaţiei tehnice în materie de securitate cibernetică la nivelul UE referitor la incidente şi ameninţări cibernetice, pe baza informaţiilor disponibile public, a propriei sale analize şi pe baza unor rapoarte transmise de echipele CSIRT ale statelor membre sau punctele unice de contact instituite prin Directiva (UE) 2016/1148, în ambele cazuri în mod voluntar, EC3 şi CERT- UE, printre altele.
(7)ENISA contribuie la pregătirea unui răspuns bazat pe cooperare, atât la nivelul Uniunii, cât şi la cel al statelor membre, la incidentele sau crizele transfrontaliere de mare amploare legate de securitatea cibernetică, în principal prin:
a)agregarea şi analizarea rapoartelor autorităţilor naţionale care fac parte din domeniul public sau sunt puse la dispoziţie în mod voluntar, cu scopul de a contribui la o conştientizare comună a situaţiei;
b)asigurarea unui flux eficient de informaţii şi furnizarea de mecanisme decizionale de activare între reţeaua CSIRT şi factorii de decizie la nivel politic şi tehnic ai Uniunii;
c)facilitarea, la cerere, a administrării din punct de vedere tehnic a acestor incidente sau crize, mai ales prin sprijinirea partajării voluntare a soluţiilor tehnice între statele membre;
d)sprijinirea instituţiilor, organelor, oficiilor şi agenţiilor Uniunii precum şi, la cererea acestora, a statelor membre, în ceea ce priveşte comunicarea publică referitoare la astfel de incidente sau crize;
e)testarea planurilor de cooperare menite să răspundă la aceste incidente sau crize la nivelul Uniunii şi, la cerere, sprijinirea statelor membre în ceea ce priveşte testarea respectivelor planuri la nivel naţional.
Art. 8: Piaţa, certificarea securităţii cibernetice şi standardizarea
(1)ENISA sprijină şi promovează elaborarea şi punerea în aplicare a politicii Uniunii privind certificarea securităţii cibernetice a produselor TIC, a serviciilor TIC şi a proceselor TIC, astfel cum se prevede în titlul III din prezentul regulament, prin:
a)monitorizarea permanentă a evoluţiilor din domenii conexe standardizării şi recomandarea unor specificaţii tehnice adecvate pentru a fi utilizate la dezvoltarea unor sisteme europene de certificare a securităţii cibernetice, în temeiul articolului 54 alineatul (1) litera (c), în cazurile în care standardele nu sunt disponibile;
b)pregătirea propunerilor de sisteme europene de certificare a securităţii cibernetice (denumite în continuare "propuneri de sisteme") pentru produsele TIC, serviciile TIC şi procesele TIC, în conformitate cu articolul 49;
c)evaluarea sistemelor europene de certificare a securităţii cibernetice adoptate, în conformitate cu articolul 49 alineatul (8);
d)participarea la evaluările inter pares în temeiul articolului 59 alineatul (4);
e)oferirea de asistenţă Comisiei în ceea ce priveşte asigurarea secretariatului ECCG, în temeiul articolului 62 alineatul (5).
(2)ENISA asigură secretariatului Grupului părţilor interesate pentru certificarea securităţii cibernetice, în temeiul articolului 22 alineatul (4).
(3)ENISA compilează şi publică orientări şi dezvoltă bune practici în ceea ce priveşte cerinţele în materie de securitate cibernetică pentru produsele TIC, serviciile TIC şi procesele TIC, în cooperare cu autorităţile naţionale de certificare de securitate şi cu industria, în cadrul unui proces oficial, standardizat şi transparent.
(4)ENISA contribuie la consolidarea capacităţilor în legătură cu procesele de evaluare şi certificare prin compilarea şi emiterea unor orientări, precum şi oferind sprijin statelor membre, la cererea lor.
(5)ENISA facilitează elaborarea şi adoptarea de standarde europene şi internaţionale pentru gestionarea riscurilor şi pentru securitatea produselor TIC, serviciilor TIC şi proceselor TIC.
(6)ENISA elaborează, în colaborare cu statele membre şi industria, avize şi orientări în ceea ce priveşte domeniile tehnice legate de cerinţele de securitate pentru operatorii de servicii esenţiale şi pentru furnizorii de servicii digitale, precum şi în ceea ce priveşte standardele deja existente, inclusiv standardele naţionale ale statelor membre, în temeiul articolului 19 alineatul (2) din Directiva (UE) 2016/1148.
(7)ENISA efectuează şi diseminează analize periodice privind principalele tendinţe de pe piaţa securităţii cibernetice, atât din punctul de vedere al cererii, cât şi al ofertei, în vederea stimulării pieţei securităţii cibernetice în cadrul Uniunii.
Art. 9: Cunoştinţe şi informare
ENISA:
(a)efectuează analize ale tehnologiilor emergente şi furnizează evaluări tematice privind impactul preconizat din punct de vedere societal, juridic, economic şi de reglementare al inovaţiilor tehnologice în materie de securitate cibernetică;
(b)efectuează analize strategice pe termen lung ale ameninţărilor cibernetice şi incidentelor, pentru a identifica tendinţele emergente şi a contribui la prevenirea incidentelor;
(c)în cooperare cu experţi ai autorităţilor statelor membre şi cu părţile interesate relevante, furnizează consiliere, orientări şi bune practici pentru securitatea reţelelor şi a sistemelor informatice, în special pentru securitatea infrastructurilor care sprijină sectoarele enumerate în anexa II la Directiva (UE) 2016/1148, precum şi a celor utilizate de furnizorii de servicii digitale enumeraţi în anexa III la respectiva directivă;
(d)culege, organizează şi pune la dispoziţia publicului, prin intermediul unui portal dedicat, informaţii privind securitatea cibernetică furnizate de instituţiile, organele, oficiile şi agenţiile Uniunii şi informaţii privind securitatea cibernetică furnizate, în mod voluntar, de statele membre şi de părţile interesate private şi publice;
(e)culege şi analizează informaţiile disponibile public cu privire la incidentele semnificative şi compilează rapoarte, cu scopul de a oferi orientări pentru cetăţenii, organizaţiile şi întreprinderile din întreaga Uniune.
Art. 10: Sensibilizare şi educare
ENISA:
(a)sensibilizează publicul în legătură cu riscurile pentru securitatea cibernetică şi oferă orientări cu privire la bune practici pentru utilizatorii individuali, inclusiv cu privire la igiena cibernetică şi alfabetizarea cibernetică, destinate cetăţenilor, organizaţiilor şi întreprinderilor;
(b)în cooperare cu statele membre şi cu instituţiile, organele, oficiile şi agenţiile Uniunii, precum şi cu industria, organizează campanii periodice de informare pentru sporirea securităţii cibernetice şi a vizibilităţii acesteia în Uniune şi stimulează o amplă dezbatere publică;
(c)oferă asistenţă statelor membre în eforturile acestora de a sensibiliza publicul în legătură cu securitatea cibernetică şi de a promova educarea în privinţa securităţii cibernetice;
(d)susţine coordonarea mai strânsă şi schimbul de bune practici între statele membre privind sensibilizarea şi educarea în domeniul securităţii cibernetice.
Art. 11: Cercetare şi inovare
În ceea ce priveşte cercetarea şi inovarea, ENISA:
(a)consiliază instituţiile, organele, oficiile şi agenţiile Uniunii şi statele membre cu privire la necesităţile şi priorităţile în materie de cercetare în domeniul securităţii cibernetice pentru a face posibile răspunsuri eficace la riscurile şi ameninţările cibernetice actuale şi emergente, inclusiv în privinţa tehnologiilor informaţiei şi comunicaţiilor noi şi emergente, şi pentru o folosire eficace a tehnologiilor de prevenire a riscurilor;
(b)participă, în cazul în care Comisia i-a conferit competenţele relevante, la etapa de punere în aplicare a programelor de finanţare a cercetării şi inovării sau în calitate de beneficiar al acestora.
(c)contribuie la agenda strategică în privinţa cercetării şi inovării în domeniul securităţii cibernetice la nivelul Uniunii.
Art. 12: Cooperarea internaţională
ENISA contribuie la eforturile Uniunii de cooperare cu ţări terţe şi cu organizaţii internaţionale, precum şi în cadrele internaţionale de cooperare relevante, pentru a promova cooperarea internaţională privind aspecte legate de securitatea cibernetică prin:
(a)participarea ca observator la organizarea de exerciţii internaţionale şi realizarea de analize şi de rapoarte destinate consiliului de administraţie privind rezultatele acestor exerciţii, după caz;
(b)facilitarea, la solicitarea Comisiei, a schimbului de bune practici;
(c)furnizarea de expertiză Comisiei, la cererea acesteia;
(d)consilierea şi sprijinirea Comisiei în legătură cu chestiuni privind acorduri cu ţări terţe pentru recunoaşterea reciprocă a certificatelor de securitate cibernetică, în colaborare cu ECCG instituit în temeiul articolului 62.
Art. 13: Structura ENISA
Structura administrativă şi de conducere a ENISA este compusă din următoarele:
(a)un consiliu de administraţie;
(b)un comitet executiv;
(c)un director executiv;
(d)un grup consultativ al ENISA;
(e)o reţea a ofiţerilor naţionali de legătură.
Art. 14: Componenţa consiliului de administraţie
(1)Consiliul de administraţie este compus din câte un membru numit de fiecare stat membru, şi din doi membri numiţi de Comisie. Toţi membrii au drept de vot.
(2)Fiecare membru al consiliului de administraţie are un supleant. Supleantul reprezintă membrul în absenţa acestuia din urmă.
(3)Membrii consiliului de administraţie şi supleanţii acestora sunt numiţi pe baza cunoştinţelor lor în domeniul securităţii cibernetice, ţinând cont de competenţele lor manageriale, administrative şi bugetare relevante. Comisia şi statele membre depun eforturi pentru a limita rotaţia reprezentanţilor lor în cadrul consiliului de administraţie, cu scopul de a asigura continuitatea activităţii acestuia. Comisia şi statele membre urmăresc obţinerea unei reprezentări echilibrate din perspectiva genului în consiliul de administraţie.
(4)Durata mandatului membrilor consiliului de administraţie şi al membrilor supleanţi este de patru ani. Acest mandat se poate reînnoi.
Art. 15: Funcţiile consiliului de administraţie
(1)Consiliul de administraţie:
a)stabileşte direcţia generală de funcţionare a ENISA şi se asigură că ENISA funcţionează în conformitate cu normele şi principiile stabilite în prezentul regulament; acesta asigură în acelaşi timp coerenţa activităţii ENISA cu activităţile desfăşurate de statele membre şi cu cele de la nivelul Uniunii;
b)adoptă proiectul de document unic de programare al ENISA menţionat la articolul 24, înainte de transmiterea acestuia Comisiei spre avizare;
c)adoptă documentul unic de programare al ENISA, ţinând seama de avizul Comisiei;
d)supraveghează punerea în aplicare a programării multianuale şi anuale cuprinse în documentul unic de programare;
e)adoptă bugetul anual al ENISA şi exercită alte funcţii privind bugetul ENISA în conformitate cu capitolul IV;
f)evaluează şi adoptă raportul anual consolidat privind activităţile ENISA, care include conturile ENISA şi descrierea modului în care aceasta şi-a atins indicatorii de performanţă, transmite Parlamentului European, Consiliului, Comisiei şi Curţii de Conturi, până la data de 1 iulie a anului următor, atât raportul anual, cât şi evaluarea acestuia, şi publică raportul anual;
g)adoptă normele financiare aplicabile ENISA în conformitate cu articolul 32;
h)adoptă o strategie de combatere a fraudei care să fie proporţională cu riscurile de fraudă, ţinând seama de analiza cost-beneficiu a măsurilor care urmează să fie puse în aplicare;
i)adoptă norme de prevenire şi gestionare a conflictelor de interese în cazul membrilor săi;
j)asigură luarea măsurilor adecvate pentru a da curs concluziilor şi recomandărilor care rezultă din investigaţiile efectuate de Oficiul European de Luptă Antifraudă (OLAF) şi din diferitele rapoarte şi evaluări de audit intern sau extern;
k)adoptă regulamentul de procedură, inclusiv norme pentru decizii provizorii privind delegarea unor atribuţii specifice în temeiul articolului 19 alineatul (7);
l)exercită, în ceea ce priveşte personalul ENISA, competenţele conferite autorităţii împuternicite să facă numiri şi autorităţii abilitate să încheie contracte de muncă (denumite în continuare "competenţele de autoritate împuternicită să facă numiri") prin Statutul funcţionarilor Uniunii Europene (Statutul funcţionarilor) şi Regimul aplicabil celorlalţi agenţi ai Uniunii Europene (Regimul aplicabil celorlalţi agenţi), stabilite prin Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului (24), în conformitate cu alineatul (2) din prezentul articol;
(24)Regulamentul (CEE, Euratom, CEC O) nr. 259/68 al Consiliului din 29 februarie 1968 (JO L 56, 4.3.1968, p. 1).
m)adoptă norme de aplicare a Statutului funcţionarilor şi a Regimului aplicabil celorlalţi agenţi în conformitate cu procedura prevăzută la articolul 110 din Statutul funcţionarilor;
n)numeşte directorul executiv şi, după caz, îi prelungeşte mandatul sau îl demite din funcţie, în conformitate cu articolul 36;
o)numeşte un contabil, care poate fi contabilul Comisiei şi care este pe deplin independent în îndeplinirea îndatoririlor sale;
p)ia toate deciziile privind instituirea structurilor interne ale ENISA şi, dacă este necesar, privind modificarea acestora, luând în considerare nevoile activităţii agenţiei şi având în vedere buna gestiune bugetară;
q)autorizează stabilirea acordurilor de lucru în ceea ce priveşte articolul 7;
r)autorizează stabilirea sau încheierea acordurilor de lucru în conformitate cu articolul 42.
(2)În conformitate cu articolul 110 din Statutul funcţionarilor, consiliul de administraţie adoptă o decizie în baza articolului 2 alineatul (1) din Statutul funcţionarilor şi a articolului 6 din Regimul aplicabil celorlalţi agenţi, prin care competenţele relevante de autoritate împuternicită să facă numiri sunt delegate directorului executiv şi în care sunt stabilite condiţiile în care această delegare de competenţe poate fi suspendată. Directorul executiv poate să subdelege aceste competenţe.
(3)În cazul în care apar împrejurări excepţionale care impun acest lucru, consiliul de administraţie poate adopta o decizie pentru a suspenda temporar delegarea competenţelor de autoritate împuternicită să facă numiri către directorul executiv şi delegarea competenţelor subdelegate de către directorul executiv şi să le exercite el însuşi sau să le delege unuia dintre membrii săi ori unui alt membru al personalului decât directorul executiv.
Art. 16: Preşedintele Consiliului de administraţie
Consiliul de administraţie alege cu o majoritate de două treimi din membrii săi un preşedinte şi un vicepreşedinte dintre membrii săi. Mandatul acestora este de patru ani şi poate fi reînnoit o dată. Cu toate acestea, dacă pe durata mandatului încetează calitatea acestora de membri ai consiliului de administraţie, mandatul lor expiră automat la aceeaşi dată. Vicepreşedintele îl înlocuieşte pe preşedinte din oficiu în cazul în care acesta din urmă nu îşi poate exercita prerogativele.
Art. 17: Reuniunile consiliului de administraţie
(1)Reuniunile consiliului de administraţie sunt convocate de preşedintele acestuia.
(2)Consiliul de administraţie se reuneşte în şedinţă ordinară cel puţin de două ori pe an. De asemenea, consiliul se reuneşte în şedinţă extraordinară la cererea preşedintelui acestuia, a Comisiei sau la cererea a cel puţin o treime din membrii săi.
(3)Directorul executiv ia parte la şedinţele consiliului de administraţie, dar nu are drept de vot.
(4)Membrii Grupului consultativ al ENISA pot lua parte la reuniunile consiliului de administraţie, la invitaţia preşedintelui, dar nu au drept de vot.
(5)Membrii consiliului de administraţie şi supleanţii lor pot să fie asistaţi în cursul reuniunilor consiliului de administraţie de consilieri sau de experţi, sub rezerva regulamentului de procedură al consiliului de administraţie.
(6)ENISA asigură secretariatul consiliului de administraţie.
Art. 18: Regulile de vot ale consiliului de administraţie
(1)Consiliul de administraţie îşi adoptă deciziile cu majoritatea membrilor săi.
(2)Pentru adoptarea documentului unic de programare şi a bugetului anual, precum şi pentru numirea, prelungirea mandatului sau demiterea din funcţie a directorului executiv, este necesară o majoritate de două treimi din membrii consiliului de administraţie.
(3)Fiecare membru dispune de un vot. În absenţa unui membru, dreptul său de vot poate fi exercitat de supleantul său.
(4)Preşedintele consiliului de administraţie participă la vot.
(5)Directorul executiv nu participă la vot.
(6)Regulamentul de procedură al consiliului de administraţie stabileşte în mod detaliat modalităţile de vot, în special condiţiile în care un membru poate acţiona în numele altui membru.
Art. 19: Comitetul executiv
(1)Consiliul de administraţie este asistat de un comitet executiv.
(2)Comitetul executiv:
a)pregăteşte deciziile care urmează să fie adoptate de consiliul de administraţie;
b)asigură, împreună cu consiliul de administraţie, luarea măsurilor adecvate pentru a da curs concluziilor şi recomandărilor provenite din investigaţiile OLAF şi diferitele rapoarte şi evaluări de audit intern sau extern;
c)fără a aduce atingere responsabilităţilor directorului executiv, prevăzute la articolul 20, îl asistă şi îl consiliază pe directorul executiv în ceea ce priveşte punerea în aplicare a deciziilor consiliului de administraţie privind aspecte administrative şi bugetare în temeiul articolului 20.
(3)Comitetul executiv este format din cinci membri. Membrii comitetului executivi sunt numiţi dintre membrii consiliului de administraţie. Dintre membri, unul este preşedintele Consiliului de administraţie, care poate prezida şi comitetul executiv, şi unul este unul dintre reprezentanţii Comisiei. Numirile membrilor comitetului executiv urmăresc asigurarea unei reprezentări echilibrate din perspectiva genului în comitetul executiv. Directorul executiv ia parte la reuniunile comitetului executiv, dar nu are drept de vot.
(4)Durata mandatului membrilor comitetului executiv este de patru ani. Acest mandat se poate reînnoi.
(5)Comitetul executiv se întruneşte cel puţin o dată la trei luni. Preşedintele comitetului executiv convoacă reuniuni suplimentare la cererea membrilor săi.
(6)Consiliul de administraţie stabileşte regulamentul de procedură al comitetului executiv.
(7)Atunci când este necesar din motive de urgenţă, comitetul executiv poate lua anumite decizii provizorii în numele consiliului de administraţie, îndeosebi cu privire la aspecte legate de gestionarea administrativă, inclusiv la suspendarea delegării competenţelor de autoritate împuternicită să facă numiri, precum şi cu privire la aspecte bugetare. Astfel de decizii provizorii se notifică consiliului de administraţie fără întârzieri nejustificate. Consiliul de administraţie decide dacă aprobă sau respinge decizia provizorie în termen de cel mult trei luni de la luarea deciziei. Comitetul executiv nu ia decizii în numele consiliului de administraţie care necesită pentru aprobare o majoritate de două treimi din membrii consiliului de administraţie.
Art. 20: Responsabilităţile directorului executiv
(1)ENISA este condusă de un director executiv care este independent în îndeplinirea atribuţiilor sale. Directorul executiv răspunde în faţa consiliului de administraţie.
(2)Directorul executiv prezintă Parlamentului European un raport privind modul în care şi-a îndeplinit atribuţiile, atunci când este invitat să facă acest lucru. Consiliul poate solicita directorului executiv să prezinte un raport cu privire la îndeplinirea atribuţiilor sale.
(3)Directorul executiv răspunde de:
a)administrarea curentă a ENISA;
b)punerea în aplicare a deciziilor adoptate de consiliul de administraţie;
c)elaborarea unui proiect de document unic de programare şi prezentarea acestuia consiliului de administraţie spre aprobare, înainte de a fi trimis Comisiei;
d)punerea în aplicare a documentului unic de programare şi raportarea către consiliul de administraţie cu privire la aceasta;
e)pregătirea raportului anual consolidat privind activităţile ENISA, inclusiv punerea în aplicare a programului anual de activitate al ENISA, şi prezentarea acestuia consiliului de administraţie, spre evaluare şi adoptare;
f)pregătirea unui plan de acţiune pentru a da curs concluziilor evaluărilor retrospective şi trimiterea către Comisie, din doi în doi ani, a unui raport privind progresele înregistrate;
g)elaborarea unui plan de acţiune pentru a da curs concluziilor rapoartelor de audit intern sau extern, precum şi a investigaţiilor desfăşurate de OLAF şi prezentarea, de două ori pe an Comisiei şi periodic consiliului de administraţie, a unui raport privind progresele înregistrate;
h)elaborarea proiectului de norme financiare aplicabile ENISA, astfel cum se menţionează la articolul 32;
i)întocmirea proiectului de situaţie a estimărilor de venituri şi cheltuieli ale ENISA şi execuţia bugetului acesteia;
j)protejarea intereselor financiare ale Uniunii prin aplicarea de măsuri preventive de combatere a fraudei, a corupţiei şi a altor activităţi ilegale, prin realizarea de controale eficace şi, dacă se constată nereguli, prin recuperarea sumelor plătite nejustificat şi, dacă este cazul, prin sancţiuni administrative şi financiare eficace, proporţionale şi disuasive;
k)pregătirea unei strategii antifraudă pentru ENISA şi prezentarea acesteia consiliului de administraţie, spre adoptare;
l)stabilirea şi menţinerea contactului cu comunitatea de afaceri şi cu organizaţiile consumatorilor, în vederea asigurării unui dialog periodic cu părţile interesate relevante;
m)desfăşurarea de schimburi periodice de opinii şi de informaţii cu instituţiile, organele, oficiile şi agenţiile Uniunii în ceea ce priveşte activităţile lor referitoare la securitatea cibernetică, pentru a asigura coerenţa în dezvoltarea şi punerea în aplicare a politicii Uniunii;
n)îndeplinirea altor atribuţii care îi sunt încredinţate directorului executiv prin prezentul regulament.
(4)După caz, în limitele obiectivelor şi atribuţiilor ENISA, directorul executiv poate înfiinţa grupuri de lucru ad-hoc compuse din experţi, inclusiv experţi din rândul autorităţilor competente ale statelor membre. Directorul executiv informează în prealabil Consiliul de administraţie cu privire la acest aspect. Procedurile referitoare în special la componenţa grupurilor de lucru, la numirea experţilor acestora de către directorul executiv şi la funcţionarea lor sunt prevăzute în regulamentul intern de funcţionare al ENISA.
(5)Dacă este necesar, în scopul îndeplinirii atribuţiilor ENISA în mod eficient şi eficace şi pe baza unei analize cost-beneficiu adecvate, directorul executiv poate decide înfiinţarea unuia sau mai multor birouri locale într-unul sau mai multe state membre. Înainte de a decide să înfiinţeze un birou local, directorul executiv cere opinia statului membru sau a statelor membre în cauză, inclusiv a statului membru în care este situat sediul ENISA, şi obţine acordul prealabil al Comisiei şi al consiliului de administraţie. În cazurile de dezacord în cursul procesului de consultare între directorul executiv şi statele membre în cauză, chestiunea este supusă Consiliului spre dezbatere. Numărul total al personalului din toate birourile locale este păstrat la minimum şi nu depăşeşte 40 % din numărul total al personalului ENISA care se află în statul membru în care este situat sediul ENISA. Numărul personalului din fiecare birou local nu depăşeşte 10 % din numărul total al personalului ENISA care se află în statul membru în care este situat sediul ENISA.
Decizia de înfiinţare a unui birou local precizează domeniul de aplicare al activităţilor care urmează să fie efectuate în cadrul respectivului birou local, astfel încât să se evite costurile inutile şi dublarea funcţiilor administrative ale ENISA.
Secţiunea 4:Grupul consultativ al ENISA, grupul părţilor interesate pentru certificarea securităţii cibernetice şi reţeaua ofiţerilor naţionali de legătură
Art. 21: Grupul consultativ al ENISA
(1)La propunerea directorului executiv, consiliul de administraţie stabileşte, în mod transparent, grupul consultativ al ENISA, alcătuit din experţi recunoscuţi care reprezintă părţile interesate relevante, cum ar fi industria TIC, furnizorii de reţele comunicaţii electronice sau de servicii de destinate publicului, IMM-urile, operatorii de servicii esenţiale, grupurile de consumatori, experţii din mediul academic în domeniul securităţii cibernetice şi reprezentanţi ai autorităţilor competente notificate în conformitate cu Directiva (UE) 2018/1972, organizaţiile de standardizare europene, precum şi autorităţile de aplicare a legii şi cele de supraveghere a protecţiei datelor. Consiliul de administraţie depune eforturi pentru a asigura un echilibru adecvat din punct de vedere geografic şi al genului, precum şi un echilibru între diversele grupuri de părţi interesate.
(2)Procedurile privind Grupul consultativ al ENISA, în special cele referitoare la componenţa sa, la propunerea directorului executiv menţionată la alineatul (1), la numărul şi numirea membrilor săi şi la funcţionarea grupului consultativ al ENISA, se detaliază în normele interne de funcţionare ale ENISA şi se fac publice.
(3)Grupul consultativ al ENISA este prezidat de directorul executiv sau de orice persoană numită de acesta de la caz la caz.
(4)Mandatul membrilor grupului consultativ al ENISA este de doi ani şi jumătate. Membrii consiliului de administraţie nu pot fi membri ai grupului consultativ al ENISA. Experţii Comisiei şi ai statelor membre au dreptul de a participa la reuniunile grupului consultativ al ENISA şi la activităţile acestuia. Reprezentanţii altor organisme considerate relevante de către directorul executiv, care nu au calitatea de membri ai grupului consultativ al ENISA, pot fi invitaţi să participe la reuniunile grupului consultativ al ENISA şi la activităţile acestuia.
(5)Grupul consultativ al ENISA acordă consiliere ENISA în exercitarea atribuţiilor sale, cu excepţia aplicării dispoziţiilor titlului III din prezentul regulament. Acesta acordă consiliere în special directorului executiv în ceea ce priveşte elaborarea unei propuneri de program anual de activitate al ENISA şi asigurarea comunicării cu părţile interesate relevante referitor la aspecte legate de programul anual de activitate.
(6)Grupul consultativ al ENISA informează periodic consiliul de administraţie despre activităţile sale.
Art. 22: Grupul părţilor interesate pentru certificarea securităţii cibernetice
(1)Se instituie Grupul părţilor interesate pentru certificarea securităţii cibernetice.
(2)Grupul părţilor interesate pentru certificarea securităţii cibernetice este alcătuit din membri selecţionaţi din rândul experţilor recunoscuţi care reprezintă părţi interesate relevante. Comisia selecţionează membrii Grupului părţilor interesate pentru certificarea securităţii cibernetice pe baza unei propuneri din partea ENISA, printr-o cerere deschisă şi transparentă care asigură echilibrul între diferitele grupuri de părţi interesate, precum şi un echilibru adecvat din punct de vedere geografic şi al genului.
(3)Grupul părţilor interesate pentru certificarea securităţii cibernetice are următoarele atribuţii:
a)să acorde Comisiei consiliere în legătură cu aspecte strategice referitoare la cadrul european de certificare a securităţii cibernetice;
b)la cerere, să acorde consiliere ENISA în legătură cu chestiuni generale şi strategice referitoare la atribuţiile ENISA în legătură cu piaţa, certificarea securităţii cibernetice şi standardizarea;
c)să asiste Comisia la pregătirea programul de activitate etapizat la nivelul Uniunii menţionat la articolul 47;
d)să emită un aviz referitor la programul de activitate etapizat la nivelul Uniunii în temeiul articolului 47 alineatul (4); şi
e)în cazuri urgente, să acorde consiliere Comisiei şi ECCG în legătură cu necesitatea unor sisteme de certificare suplimentare faţă de cele incluse în programul de activitate etapizat la nivelul Uniunii, astfel cum se menţionează la articolele 47 şi 48.
(4)Grupul părţilor interesate pentru certificarea securităţii cibernetice este coprezidat de reprezentanţii Comisiei şi ai ENISA, iar secretariatul acestuia este asigurat de ENISA.
Art. 23: Reţeaua ofiţerilor naţionali de legătură
(1)Consiliul de administraţie, acţionând la propunerea directorului executiv, instituie o reţea a ofiţerilor naţionali de legătură, formată din reprezentanţi ai tuturor statelor membre (ofiţeri naţionali de legătură). Fiecare stat membru numeşte un reprezentant în reţeaua ofiţerilor naţionali de legătură. Reuniunile reţelei ofiţerilor naţionali de legătură pot fi ţinute în diverse configuraţii ale experţilor dintr-un anumit domeniu.
(2)Reţeaua ofiţerilor naţionali de legătură facilitează în special schimbul de informaţii între ENISA şi statele membre şi sprijină ENISA la diseminarea activităţilor, constatărilor şi recomandărilor sale părţilor interesate relevante din întreaga Uniune.
(3)Ofiţerii naţionali de legătură acţionează drept punct de contact la nivel naţional pentru a facilita cooperarea între ENISA şi experţii naţionali în contextul punerii în aplicare a programului anual de activitate al ENISA.
(4)Deşi ofiţerii naţionali de legătură cooperează strâns cu reprezentanţii statelor membre respective în cadrul consiliului de administraţie, reţeaua ofiţerilor naţionali de legătură însăşi nu dublează activitatea consiliului de administraţie, şi nici a altor foruri ale Uniunii.
(5)Funcţiile şi procedurile pentru reţeaua ofiţerilor naţionali de legătură sunt specificate în normele interne de funcţionare ale ENISA şi se fac publice.
Art. 24: Documentul unic de programare
(1)ENISA îşi desfăşoară activitatea în conformitate cu documentul său unic de programare care conţine programarea sa anuală şi multianuală şi care include toate activităţile sale planificate.
(2)În fiecare an, directorul executiv elaborează un proiect de document unic de programare care conţine programarea anuală şi multianuală cu planificarea corespunzătoare a resurselor financiare şi umane în conformitate cu articolul 32 din Regulamentul delegat (UE) nr. 1271/2013 al Comisiei (25) şi luând în considerare orientările stabilite de Comisie.
(25)Regulamentul delegat (UE) nr. 1271/2013 al Comisiei din 30 septembrie 2013 privind regulamentul financiar cadru pentru organismele menţionate la articolul 208 din Regulamentul (UE, Euratom) nr. 966/2012 al Parlamentului European şi al Consiliului (JO L 328, 7.12.2013, p. 42).
(3)Până la data de 30 noiembrie a fiecărui an, consiliul de administraţie adoptă documentul unic de programare menţionat la alineatul (1) şi îl transmite Parlamentului European, Consiliului şi Comisiei până la data de 31 ianuarie a anului următor, împreună cu orice altă versiune ulterioară actualizată a documentului respectiv.
(4)Documentul unic de programare se definitivează după adoptarea definitivă a bugetului general al Uniunii şi, dacă este necesar, se ajustează în mod corespunzător.
(5)Programul anual de activitate cuprinde obiectivele detaliate şi rezultatele preconizate, inclusiv indicatorii de performanţă. Acesta include şi o descriere a acţiunilor care urmează să fie finanţate şi informaţii care indică resursele financiare şi umane alocate fiecărei acţiuni, în conformitate cu principiile întocmirii bugetului şi ale gestionării pe activităţi. Programul anual de activitate concordă cu programul multianual de activitate menţionat la alineatul (7). Acesta indică în mod clar atribuţiile care au fost adăugate, modificate sau eliminate faţă de exerciţiul financiar precedent.
(6)Consiliul de administraţie modifică programul anual de activitate adoptat atunci când o nouă atribuţie este încredinţată ENISA. Orice modificare substanţială a programului anual de activitate se adoptă prin aceeaşi procedură ca cea utilizată în cazul programului iniţial. Consiliul de administraţie poate să îi delege directorului executiv competenţa de a aduce modificări nesubstanţiale programului anual de activitate.
(7)Programul multianual de activitate stabileşte programarea strategică globală, inclusiv obiectivele, rezultatele preconizate şi indicatorii de performanţă. De asemenea, acesta stabileşte programarea resurselor, inclusiv bugetul multianual şi personalul.
(8)Programarea resurselor se actualizează anual. Programarea strategică se actualizează după caz, în special pentru a ţine seama de rezultatul evaluării menţionate la articolul 67.
Art. 25: Declaraţia de interese
(1)Membrii consiliului de administraţie, directorul executiv şi funcţionarii detaşaţi temporar de statele membre întocmesc, fiecare în parte, o declaraţie de angajamente şi o declaraţie în care menţionează absenţa sau prezenţa oricăror interese directe sau indirecte despre care s-ar putea considera că aduc atingere independenţei lor. Declaraţiile sunt exacte şi complete, se fac anual în scris şi se actualizează ori de câte ori este nevoie.
(2)Membrii consiliului de administraţie, directorul executiv şi experţii externi care participă la grupurile de lucru ad-hoc declară, fiecare în parte, precis şi complet, cel târziu la începutul fiecărei reuniuni, toate interesele care ar putea fi considerate ca aducând atingere independenţei lor în ceea ce priveşte punctele înscrise pe ordinea de zi şi se abţin de la participarea la dezbaterile referitoare la punctele respective şi de la votul în legătură cu acestea.
(3)ENISA stabileşte, în regulamentul său intern de funcţionare, modalităţile practice pentru normele referitoare la declaraţiile de interese menţionate la alineatele (1) şi (2).
Art. 26: Transparenţă
(1)ENISA îşi desfăşoară activităţile cu un nivel ridicat de transparenţă şi în conformitate cu articolul 28.
(2)ENISA se asigură că publicului şi tuturor părţilor interesate li se furnizează informaţii adecvate, obiective, fiabile şi uşor accesibile, în special în ceea ce priveşte rezultatele activităţii sale. De asemenea, agenţia face publice declaraţiile de interese întocmite în conformitate cu articolul 25.
(3)Consiliul de administraţie, pe baza unei propuneri din partea directorului executiv, poate autoriza părţile interesate să participe ca observatori la unele dintre activităţile ENISA.
(4)ENISA stabileşte, în regulamentul său intern de funcţionare, modalităţile practice de punere în aplicare a normelor privind transparenţa menţionate la alineatele (1) şi (2).
Art. 27: Confidenţialitate
(1)Fără a aduce atingere articolului 28, ENISA nu divulgă terţilor informaţiile pe care le prelucrează sau pe care le primeşte şi pentru care s-a cerut, printr-o solicitare motivată, un tratament confidenţial.
(2)Membrii consiliului de administraţie, directorul executiv, membrii Grupului consultativ al ENISA, experţii externi care participă la grupurile de lucru ad-hoc şi membrii personalului ENISA, inclusiv funcţionarii detaşaţi temporar de statele membre, respectă cerinţele de confidenţialitate prevăzute la articolul 339 din TFUE, chiar şi după încetarea atribuţiilor lor.
(3)ENISA stabileşte, în regulamentul său intern de funcţionare, modalităţile practice de punere în aplicare a normelor de confidenţialitate menţionate la alineatele (1) şi (2).
(4)Dacă este necesar pentru realizarea atribuţiilor ENISA, consiliul de administraţie decide să acorde ENISA permisiunea de a gestiona informaţii clasificate. În acest caz, ENISA, cu acordul serviciilor Comisiei, adoptă norme de securitate care să aplice principiile de securitate cuprinse în Deciziile (UE, Euratom) 2015/443 (26) şi 2015/444 (27) ale Comisiei. Respectivele norme de securitate includ dispoziţii privind schimbul, prelucrarea şi stocarea informaţiilor clasificate.
(26)Decizia (UE, Euratom) 2015/443 a Comisiei din 13 martie 2015 privind securitatea în cadrul Comisiei (JO L 72, 17.3.2015, p. 41).
(27)Decizia (UE, Euratom) 2015/444 a Comisiei din 13 martie 2015 privind normele de securitate pentru protecţia informaţiilor UE clasificate (JO L 72, 17.3.2015, p. 53).
Art. 28: Accesul la documente
(1)Regulamentul (CE) nr. 1049/2001 se aplică documentelor deţinute de ENISA.
(2)Consiliul de administraţie adoptă modalităţile de punere în aplicare a Regulamentului (CE) nr. 1049/2001 până la 28 decembrie 2019.
(3)Deciziile adoptate de ENISA în temeiul articolului 8 din Regulamentul (CE) nr. 1049/2001 pot face obiectul unei plângeri adresate Ombudsmanului European în temeiul articolului 228 din TFUE sau al unei acţiuni înaintate Curţii de Justiţie a Uniunii Europene în temeiul articolului 263 din TFUE.
Art. 29: Întocmirea bugetului ENISA
(1)În fiecare an, directorul executiv întocmeşte un proiect de situaţie a estimărilor de venituri şi cheltuieli ale ENISA pentru următorul exerciţiu financiar şi îl transmite consiliului de administraţie, împreună cu un proiect de schemă de personal. Se asigură un echilibru între venituri şi cheltuieli.
(2)În fiecare an, pe baza proiectului de situaţie a estimărilor, consiliul de administraţie adoptă situaţia estimărilor de venituri şi cheltuieli ale ENISA pentru următorul exerciţiu financiar.
(3)În fiecare an, până la data de 31 ianuarie, consiliul de administraţie transmite situaţia estimărilor, care face parte din documentul unic de programare, Comisiei şi ţărilor terţe cu care Uniunea a încheiat acorduri astfel cum se menţionează la articolul 42 alineatul (2).
(4)Pe baza situaţiei estimărilor, Comisia înscrie în proiectul de buget general al Uniunii estimările pe care le consideră necesare pentru schema de personal şi valoarea contribuţiei care urmează să fie suportată din bugetul general al Uniunii, pe care le prezintă Parlamentului European şi Consiliului în conformitate cu articolul 314 din TFUE.
(5)Parlamentul European şi Consiliul autorizează creditele reprezentând contribuţia Uniunii alocată ENISA.
(6)Parlamentul European şi Consiliul adoptă schema de personal a ENISA.
(7)Consiliul de administraţie adoptă bugetul ENISA odată cu documentul unic de programare. Bugetul ENISA se definitivează după adoptarea definitivă a bugetului general al Uniunii. Dacă este necesar, consiliul de administraţie ajustează bugetul ENISA şi documentul unic de programare în conformitate cu bugetul general al Uniunii.
Art. 30: Structura bugetului ENISA
(1)Fără a aduce atingere altor resurse, veniturile ENISA sunt alcătuite astfel:
a)dintr-o contribuţie de la bugetul general al Uniunii;
b)din venituri alocate unor cheltuieli specifice în conformitate cu normele sale financiare menţionate la articolul 32;
c)dintr-o finanţare din partea Uniunii sub forma unor acorduri de delegare sau de granturi ad-hoc, în conformitate cu normele sale financiare menţionate la articolul 32 şi cu dispoziţiile instrumentelor relevante care sprijină politicile Uniunii;
d)din eventuale contribuţii din partea ţărilor terţe care participă la lucrările ENISA, astfel cum se menţionează la articolul 42;
e)din orice contribuţie voluntară din partea statelor membre, în bani sau în natură.
Statele membre care oferă contribuţii voluntare în temeiul primului paragraf litera (e) nu pot solicita niciun drept sau serviciu specific ca rezultat al acelor contribuţii.
(2)Cheltuielile ENISA cuprind cheltuieli cu personalul, cheltuieli administrative şi de suport tehnic, cheltuieli cu infrastructura şi operaţionale, precum şi cheltuieli rezultate din contracte cu părţi terţe.
Art. 31: Execuţia bugetară a ENISA
(1)Directorul executiv răspunde de execuţia bugetului ENISA.
(2)Auditorul intern al Comisiei exercită asupra ENISA aceleaşi prerogative ca şi asupra serviciilor Comisiei.
(3)Contabilul ENISA trimite conturile provizorii contabilului Comisiei şi Curţii de Conturi pentru exerciţiul financiar (exerciţiul N) până la data de 1 martie a următorului exerciţiu financiar (exerciţiul N + 1)-
(4)După primirea observaţiilor formulate de Curtea de Conturi privind conturile provizorii ale ENISA în temeiul articolului 246 din Regulamentul (UE, Euratom) 2018/1046 al Parlamentului European şi al Consiliului (28), contabilul ENISA întocmeşte conturile finale ale ENISA pe răspunderea sa şi le prezintă consiliului de administraţie în vederea avizării.
(28)Regulamentul (UE, Euratom) 2018/1046 al Parlamentului European şi al Consiliului din 18 iulie 2018 privind normele financiare aplicabile bugetului general al Uniunii, de modificare a Regulamentelor (UE) nr. 1296/2013, (UE) nr. 1301/2013, (UE) nr. 1303/2013, (UE) nr. 1304/2013, (UE) nr. 1309/2013, (UE) nr. 1316/2013, (UE) nr. 223/2014, (UE) nr. 283/2014 şi a Deciziei nr. 541/2014/UE şi de abrogare a Regulamentului (UE, Euratom) nr. 966/2012 (JO L 193, 30.7.2018, p. 1).
(5)Consiliul de administraţie emite un aviz cu privire la conturile finale ale ENISA.
(6)Până la data de 31 martie a exerciţiului N + 1, directorul executiv transmite Parlamentului European, Consiliului, Comisiei şi Curţii de Conturi raportul privind gestiunea bugetară şi financiară.
(7)Până la data de 1 iulie a exerciţiului N + 1, contabilul ENISA transmite Parlamentului European, Consiliului, contabilului Comisiei şi Curţii de Conturi conturile finale ale ENISA, împreună cu avizul consiliului de administraţie.
(8)La aceeaşi dată la care transmite conturile finale ale ENISA, contabilul ENISA transmite, de asemenea, Curţii de Conturi şi, în copie, contabilului Comisiei, o scrisoare cuprinzând declaraţiile conducerii cu privire la conturile finale respective.
(9)Până la data de 15 noiembrie a exerciţiului N + 1, directorul executiv publică conturile finale ale ENISA în Jurnalul Oficial al Uniunii Europene.
(10)Până la data de 30 septembrie a exerciţiului N + 1, directorul executiv transmite Curţii de Conturi un răspuns la observaţiile acesteia şi transmite, de asemenea, o copie a răspunsului respectiv consiliului de administraţie şi Comisiei.
(11)Directorul executiv prezintă Parlamentului European, la cererea acestuia, orice informaţii necesare pentru buna desfăşurare a procedurii de descărcare de gestiune pentru exerciţiul financiar în cauză în conformitate cu articolului 261 alineatul (3) din Regulamentul (UE, Euratom) 2018/1046.
(12)La recomandarea Consiliului, Parlamentul European acordă, înaintea datei de 15 mai a exerciţiului N + 2, descărcarea de gestiune directorului executiv în ceea ce priveşte execuţia bugetului pentru exerciţiul N.
Art. 32: Reglementări financiare
Normele financiare aplicabile ENISA se adoptă de către consiliul de administraţie după consultarea Comisiei. Acestea nu derogă de la Regulamentul delegat (UE) nr. 1271/2013, cu excepţia cazului o astfel de derogare se impune în mod special pentru funcţionarea ENISA, iar Comisia şi-a dat acordul prealabil.
Art. 33: Combaterea fraudei
(1)Pentru a facilita combaterea fraudei, a corupţiei şi a altor activităţi ilegale, în temeiul Regulamentului (UE, Euratom) nr. 883/2013 al Parlamentului European şi al Consiliului (29), până la 10 decembrie 2019, ENISA aderă la Acordul interinstituţional din 25 mai 1999 dintre Parlamentul European, Consiliul Uniunii Europene şi Comisia Comunităţilor Europene privind investigaţiile interne desfăşurate de Oficiul European de Luptă Antifraudă (OLAF) (30). ENISA adoptă dispoziţiile corespunzătoare care se aplică tuturor angajaţilor ENISA, folosind modelul prevăzut în anexa la respectivul acord.
(29)Regulamentul (UE, Euratom) nr. 883/2013 al Parlamentului European şi al Consiliului din 11 septembrie 2013 privind investigaţiile efectuate de Oficiul European de Luptă Antifraudă (OLAF) şi de abrogare a Regulamentului (CE) nr. 1073/1999 al Parlamentului European şi al Consiliului şi a Regulamentului (Euratom) nr. 1074/1999 al Consiliului (JO L 248, 18.9.2013, p. 1).
(30)JO L 136, 31.5.1999, p. 15.
(2)Curtea de Conturi are competenţa de a-i audita, pe baza documentelor şi a inspecţiilor la faţa locului, pe toţi beneficiarii de granturi, contractanţii şi subcontractanţii care au primit fonduri ale Uniunii din partea ENISA.
(3)OLAF poate efectua investigaţii, inclusiv controale şi inspecţii la faţa locului, în conformitate cu dispoziţiile şi procedurile prevăzute în Regulamentul nr. 883/2013 şi în Regulamentul (Euratom, CE) nr. 2185/96 al Consiliului (31), pentru a stabili existenţa unei fraude, a unui act de corupţie sau dacă a avut loc orice altă activitate ilegală care afectează interesele financiare ale Uniunii în legătură cu un grant sau un contract finanţat de ENISA.
(31)Regulamentul (Euratom, CE) nr. 2185/96 al Consiliului din 11 noiembrie 1996 privind controalele şi inspecţiile la faţa locului efectuate de Comisie în scopul protejării intereselor financiare ale Comunităţilor Europene împotriva fraudei şi a altor abateri (JO L 292, 15.11.1996, p. 2).
(4)Fără a aduce atingere alineatelor (1), (2) şi (3), acordurile de cooperare cu ţările terţe sau cu organizaţiile internaţionale, contractele, acordurile de grant şi deciziile de acordare a unui grant ale ENISA conţin dispoziţii care împuternicesc în mod expres Curtea de Conturi şi OLAF să efectueze astfel de audituri şi investigaţii, în conformitate cu competenţele care le revin.
Art. 34: Dispoziţii generale
Personalului ENISA i se aplică Statutul funcţionarilor şi Regimul aplicabil celorlalţi agenţi, precum şi normele adoptate de comun acord de instituţiile Uniunii pentru punerea în aplicare a Statutului funcţionarilor şi a Regimului aplicabil celorlalţi agenţi.
Art. 35: Privilegii şi imunităţi
Protocolul nr. 7 privind privilegiile şi imunităţile Uniunii Europene, anexat la TUE şi la TFUE, se aplică ENISA şi personalului acesteia.
Art. 36: Directorul executiv
(1)Directorul executiv este angajat ca agent temporar al ENISA în temeiul articolului 2 litera (a) din Regimul aplicabil celorlalţi agenţi.
(2)Directorul executiv este numit de consiliul de administraţie dintr-o listă de candidaţi propusă de Comisie, în urma unei proceduri de selecţie deschise şi transparente.
(3)În scopul încheierii contractului de muncă al directorului executiv, ENISA este reprezentată de preşedintele Consiliului de administraţie.
(4)Înainte de a fi numit în funcţie, candidatul selectat de consiliul de administraţie este invitat să facă o declaraţie în faţa comisiei competente a Parlamentului European şi să răspundă întrebărilor adresate de membrii acesteia.
(5)Durata mandatului directorului executiv este de cinci ani. Până la sfârşitul perioadei respective, Comisia realizează o evaluare a rezultatelor obţinute de directorul executiv şi viitoarele atribuţii şi provocări ale ENISA.
(6)Consiliul de administraţie adoptă deciziile privind numirea, prelungirea mandatului sau demiterea din funcţie a directorului executiv în conformitate cu articolul 18 alineatul (2).
(7)La propunerea Comisiei, care ia în considerare evaluarea menţionată la alineatul (5), consiliul de administraţie poate reînnoi mandatul directorului executiv o singură dată, cu o perioadă de cinci ani.
(8)Consiliul de administraţie informează Parlamentul European în legătură cu intenţia sa de a prelungi mandatul directorului executiv. În cursul perioadei de trei luni care precedă prelungirea mandatului său, directorul executiv, dacă este invitat, face o declaraţie în faţa comisiei relevante a Parlamentului European şi răspunde întrebărilor deputaţilor.
(9)Un director executiv al cărui mandat a fost prelungit nu poate să participe la o nouă procedură de selecţie pentru acelaşi post.
(10)Directorul executiv poate fi demis din funcţie numai printr-o decizie a consiliului de administraţie care acţionează la propunerea Comisiei.
Art. 37: Experţii naţionali detaşaţi şi alte categorii de personal
(1)ENISA poate face apel la experţi naţionali detaşaţi sau alte categorii de personal care nu sunt angajaţi ai ENISA. Acestor categorii de personal nu li se aplică Statutul funcţionarilor şi Regimul aplicabil celorlalţi agenţi.
(2)Consiliul de administraţie adoptă o decizie de stabilire a normelor aplicabile detaşării experţilor naţionali la ENISA.
Art. 38: Statutul juridic al ENISA
(1)ENISA este un organ al Uniunii şi are personalitate juridică.
(2)În fiecare stat membru, ENISA dispune de cea mai extinsă capacitate juridică acordată persoanelor juridice în temeiul dreptului intern. Aceasta poate, în special, să dobândească sau să înstrăineze bunuri mobile şi imobile şi să se constituie parte în proceduri judiciare.
(3)ENISA este reprezentată de directorul său executiv.
Art. 39: Răspunderea ENISA
(1)Răspunderea contractuală a ENISA este reglementată de legea aplicabilă contractului în cauză.
(2)Curtea de Justiţie a Uniunii Europene este competentă să se pronunţe în temeiul oricărei clauze compromisorii cuprinse într-un contract încheiat de ENISA.
(3)În materie de răspundere necontractuală, ENISA, repară orice prejudiciu cauzat de personalul său în cursul exercitării atribuţiilor acestuia, în conformitate cu principiile generale comune legislaţiilor statelor membre.
(4)Curtea de Justiţie a Uniunii Europene este competentă în ceea ce priveşte orice litigiu privind repararea prejudiciilor astfel cum se menţionează la alineatul (3).
(5)Răspunderea personală a personalului ENISA faţă de ENISA este reglementată de condiţiile relevante care se aplică personalului ENISA.
Art. 40: Regimul lingvistic
(1)Regulamentul nr. 1 al Consiliului (32) se aplică ENISA. Statele membre şi celelalte organisme desemnate de către statele membre se pot adresa ENISA şi pot primi răspunsuri în una dintre limbile oficiale ale instituţiilor Uniunii, la alegerea acestora.
(32)Regulamentul nr. 1 al Consiliului de stabilire a regimului lingvistic al Comunităţii Economice Europene (JO 17, 6.10.1958, p. 385/58).
(2)Serviciile de traducere necesare funcţionării ENISA sunt asigurate de către Centrul de Traduceri pentru Organismele Uniunii Europene.
Art. 41: Protecţia datelor cu caracter personal
(1)Prelucrarea datelor cu caracter personal de către ENISA face obiectul Regulamentului (UE) 2018/1725.
(2)Consiliul de administraţie adoptă normele de punere în aplicare astfel cum se menţionează la articolul 45 alineatul
(3)din Regulamentul (UE) 2018/1725. Consiliul de administraţie poate adopta dispoziţiile suplimentare necesare pentru aplicarea de către ENISA a Regulamentului (UE) 2018/1725.
Art. 42: Cooperarea cu ţările terţe şi cu organizaţiile internaţionale
(1)În măsura în care este necesar pentru atingerea obiectivelor stabilite în prezentul regulament, ENISA poate coopera cu autorităţile competente din ţările terţe sau cu organizaţiile internaţionale sau cu ambele. În acest scop, ENISA poate stabili acorduri de lucru cu autorităţile din ţări terţe şi cu organizaţii internaţionale, sub rezerva aprobării prealabile a Comisiei. Respectivele acorduri de lucru nu creează obligaţii legale pentru Uniune şi nici pentru statele sale membre.
(2)ENISA este deschisă participării ţărilor terţe care au încheiat acorduri cu Uniunea în acest sens. În baza dispoziţiilor relevante ale acestor acorduri, se stabilesc acorduri de lucru care specifică, în special, caracterul, amploarea şi modalitatea participării acestor ţări terţe la activitatea ENISA, inclusiv dispoziţii referitoare la participarea la iniţiativele puse în practică de ENISA, la contribuţiile financiare şi la personal. În ceea ce priveşte chestiunile legate de personal, aceste acorduri de lucru respectă, în orice caz, Statutul funcţionarilor şi Regimul aplicabil celorlalţi agenţi.
(3)Consiliul de administraţie adoptă o strategie pentru relaţiile cu ţări terţe şi cu organizaţii internaţionale, în ceea ce priveşte aspectele pentru care ENISA este competentă. Comisia se asigură că ENISA îşi desfăşoară activitatea în limitele mandatului său şi în cadrul instituţional existent prin încheierea de acorduri de lucru adecvate cu directorul agenţiei.
Art. 43: Norme de securitate privind protecţia informaţiilor sensibile neclasificate şi a informaţiilor clasificate
După consultarea Comisiei, ENISA adoptă norme de securitate care pun în aplicare principiile de securitate cuprinse în normele de securitate ale Comisiei pentru protecţia informaţiilor sensibile neclasificate şi a IUEC, astfel cum sunt prevăzute în Deciziile (UE, Euratom) 2015/443 şi (UE, Euratom) 2015/444. Normele de securitate ale ENISA includ dispoziţii privind schimbul, prelucrarea şi stocarea unor astfel de informaţii.
Art. 44: Acordul privind sediul şi condiţiile de funcţionare
(1)Prevederile necesare referitoare la sediul care urmează să fie pus la dispoziţia ENISA în statul membru gazdă şi la facilităţile care urmează să fie oferite de statul membru respectiv, precum şi normele specifice aplicabile în statul membru gazdă directorului executiv, membrilor consiliului de administraţie, personalului ENISA şi membrilor familiilor acestora se stabilesc într-un acord privind sediul, încheiat între ENISA şi statul membru gazdă după obţinerea aprobării consiliului de administraţie.
(2)Statul membru care găzduieşte ENISA pune la dispoziţie cele mai bune condiţii posibile pentru a asigura buna funcţionare a ENISA, ţinând cont de accesibilitatea amplasamentului, existenţa unor facilităţi adecvate de educaţie pentru copiii personalului, un acces corespunzător la piaţa muncii, la securitate socială şi la asistenţă medicală atât pentru copiii, cât şi pentru soţii sau soţiile personalului.
Art. 45: Controlul administrativ
Activităţile ENISA fac obiectul supravegherii de către Ombudsmanul European, în conformitate cu articolul 228 din TFUE.
Art. 46: Cadrul european de certificare a securităţii cibernetice
(1)Se instituie cadrul european de certificare a securităţii cibernetice pentru a îmbunătăţi condiţiile de funcţionare a pieţei interne prin creşterea nivelului de securitate cibernetică în Uniune şi prin permiterea unei abordări armonizate la nivelul Uniunii în privinţa sistemelor europene de certificare a securităţii cibernetice, în scopul creării unei pieţe unice digitale pentru produsele TIC, serviciile TIC şi procesele TIC.
(2)Cadrul european de certificare a securităţii cibernetice prevede un mecanism pentru instituirea unor sisteme europene de certificare a securităţii cibernetice şi pentru a atesta că produsele TIC, serviciile TIC şi procesele TIC, care au fost evaluate în conformitate cu sistemele respective sunt conforme cu cerinţele de securitate specificate, cu scopul de a proteja disponibilitatea, autenticitatea, integritatea sau confidenţialitatea datelor stocate, transmise ori prelucrate sau funcţiile ori serviciile oferite de aceste produse, servicii şi procese sau accesibile prin intermediul acestora pe întregul lor ciclu de viaţă.
Art. 47: Programul de activitate etapizat la nivelul Uniunii pentru certificarea europeană a securităţii cibernetice
(1)Comisia publică un program de activitate etapizat la nivelul Uniunii pentru certificarea europeană a securităţii cibernetice (denumit în continuare "programul de activitate etapizat la nivelul Uniunii") în care se identifică priorităţile strategice pentru viitoarele sisteme europene de certificare a securităţii cibernetice.
(2)Programul de activitate etapizat la nivelul Uniunii include îndeosebi o listă a produselor TIC, serviciilor TIC şi proceselor TIC sau a categoriilor acestora care pot beneficia de includerea în sfera de aplicare a unui sistem european de certificare a securităţii cibernetice.
(3)Includerea unui anumit produs TIC, serviciu TIC şi proces TIC sau a unei categorii a acestora în programul de activitate etapizat la nivelul Uniunii se justifică în baza unuia sau a mai multora dintre considerentele următoarele:
a)disponibilitatea şi dezvoltarea sistemelor naţionale de certificare a securităţii cibernetice care se aplică oricărei categorii specifice de produse TIC, servicii TIC şi procese TIC, cu precădere în ceea ce priveşte riscul de fragmentare;
b)politica sau dreptul relevant al Uniunii sau al statelor membre;
c)cererea de pe piaţă;
d)dezvoltările din aria ameninţărilor cibernetice;
e)solicitarea de pregătire a unei propuneri de sistem specifice de către ECCG.
(4)Comisia ţine seama în mod corespunzător de avizele emise în privinţa proiectului de program de activitate etapizat la nivelul Uniunii de către ECCG şi de către Grupul părţilor interesate pentru certificare.
(5)Primul program de activitate etapizat la nivelul Uniunii se publică până la 28 iunie 2020. Programul de activitate etapizat la nivelul Uniunii se actualizează cel puţin o dată la trei ani sau mai des, dacă este necesar.
Art. 48: Solicitarea unui sistem european de certificare a securităţii cibernetice
(1)Comisia îi poate solicita ENISA să pregătească o propunere de sistem sau să revizuiască un sistem european de certificare a securităţii cibernetice existent, pe baza programului de activitate etapizat la nivelul Uniunii.
(2)În cazuri justificate în mod corespunzător, Comisia sau ECCG îi poate solicita ENISA să pregătească o propunere de sau să revizuiască un sistem european de certificare a securităţii cibernetice existent, fără ca acestea să fie incluse în programul de activitate etapizat la nivelul Uniunii. Programul de activitate etapizat la nivelul Uniunii se actualizează în consecinţă.
Art. 49: Pregătirea, adoptarea şi revizuirea unui sistem european de certificare a securităţii cibernetice
(1)În urma unei solicitări din partea Comisiei în temeiul articolului 48, ENISA pregăteşte o propunere de sistem care îndeplineşte cerinţele prevăzute la articolele 51, 52 şi 54.
(2)În urma unei solicitări din partea ECCG în temeiul articolului 48 alineatul (2), ENISA poate pregăti o propunere de sistem care îndeplineşte cerinţele prevăzute la articolele 51, 52 şi 54. În cazul în care refuză o altfel de solicitare, ENISA prezintă motivele de refuz. Orice decizie de refuzare a unei astfel de solicitări se ia de către consiliul de administraţie.
(3)Atunci când pregăteşte propunerile de sisteme, ENISA consultă toate părţile interesate relevante printr-un proces de consultare formal, deschis, transparent şi cuprinzător.
(4)Pentru fiecare propunere de sistem, ENISA instituie un grup de lucru ad-hoc în conformitate cu articolul 20 cu scopul de a-i oferi ENISA consiliere şi expertiză specifice.
(5)ENISA cooperează strâns cu ECCG. ECCG furnizează ENISA asistenţă şi consiliere de specialitate în legătură cu pregătirea propunerii de sistem şi adoptă un aviz privind propunerea de sistem.
(6)ENISA ţine seama în cea mai mare măsură posibilă de avizul ECCG înainte de a transmite Comisiei propunerea de sistem pregătită în conformitate cu alineatele (3), (4) şi (5). Avizul ECCG nu este obligatoriu pentru ENISA, iar lipsa unui astfel de aviz nu împiedică ENISA să transmită Comisiei propunerea de sistem.
(7)Pe baza propunerii de sistem pregătite de ENISA, Comisia poate adopta acte de punere în aplicare care să prevadă sisteme europene de certificare a securităţii cibernetice pentru produsele TIC, serviciile TIC şi procesele TIC care îndeplinesc cerinţele prevăzute la articolele 51, 52 şi 54. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 66 alineatul (2).
(8)ENISA evaluează cel puţin o dată la cinci ani fiecare sistem european de certificare a securităţii cibernetice adoptat, ţinând seama de observaţiile primite de la părţile interesate. Dacă este necesar, Comisia sau ECCG îi pot solicita ENISA să demareze procesul de elaborare a unei propuneri revizuite de sistem în conformitate cu articolul 48 şi cu prezentul articol.
Art. 50: Site-ul referitor la sistemele europene de certificare a securităţii cibernetice
(1)ENISA întreţine un site dedicat care oferă informaţii despre sistemele europene de certificare a securităţii cibernetice, certificatele europene de securitate cibernetică şi declaraţiile de conformitate UE, şi le asigură publicitatea, inclusiv informaţii în ceea ce priveşte sistemele europene de certificare a securităţii cibernetice care nu mai sunt valabile, certificatele europene de securitate cibernetică şi declaraţiile de conformitate UE retrase sau expirate şi registrul conţinând legături către informaţii despre securitatea cibernetică furnizate în conformitate cu articolul 55.
(2)După caz, site-ul menţionat la alineatul (1) indică şi sistemele naţionale de certificare a securităţii cibernetice care au fost înlocuite de un sistem european de certificare a securităţii cibernetice.
Art. 51: Obiectivele de securitate ale sistemelor europene de certificare a securităţii cibernetice
Un sistem european de certificare a securităţii cibernetice este conceput pentru a îndeplini, după caz, cel puţin următoarele obiective de securitate:
(a)să protejeze datele stocate, transmise sau prelucrate într-un alt mod împotriva stocării, prelucrării, accesului sau divulgării accidentale sau neautorizate pe întregul ciclu de viaţă al produsului TIC, serviciului TIC sau procesului TIC;
(b)să protejeze datele stocate, transmise sau prelucrate într-un alt mod împotriva distrugerii, pierderii sau modificării accidentale sau neautorizate ori lipsei de disponibilitate pe întregul ciclu de viaţă al produsului TIC, serviciului TIC sau procesului TIC;
(c)să asigure faptul că persoanele, programele sau dispozitivele autorizate pot avea acces numai la datele, serviciile sau funcţiile la care se referă drepturile lor de acces;
(d)să identifice şi să documenteze dependenţele şi vulnerabilităţile cunoscute;
(e)să înregistreze care sunt datele, serviciile sau funcţiile care au fost accesate, utilizate sau procesate în alt mod, în ce moment şi de către cine;
(f)să facă posibil să se verifice care sunt datele, serviciile sau funcţiile care au fost accesate, utilizate sau procesate în alt mod, în ce moment şi de către cine;
(g)să verifice că produsele TIC, serviciile TIC şi procesele TIC nu conţin vulnerabilităţi cunoscute;
(h)să restabilească disponibilitatea datelor, serviciilor şi funcţiilor şi accesul la acestea în timp util în cazul unui incident fizic sau tehnic;
(i)să asigure că produsele TIC, serviciile TIC şi procesele TIC sunt securizate implicit şi începând cu momentul conceperii;
(j)să asigure că produsele TIC, serviciile TIC şi procesele TC sunt furnizate cu software şi hardware actualizate care nu conţin vulnerabilităţi cunoscute public şi că sunt prevăzute cu mecanisme pentru actualizări securizate.
Art. 52: Niveluri de asigurare ale sistemelor europene de certificare a securităţii cibernetice
(1)Un sistem european de certificare a securităţii cibernetice poate stabili unul sau mai multe dintre următoarele niveluri de asigurare pentru produsele TIC, serviciile TIC şi procesele TIC: "de bază", "substanţial" sau "ridicat". Nivelul de asigurare este corespunzător nivelului riscului asociat cu utilizarea preconizată a unui produs TIC, serviciu TIC sau proces TIC, înţeles ca probabilitate şi impact al unui incident.
(2)Certificatele europene de securitate cibernetică şi declaraţiile de conformitate UE fac trimitere la orice nivel de asigurare prevăzut în sistemul european de certificare a securităţii cibernetice în temeiul căruia a fost emis certificatul european de securitate cibernetică sau declaraţia de conformitate UE.
(3)Cerinţele de securitate corespunzătoare fiecărui nivel de asigurare sunt prevăzute de sistemul european de certificare a securităţii cibernetice relevant, inclusiv funcţiile de securitate corespunzătoare şi rigoarea şi profunzimea corespunzătoare ale evaluării la care a fost supus produsul TIC, serviciul TIC sau procesul TIC.
(4)Certificatul sau declaraţia de conformitate UE face trimitere la specificaţii tehnice, standarde şi proceduri conexe acestora, inclusiv controale tehnice, al căror scop este de a diminua riscul de incidente de securitate cibernetică sau de a le preîntâmpina.
(5)Un certificat european de securitate cibernetică sau o declaraţie de conformitate UE care face trimitere la nivelul de asigurare "de bază" oferă asigurare cu privire la faptul că produsele TIC, serviciile TIC şi procesele TIC pentru care se eliberează certificatul respectiv sau declaraţia de conformitate UE respectivă îndeplinesc cerinţele de securitate corespunzătoare, inclusiv funcţiile de securitate, şi că acestea au fost evaluate la un nivel care urmăreşte minimizarea riscurilor de bază cunoscute de incidente şi atacuri cibernetice. Activităţile de evaluare includ cel puţin o examinare a documentaţiei tehnice. În cazurile în care o astfel de examinare nu este adecvată, se desfăşoară activităţi de evaluare înlocuitoare cu efect echivalent.
(6)Un certificat european de securitate cibernetică care face trimitere la nivelul de asigurare "substanţial" oferă asigurare cu privire la faptul că produsele TIC, serviciile TIC şi procesele TIC pentru care se eliberează certificatul respectiv îndeplinesc cerinţele de securitate corespunzătoare, inclusiv funcţiile de securitate, şi că acestea au fost evaluate la un nivel care urmăreşte minimizarea riscurilor pentru securitatea cibernetică cunoscute şi a riscurilor de incidente şi atacuri cibernetice desfăşurate de actori cu competenţe şi resurse limitate. Activităţile de evaluare includ cel puţin următoarele: o examinare pentru a demonstra absenţa vulnerabilităţilor cunoscute public şi testarea faptului că produsele TIC, serviciile TIC şi procesele TIC implementează corect funcţiile de securitate necesare. În cazurile în care oricare dintre aceste activităţi de evaluare nu este adecvată, se desfăşoară activităţi de evaluare înlocuitoare cu efect echivalent.
(7)Un certificat european de securitate cibernetică care face trimitere la nivelul de asigurare "ridicat" oferă asigurare cu privire la faptul că produsele TIC, serviciile TIC şi procesele TIC pentru care se eliberează certificatul respectiv îndeplinesc cerinţele de securitate corespunzătoare, inclusiv funcţiile de securitate, şi că acestea au fost evaluate la un nivel care urmăreşte minimizarea riscului de atacuri cibernetice de ultimă generaţie desfăşurate de actori cu competenţe şi resurse substanţiale. Activităţile de evaluare includ cel puţin următoarele: o examinare pentru a demonstra absenţa vulnerabilităţilor cunoscute public; testarea pentru a demonstra că produsele TIC, serviciile TIC şi procesele TIC implementează corect funcţiile de securitate necesare, la nivel de ultimă generaţie, şi o evaluare a rezistenţei acestora la atacatori competenţi prin teste de rezistenţă la intruziuni. În cazurile în care oricare dintre aceste activităţi de evaluare nu este adecvată, se desfăşoară activităţi înlocuitoare cu efect echivalent.
(8)Un sistem european de certificare a securităţii cibernetice poate specifica mai multe niveluri de evaluare în funcţie de rigoarea şi profunzimea metodologiei de evaluare utilizate. Fiecare dintre nivelurile de evaluare corespunde unuia dintre nivelurile de asigurare şi este definit printr-o combinaţie corespunzătoare de componente ale asigurării.
Art. 53: Autoevaluarea conformităţii
(1)Un sistem european de certificare a securităţii cibernetice poate permite efectuarea unei autoevaluări a conformităţii pe răspunderea exclusivă a producătorului sau a furnizorului de produse TIC, servicii TIC şi procese TIC. O astfel de autoevaluare a conformităţii este permisă numai în cazul produselor TIC, serviciilor TIC şi proceselor TIC care prezintă un risc redus corespunzând nivelului de asigurare "de bază".
(2)Producătorul sau furnizorul de produse TIC, servicii TIC şi procese TIC poate elibera o declaraţie de conformitate UE care menţionează că s-a demonstrat îndeplinirea cerinţelor prevăzute în sistem. Prin eliberarea unei astfel de declaraţii, producătorul sau furnizorul de produse TIC, servicii TIC sau procese TIC îşi asumă responsabilitatea pentru conformitatea produsului TIC, a serviciului TIC sau a procesului TIC cu cerinţele stabilite în sistemul respectiv.
(3)Producătorul sau furnizorul de produse TIC, servicii TIC şi procese TIC pun la dispoziţia autorităţii naţionale de certificare a securităţii cibernetice menţionată la articolul 58, pe durata stabilită în sistemul european de certificare a securităţii cibernetice corespunzător, declaraţia de conformitate UE, documentaţia tehnică şi toate celelalte informaţii relevante legate de conformitatea produselor TIC sau a serviciilor TIC cu sistemul. O copie a declaraţiei de conformitate UE se transmite către autoritatea naţională de certificare a securităţii cibernetice şi către ENISA.
(4)Eliberarea unei declaraţii de conformitate UE este voluntară, cu excepţia cazului în care se prevede altfel în dreptul Uniunii sau dreptul statelor membre.
(5)Declaraţia de conformitate UE este recunoscută în toate statele membre.
Art. 54: Elemente ale sistemelor europene de certificare a securităţii cibernetice
(1)Un sistem european de certificare a securităţii cibernetice include cel puţin următoarele elemente:
a)obiectul şi sfera de aplicare a sistemului de certificare, inclusiv tipul sau categoriile de produse TIC, servicii TIC şi procese TIC acoperite;
b)o descriere clară a scopului sistemului şi a modului în care standardele selectate, metodele de evaluare şi nivelurile de asigurare corespund nevoilor utilizatorilor preconizaţi ai sistemului;
c)trimiteri la standardele internaţionale, europene sau naţionale aplicate în cadrul evaluării sau, în cazul în care astfel de standarde nu sunt disponibile sau nu sunt adecvate, la specificaţiile tehnice care îndeplinesc cerinţele prevăzute în anexa II la Regulamentul (UE) nr. 1025/2012 sau, dacă astfel de specificaţii nu sunt disponibile, la specificaţii tehnice sau la alte cerinţe de securitate cibernetică definite în sistemul european de certificare a securităţii cibernetice;
d)după caz, unul sau mai multe niveluri de asigurare;
e)o precizare care indică dacă autoevaluarea conformităţii este permisă în cadrul sistemului;
f)după caz, cerinţe specifice sau suplimentare cărora se supun organismele de evaluare a conformităţii pentru a garanta competenţa tehnică a acestora de a evalua cerinţele de securitate cibernetică;
g)criteriile şi metodele specifice de evaluare, inclusiv tipurile de evaluări, utilizate pentru a demonstra că obiectivele de securitate menţionate la articolul 51 sunt îndeplinite;
h)după caz, informaţiile necesare pentru certificare care trebuie furnizate sau puse în alt mod la dispoziţia organismelor de evaluare a conformităţii de către solicitant;
i)în cazul în care sistemul prevede mărci sau etichete, condiţiile în care pot fi utilizate aceste mărci sau etichete;
j)normele pentru monitorizarea conformităţii produselor TIC, serviciilor TIC şi proceselor TIC cu cerinţele certificatelor europene de securitate cibernetică sau ale declaraţiilor de conformitate UE, inclusiv mecanisme care să demonstreze conformitatea neîntreruptă cu cerinţele de securitate cibernetică specificate;
k)după caz, condiţiile de eliberare, de menţinere, de continuare şi de reînnoire a certificatelor europene de securitate cibernetică, precum şi condiţiile de extindere sau de restrângere a domeniului de aplicare a certificării;
l)normele privind consecinţele neconformităţii produselor TIC, serviciilor TIC şi proceselor TIC care au fost certificare sau pentru care a fost eliberată o declaraţie de conformitate UE, dar care nu sunt conforme cu cerinţele sistemului;
m)normele privind modalităţile de raportare şi soluţionare a vulnerabilităţilor în materie de securitate cibernetică nedetectate anterior ale produselor TIC, serviciilor TIC şi proceselor TIC;
n)după caz, normele privind păstrarea evidenţelor de către organismele de evaluare a conformităţii;
o)identificarea sistemelor naţionale sau internaţionale de certificare a securităţii cibernetice care se referă la aceleaşi tipuri sau categorii de produse TIC, servicii TIC şi procese TIC, cerinţele de securitate şi criteriile şi metodele de evaluare şi nivelurile de asigurare;
p)conţinutul şi formatul certificatelor europene de securitate cibernetică şi ale declaraţiilor de conformitate UE care urmează să fie eliberate;
q)perioada de valabilitate a declaraţiei de conformitate UE, documentaţia tehnică şi toate celelalte informaţii relevante care sunt puse la dispoziţie de producătorul sau de furnizorul de produse TIC, de servicii TIC sau de procese TIC;
r)perioada maximă de valabilitate a certificatelor europene de securitate cibernetică eliberate în temeiul sistemului;
s)politica de divulgare pentru certificatele europene de securitate cibernetică eliberate modificate sau retrase în temeiul sistemului;
t)condiţiile pentru recunoaşterea reciprocă a sistemelor de certificare cu ţări terţe;
u)după caz, normele privind orice mecanism de evaluare inter pares instituit în cadrul sistemului pentru autorităţile sau organismele care eliberează certificate europene de securitate cibernetică pentru nivelul de asigurare "ridicat" în temeiul articolului 56 alineatul (6). Un astfel de mecanism nu aduce atingere evaluării inter pares prevăzute la articolul 59;
v)formatul şi procedurile care trebuie urmate de producători sau de furnizori de produse TIC, de servicii TIC sau de procese TIC atunci când furnizează şi actualizează informaţiile suplimentare privind securitatea cibernetică în conformitate cu articolul 55.
(2)Cerinţele specificate ale sistemului european de certificare a securităţii cibernetice sunt în concordanţă cu cerinţele legale aplicabile, în special cu cerinţele care decurg din dreptul armonizat al Uniunii.
(3)În cazul în care un act juridic specific al Uniunii prevede astfel, un certificat sau o declaraţie de conformitate UE eliberată în cadrul unui sistem european de certificare a securităţii cibernetice poate fi utilizată pentru a demonstra prezumţia de conformitate cu cerinţele din acel act juridic.
(4)În absenţa unui drept armonizat al Uniunii, dreptul unui stat membru poate prevedea, de asemenea, că se poate folosi un sistem european de certificare a securităţii cibernetice pentru a stabili prezumţia de conformitate cu cerinţele legale.
Art. 55: Informaţii suplimentare privind securitatea cibernetică pentru produsele TIC, serviciile TIC şi procesele TIC certificate
(1)Producătorul sau furnizorul de produse TIC, servicii TIC sau procese TIC certificate sau de produse TIC, servicii TIC sau procese TIC pentru care a fost eliberată o declaraţie de conformitate UE pune la dispoziţia publicului următoarele informaţii suplimentare privind securitatea cibernetică:
a)orientări şi recomandări care să le servească utilizatorilor finali la configurarea, instalarea, derularea, funcţionarea şi întreţinerea securizate a produselor TIC sau serviciilor TIC;
b)perioada în timpul căreia se oferă asistenţă în materie de securitate utilizatorilor finali, mai ales în ceea ce priveşte disponibilitatea actualizărilor legate de securitatea cibernetică;
c)informaţii de contact ale producătorului sau furnizorului şi metode acceptate pentru primirea informaţiilor despre vulnerabilitate de la utilizatorii finali şi de la cercetători din domeniul securităţii;
d)o trimitere la registrele online care conţin vulnerabilităţile divulgate public legate de produsul TIC, de serviciul TIC sau de procesul TIC şi orice avertismente relevante în materie de securitate cibernetică.
(2)Informaţiile menţionate la alineatul (1) se pun la dispoziţie în format electronic şi rămân disponibile şi se actualizează după cum este necesar cel puţin până la expirarea certificatului european de securitate cibernetică sau a declaraţiei de conformitate UE aferente.
Art. 56: Certificarea securităţii cibernetice
(1)Produsele TIC, serviciile TIC şi procesele TIC care au fost certificate în cadrul unui sistem european de certificare a securităţii cibernetice adoptat în temeiul articolului 49 sunt considerate a fi conforme cu cerinţele acestui sistem.
(2)Certificarea securităţii cibernetice este voluntară, cu excepţia cazului în care se prevede altfel în dreptul Uniunii sau în dreptul unui stat membru.
(3)Comisia evaluează periodic eficienţa şi utilizarea sistemelor europene de certificare a securităţii cibernetice adoptate şi analizează dacă un anumit sistem european de certificare a securităţii cibernetice trebuie să devină obligatoriu prin dreptul relevant al Uniunii, pentru a se asigura un nivel adecvat de securitate cibernetică a produselor TIC, serviciilor TIC şi proceselor TIC în Uniune şi pentru a se îmbunătăţi funcţionarea pieţei interne. Prima evaluare se efectuează până la 31 decembrie 2023, iar evaluările ulterioare se efectuează cel puţin din doi în doi ani după această dată. Pe baza rezultatelor evaluărilor respective, Comisia identifică produsele TIC, serviciile TIC şi procesele TIC care fac obiectul unui sistem de certificare existent şi care trebuie să fie incluse într-un sistem de certificare obligatoriu.
Comisia se concentrează cu prioritate pe sectoarele enumerate în anexa II la Directiva (UE) 2016/1148, pe care le evaluează cel târziu la doi ani de la adoptarea primului sistem european de certificare a securităţii cibernetice.
Atunci când pregăteşte evaluarea, Comisia:
a)ia în considerare impactul măsurilor asupra producătorilor sau furnizorilor de astfel de produse TIC, servicii TIC sau procese TIC, precum şi asupra utilizatorilor în ceea ce priveşte costul măsurilor respective, avantajele societale sau economice care decurg din nivelul sporit de securitate preconizat pentru produsele TIC, serviciile TIC sau procesele TIC vizate;
b)ţine seama de existenţa şi de punerea în aplicare a dreptului relevant al statelor membre şi al ţărilor terţe;
c)desfăşoară un proces de consultare deschis, transparent şi cuprinzător cu toate părţile interesate relevante şi cu statele membre;
d)ia în considerare termenele de punere în aplicare, precum şi măsurile şi perioadele de tranziţie, în special în ceea ce priveşte impactul posibil al măsurilor asupra producătorilor sau a furnizorilor de produse TIC, servicii TIC sau procese TIC, inclusiv asupra IMM-urilor;
e)propune cea mai rapidă şi mai eficace modalitate de punere în aplicare a tranziţiei de la un sistem de certificare voluntar la unul obligatoriu.
(4)Organismele de evaluare a conformităţii menţionate la articolul 60 eliberează certificate europene de securitate cibernetică în temeiul prezentului articol, care fac trimitere la nivelul de asigurare "de bază" sau "substanţial" pe baza criteriilor incluse în sistemul european de certificare a securităţii cibernetice adoptat de Comisie în temeiul articolului 49.
(5)Prin derogare de la alineatul (4), în cazuri justificate în mod corespunzător, un sistem european de certificare a securităţii cibernetice poate prevedea că certificatele europene de securitate cibernetică ce rezultă din acel sistem pot fi emise numai de un organism public. Acest organism este una din următoarele entităţi:
a)o autoritate naţională de certificare a securităţii cibernetice astfel cum este menţionată la articolul 58 alineatul (1); sau
b)un organism public care este acreditat ca organism de evaluare a conformităţii în temeiul articolului 60 alineatul (1).
(6)În cazurile în care un sistem european de certificare a securităţii cibernetice adoptat în temeiul articolului 49 impune un nivel de asigurare "ridicat", certificatul european de securitate cibernetică în temeiul sistemului respectiv se eliberează numai de o autoritate naţională de certificare a securităţii cibernetice sau, în următoarele cazuri, de un organism de evaluare a conformităţii:
a)cu aprobarea prealabilă a autorităţii de certificare a securităţii cibernetice pentru fiecare certificat european de securitate cibernetică individual eliberat de un organism de evaluare a conformităţii; sau
b)pe baza unei delegări generale a atribuţiei de eliberare a acestor certificate europene de securitate cibernetică către organismul de evaluare a conformităţii de către autoritatea naţională de certificare a securităţii cibernetice.
(7)Persoana fizică sau juridică care îşi supune certificării produsele TIC, serviciile TIC sau procesele TIC pune la dispoziţia autorităţii naţionale de certificare a securităţii cibernetice menţionată la articolul 58, în cazul în care această autoritate este organismul care eliberează certificatul european de securitate cibernetică, sau la dispoziţia organismului de evaluare a conformităţii menţionat la articolul 60 toate informaţiile necesare pentru desfăşurarea certificării.
(8)Deţinătorul unui certificat european de securitate cibernetică informează autoritatea sau organismul menţionat la alineatul (7) despre orice vulnerabilităţi sau nereguli detectate ulterior, legate de securitatea produsului TIC, a serviciului TIC sau a procesului TIC certificat, care pot avea un impact asupra conformităţii sale cu cerinţele legate de certificare. Autoritatea sau organismul respectiv transmite aceste informaţii fără întârzieri nejustificate autorităţii naţionale de certificare a securităţii cibernetice în cauză.
(9)Certificatele europene de securitate cibernetică se eliberează pentru durata prevăzută de sistemul european de certificare a securităţii cibernetice şi pot fi reînnoite numai dacă sunt îndeplinite în continuare cerinţele relevante.
(10)Un certificat european de securitate cibernetică eliberat în temeiul prezentului articol este recunoscut în toate statele membre.
Art. 57: Sistemele şi certificatele naţionale de certificare de a securităţii cibernetice
(1)Fără a aduce atingere alineatului (3) din prezentul articol, sistemele naţionale de certificare a securităţii cibernetice şi procedurile aferente pentru produsele TIC, serviciile TIC şi procesele TIC care fac obiectul unui sistem european de certificare a securităţii cibernetice încetează să mai producă efecte de la data stabilită în actul de punere în aplicare adoptat în temeiul articolului 49 alineatul (7). Sistemele naţionale de certificare a securităţii cibernetice şi procedurile aferente pentru produsele TIC, serviciile TIC şi procesele TIC care nu fac obiectul unui sistem european de certificare a securităţii cibernetice continuă să existe.
(2)Statele membre nu introduc noi sisteme naţionale de certificare a securităţii cibernetice pentru produsele TIC, serviciile TIC şi procesele TIC care fac deja obiectul unui sistem european de certificare a securităţii cibernetice în vigoare.
(3)Certificatele existente care au fost eliberate în temeiul sistemelor naţionale de certificare a securităţii cibernetice şi care fac obiectul unui sistem european de certificare a securităţii cibernetice rămân valabile până la data expirării lor.
(4)Pentru a se evita fragmentarea pieţei interne, statele membre informează Comisia şi ECCG cu privire la orice intenţie de a elabora noi sisteme naţionale de certificare a securităţii cibernetice.
Art. 58: Autorităţile naţionale de certificare a securităţii cibernetice
(1)Fiecare stat membru desemnează pe teritoriul său una sau mai multe autorităţi naţionale de certificare a securităţii cibernetice sau, cu acordul unui alt stat membru, desemnează una sau mai multe autorităţi naţionale de certificare a securităţii cibernetice stabilite în celălalt stat membru pentru a fi responsabile de atribuţiile de supraveghere în statul membru care face desemnarea.
(2)Fiecare stat membru informează Comisia cu privire la identitatea autorităţilor naţionale de certificare de securitate cibernetică desemnate. În cazul în care un stat membru desemnează mai multe autorităţi, acesta informează Comisia şi cu privire la sarcinile atribuite fiecăreia dintre respectivele autorităţi.
(3)Fără a aduce atingere articolului 56 alineatul (5) litera (a) şi articolului 56 alineatul (6), fiecare autoritate naţională de certificare a securităţii cibernetice este independentă în ceea ce priveşte organizarea, deciziile de finanţare, structura juridică şi luarea deciziilor, de entităţile pe care le supraveghează.
(4)Statele membre se asigură că activităţile autorităţilor naţionale de certificare a securităţii cibernetice, care se referă la eliberarea de certificate europene de securitate cibernetică menţionate la articolul 56 alineatul (5) litera (a) şi la articolul 56 alineatul (6) sunt strict separate de activităţile de supraveghere prevăzute în prezentul articol şi că activităţile respective sunt desfăşurate independent una de cealaltă.
(5)Statele membre se asigură că autorităţile naţionale de certificare a securităţii cibernetice dispun de resursele adecvate pentru a-şi exercita competenţele şi pentru a-şi îndeplini cu eficacitate şi în mod eficient sarcinile.
(6)Pentru punerea efectivă în aplicare a prezentului regulament, este oportun ca autorităţile naţionale de certificare a securităţii cibernetice să participe la ECCG în mod activ, eficace, eficient şi sigur.
(7)Autorităţile naţionale de certificare a securităţii cibernetice:
a)supraveghează şi asigură respectarea normelor incluse în sistemele europene de certificare a securităţii cibernetice în temeiul articolului 54 alineatul (1) litera (j) pentru monitorizarea conformităţii produselor TIC, serviciilor TIC şi proceselor TIC cu cerinţele certificatelor europene de securitate cibernetică eliberate pe teritoriile lor respective, în cooperare cu alte autorităţi relevante de supraveghere a pieţei;
b)monitorizează respectarea obligaţiilor producătorilor sau furnizorilor de produse TIC, servicii TIC sau procese TIC care sunt stabiliţi pe teritoriile lor respective şi care desfăşoară autoevaluări ale conformităţii, şi pun în aplicare aceste obligaţii, în special a obligaţiilor unor astfel de producători sau furnizori prevăzute la articolul 53 alineatele (2) şi (3) şi în sistemele europene de certificare a securităţii cibernetice corespunzătoare;
c)fără a aduce atingere articolului 60 alineatul (3), asistă şi sprijină activ organismele naţionale de acreditare la monitorizarea şi supravegherea activităţilor organismelor de evaluare a conformităţii în sensul prezentului regulament;
d)monitorizează şi supraveghează activităţile organismelor publice menţionate la articolul 56 alineatul (5);
e)după caz, autorizează organismele de evaluare a conformităţii în conformitate cu articolul 60 alineatul (3) şi restricţionează, suspendă sau retrag autorizaţia existentă atunci când organismele de evaluare a conformităţii încalcă cerinţele prezentului regulament;
f)tratează plângerile persoanelor fizice sau juridice în legătură cu certificatele europene de securitate cibernetică eliberate de autorităţile naţionale de certificare a securităţii cibernetice sau cu cele eliberate de organismele de evaluare a conformităţii în conformitate cu articolul 56 alineatul (6), sau în legătură cu declaraţiile de conformitate UE eliberate în temeiul articolului 53, şi investighează, în măsura în care este oportun, subiectul plângerii şi informează reclamantul despre stadiul şi rezultatul investigaţiei, într-un termen rezonabil;
g)prezintă ENISA şi ECCG un raport anual de sinteză privind măsurile întreprinse în temeiul literelor (b), (c) şi (d) din prezentul alineat sau în temeiul alineatului (8);
h)cooperează cu alte autorităţi naţionale de certificare a securităţii cibernetice sau cu alte autorităţi publice, inclusiv prin schimbul de informaţii cu privire la o posibilă neconformitate a produselor TIC, serviciilor TIC şi proceselor TIC cu cerinţele prezentului regulament sau cu cerinţele sistemului european de certificare a securităţii cibernetice specific; şi
i)monitorizează evoluţiile relevante din domeniul certificării securităţii cibernetice.
(8)Fiecare autoritate naţională de certificare a securităţii cibernetice dispune cel puţin de următoarele competenţe:
a)competenţa de a cere organismelor de evaluare a conformităţii, deţinătorilor de certificate europene de securitate cibernetică şi entităţilor care eliberează declaraţii de conformitate UE să furnizeze toate informaţiile care îi sunt necesare pentru îndeplinirea atribuţiilor sale;
b)competenţa de a efectua investigaţii, sub formă de audituri, asupra organismelor de evaluare a conformităţii, a titularilor de certificate europene de securitate cibernetică şi a entităţilor care eliberează declaraţii de conformitate UE pentru a verifica conformitatea acestora cu prezentul titlu;
c)competenţa de a lua măsuri adecvate, în conformitate cu dreptul intern, pentru a se asigura că organismele de evaluare a conformităţii, titularii de certificate europene de securitate cibernetică şi entităţile care eliberează declaraţii de conformitate UE respectă prezentul regulament sau un sistem european de certificare a securităţii cibernetice;
d)competenţa de a obţine acces la sediile oricărui organism de evaluare a conformităţii sau al titularilor de certificate europene de securitate cibernetică cu scopul de a desfăşura investigaţii în conformitate cu dreptul procedural al Uniunii sau al statului membru;
e)competenţa de a retrage, în conformitate cu dreptul intern, certificatele europene de securitate cibernetică eliberate de autorităţile naţionale de certificare a securităţii cibernetice sau cele eliberate de organismele de evaluare a conformităţii în conformitate cu articolul 56 alineatul (6), atunci când astfel de certificate nu sunt conforme cu prezentul regulament sau cu un sistem european de certificare a securităţii cibernetice;
f)competenţa de a impune sancţiuni, în conformitate cu dreptul intern, astfel cum se prevede la articolul 65, şi de a cere încetarea imediată a încălcărilor obligaţiilor prevăzute de prezentul regulament.
(9)Autorităţile naţionale de certificare a securităţii cibernetice cooperează între ele şi cu Comisia în special prin schimb de informaţii, de experienţă şi de bune practici în ceea ce priveşte certificarea securităţii cibernetice şi aspectele tehnice privind securitatea cibernetică a produselor TIC, a serviciilor TIC şi proceselor TIC.
Art. 59: Evaluarea inter pares
(1)Pentru a se ajunge la standarde echivalente pe întreg teritoriul Uniunii cu privire la certificatele europene de securitate cibernetică şi la declaraţiile de conformitate UE, autorităţile naţionale de certificare a securităţii cibernetice fac obiectul unei evaluări inter pares.
(2)Evaluarea inter pares se efectuează pe baza unor criterii şi proceduri de evaluare clare şi transparente, în special în privinţa cerinţelor structurale, de resurse umane şi de proces, a confidenţialităţii şi a plângerilor.
(3)Evaluarea inter pares examinează următoarele aspecte:
a)după caz, dacă activităţile autorităţilor naţionale de certificare a securităţii cibernetice legate de eliberarea certificatelor europene de securitate cibernetică menţionate la articolul 56 alineatul (5) litera (a) şi la articolul 56 alineatul (6) sunt strict separate de activităţile de supraveghere prevăzute la articolul 58 şi dacă activităţile respective sunt desfăşurate independent una de cealaltă;
b)procedurile de supraveghere şi de asigurare a respectării normelor de monitorizare a conformităţii produselor TIC, serviciilor TIC şi proceselor TIC cu certificatele europene de securitate cibernetică în temeiul articolului 58 alineatul (7) litera (a);
c)procedurile de monitorizare şi de asigurare a respectării obligaţiilor producătorilor şi ale furnizorilor de produse TIC, de servicii TIC sau de procese TIC în conformitate cu articolul 58 alineatul (7) litera (b);
d)procedurile de monitorizare, de autorizare şi de supraveghere a activităţilor desfăşurate de organismele de evaluare a conformităţii;
e)după caz, dacă personalul autorităţilor sau organismelor care eliberează certificate pentru nivelul de asigurare "ridicat" în temeiul articolului 56 alineatul (6) deţine expertiza corespunzătoare.
(4)Evaluarea inter pares se desfăşoară cel puţin o dată la cinci ani de către cel puţin două autorităţi naţionale de certificare a securităţii cibernetice din alte state membre şi de către Comisie. ENISA poate participa la evaluarea inter pares.
(5)Comisia poate adopta acte de punere în aplicare prin care să stabilească un plan pentru evaluarea inter pares, care acoperă o perioadă de cel puţin cinci ani, şi să definească criterii privind componenţa echipei de evaluare inter pares, metodologia utilizată pentru evaluarea inter pares, calendarul, frecvenţa şi alte atribuţii legate de aceasta. Atunci când adoptă respectivele acte de punere în aplicare, Comisia ţine seama în mod corespunzător de observaţiile formulate de ECCG. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 66 alineatul (2).
(6)Rezultatele evaluării inter pares sunt examinate de ECCG, care întocmeşte un rezumat ce poate fi făcut public, şi care, atunci când este necesar, formulează orientări sau recomandări cu privire la acţiunile sau măsurile care trebuie întreprinse de entităţile în cauză.
Art. 60: Organisme de evaluare a conformităţii
(1)Organismele de evaluare a conformităţii sunt acreditate de organismele naţionale de acreditare desemnate în temeiul Regulamentului (CE) nr. 765/2008. Acreditarea respectivă se eliberează numai dacă organismul naţional de acreditare îndeplineşte cerinţele stabilite în anexa la prezentul regulament.
(2)În cazurile în care un certificat european de securitate cibernetică este eliberat de o autoritate naţională de certificare a securităţii cibernetice în temeiul articolului 56 alineatul (5) litera (a) şi al articolului 56 alineatul (6), organismul de certificare al autorităţii naţionale de certificare a securităţii cibernetice este acreditat ca organism de evaluare a conformităţii în temeiul alineatului (1) din prezentul articol.
(3)În cazul în care sistemele europene de certificare a securităţii cibernetice stabilesc cerinţe specifice sau suplimentare în temeiul articolului 54 alineatul (1) litera (f), numai organismele de evaluare a conformităţii care îndeplinesc aceste cerinţe sunt autorizate de autoritatea naţională de certificare a securităţii cibernetice pentru îndeplinirea atribuţiilor în temeiul sistemelor respective.
(4)Acreditarea menţionată la alineatul (1) se eliberează organismelor de evaluare a conformităţii pentru o perioadă de maximum cinci ani şi poate fi reînnoită în aceleaşi condiţii numai dacă organismul de evaluare a conformităţii îndeplineşte în continuare cerinţele prevăzute la prezentul articol. Organismele naţionale de acreditare iau toate măsurile corespunzătoare într-un termen rezonabil pentru a restricţiona, a suspenda sau a revoca acreditarea unui organism de evaluare a conformităţii eliberată în temeiul alineatului (1) în cazul în care condiţiile de acreditare nu sunt sau nu mai sunt îndeplinite sau în cazul în care organismul de evaluare a conformităţii încalcă prezentul regulament.
Art. 61: Notificare
(1)Pentru fiecare sistem european de certificare a securităţii cibernetice, autorităţile naţionale de certificare a securităţii cibernetice îi notifică Comisiei organismele de evaluare a conformităţii care au fost acreditate şi, după caz, autorizate în temeiul articolului 60 alineatul (3) să elibereze certificate europene de securitate cibernetică la nivelurile de asigurare specificate menţionate la articolul 52. Autorităţile naţionale de certificare a securităţii cibernetice îi notifică Comisiei, fără nicio întârziere nejustificată, orice modificare ulterioară referitoare la acestea.
(2)La un an de la intrarea în vigoare a unui sistem european de certificare a securităţii cibernetice, Comisia publică în Jurnalul Oficial al Uniunii Europene o listă a organismelor de evaluare a conformităţii notificate în temeiul sistemului respectiv.
(3)În cazul în care primeşte o notificare după expirarea perioadei menţionate la alineatul (2), Comisia publică în Jurnalul Oficial al Uniunii Europene modificările listei a organismelor de evaluare a conformităţii notificate, în termen de două luni de la data primirii notificării respective.
(4)O autoritate naţională de certificare a securităţii cibernetice poate înainta Comisiei o cerere de retragere a unui organism de evaluare a conformităţii notificat de autoritatea respectivă din lista menţionată la alineatul (2). Comisia publică în Jurnalul Oficial al Uniunii Europene modificările corespunzătoare aduse listei respective, în termen de o lună de la data primirii cererii adresate de autoritatea naţională de certificare a securităţii cibernetice.
(5)Comisia poate adopta acte de punere în aplicare prin care să stabilească circumstanţele, formatele şi procedurile pentru notificările menţionate la alineatul (1) din prezentul articol. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menţionată la articolul 66 alineatul (2).
Art. 62: Grupul european pentru certificarea securităţii cibernetice
(1)Se instituie Grupul european pentru certificarea securităţii cibernetice (ECCG).
(2)ECCG este compus din reprezentanţi ai autorităţilor naţionale de certificare a securităţii cibernetice sau din reprezentanţi ai altor autorităţi naţionale relevante. Niciun membru ECCG nu poate reprezenta mai mult de două state membre.
(3)Părţile interesate şi părţile terţe relevante pot fi invitate să participe la reuniunile ECCG şi la activităţile acestuia.
(4)ECCG are următoarele atribuţii:
a)să acorde consiliere şi asistenţă Comisiei în activitatea sa de asigurare a punerii în practică şi a aplicării coerente a prezentului titlu, în special în ceea ce priveşte programul de activitate etapizat la nivelul Uniunii, chestiunile legate de politica în materie de certificare a securităţii cibernetice, coordonarea abordărilor privind politicile şi pregătirea unor sisteme europene de certificare a securităţii cibernetice;
b)să acorde asistenţă şi consiliere ENISA şi să coopereze cu aceasta în legătură cu pregătirea unei propuneri de sistem în temeiul articolului 49;
c)să adopte un aviz cu privire la propunerea de sistem pregătită de ENISA în temeiul articolului 49;
d)să solicite ENISA să pregătească propuneri de sistem în temeiul articolului 48 alineatul (2);
e)să adopte avize adresate Comisiei cu privire la întreţinerea şi revizuirea sistemelor europene de certificare a securităţii cibernetice existente;
f)să examineze evoluţiile relevante din domeniul securităţii cibernetice şi să facă schimb de informaţii şi de bune practici privind sistemele de certificare a securităţii cibernetice;
g)să faciliteze cooperarea dintre autorităţile naţionale de certificare a securităţii cibernetice desfăşurată în temeiul prezentului titlu prin consolidarea capacităţilor şi prin schimbul de informaţii, în special prin stabilirea unor metode care să permită schimbul eficient de informaţii referitoare la chestiunile privind certificarea securităţii cibernetice;
h)să sprijine punerea în aplicare a mecanismelor de evaluare inter pares în conformitate cu normele stabilite în cadrul unui sistem european de certificare a securităţii cibernetice în temeiul articolului 54 alineatul (1) litera (u);
i)să faciliteze alinierea sistemelor europene de certificare a securităţii cibernetice la standardele recunoscute pe plan internaţional, inclusiv prin revizuirea actualelor sisteme europene de certificare a securităţii cibernetice şi, după caz, recomandând ENISA să colaboreze cu organizaţiile internaţionale de standardizare relevante pentru a remedia insuficienţele sau lacunele care afectează standardele internaţionale recunoscute care sunt în vigoare.
(5)Comisia prezidează ECCG cu asistenţă din partea ENISA şi asigură secretariatul acestuia în conformitate cu articolul 8 alineatul (1) litera (e).
Art. 63: Dreptul de a depune o plângere
(1)Persoanele fizice sau juridice au dreptul să depună o plângere la entitatea care a eliberat un certificat european de securitate cibernetică sau, dacă plângerea se referă la un certificat european de securitate cibernetică eliberat de un organism de evaluare a conformităţii în temeiul articolului 56 alineatul (6), la autoritatea naţională relevantă de certificare a securităţii cibernetice.
(2)Autoritatea sau organismul la care s-a depus plângerea informează reclamantul despre evoluţia procedurilor şi despre decizia luată, şi despre dreptul de a exercita o cale de atac eficientă în temeiul articolului 64.
Art. 64: Dreptul la o cale de atac eficientă
(1)În pofida oricăror căi de atac administrative sau a altor căi de atac fără caracter judiciar, persoanele fizice şi juridice au dreptul să exercite o cale de atac eficientă cu privire la:
a)deciziile luate de autoritatea sau organismul menţionat la articolul 63 alineatul (1), inclusiv, după caz, în legătură cu emiterea necorespunzătoare, omisiunea de a emite sau recunoaşterea unui certificat european de securitate cibernetică deţinut de respectivele persoane fizice şi juridice;
b)omisiunea de a da curs unei plângeri depuse la o autoritate sau un organism menţionat la articolul 63 alineatul (1).
(2)Acţiunile în temeiul prezentului articol se introduc în faţa instanţelor din statul membru în care este situată autoritatea sau organismul împotriva căruia se exercită calea de atac.
Art. 65: Sancţiuni
Statele membre stabilesc normele privind sancţiunile care se aplică în cazul încălcării prezentului titlu şi a încălcării sistemelor europene de certificare a securităţii cibernetice şi iau toate măsurile necesare pentru a asigura punerea în aplicare a acestora. Sancţiunile prevăzute sunt eficace, proporţionale şi cu efect de descurajare. Statele membre informează Comisia fără întârziere cu privire la normele şi măsurile respective şi notifică acesteia orice modificare ulterioară care le afectează.
Art. 66: Procedura comitetului
(1)Comisia este asistată de un comitet. Comitetul respectiv reprezintă un comitet în înţelesul Regulamentului (UE) nr. 182/2011.
(2)În cazul în care se face trimitere la prezentul alineat, se aplică articolul 5 alineatul (4) litera (b) din Regulamentul (UE) nr. 182/2011.
Art. 67: Evaluare şi revizuire
(1)Până la 28 iunie 2024 şi la fiecare cinci ani după aceea, Comisia evaluează impactul, eficacitatea şi eficienţa activităţii ENISA şi a practicilor sale de lucru, posibila necesitate de a modifica mandatul ENISA şi implicaţiile financiare ale unei astfel de modificări. Evaluarea ţine seama de orice punct de vedere comunicat ENISA ca răspuns la activităţile sale. În cazul în care Comisia consideră că nu se mai justifică continuarea activităţii ENISA în raport cu obiectivele, mandatul şi atribuţiile încredinţate acesteia, Comisia poate propune modificarea prezentului regulament în ceea ce priveşte dispoziţiile referitoare la ENISA.
(2)Evaluarea analizează, de asemenea, impactul, eficacitatea şi eficienţa dispoziţiilor din titlul III din prezentul regulament în ceea ce priveşte obiectivele de asigurare a unui nivel adecvat de securitate cibernetică a produselor TIC, a serviciilor TIC şi a proceselor TIC în Uniune şi de îmbunătăţire a funcţionării pieţei interne.
(3)Evaluarea examinează dacă sunt necesare cerinţe esenţiale de securitate cibernetică pentru a avea acces la piaţa internă, cu scopul de a împiedica ca produsele TIC, serviciile TIC şi procesele TIC care nu respectă cerinţele de bază în materie de securitate cibernetică să intre pe piaţa Uniunii.
(4)Până la 28 iunie 2024, şi ulterior din cinci în cinci ani Comisia trimite raportul de evaluare împreună cu concluziile sale, Parlamentului European, Consiliului şi consiliului de administraţie. Concluziile raportului respectiv sunt făcute publice.
Art. 68: Abrogare şi succesiune
(1)Regulamentul (UE) nr. 526/2013 se abrogă cu efect de la 27 iunie 2019.
(2)Trimiterile la Regulamentul (UE) nr. 526/2013 şi la ENISA astfel cum este instituită prin regulamentul respectiv se interpretează ca trimiteri la prezentul regulament şi la ENISA astfel cum e instituită prin prezentul regulament.
(3)ENISA astfel cum e instituită de prezentul regulament succedă ENISA astfel cum este instituită prin Regulamentul (UE) nr. 526/2013 în ceea ce priveşte toate aspectele legate de proprietate, acorduri, obligaţii juridice, contracte de muncă, angajamente financiare şi răspunderi. Toate deciziile consiliului de administraţie şi ale comitetului executiv adoptate cu conformitate cu Regulamentul (UE) nr. 526/2013 rămân valabile, cu condiţia ca acestea să respecte prezentul regulament.
(4)ENISA se înfiinţează pentru o perioadă nedeterminată de la 27 iunie 2019.
(5)Directorul executiv numit în temeiul articolului 24 alineatul (4) din Regulamentul (UE) nr. 526/2013 rămâne în funcţie şi exercită funcţiile directorului executiv astfel cum sunt menţionate la articolul 20 din prezentul regulament pentru perioada rămasă din mandatul său. Celelalte condiţii ale contractului său rămân neschimbate.
(6)Membrii consiliului de administraţie şi supleanţii acestora numiţi în temeiul articolului 6 din Regulamentul (UE) nr. 526/2013 rămâne în funcţie şi exercită funcţiile consiliului de administraţie astfel cum sunt menţionate la articolul 15 din prezentul regulament şi supleanţii acestora pentru perioada rămasă din mandatul lor.
Art. 69: Intrare în vigoare
(1)Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
(2)Articolele 58, 60, 61, 63, 64 şi 65 se aplică de la 28 iunie 2021.
Prezentul regulament este obligatoriu în toate elementele sale şi se aplică direct în toate statele membre.
-****-
Adoptat la Strasbourg, 17 aprilie 2019.
Pentru Parlamentul European Preşedintele A. TAJANI Pentru Consiliu Preşedintele G. CIAMBA |
ANEXĂ:CERINŢE CARE TREBUIE ÎNDEPLINITE DE ORGANISMELE DE EVALUARE A CONFORMITĂŢII
Organismele de evaluare a conformităţii care doresc să fie acreditate îndeplinesc următoarele cerinţe:
1.Un organism de evaluare a conformităţii trebuie să fie înfiinţat în temeiul dreptului intern şi să aibă personalitate juridică.
2.Un organism de evaluare a conformităţii trebuie să fie un organism terţ care este independent de organizaţia sau de produsele TIC, de serviciile TIC sau de procesele TIC pe care le evaluează.
3.Un organism care aparţine unei asociaţii de întreprinderi sau unei federaţii profesionale care reprezintă întreprinderile implicate în conceperea, producerea, furnizarea, asamblarea, utilizarea sau întreţinerea produselor TIC, serviciilor TIC sau procesele TIC pe care le evaluează poate fi considerat un organism de evaluare a conformităţii, cu condiţia să demonstreze că este independent şi că nu există conflicte de interese.
4.Organismele de evaluare a conformităţii, personalul de conducere de nivel superior al acestora şi persoanele responsabile cu îndeplinirea atribuţiilor de evaluare a conformităţii nu pot fi proiectantul, producătorul, furnizorul, instalatorul, cumpărătorul, proprietarul, utilizatorul sau operatorul de întreţinere al produsului TIC, al serviciului TIC sau al procesului TIC care este evaluat sau reprezentantul autorizat al vreuneia dintre aceste părţi. Această interdicţie nu împiedică utilizarea produselor TIC evaluate care sunt necesare pentru operaţiunile organismului de evaluare a conformităţii sau utilizarea acestor produse TIC în scopuri personale.
5.Organismele de evaluare a conformităţii, personalul de conducere de nivel superior al acestora şi persoanele responsabile cu îndeplinirea atribuţiilor de evaluare a conformităţii nu pot fi direct implicaţi în conceperea, producerea sau construcţia, comercializarea, instalarea, utilizarea sau întreţinerea produselor TIC, serviciilor TIC sau proceselor TIC care sunt evaluate şi nu pot reprezenta părţile angajate în acele activităţi. Organismele de evaluare a conformităţii, personalul de conducere de nivel superior al acestora şi persoanele responsabile cu îndeplinirea atribuţiilor de evaluare a conformităţii nu se implică în activităţi care le-ar putea afecta imparţialitatea sau integritatea în ceea ce priveşte activităţile de evaluare a conformităţii. Această interdicţie se aplică în special serviciilor de consultanţă.
6.Dacă un organism de evaluare a conformităţii este deţinut sau gestionat de o entitate sau de o instituţie publică, se asigură şi se documentează independenţa şi absenţa oricărui conflict de interese între autoritatea naţională de certificare a securităţii cibernetice, pe de o parte, şi organismul de evaluare a conformităţii, pe de altă parte.
7.Organismele de evaluare a conformităţii se asigură că activităţile filialelor şi ale subcontractanţilor lor nu afectează confidenţialitatea, obiectivitatea sau imparţialitatea activităţilor lor de evaluare a conformităţii.
8.Organismele de evaluare a conformităţii şi personalul acestora îndeplinesc activităţile de evaluare a conformităţii cu cel mai înalt grad de integritate profesională şi cu competenţa tehnică necesară în domeniul respectiv şi nu sunt supuse niciunei presiuni şi niciunei persuasiuni, inclusiv de natură financiară, care le-ar putea influenţa deciziile sau rezultatele activităţilor lor de evaluare a conformităţii, în special în ceea ce priveşte persoanele sau grupurile de persoane având interese legate de rezultatele acelor activităţi.
9.Un organism de evaluare a conformităţii trebuie să fie capabil să efectueze toate atribuţiile de evaluare a conformităţii care îi sunt atribuite în temeiul prezentului regulament, indiferent dacă atribuţiile respective sunt realizate în mod direct de organismul de evaluare a conformităţii sau în numele său şi pe răspunderea sa. Orice subcontractare sau consultare a personalului extern este documentată în mod adecvat, nu implică intermediari şi face obiectul unui acord scris care vizează, între altele, confidenţialitatea şi conflictele de interese. Organismul de evaluare a conformităţii în cauză îşi asumă întreaga răspundere pentru atribuţiile îndeplinite.
10.În orice moment şi pentru fiecare procedură de evaluare a conformităţii şi fiecare tip, categorie sau subcategorie de produse TIC, servicii TIC sau procese TIC, organismul de evaluare a conformităţii dispune de:
(a)personalul necesar având cunoştinţele tehnice necesare şi experienţa suficientă şi corespunzătoare pentru a efectua atribuţiile de evaluare a conformităţii;
(b)descrierile necesare ale procedurilor pe baza cărora se realizează evaluarea conformităţii, asigurându-se transparenţa acelor proceduri şi posibilitatea de a le reproduce. Acesta prevede politicile şi procedurile adecvate care fac distincţie între atribuţiile îndeplinite ca organism notificat în temeiul articolului 61 şi alte activităţi;
(c)procedurile necesare pentru a-şi desfăşura activitatea ţinând seama în mod corespunzător de dimensiunea unei întreprinderi, de sectorul în care îşi desfăşoară activitatea şi de structura acesteia, de gradul de complexitate a tehnologiei produsului TIC, serviciului TIC sau procesului TIC în cauză, precum şi de caracterul de serie sau de masă al procesului de producţie.
11.Un organism de evaluare a conformităţii dispune de mijloacele necesare pentru a îndeplini în mod corespunzător atribuţiile tehnice şi administrative legate de activităţile de evaluare a conformităţii şi să aibă acces la toate echipamentele sau facilităţile necesare.
12.Personalul responsabil cu îndeplinirea activităţilor de evaluare a conformităţii posedă următoarele calităţi:
(a)o bună pregătire tehnică şi profesională care acoperă toate activităţile de evaluare a conformităţii;
(b)cunoştinţe satisfăcătoare ale cerinţelor evaluărilor conformităţii pe care le realizează şi autoritatea corespunzătoare pentru realizarea acestor evaluări;
(c)cunoştinţe şi o înţelegere corespunzătoare a cerinţelor şi standardelor de testare aplicabile;
(d)abilitatea necesară pentru a elabora certificate, evidenţe şi rapoarte care să demonstreze că evaluările conformităţii au fost realizate.
13.Se garantează imparţialitatea organismelor de evaluare a conformităţii, a personalului de conducere de nivel superior şi a persoanelor responsabile cu îndeplinirea atribuţiilor de evaluare a conformităţii, precum şi a subcontractanţilor.
14.Remuneraţia personalului de conducere de nivel superior şi a persoanelor responsabile cu îndeplinirea atribuţiilor de evaluare a conformităţii nu depinde de numărul de evaluări ale conformităţii realizate sau de rezultatele evaluărilor respective.
15.Organismele de evaluare a conformităţii încheie o asigurare de răspundere civilă în cazul în care răspunderea nu este asumată de statul membru în conformitate cu dreptul intern sau statul membru nu este direct responsabil de evaluarea conformităţii.
16.Organismul de evaluare a conformităţii şi personalul său, comitetele, filialele, subcontractanţii şi orice organism asociat sau personalul organismelor externe ale unui organism de evaluare a conformităţii păstrează confidenţialitatea şi secretul profesional în legătură cu toate informaţiile obţinute în îndeplinirea atribuţiilor de evaluare a conformităţii care le revin în temeiul prezentului regulament sau al oricărei dispoziţii de drept intern care pune în aplicare prezentul regulament, cu excepţia cazului în care divulgarea este cerută prin dreptul Uniunii sau al statului membru care se aplică respectivelor persoane şi cu excepţia relaţiei cu autorităţile competente ale statului membru în care îşi îndeplinesc activităţile. Drepturile de autor sunt protejate. Organismul de evaluare a conformităţii dispune de proceduri documentate în ceea ce priveşte cerinţele din prezentul punct.
17.Cu excepţia punctului 16, cerinţele din prezenta anexă nu împiedică în schimburile de informaţii tehnice şi de orientări în materie de reglementare între un organism de evaluare a conformităţii şi o persoană care solicită certificarea, sau care intenţionează să solicite certificarea.
18.Organismele de evaluare a conformităţii funcţionează în conformitate cu un ansamblu de termeni şi condiţii coerente, echitabile şi rezonabile, ţinând seama de interesele IMM-urilor, în ceea ce priveşte taxele.
19.Organismele de evaluare a conformităţii îndeplinesc cerinţele standardului relevant care este armonizat în temeiul Regulamentului (CE) nr. 765/2008 pentru acreditarea organismelor de evaluare a conformităţii care efectuează certificarea produselor TIC, serviciilor TIC sau proceselor TIC.
20.Organismele de evaluare a conformităţii se asigură că laboratoarele de testare utilizate în scopul evaluării conformităţii respectă cerinţele standardului relevant care este armonizat în temeiul Regulamentului (CE) nr. 765/2008 pentru acreditarea laboratoarelor care efectuează testări.
Publicat în Jurnalul Oficial cu numărul 151L din data de 7 iunie 2019