Präambel

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION,
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 114,
gestützt auf den Vorschlag der Europäischen Kommission,
nach Übermittlung des Entwurfs des Rechtsakts an die nationalen Parlamente,
Unter Berücksichtigung der Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (1),
In Anbetracht der Stellungnahme des Ausschusses der Regionen (2),
Nach dem ordentlichen Gesetzgebungsverfahren (3),

in Erwägung nachstehender Gründe:

(1) Netz- und Informationssysteme sowie elektronische Kommunikationsnetze und -dienste spielen eine entscheidende Rolle in der Gesellschaft und sind zum Rückgrat des Wirtschaftswachstums geworden. Informations- und Kommunikationstechnologien (IKT) bilden die Grundlage für komplexe Systeme, die alltägliche gesellschaftliche Aktivitäten unterstützen, unsere Volkswirtschaften in Schlüsselbereichen wie Gesundheit, Energie, Finanzen und Verkehr am Laufen halten und insbesondere die Funktionsweise des Binnenmarktes unterstützen.

(2) Die Nutzung von Netzwerk- und Informationssystemen durch Bürger, Organisationen und Unternehmen in der gesamten Union ist inzwischen allgegenwärtig. Digitalisierung und Vernetzung werden in einer stetig wachsenden Zahl von Produkten und Dienstleistungen zu Kernmerkmalen, und mit dem Aufkommen des Internets der Dinge (IoT) wird erwartet, dass in den nächsten zehn Jahren eine extrem hohe Zahl vernetzter digitaler Geräte in der gesamten Union eingesetzt wird. Während eine steigende Zahl von Geräten mit dem Internet verbunden ist, sind Sicherheit und Resilienz nicht ausreichend von Grund auf integriert, was zu unzureichender Cybersicherheit führt. In diesem Zusammenhang führt die begrenzte Nutzung von Zertifizierungen dazu, dass einzelne, organisatorische und geschäftliche Nutzer nur unzureichende Informationen über die Cybersicherheitsmerkmale von IKT-Produkten, IKT-Dienstleistungen und IKT-Prozessen erhalten, was das Vertrauen in digitale Lösungen untergräbt. Netzwerk- und Informationssysteme können alle Aspekte unseres Lebens unterstützen und das Wirtschaftswachstum der Union vorantreiben. Sie sind der Eckpfeiler für die Verwirklichung des digitalen Binnenmarktes.

(3) Zunehmende Digitalisierung und Vernetzung erhöhen die Risiken für die Cybersicherheit und machen somit die Gesellschaft als Ganzes anfälliger für Cyberbedrohungen, was die Gefahren für Einzelpersonen, einschließlich schutzbedürftiger Personen wie Kinder, verschärft. Um diese Risiken zu mindern, müssen alle erforderlichen Maßnahmen ergriffen werden, um die Cybersicherheit in der Union zu verbessern, damit die von Bürgern, Organisationen und Unternehmen – von kleinen und mittleren Unternehmen (KMU) gemäß der Empfehlung 2003/361/EG der Kommission (4) bis hin zu Betreibern kritischer Infrastrukturen – genutzten vernetzten Informationssysteme, Kommunikationsnetze, digitalen Produkte, Dienste und Geräte besser vor Cyberbedrohungen geschützt sind.

(4) Indem die Europäische Agentur für Netz- und Informationssicherheit (ENISA), die durch die Verordnung (EU) Nr. 526/2013 des Europäischen Parlaments und des Rates (5) eingesetzt wurde, die einschlägigen Informationen der Öffentlichkeit zugänglich macht, trägt sie zur Entwicklung der Cybersicherheitsbranche in der Union, insbesondere von KMU und Start-ups, bei. Die ENISA sollte eine engere Zusammenarbeit mit Universitäten und Forschungseinrichtungen anstreben, um dazu beizutragen, die Abhängigkeit von Cybersicherheitsprodukten und -dienstleistungen von außerhalb der Union zu verringern und die Lieferketten innerhalb der Union zu stärken.

(5) Cyberangriffe nehmen zu, und eine vernetzte Wirtschaft und Gesellschaft, die stärker für Cyberbedrohungen und -angriffe anfällig ist, erfordert stärkere Abwehrmaßnahmen. Während Cyberangriffe oft grenzüberschreitend stattfinden, sind die Zuständigkeiten und politischen Reaktionen von Cybersicherheits- und Strafverfolgungsbehörden überwiegend national. Große Zwischenfälle könnten die Bereitstellung wesentlicher Dienstleistungen in der gesamten Union stören. Dies erfordert wirksame und koordinierte Reaktionen und Krisenmanagement auf Unionsebene, die auf speziellen Politiken und breiteren Instrumenten für europäische Solidarität und gegenseitige Unterstützung basieren. Darüber hinaus sind eine regelmäßige Bewertung des Stands der Cybersicherheit und der Widerstandsfähigkeit in der Union auf der Grundlage zuverlässiger Unionsdaten sowie systematische Prognosen zukünftiger Entwicklungen, Herausforderungen und Bedrohungen auf Unionsebene und globaler Ebene für politische Entscheidungsträger, die Industrie und die Nutzer von Bedeutung.

(6) Angesichts der zunehmenden Herausforderungen für die Cybersicherheit, denen sich die Union gegenübersieht, bedarf es eines umfassenden Maßnahmenpakets, das auf früheren Maßnahmen der Union aufbaut und sich gegenseitig verstärkende Ziele fördert. Zu diesen Zielen gehören die weitere Stärkung der Fähigkeiten und der Bereitschaft der Mitgliedstaaten und Unternehmen sowie die Verbesserung der Zusammenarbeit, des Informationsaustauschs und der Koordinierung zwischen den Mitgliedstaaten und den Institutionen, Einrichtungen, Ämtern und Agenturen der Union. Darüber hinaus besteht angesichts des grenzüberschreitenden Charakters von Cyberbedrohungen die Notwendigkeit, die Fähigkeiten auf Unionsebene zu stärken, die die Maßnahmen der Mitgliedstaaten ergänzen könnten, insbesondere bei grenzüberschreitenden Vorfällen und Krisen großen Ausmaßes, wobei die Bedeutung der Aufrechterhaltung und weiteren Verbesserung der nationalen Fähigkeiten zur Abwehr von Cyberbedrohungen jeder Größenordnung zu berücksichtigen ist.

(7) Zusätzliche Anstrengungen sind auch erforderlich, um die Wahrnehmung von Bürgern, Organisationen und Unternehmen für Cybersicherheitsprobleme zu erhöhen. Darüber hinaus untergraben Vorfälle angesichts dessen das Vertrauen in digitaler DienstDigitaler Dienst jede Dienstleistung der Informationsgesellschaft, d. h. jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Im Sinne dieser Definition bedeutet i) "im Fernabsatz", dass die Dienstleistung ohne gleichzeitige Anwesenheit der Beteiligten erbracht wird; ii) "auf elektronischem Wege", dass die Dienstleistung mittels Geräten für die elektronische Verarbeitung (einschließlich digitaler Kompression) und Speicherung von Daten am Ausgangspunkt gesendet und am Zielort empfangen wird und vollständig über Draht, über Funk, auf optischem oder anderem elektromagnetischem Wege übertragen, weitergeleitet und empfangen wird; iii) "auf individuellen Abruf eines Empfängers von Diensten", dass die Dienstleistung durch Übermittlung von Daten auf individuelle Anforderung erbracht wird. - Definition gemäß Artikel 1 Absatz 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates Anbieter und im digitalen Binnenmarkt selbst, insbesondere bei den Verbrauchern, das Vertrauen weiter gestärkt werden, indem auf transparente Weise Informationen über das Sicherheitsniveau von IKT-Produkten, -Dienstleistungen und -Prozessen angeboten werden, die hervorheben, dass selbst ein hohes Maß an Cybersicherheitszertifizierung keine Garantie dafür bieten kann, dass IKT-ProduktIKT-Produkt Bezeichnet ein Element oder eine Gruppe von Elementen eines Netzes oder Informationssystems - Definition gemäß Artikel 2, Punkt (12), Verordnung (EU) 2019/881, IKT-DienstleistungIKT-Dienstleistung bezeichnet eine Dienstleistung, die ganz oder überwiegend in der Übertragung, Speicherung, Abfrage oder Verarbeitung von Informationen mittels Netz- und Informationssystemen besteht - Definition gemäß Artikel 2 Nummer 13 der Verordnung (EU) 2019/881 oder IKT-ProzessIKT-Prozess Bezeichnet eine Reihe von Tätigkeiten, die für den Entwurf, die Entwicklung, die Bereitstellung oder die Wartung eines IKT-Produkts oder einer IKT-Dienstleistung durchgeführt werden - Definition gemäß Artikel 2, Punkt (14), Verordnung (EU) 2019/881 ist vollständig sicher. Eine Vertrauenssteigerung kann durch eine unionsweite Zertifizierung gefördert werden, die gemeinsame Cybersicherheitsanforderungen und Bewertungskriterien für nationale Märkte und Sektoren vorsieht.

(8) Cybersicherheit ist nicht nur eine Angelegenheit der Technologie, sondern auch eine, bei der menschliches Verhalten gleichermaßen wichtig ist. Daher sollte ‘Cyberhygiene’, d. h. einfache, routinemäßige Maßnahmen, die bei Bürgern, Organisationen und Unternehmen umgesetzt und regelmäßig ausgeführt werden, um deren Anfälligkeit für Risiken durch Cyberbedrohungen zu minimieren, nachdrücklich gefördert werden.

(9) Zur Stärkung der Cybersicherheitsstrukturen der Union ist es wichtig, die Fähigkeiten der Mitgliedstaaten zur umfassenden Reaktion auf Cyberbedrohungen, einschließlich grenzüberschreitender Vorfälle, zu erhalten und weiterzuentwickeln.

(10) Unternehmen und einzelne Verbraucher sollten genaue Informationen über den Zusicherungsgrad haben, mit dem die Sicherheit ihrer IKT-Produkte, IKT-Dienste und IKT-Prozesse zertifiziert wurde. Gleichzeitig ist kein IKT-Produkt oder keine IKT-Dienstleistung vollständig cybersicher, und grundlegende Regeln der Cyberhygiene müssen gefördert und priorisiert werden. Angesichts der zunehmenden Verfügbarkeit von IoT-Geräten gibt es eine Reihe von freiwilligen Maßnahmen, die der Privatsektor ergreifen kann, um das Vertrauen in die Sicherheit von IKT-Produkten, IKT-Diensten und IKT-Prozessen zu stärken.

(11) Moderne IKT-Produkte und -Systeme integrieren und basieren oft auf einer oder mehreren Technologien und Komponenten von Drittanbietern, wie z. B. Softwaremodulen, Bibliotheken oder Anwendungsprogrammierschnittstellen. Diese Abhängigkeit, die als ‘Dependency’ bezeichnet wird, könnte zusätzliche Cybersicherheitsrisiken bergen, da Schwachstellen in Komponenten von Drittanbietern auch die Sicherheit der IKT-Produkte, IKT-Dienste und IKT-Prozesse beeinträchtigen könnten. In vielen Fällen ermöglicht die Identifizierung und Dokumentation solcher Abhängigkeiten den Endnutzern von IKT-Produkten, IKT-Diensten und IKT-Prozessen, ihre Cybersicherheit zu verbessern. RisikoRisiko Bezeichnet das Potenzial für Verluste oder Störungen, die durch ein Ereignis verursacht werden, und wird als Kombination aus dem Ausmaß eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Ereignisses ausgedrückt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Managementaktivitäten durch Verbesserung, zum Beispiel, der Cybersicherheit der Benutzer SchwachstelleSchwachstelle Bezeichnet eine Schwäche, Anfälligkeit oder einen Fehler von IKT-Produkten oder IKT-Diensten, die durch eine Cyber-Bedrohung ausgenutzt werden können. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Management- und Sanierungsverfahren.

(12) Organisationen, Hersteller oder Anbieter, die an der Konzeption und Entwicklung von IKT-Produkten, IKT-Diensten oder IKT-Prozessen beteiligt sind, sollten dazu angehalten werden, bereits in den frühesten Phasen der Konzeption und Entwicklung Maßnahmen zu ergreifen, um die Sicherheit dieser Produkte, Dienste und Prozesse so weit wie möglich zu gewährleisten, und zwar in einer Weise, bei der das Auftreten von Cyberangriffen vorausgesetzt und deren Auswirkungen antizipiert und minimiert werden (‘Security-by-Design’). Die Sicherheit sollte während der gesamten Lebensdauer des IKT-Produkts, der IKT-Dienstleistung oder des IKT-Prozesses durch Entwurfs- und Entwicklungsprozesse gewährleistet werden, die ständig weiterentwickelt werden, um das Risiko von Schäden durch böswillige Ausnutzung zu verringern.

(13) Unternehmen, Organisationen und der öffentliche Sektor sollten die von ihnen konzipierten IKT-Produkte, IKT-Dienstleistungen oder IKT-Prozesse so konfigurieren, dass ein höheres Sicherheitsniveau gewährleistet ist, das es dem Endnutzer ermöglicht, eine Standardkonfiguration mit den bestmöglichen Sicherheitseinstellungen zu erhalten (‘Security by Default’), wodurch die Belastung der Nutzer, die ein IKT-Produkt, eine IKT-Dienstleistung oder einen IKT-Prozess ordnungsgemäß konfigurieren müssen, verringert wird. Security by Default sollte keine umfangreiche Konfiguration, kein spezifisches technisches Verständnis oder kein unintuitives Verhalten seitens des Nutzers erfordern und sollte bei der Implementierung einfach und zuverlässig funktionieren. Wenn im Einzelfall eine Risiko- und Usability-Analyse zu dem Schluss führt, dass eine solche Standardeinstellung nicht praktikabel ist, sollten die Nutzer aufgefordert werden, sich für die sicherste Einstellung zu entscheiden.

(14) Die Verordnung (EG) Nr. 460/2004 des Europäischen Parlaments und des Rates (6) hat die ENISA mit dem Ziel eingerichtet, zur Gewährleistung eines hohen und wirksamen Niveaus der Netz- und Informationssicherheit in der Union beizutragen und eine Kultur der Netz- und Informationssicherheit zum Vorteil von Bürgern, Verbrauchern, Unternehmen und öffentlichen Verwaltungen zu entwickeln. Die Verordnung (EG) Nr. 1007/2008 des Europäischen Parlaments und des Rates (7) verlängerte das Mandat der ENISA bis März 2012. Die Verordnung (EU) Nr. 580/2011 des Europäischen Parlaments und des Rates (8) verlängerte das Mandat der ENISA weiter bis zum 13. September 2013. Die Verordnung (EU) Nr. 526/2013 verlängerte das Mandat der ENISA bis zum 19. Juni 2020.

(15) Die Union hat bereits wichtige Schritte unternommen, um die Cybersicherheit zu gewährleisten und das Vertrauen in digitale Technologien zu stärken. Im Jahr 2013 wurde die Cybersicherheitsstrategie der Europäischen Union angenommen, um die Politik der Union im Umgang mit Cyberbedrohungen und -risiken zu leiten. Um die Bürgerinnen und Bürger online besser zu schützen, wurde 2016 der erste Rechtsakt der Union im Bereich der Cybersicherheit in Form der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates (9) angenommen. Die Richtlinie (EU) 2016/1148 legte Anforderungen an die nationalen Fähigkeiten im Bereich der Cybersicherheit fest, schuf die ersten Mechanismen zur Verbesserung der strategischen und operativen Zusammenarbeit zwischen den Mitgliedstaaten und führte Verpflichtungen bezüglich Sicherheitsmaßnahmen ein. VorfallVorfall Bezeichnet ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der von Netz- und Informationssystemen angebotenen oder über sie zugänglichen Dienste beeinträchtigt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Benachrichtigungen in Sektoren, die für die Wirtschaft und Gesellschaft von entscheidender Bedeutung sind, wie Energie, Verkehr, Trinkwasserversorgung und -verteilung, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, digitale Infrastrukturen sowie wichtige Anbieter digitaler Dienste (Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze).

ENISA wurde eine Schlüsselrolle bei der Unterstützung der Umsetzung dieser Richtlinie zugeschrieben. Darüber hinaus ist die wirksame Bekämpfung der Cyberkriminalität eine wichtige Priorität der Europäischen Sicherheitsagenda, die zum Gesamtziel der Erzielung eines hohen Niveaus der Cybersicherheit beiträgt. Andere Rechtsakte wie die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (10) sowie die Richtlinien 2002/58/EG (11) und (EU) 2018/1972 (12) des Europäischen Parlaments und des Rates tragen ebenfalls zu einem hohen Niveau der Cybersicherheit im digitalen Binnenmarkt bei.

(16) Seit der Verabschiedung der Cybersicherheitsstrategie der Europäischen Union im Jahr 2013 und der letzten Überarbeitung des Mandats der ENISA hat sich der allgemeine politische Kontext erheblich geändert, da das globale Umfeld unsicherer und weniger sicher geworden ist. Vor diesem Hintergrund und im Kontext der positiven Entwicklung der Rolle der ENISA als Referenzpunkt für Beratung und Fachwissen, als Vermittler von Zusammenarbeit und Kapazitätsaufbau sowie im Rahmen der neuen Cybersicherheitspolitik der Union ist es notwendig, das Mandat der ENISA zu überprüfen, ihre Rolle im veränderten Cybersicherheits-Ökosystem festzulegen und sicherzustellen, dass sie wirksam zur Reaktion der Union auf Cybersicherheitsherausforderungen beiträgt, die sich aus der radikal veränderten Cyber-BedrohungCyber-Bedrohung bezeichnet alle potenziellen Umstände, Ereignisse oder Handlungen, die Netz- und Informationssysteme, die Nutzer solcher Systeme und andere Personen beschädigen, stören oder anderweitig beeinträchtigen könnten - Definition gemäß Artikel 2 Nummer 8 der Verordnung (EU) 2019/881 Landschaft, für die, wie im Rahmen der ENISA-Bewertung anerkannt, das derzeitige Mandat nicht ausreicht.

(17) Die gemäß dieser Verordnung eingesetzte ENISA sollte die gemäß der Verordnung (EU) Nr. 526/2013 eingesetzte ENISA ablösen. Die ENISA sollte – unter anderem durch die Bereitstellung von Rat und Fachwissen und als Unionszentrum für Informationen und Kenntnisse – die ihr durch diese Verordnung und andere Rechtsakte der Union im Bereich der Cybersicherheit übertragenen Aufgaben wahrnehmen. Sie sollte den Austausch bewährter Verfahren zwischen den Mitgliedstaaten und privaten Interessenträgern fördern, der Kommission und den Mitgliedstaaten Politikvorschläge unterbreiten, als Anlaufstelle für sektorale Politikinitiativen der Union im Bereich der Cybersicherheit dienen und die operative Zusammenarbeit sowohl zwischen den Mitgliedstaaten als auch zwischen den Mitgliedstaaten und den Organen, Einrichtungen und Agenturen der Union fördern.

Im Rahmen der nach einstimmigem Einvernehmen der Vertreter der Mitgliedstaaten auf der Ebene der Staats- und Regierungschefs (13) getroffenen Entscheidung 2004/97/EG des Rates und der Kommission zur Gründung der Europäischen Agentur für Netzsicherheits- und Informationssicherheit (ENISA) haben die Vertreter der Mitgliedstaaten beschlossen, dass der Sitz der ENISA in einer von der griechischen Regierung zu bestimmenden Stadt in Griechenland sein wird. Der ENISA-Aufnahmemitgliedstaat soll die bestmöglichen Bedingungen für den reibungslosen und effizienten Betrieb der ENISA gewährleisten. Für die ordnungsgemäße und effiziente Erfüllung ihrer Aufgaben, für die Rekrutierung und Bindung von Personal sowie zur Steigerung der Effizienz von Vernetzungsaktivitäten ist es unerlässlich, dass die ENISA an einem geeigneten Standort angesiedelt wird, der unter anderem über angemessene Verkehrsverbindungen und Einrichtungen für Ehegatten und Kinder, die das Personal der ENISA begleiten, verfügt. Die erforderlichen Regelungen sind in einer Vereinbarung zwischen der ENISA und dem Aufnahmemitgliedstaat nach Genehmigung durch den Verwaltungsrat der ENISA zu treffen.

(19) Angesichts der zunehmenden Cyber­sicher­heits­risiken und -heraus­forderungen, denen die Union gegenübersteht, sollten die ENISA zugewiesenen finanziellen und personellen Mittel erhöht werden, um ihrer gestärkten Rolle und ihren Aufgaben sowie ihrer kritischen Stellung im Ökosystem der für die Verteidigung des digitalen Ökosystems der Union zuständigen Organisationen Rechnung zu tragen, damit die ENISA die ihr durch diese Verordnung übertragenen Aufgaben wirksam wahrnehmen kann.

(20) Die ENISA sollte ein hohes Maß an Fachkompetenz entwickeln und aufrechterhalten und als Bezugspunkt fungieren, indem sie durch ihre Unabhängigkeit, die Qualität ihrer Beratung, die Qualität der von ihr verbreiteten Informationen, die Transparenz ihrer Verfahren, die Transparenz ihrer Arbeitsweise und die Sorgfalt bei der Erfüllung ihrer Aufgaben Vertrauen in den Binnenmarkt schafft. Die ENISA sollte nationale Bemühungen aktiv unterstützen und proaktiv zu den Bemühungen der Union beitragen, wobei sie ihre Aufgaben in enger Zusammenarbeit mit den Organen, Einrichtungen, Ämtern und Agenturen der Union sowie mit den Mitgliedstaaten wahrnimmt, Doppelarbeit vermeidet und Synergien fördert. Darüber hinaus sollte die ENISA auf Beiträgen des privaten Sektors sowie anderer relevanter Interessengruppen aufbauen und mit diesen zusammenarbeiten. In einem Aufgabenkatalog sollte festgelegt werden, wie die ENISA ihre Ziele erreichen soll, wobei ihr bei der Durchführung ihrer Tätigkeiten Flexibilität eingeräumt werden sollte.

(21) Um die operative Zusammenarbeit zwischen den Mitgliedstaaten angemessen unterstützen zu können, sollte die ENISA ihre technischen und personellen Kapazitäten sowie ihre Fachkompetenzen weiter ausbauen. Die ENISA sollte ihr Know-how und ihre Fähigkeiten erweitern. Die ENISA und die Mitgliedstaaten könnten auf freiwilliger Basis Programme zur Entsendung nationaler Experten an die ENISA entwickeln und so Expertenpools sowie Personalaustauschprogramme einrichten.

(22) Die ENISA sollte die Kommission mit Ratschlägen, Stellungnahmen und Analysen zu allen Fragen der Union im Zusammenhang mit der Politik- und Rechtsentwicklung, Aktualisierungen und Überprüfungen im Bereich der Cybersicherheit und deren branchenspezifischen Aspekten unterstützen, um die Relevanz der Politik und des Rechts der Union mit einer Cybersicherheitsdimension zu verbessern und eine kohärente Umsetzung dieser Politik und dieses Rechts auf nationaler Ebene zu ermöglichen. Die ENISA sollte als Anlaufstelle für Ratschläge und Fachwissen für branchenspezifische Politik- und Gesetzesinitiativen der Union dienen, wenn Angelegenheiten im Zusammenhang mit der Cybersicherheit betroffen sind. Die ENISA sollte das Europäische Parlament regelmäßig über ihre Tätigkeiten informieren.

(23) Der öffentliche Kern des offenen Internets, nämlich seine Hauptprotokolle und Infrastruktur, die ein globales öffentliches Gut darstellen, stellt die wesentliche Funktionalität des Internets als Ganzes bereit und bildet die Grundlage für seinen normalen Betrieb. Die ENISA sollte die Sicherheit des öffentlichen Kerns des offenen Internets und die Stabilität seiner Funktionsweise unterstützen, einschließlich, aber nicht beschränkt auf, Schlüsselprotokolle (insbesondere DNS, BGP und IPv6), den Betrieb des Domain Name Systems (wie den Betrieb aller Top-Level-Domains) und den Betrieb der Root-Zone.

(24) Die zugrunde liegende Aufgabe der ENISA ist die Förderung der einheitlichen Umsetzung des einschlägigen rechtlichen Rahmens, insbesondere der wirksamen Umsetzung der Richtlinie (EU) 2016/1148 und anderer einschlägiger Rechtsinstrumente mit Aspekten der Cybersicherheit, was für die Stärkung der Cyberresilienz unerlässlich ist. Angesichts der sich schnell entwickelnden Cyberbedrohungslandschaft ist klar, dass die Mitgliedstaaten durch einen umfassenderen, politikübergreifenden Ansatz zur Stärkung der Cyberresilienz unterstützt werden müssen.

(25) Die ENISA sollte die Mitgliedstaaten und die Organe, Einrichtungen, Ämter und Agenturen der Union bei ihren Bemühungen um den Aufbau und die Verbesserung der Fähigkeiten und der Bereitschaft zur Vorbeugung, Erkennung und Bewältigung von Cyberbedrohungen und Cyberzwischenfällen sowie im Zusammenhang mit den Sicherheit der Netz- und InformationssystemeSicherheit von Netz- und Informationssystemen bezeichnet die Fähigkeit von Netz- und Informationssystemen, mit einem bestimmten Vertrauensniveau jedem Ereignis zu widerstehen, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der von diesen Netz- und Informationssystemen angebotenen oder über sie zugänglichen Dienste beeinträchtigen könnte; - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie). Insbesondere sollte ENISA die Entwicklung und Verbesserung der nationalen und unionsweiten Teams für die Reaktion auf IT-Sicherheitsvorfälle (Computer Security Incident Response Teams – CSIRT), die in der Richtlinie (EU) 2016/1148 vorgesehen sind, unterstützen, um ein hohes gemeinsames Niveau ihrer Reife in der Union zu erreichen. Von ENISA durchgeführte Tätigkeiten im Zusammenhang mit den operativen Kapazitäten der Mitgliedstaaten sollten die von den Mitgliedstaaten zur Erfüllung ihrer Verpflichtungen aus der Richtlinie (EU) 2016/1148 ergriffenen Maßnahmen wirksam unterstützen und diese daher nicht ersetzen.

(26) Die ENISA sollte auch bei der Entwicklung und Aktualisierung von Strategien zur Sicherheit von Netz- und Informationssystemen auf Unionsebene und auf Ersuchen auf Ebene der Mitgliedstaaten, insbesondere im Bereich der Cybersicherheit, unterstützen, die Verbreitung dieser Strategien fördern und die Fortschritte bei ihrer Umsetzung verfolgen. Die ENISA sollte auch dazu beitragen, den Bedarf an Schulungen und Schulungsmaterialien, einschließlich des Bedarfs öffentlicher Stellen, und gegebenenfalls in hohem Maße ‘Trainer zu schulen’ zu decken, und zwar auf der Grundlage des Kompetenzrahmens für digitale Kompetenzen für Bürgerinnen und Bürger, um die Mitgliedstaaten und die Organe, Einheiten, Ämter und Agenturen der Union bei der Entwicklung ihrer eigenen Schulungskapazitäten zu unterstützen.

(27) ENISA sollte die Mitgliedstaaten im Bereich der Sensibilisierung und Bildung für Cybersicherheit unterstützen, indem sie eine engere Koordinierung und den Austausch von bewährten Praktiken zwischen den Mitgliedstaaten erleichtert. Eine solche Unterstützung könnte in der Entwicklung eines Netzwerks nationaler Ansprechpartner für Bildung und der Entwicklung einer Plattform für Cybersicherheitsschulungen bestehen. Das Netzwerk nationaler Ansprechpartner für Bildung könnte innerhalb des Netzwerks der nationalen Verbindungsoffiziere tätig sein und ein Ausgangspunkt für die künftige Koordinierung innerhalb der Mitgliedstaaten sein.

Die ENISA sollte die durch die Richtlinie (EU) 2016/1148 eingesetzte Kooperationsgruppe bei der Ausführung ihrer Aufgaben unterstützen, insbesondere durch die Bereitstellung von Fachwissen, Beratung und die Förderung des Austauschs bewährter Verfahren, unter anderem im Hinblick auf die Ermittlung von Betreibern kritischer Infrastrukturen durch die Mitgliedstaaten sowie im Zusammenhang mit grenzüberschreitenden Abhängigkeiten, Risiken und Vorfällen.

Um die Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor sowie innerhalb des privaten Sektors zu fördern, insbesondere zur Unterstützung des Schutzes kritischer Infrastrukturen, sollte ENISA den Informationsaustausch innerhalb und zwischen den Sektoren, insbesondere den in Anhang II der Richtlinie (EU) 2016/1148 aufgeführten Sektoren, unterstützen, indem sie bewährte Verfahren und Leitlinien zu verfügbaren Werkzeugen und Verfahren bereitstellt und Leitlinien dazu gibt, wie regulatorische Fragen im Zusammenhang mit dem Informationsaustausch angegangen werden können, beispielsweise durch die Erleichterung der Einrichtung von sektorspezifischen Informationsaustausch- und Analysezentren.

(30) Da die potenziellen negativen Auswirkungen von Schwachstellen in IKT-Produkten, IKT-Diensten und IKT-Prozessen ständig zunehmen, spielt die Identifizierung und Behebung solcher Schwachstellen eine wichtige Rolle bei der Verringerung des gesamten Cybersicherheitsrisikos. Die Zusammenarbeit zwischen Organisationen, Herstellern oder Anbietern anfälliger IKT-Produkte, IKT-Dienste und IKT-Prozesse sowie Mitgliedern der Cybersicherheits-Forschungsgemeinschaft und Regierungen, die Schwachstellen finden, hat sich nachweislich erheblich auf die Entdeckungsrate und die Behebung von Schwachstellen in IKT-Produkten, IKT-Diensten und IKT-Prozessen ausgewirkt. Die koordinierte Offenlegung von Schwachstellen spezifiziert einen strukturierten Kooperationsprozess, bei dem Schwachstellen dem Eigentümer des Informationssystems gemeldet werden, was der Organisation die Möglichkeit gibt, die Schwachstelle zu diagnostizieren und zu beheben, bevor detaillierte Informationen über die Schwachstelle an Dritte oder die Öffentlichkeit weitergegeben werden. Der Prozess sieht auch eine Koordinierung zwischen dem Finder und der Organisation hinsichtlich der Veröffentlichung dieser Schwachstellen vor. Richtlinien zur koordinierten Offenlegung von Schwachstellen könnten eine wichtige Rolle bei den Bemühungen der Mitgliedstaaten zur Verbesserung der Cybersicherheit spielen.

(31) ENISA sollte freiwillig übermittelte nationale Berichte von CSIRTs und dem zwischeninstitutionellen Computer-Notfallreaktionsteam für die Organe, Einrichtungen und sonstigen Stellen der Union (CERT-EU), das durch die Vereinbarung zwischen dem Europäischen Parlament, dem Europäischen Rat, dem Rat der Europäischen Union, der Europäischen Kommission, dem Gerichtshof der Europäischen Union, der Europäischen Zentralbank, dem Europäischen Rechnungshof, dem Europäischen Auswärtigen Dienst, dem Europäischen Wirtschafts- und Sozialausschuss, dem Ausschuss der Regionen und der Europäischen Investitionsbank über die Organisation und Arbeitsweise eines Computer-Notfallreaktionsteams für die Organe, Einrichtungen und sonstigen Stellen der Union (14) eingerichtet wurde, sammeln und analysieren, um zur Etablierung gemeinsamer Verfahren, einer gemeinsamen Sprache und Terminologie für den Informationsaustausch beizutragen. In diesem Zusammenhang sollte ENISA den Privatsektor im Rahmen der Richtlinie (EU) 2016/1148 einbeziehen, die die Grundlage für den freiwilligen Austausch technischer Informationen auf operativer Ebene im Netzwerk der Computer-Notfallteams (CSIRTs-Netzwerk) schafft, das durch diese Richtlinie eingerichtet wurde.

(32) ENISA sollte im Falle groß angelegter grenzüberschreitender cyber-bezogener Vorfälle und Krisen zu Reaktionen auf Unionsebene beitragen. Diese Aufgabe sollte im Einklang mit dem Mandat von ENISA gemäß dieser Verordnung und einem von den Mitgliedstaaten im Rahmen der Empfehlung (EU) 2017/1584 der Kommission (15) und der Schlussfolgerungen des Rates vom 26. Juni 2018 zur koordinierten Reaktion der EU auf cyber-bezogene Vorfälle und Krisen groß angelegten Umfangs zu vereinbarenden Ansatzes wahrgenommen werden. Diese Aufgabe könnte die Sammlung relevanter Informationen und die Rolle eines Vermittlers zwischen dem CSIRTs-Netzwerk und der technischen Gemeinschaft sowie zwischen den für das Krisenmanagement zuständigen Entscheidungsträgern umfassen. Darüber hinaus sollte ENISA die operative Zusammenarbeit zwischen den Mitgliedstaaten unterstützen, wenn dies von einem oder mehreren Mitgliedstaaten im Umgang mit Vorfällen aus technischer Sicht gewünscht wird, indem sie den Austausch relevanter technischer Lösungen zwischen den Mitgliedstaaten erleichtert und Beiträge zur öffentlichen Kommunikation leistet. ENISA sollte die operative Zusammenarbeit durch die Erprobung der Regelungen für eine solche Zusammenarbeit im Rahmen regelmäßiger Übungen zur Cybersicherheit unterstützen.

(33) Bei der Unterstützung der operativen Zusammenarbeit sollte die ENISA die vorhandene technische und operative Expertise von CERT-EU durch eine strukturierte Zusammenarbeit nutzen. Eine solche strukturierte Zusammenarbeit könnte auf der Expertise der ENISA aufbauen. Gegebenenfalls sollten zwischen den beiden Einrichtungen spezielle Vereinbarungen getroffen werden, um die praktische Umsetzung einer solchen Zusammenarbeit festzulegen und Doppelarbeit zu vermeiden.

(34) Bei der Erfüllung seiner Aufgabe zur Unterstützung der operativen Zusammenarbeit im Netz der CSIRTs sollte die ENISA in der Lage sein, die Mitgliedstaaten auf deren Ersuchen hin zu unterstützen, beispielsweise durch die Bereitstellung von Ratschlägen zur Verbesserung ihrer Fähigkeiten zur Verhütung, Erkennung und Bewältigung von Vorfällen, durch die Erleichterung der technischen Bewältigung von Vorfällen mit erheblichen oder wesentlichen Auswirkungen oder durch die Sicherstellung der Analyse von Cyberbedrohungen und -vorfällen. Die ENISA sollte die technische Bewältigung von Vorfällen mit erheblichen oder wesentlichen Auswirkungen insbesondere durch die Unterstützung des freiwilligen Austauschs technischer Lösungen zwischen den Mitgliedstaaten oder durch die Erstellung kombinierter technischer Informationen, wie durch die Mitgliedstaaten freiwillig ausgetauschter technischer Lösungen, erleichtern. Die Empfehlung (EU) 2017/1584 empfiehlt den Mitgliedstaaten, in gutem Glauben zusammenzuarbeiten und sich gegenseitig und der ENISA unverzüglich Informationen über groß angelegte Cyber-Sicherheitsvorfälle und -krisen auszutauschen. Solche Informationen würden der ENISA ferner bei der Erfüllung ihrer Aufgabe zur Unterstützung der operativen Zusammenarbeit helfen.

(35) Als Teil der regelmäßigen technischen Zusammenarbeit zur Unterstützung des Lagebildes der Union sollte die ENISA in enger Zusammenarbeit mit den Mitgliedstaaten einen regelmäßigen vertieften technischen Lagebericht der EU zur Cybersicherheit über Vorfälle und Cyberbedrohungen vorbereiten. Dieser Bericht sollte auf öffentlich zugänglichen Informationen, eigenen Analysen und Berichten basieren, die ihr von den CSIRTs der Mitgliedstaaten oder den gemäß der Richtlinie (EU) 2016/1148 vorgesehenen nationalen zentralen Anlaufstellen für die Sicherheit von Netz- und Informationssystemen (’zentrale Anlaufstellen‘) freiwillig übermittelt werden, sowie auf Informationen des Europäischen Zentrums zur Bekämpfung der Computerkriminalität (EC3) bei Europol, CERT-EU und gegebenenfalls des Zentrums für die analytische Nachrichtenbeschaffung und die Lageerfassung der Europäischen Union (EU INTCEN) beim Europäischen Auswärtigen Dienst. Dieser Bericht sollte dem Rat, der Kommission, dem Hohen Vertreter zur Verfügung gestellt werden (dieser Teil des Satzes musste abgeschritten werden, da die genaue Übersetzung des Satzendes im Original inkonsistent war). AbgeordneterAbgeordneter Bezeichnet eine in der Union ansässige natürliche oder juristische Person, die ausdrücklich dazu bestimmt ist, im Namen eines DNS-Diensteanbieters, eines TLD-Namenregisters, einer Einrichtung, die Domänennamenregistrierungsdienste anbietet, eines Cloud-Computing-Diensteanbieters, eines Rechenzentrumsdiensteanbieters, eines Content-Delivery-Network-Anbieters, eines Managed-Service-Anbieters, eines Managed-Security-Service-Anbieters oder eines Anbieters eines Online-Marktplatzes, einer Online-Suchmaschine oder einer Plattform für soziale Netzwerkdienste, der nicht in der Union ansässig ist, zu handeln, und an die sich eine zuständige Behörde oder ein CSIRT anstelle der Einrichtung selbst in Bezug auf die Verpflichtungen dieser Einrichtung nach dieser Richtlinie wenden kann. - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) des Ausschusses für auswärtige Angelegenheiten und Sicherheitspolitik sowie des CSIRT-Netzwerks.

(36) Die Unterstützung der ENISA bei technischen Nachuntersuchungen von Vorfällen mit erheblichen oder wesentlichen Auswirkungen, die auf Ersuchen der betroffenen Mitgliedstaaten erfolgen, sollte sich auf die Verhinderung künftiger Vorfälle konzentrieren. Die betroffenen Mitgliedstaaten sollten die notwendigen Informationen und die erforderliche Unterstützung leisten, damit die ENISA die technische Nachuntersuchung wirksam unterstützen kann.

(37) Die Mitgliedstaaten können die von dem Vorfall betroffenen Unternehmen auffordern, durch Bereitstellung notwendiger Informationen und Unterstützung für ENISA mitzuwirken, unbeschadet ihres Rechts, geschäftlich sensible Informationen und für die öffentliche Sicherheit relevante Informationen zu schützen.

(38) Um die Herausforderungen im Bereich der Cybersicherheit besser zu verstehen und zur strategischen langfristigen Beratung der Mitgliedstaaten und der Organe, Einrichtungen, Ämter und Agenturen der Union beizutragen, muss die ENISA aktuelle und aufkommende Cybersicherheitsrisiken analysieren. Zu diesem Zweck sollte die ENISA in Zusammenarbeit mit den Mitgliedstaaten und gegebenenfalls mit Statistikämtern und anderen Stellen relevante öffentlich zugängliche oder freiwillig geteilte Informationen sammeln und Analysen neuartiger Technologien durchführen sowie themenspezifische Bewertungen der erwarteten gesellschaftlichen, rechtlichen, wirtschaftlichen und regulatorischen Auswirkungen technologischer Innovationen auf die Netz- und Informationssicherheit, insbesondere auf die Cybersicherheit, vorlegen. Die ENISA sollte die Mitgliedstaaten und die Organe, Einrichtungen, Ämter und Agenturen der Union ferner bei der Identifizierung aufkommender Cybersicherheitsrisiken und der Verhinderung von Vorfällen unterstützen, indem sie Analysen von Cyberbedrohungen, Schwachstellen und Vorfällen durchführt.

(39) Zur Stärkung der Widerstandsfähigkeit der Union sollte die ENISA Fachwissen im Bereich der Cybersicherheit von Infrastrukturen entwickeln, insbesondere zur Unterstützung der Sektoren, die in Anhang II der Richtlinie (EU) 2016/1148 genannt sind, und derjenigen, die von den Anbietern der in Anhang III der genannten Richtlinie aufgeführten digitalen Dienste genutzt werden, indem sie beratend tätig wird, Leitlinien herausgibt und bewährte Verfahren austauscht. Um den Zugang zu besser strukturierten Informationen über Cybersicherheitsrisiken und mögliche Abhilfemaßnahmen zu erleichtern, sollte die ENISA die ‘Informationsplattform’ der Union entwickeln und pflegen, ein zentrales Portal mit Informationen über Cybersicherheit von Unions- und nationalen Institutionen, Einrichtungen, Ämtern und Agenturen. Die Erleichterung des Zugangs zu besser strukturierten Informationen über Cybersicherheitsrisiken und mögliche Abhilfemaßnahmen könnte auch dazu beitragen, dass die Mitgliedstaaten ihre Kapazitäten stärken und ihre Praktiken aufeinander abstimmen und dadurch ihre allgemeine Widerstandsfähigkeit gegen Cyberangriffe erhöhen.

(40) ENISA sollte zur Sensibilisierung der Öffentlichkeit für Cybersicherheitsrisiken beitragen, unter anderem durch eine EU-weite Sensibilisierungskampagne durch Förderung der Bildung und durch Bereitstellung von Leitlinien für gute Praktiken für einzelne Nutzer, die sich an Bürger, Organisationen und Unternehmen richten. ENISA sollte auch zur Förderung von Best Practices und Lösungen, einschließlich Cyberhygiene und Cyberkompetenz auf Ebene der Bürger, Organisationen und Unternehmen beitragen, indem sie öffentlich zugängliche Informationen über bedeutende Vorfälle sammelt und analysiert und Berichte und Leitlinien für Bürger, Organisationen und Unternehmen erstellt und veröffentlicht, um deren Gesamtgrad an Bereitschaft und Widerstandsfähigkeit zu verbessern. ENISA sollte sich auch bemühen, Verbraucher mit relevanten Informationen über anwendbare Zertifizierungssysteme zu versorgen, beispielsweise durch Bereitstellung von Leitlinien und Empfehlungen. ENISA sollte ferner, im Einklang mit dem Aktionsplan für digitale Bildung, der in der Mitteilung der Kommission vom 17. Januar 2018 festgelegt wurde, und in Zusammenarbeit mit den Mitgliedstaaten und den Organen, Einrichtungen, Ämtern und Agenturen der Union, regelmäßige Aufklärungs- und Bildungskampagnen für Endnutzer organisieren, um ein sichereres Online-Verhalten von Einzelpersonen und digitale Kompetenz zu fördern, das Bewusstsein für potenzielle Cyberbedrohungen, einschließlich Online-Kriminalität wie Phishing-Angriffe, Botnetze, Finanz- und Bankbetrug, Datenbetrugsvorfälle, zu schärfen und grundlegende Ratschläge zu Multi-Faktor-Authentifizierung, Patching, Verschlüsselung, Anonymisierung und Datenschutz zu geben.

(41) Die ENISA sollte eine zentrale Rolle bei der Förderung des Endverbraucherbewusstseins für die Sicherheit von Geräten und die sichere Nutzung von Diensten spielen und sollte auf Unionsebene Sicherheit und Datenschutz durch Design fördern. Bei der Verfolgung dieses Ziels sollte die ENISA verfügbare bewährte Verfahren und Erfahrungen nutzen, insbesondere die bewährten Verfahren und Erfahrungen von akademischen Einrichtungen und IT-Sicherheitsforschern.

(42) Zur Unterstützung der im Cybersicherheitssektor tätigen Unternehmen und der Nutzer von Cybersicherheitslösungen sollte die ENISA eine ‘Marktbeobachtungsstelle’ einrichten und unterhalten, indem sie regelmäßig Analysen durchführt und Informationen über die wichtigsten Trends auf dem Cybersicherheitsmarkt sowohl auf der Nachfrageseite als auch auf der Angebotsseite verbreitet.

(43) Die ENISA sollte zu den Bemühungen der Union um Zusammenarbeit mit internationalen Organisationen sowie im Rahmen relevanter internationaler Kooperationsstrukturen im Bereich der Cybersicherheit beitragen. Insbesondere sollte die ENISA nach Bedarf zur Zusammenarbeit mit Organisationen wie der OECD, der OSZE und der NATO beitragen. Diese Zusammenarbeit könnte gemeinsame Cyber-Sicherheitsübungen und eine gemeinsame Koordinierung der Reaktion auf Zwischenfälle umfassen. Diese Tätigkeiten sind unter voller Achtung der Grundsätze der Inklusivität, der Gegenseitigkeit und der autonomen Entscheidungsfindung der Union durchzuführen, ohne die Besonderheiten der Sicherheits- und Verteidigungspolitik eines Mitgliedstaates zu beeinträchtigen.

Um sicherzustellen, dass sie ihre Ziele vollständig erreicht, sollte die ENISA mit den zuständigen Aufsichtsbehörden der Union und anderen zuständigen Behörden in der Union, Unionsorganen, -einrichtungen, -ämtern und -agenturen, einschließlich CERT-EU, EC3, der Europäischen Verteidigungsagentur (EDA), der Agentur der Europäischen Union für das globale satellitengestützte Navigationssystem (GSuppAbs), dem Gremium Europäischer Regulierungsbehörden für die elektronische Kommunikation (BEREC), der Europäischen Agentur für das Betriebsmanagement von IT-Großprojekten im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA), der Europäischen Zentralbank (EZB), der Europäischen Bankenaufsichtsbehörde (EBA), dem Europäischen Datenschutzausschuss, der Agentur für die Zusammenarbeit der Energieregulierungsbehörden (ACER), der Europäischen Agentur für Flugsicherheit (EASA) und jeder anderen Unionsagentur, die im Bereich der Cybersicherheit tätig ist, zusammenarbeiten. Die ENISA sollte auch mit zuständigen Datenschutzbehörden zusammenarbeiten, um Fachkenntnisse und bewährte Verfahren auszutauschen, und sollte Ratschläge zu Cybersicherheitsfragen geben, die sich auf deren Arbeit auswirken könnten. Vertreter von nationalen und Unionsbehörden für Strafverfolgung und Datenschutz sollten berechtigt sein, in der beratenden Gruppe der ENISA vertreten zu sein. Bei der Zusammenarbeit mit Strafverfolgungsbehörden in Bezug auf Fragen der Netz- und Informationssicherheit, die sich auf deren Arbeit auswirken könnten, sollte die ENISA bestehende Informationskanäle und etablierte Netzwerke beachten.

Es könnten Partnerschaften mit akademischen Einrichtungen, die Forschungsinitiativen in relevanten Bereichen unterhalten, aufgebaut werden, und es sollten geeignete Kanäle für den Input von Verbraucherorganisationen und anderen Organisationen eingerichtet werden, die berücksichtigt werden sollten.

(46) Die ENISA sollte in ihrer Funktion als Sekretariat des CSIRT-Netzwerks die CSIRTs der Mitgliedstaaten und das CERT-EU bei der operativen Zusammenarbeit im Zusammenhang mit den relevanten Aufgaben des CSIRT-Netzwerks gemäß der Richtlinie (EU) 2016/1148 unterstützen. Darüber hinaus sollte die ENISA die Zusammenarbeit zwischen den einschlägigen CSIRTs im Falle von Vorfällen, Angriffen oder Störungen von Netzwerken oder Infrastrukturen, die von den CSIRTs verwaltet oder geschützt werden und mindestens zwei CSIRTs betreffen oder betreffen können, fördern und unterstützen, wobei sie dabei gebührend berücksichtigt StandardStandard Eine technische Spezifikation, die von einem anerkannten Normungsgremium zur wiederholten oder ständigen Anwendung angenommen wurde, deren Einhaltung nicht zwingend vorgeschrieben ist und bei der es sich um eine der folgenden Normen handelt: (a) "internationale Norm" eine Norm, die von einem internationalen Normungsgremium angenommen wurde; b) "europäische Norm" eine Norm, die von einer europäischen Normungsorganisation angenommen wurde; c) "harmonisierte Norm" eine europäische Norm, die auf der Grundlage eines Antrags der Kommission auf Anwendung der Harmonisierungsrechtsvorschriften der Union angenommen wurde; d) "nationale Norm" eine Norm, die von einem nationalen Normungsgremium angenommen wurde - Definition gemäß Artikel 2 Nummer 1 der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates. Betriebsabläufe des CSIRT-Netzwerks.

(47) Mit dem Ziel, die Bereitschaft der Union zur Bewältigung von Zwischenfällen zu verbessern, sollte die ENISA regelmäßig Cybersicherheitsübungen auf Unionsebene organisieren und auf Anfrage die Mitgliedstaaten sowie die Organe, Einrichtungen, Ämter und Agenturen der Union bei der Organisation solcher Übungen unterstützen. Umfassende Großübungen, die technische, operative oder strategische Elemente umfassen, sollten zweijährlich stattfinden. Darüber hinaus sollte die ENISA in der Lage sein, regelmäßig weniger umfassende Übungen mit demselben Ziel, nämlich der Verbesserung der Bereitschaft der Union zur Bewältigung von Zwischenfällen, zu organisieren.

(48) Die ENISA sollte ihre Expertise im Bereich der Cybersicherheitszertifizierung weiter ausbauen und pflegen, um die Unionspolitik in diesem Bereich zu unterstützen. Die ENISA sollte auf bestehenden bewährten Verfahren aufbauen und die Akzeptanz der Cybersicherheitszertifizierung innerhalb der Union fördern, unter anderem durch Beiträge zur Einrichtung und Pflege eines unionsweiten Rahmens für die Cybersicherheitszertifizierung (europäischer Rahmen für die Cybersicherheitszertifizierung), um die Transparenz der Cybersicherheitszusicherungen von IKT-Produkten, IKT-Dienstleistungen und IKT-Prozessen zu erhöhen und dadurch das Vertrauen in den digitalen Binnenmarkt und seine Wettbewerbsfähigkeit zu stärken.

(49) Effiziente Cybersicherheitsrichtlinien sollten sowohl im öffentlichen als auch im privaten Sektor auf gut entwickelten Methoden zur Risikobewertung beruhen. Methoden zur Risikobewertung werden auf verschiedenen Ebenen eingesetzt, wobei es keine einheitliche Praxis für deren effiziente Anwendung gibt. Die Förderung und Entwicklung von bewährten Verfahren für die Risikobewertung und für interoperable Risikomanagementlösungen in öffentlichen und privaten Organisationen wird das Niveau der Cybersicherheit in der Union erhöhen. Zu diesem Zweck sollte die ENISA die Zusammenarbeit zwischen den Interessenträgern auf Unionsebene unterstützen und deren Bemühungen im Zusammenhang mit der Festlegung und Übernahme europäischer und internationaler Standards für das Risikomanagement und für die messbare Sicherheit von elektronischen Produkten, Systemen, Netzen und Diensten erleichtern, die zusammen mit Software die Netz- und Informationssysteme bilden.

(50) Die ENISA sollte die Mitgliedstaaten, Hersteller oder Anbieter von ICT-Produkten, ICT-Dienstleistungen oder ICT-Verfahren ermutigen, ihre allgemeinen Sicherheitsstandards zu erhöhen, damit alle Internetnutzer die notwendigen Schritte unternehmen können, um ihre eigene persönliche Cybersicherheit zu gewährleisten, und sollte Anreize dafür schaffen. Insbesondere sollten Hersteller und Anbieter von ICT-Produkten, ICT-Dienstleistungen oder ICT-Verfahren alle notwendigen Aktualisierungen bereitstellen und ICT-Produkte, ICT-Dienstleistungen oder ICT-Verfahren, die Cybersicherheitsstandards nicht erfüllen, zurückrufen, zurückziehen oder recyceln, während Importeure und Händler sicherstellen sollten, dass die ICT-Produkte, ICT-Dienstleistungen und ICT-Verfahren, die sie auf dem Unionsmarkt in Verkehr bringen, den geltenden Anforderungen entsprechen und keine Gefahr für die Verbraucher in der Union darstellen.

(51) In Zusammenarbeit mit zuständigen Behörden sollte die ENISA in der Lage sein, Informationen über den Stand der Cybersicherheit von im Binnenmarkt angebotenen IKT-Produkten, IKT-Dienstleistungen und IKT-Prozessen zu verbreiten und Warnungen herauszugeben, die sich an Hersteller oder Anbieter von IKT-Produkten, IKT-Dienstleistungen oder IKT-Prozessen richten und diese auffordern, die Sicherheit ihrer IKT-Produkte, IKT-Dienstleistungen oder IKT-Prozesse, einschließlich der Cybersicherheit, zu verbessern.

(52) Die ENISA sollte die laufenden Aktivitäten in den Bereichen Forschung, Entwicklung und Technologiebewertung, insbesondere diejenigen, die von den verschiedenen Forschunginitiativen der Union durchgeführt werden, vollständig berücksichtigen, um die Organe, Einrichtungen, Ämter und Agenturen der Union und, wo relevant, die Mitgliedstaaten auf deren Ersuchen zu Fragen der Forschungsbedürfnisse und -prioritäten im Bereich der Cybersicherheit zu beraten. Um die Forschungsbedürfnisse und -prioritäten zu ermitteln, sollte die ENISA auch die einschlägigen Benutzergruppen konsultieren. Ganz konkret könnte eine Zusammenarbeit mit dem Europäischen Forschungsrat, dem Europäischen Innovations- und Technologieinstitut und dem Europäischen Institut für Sicherheitstudien aufgenommen werden.

(53) Die ENISA sollte bei der Ausarbeitung der europäischen Cybersicherheitszertifizierungssysteme regelmäßig Standardisierungsorganisationen, insbesondere europäische Standardisierungsorganisationen, konsultieren.

(54) Cyberbedrohungen sind ein globales Problem. Es bedarf einer engeren internationalen Zusammenarbeit zur Verbesserung der Cybersicherheitsstandards, einschließlich der Festlegung gemeinsamer Verhaltensnormen, der Verabschiedung von Verhaltenskodizes, der Anwendung internationaler Standards und des Informationsaustauschs, um eine zügigere internationale Zusammenarbeit bei der Bewältigung von Problemen der Netz- und Informationssicherheit zu fördern und einen gemeinsamen globalen Ansatz für solche Probleme voranzutreiben. Zu diesem Zweck sollte die ENISA ein stärkeres Engagement der Union sowie die Zusammenarbeit mit Drittländern und internationalen Organisationen unterstützen, indem sie den zuständigen Organen, Einrichtungen, Ämtern und Agenturen der Union gegebenenfalls das erforderliche Fachwissen und die notwendigen Analysen zur Verfügung stellt.

ENISA sollte in der Lage sein, auf Ad-hoc-Anfragen von Mitgliedstaaten und Unionsinstitutionen, -gremien, -ämtern und -agenturen zu Angelegenheiten im Rahmen des Mandats von ENISA um Rat und Unterstützung zu reagieren.

(56) Es ist sinnvoll und empfehlenswert, bestimmte Grundsätze für die Governance der ENISA umzusetzen, um die von der Interinstitutionellen Arbeitsgruppe für dezentrale Agenturen der EU im Juli 2012 vereinbarte Gemeinsame Erklärung und den Gemeinsamen Ansatz einzuhalten, deren Zweck es ist, die Tätigkeiten der dezentralen Agenturen zu straffen und ihre Leistung zu verbessern. Die Empfehlungen der Gemeinsamen Erklärung und des Gemeinsamen Ansatzes sollten gegebenenfalls auch in den Arbeitsprogrammen, Bewertungen, Berichterstattungen und der Verwaltungspraxis der ENISA widergespiegelt werden.

(57) Der Verwaltungsrat, bestehend aus Vertretern der Mitgliedstaaten und der Kommission, sollte die allgemeine Ausrichtung der Tätigkeiten von ENISA festlegen und sicherstellen, dass ENISA ihre Aufgaben in Übereinstimmung mit dieser Verordnung erfüllt. Der Verwaltungsrat sollte mit den notwendigen Befugnissen ausgestattet werden, um den Haushaltsplan aufzustellen, die Ausführung des Haushaltsplans zu prüfen, eine geeignete Finanzordnung zu erlassen, transparente Verfahren für die Beschlussfassung durch ENISA festzulegen, das einheitliche Programmieren-Dokument von ENISA anzunehmen, seine eigene Geschäftsordnung anzunehmen, den Exekutivdirektor zu ernennen und über die Verlängerung und Beendigung der Amtszeit des Exekutivdirektors zu entscheiden.

Damit die ENISA ordnungsgemäß und wirksam funktionieren kann, sollten die Kommission und die Mitgliedstaaten sicherstellen, dass die für den Verwaltungsrat zu ernennenden Personen über die entsprechende fachliche Qualifikation und Erfahrung verfügen. Die Kommission und die Mitgliedstaaten sollten sich ferner bemühen, die Fluktuation ihrer jeweiligen Vertreter im Verwaltungsrat zu begrenzen, um die Kontinuität seiner Arbeit zu gewährleisten.

(59) Die reibungslose Funktionsweise der ENISA setzt voraus, dass ihr Exekutivdirektor auf der Grundlage von Verdiensten, nachgewiesenen Verwaltungs- und Führungsfähigkeiten sowie einschlägiger Fachkompetenz und Erfahrung im Bereich Cybersicherheit ernannt wird. Die Aufgaben des Exekutivdirektors sollten mit vollständiger Unabhängigkeit wahrgenommen werden. Der Exekutivdirektor sollte nach vorheriger Konsultation mit der Kommission einen Vorschlag für das jährliche Arbeitsprogramm der ENISA vorbereiten und alle erforderlichen Schritte ergreifen, um die ordnungsgemäße Umsetzung dieses Arbeitsprogramms zu gewährleisten. Der Exekutivdirektor sollte dem Verwaltungsrat einen Jahresbericht über die Umsetzung des jährlichen Arbeitsprogramms der ENISA vorlegen, einen Entwurf des Überschlags über Einnahmen und Ausgaben für die ENISA ausarbeiten und den Haushalt ausführen. Darüber hinaus sollte der Exekutivdirektor die Möglichkeit haben, Ad-hoc-Arbeitsgruppen einzurichten, um spezifische Themen zu behandeln, insbesondere solche wissenschaftlicher, technischer, rechtlicher oder sozioökonomischer Natur. Insbesondere im Zusammenhang mit der Ausarbeitung eines spezifischen Kandidaten für ein europäisches Cybersicherheitszertifizierungssystem (‘Kandidatensystem’) wird die Einrichtung einer Ad-hoc-Arbeitsgruppe für notwendig erachtet. Der Exekutivdirektor sollte sicherstellen, dass die Mitglieder von Ad-hoc-Arbeitsgruppen nach den höchsten Kompetenzstandards ausgewählt werden, wobei darauf abzuzielen ist, eine geschlechter ausgewogene Vertretung und ein angemessenes Gleichgewicht, je nach den betreffenden spezifischen Fragen, zwischen öffentlichen Verwaltungen der Mitgliedstaaten, Unionsinstitutionen, -organen, -ämtern und -agenturen sowie dem Privatsektor, einschließlich Industrie, Nutzern und akademischen Experten für Netz- und Informationssicherheit, zu gewährleisten.

(60) Der Verwaltungsrat soll zum effektiven Funktionieren des Vorstands beitragen. Als Teil seiner vorbereitenden Arbeit im Zusammenhang mit Vorstandsbeschlüssen soll der Verwaltungsrat relevante Informationen detailliert prüfen, verfügbare Optionen erkunden und Ratschläge und Lösungen anbieten, um die Beschlüsse des Vorstands vorzubereiten.

(61) Die ENISA sollte eine ENISA-Beratungsgruppe als beratendes Gremium einrichten, um einen regelmäßigen Dialog mit dem Privatsektor, Verbraucherorganisationen und anderen relevanten Interessenträgern zu gewährleisten. Die durch den Verwaltungsrat auf Vorschlag des Exekutivdirektors eingerichtete ENISA-Beratungsgruppe sollte sich auf für die Interessenträger relevante Themen konzentrieren und diese der ENISA zur Kenntnis bringen. Die ENISA-Beratungsgruppe sollte insbesondere bei ENISAs Entwurf für das jährliche Arbeitsprogramm konsultiert werden. Die Zusammensetzung der ENISA-Beratungsgruppe und die ihr zugewiesenen Aufgaben sollten eine ausreichende Vertretung der Interessenträger in der Arbeit der ENISA gewährleisten.

(62) Die Stakeholder Cybersecurity Certification Group sollte eingerichtet werden, um die ENISA und die Kommission bei der Konsultation relevanter Stakeholder zu unterstützen. Die Stakeholder Cybersecurity Certification Group sollte sich aus Mitgliedern zusammensetzen, die die Industrie in ausgewogener Verhältniskomponente vertreten, sowohl auf der Nachfrageseite als auch auf der Angebotsseite von IKT-Produkten und IKT-Dienstleistungen, und insbesondere KMU, Anbieter digitaler Dienste, europäische und internationale Normungsorganisationen, nationale Akkreditierungsstellen, Datenschutzaufsichtsbehörden und Konformitätsbewertungsstellen gemäß der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates (16) sowie akademische Kreise und Verbraucherorganisationen umfassen.

Die ENISA sollte über Regeln zur Verhinderung und zum Management von Interessenkonflikten verfügen. Die ENISA sollte ferner die einschlägigen Unionsbestimmungen über den Zugang der Öffentlichkeit zu Dokumenten gemäß der Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates (17) anwenden. Die Verarbeitung personenbezogener Daten durch die ENISA sollte der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (18) unterliegen. Die ENISA sollte die für die Unionsinstitutionen, -organe und -agenturen geltenden Bestimmungen und die einzelstaatlichen Rechtsvorschriften über den Umgang mit Informationen, insbesondere mit sensiblen, nicht eingestuften Informationen und als "EU CONFIDENTIAL" (EUCI) eingestuften Informationen, einhalten.

(64) Um die volle Autonomie und Unabhängigkeit der ENISA zu gewährleisten und ihr die Erfüllung zusätzlicher Aufgaben, einschließlich unvorhergesehener Notfallaufgaben, zu ermöglichen, sollte die ENISA über ein ausreichendes und autonomes Budget verfügen, dessen Einnahmen vorrangig aus einem Beitrag der Union und Beiträgen von Drittländern, die sich an der Arbeit der ENISA beteiligen, stammen sollten. Ein angemessenes Budget ist von größter Bedeutung, um sicherzustellen, dass die ENISA über ausreichende Kapazitäten verfügt, um all ihre wachsenden Aufgaben zu erfüllen und ihre Ziele zu erreichen. Die Mehrheit des Personals der ENISA sollte direkt mit der operativen Umsetzung des Mandats der ENISA befasst sein. Der Aufnahmemitgliedstaat und jeder andere Mitgliedstaat sollten freiwillige Beiträge zum Budget der ENISA leisten dürfen. Das Haushaltsverfahren der Union sollte weiterhin für alle dem Gesamthaushaltsplan der Union zuzurechnenden Beihilfen gelten. Darüber hinaus sollte der Europäische Rechnungshof die Rechnungslegung der ENISA prüfen, um Transparenz und Rechenschaftspflicht zu gewährleisten.

(65) Cybersicherheitszertifizierung spielt eine wichtige Rolle bei der Stärkung des Vertrauens und der Sicherheit in IKT-Produkte, IKT-Dienste und IKT-Prozesse. Der Digitale Binnenmarkt und insbesondere die Datenwirtschaft und das IoT können nur dann gedeihen, wenn die breite Öffentlichkeit darauf vertrauen kann, dass solche Produkte, Dienste und Prozesse ein bestimmtes Niveau an Cybersicherheit bieten. Vernetzte und automatisierte Fahrzeuge, elektronische medizinische Geräte, Steuerungen für die industrielle Automatisierung und intelligente Stromnetze sind nur einige Beispiele für Sektoren, in denen die Zertifizierung bereits weit verbreitet ist oder in naher Zukunft wahrscheinlich genutzt wird. Die durch die Richtlinie (EU) 2016/1148 geregelten Sektoren sind ebenfalls Sektoren, in denen die Cybersicherheitszertifizierung von entscheidender Bedeutung ist.

(66) In der Mitteilung ‘Stärkung des europäischen Cyberresilienz-Systems und Förderung einer wettbewerbsfähigen und innovativen Cybersicherheitsbranche’ von 2016 stellte die Kommission die Notwendigkeit hochwertiger, erschwinglicher und interoperabler Cybersicherheitserzeugnisse und -lösungen dar. Die Versorgung mit IKT-Erzeugnissen, IKT-Dienstleistungen und IKT-Prozessen im Binnenmarkt ist geografisch immer noch sehr fragmentiert. Dies liegt daran, dass sich die Cybersicherheitsbranche in Europa weitgehend auf der Grundlage nationaler staatlicher Nachfrage entwickelt hat. Darüber hinaus gehören die mangelnde Interoperabilität von Lösungen (technische Normen), Praktiken und EU-weiten Zertifizierungsmechanismen zu den weiteren Lücken, die den Binnenmarkt im Bereich der Cybersicherheit beeinträchtigen. Dies erschwert es europäischen Unternehmen, auf nationaler Ebene, auf Ebene der Union und auf globaler Ebene zu konkurrieren. Es verringert auch die Auswahl an gangbaren und nutzbaren Cybersicherheitstechnologien, auf die Einzelpersonen und Unternehmen zugreifen können. In ähnlicher Weise hob die Kommission in der Mitteilung von 2017 zur Halbzeitbilanz der Umsetzung der Strategie für einen digitalen Binnenmarkt – Ein vernetzter digitaler Binnenmarkt für alle – die Notwendigkeit sicherer vernetzter Erzeugnisse und Systeme hervor und wies darauf hin, dass die Schaffung eines europäischen Rahmenwerks für die IKT-Sicherheit, das Regeln für die Organisation der IKT-Zertifizierung in der Union festlegt, sowohl das Vertrauen in das Internet aufrechterhalten als auch die derzeitige Fragmentierung des Binnenmarktes angehen könnte.

(67) Derzeit wird die Cyber-Sicherheitszertifizierung von IKT-Produkten, IKT-Dienstleistungen und IKT-Prozessen nur begrenzt genutzt. Wo sie existiert, erfolgt sie meist auf Ebene der Mitgliedstaaten oder im Rahmen von branchengesteuerten Systemen. In diesem Zusammenhang wird ein von einer nationalen Zertifizierungsstelle für Cybersicherheit ausgestelltes Zertifikat grundsätzlich nicht in anderen Mitgliedstaaten anerkannt. Unternehmen müssen daher möglicherweise ihre IKT-Produkte, IKT-Dienstleistungen und IKT-Prozesse in mehreren Mitgliedstaaten, in denen sie tätig sind, zertifizieren lassen, beispielsweise um an nationalen Beschaffungsverfahren teilnehmen zu können, was ihre Kosten erhöht. Darüber hinaus gibt es zwar neue Systeme, aber keinen kohärenten und ganzheitlichen Ansatz für horizontale Cybersicherheitsfragen, zum Beispiel im Bereich des Internet der Dinge (Internet of Things). Bestehende Systeme weisen erhebliche Mängel und Unterschiede in Bezug auf die abgedeckten Produkte, die Zusicherungsstufen, die inhaltlichen Kriterien und die tatsächliche Nutzung auf, was Mechanismen zur gegenseitigen Anerkennung innerhalb der Union behindert.

(68) Es wurden einige Anstrengungen unternommen, um die gegenseitige Anerkennung von Zertifikaten innerhalb der Union zu gewährleisten. Diese waren jedoch nur teilweise erfolgreich. Das wichtigste Beispiel hierfür ist das SOG-IS (Senior Officials Group – Information Systems Security) Mutual Recognition Agreement (MRA). Obwohl es das wichtigste Modell für Zusammenarbeit und gegenseitige Anerkennung im Bereich der Sicherheitszertifizierung darstellt, umfasst SOG-IS nur einige der Mitgliedstaaten. Dies hat die Wirksamkeit des SOG-IS MRA aus Sicht des Binnenmarktes eingeschränkt.

(69) Es ist daher erforderlich, einen gemeinsamen Ansatz zu verfolgen und einen europäischen Rahmen für die Cybersicherheitszertifizierung einzurichten, der die wichtigsten horizontalen Anforderungen für zu entwickelnde europäische Cybersicherheitszertifizierungssysteme festlegt und die Anerkennung und Nutzung europäischer Cybersicherheitszertifikate und EU-Konformitätserklärungen für IKT-Produkte, IKT-Dienste oder IKT-Prozesse in allen Mitgliedstaaten ermöglicht. Dabei ist es unerlässlich, auf bestehende nationale und internationale Systeme sowie auf Systeme zur gegenseitigen Anerkennung, insbesondere SOG-IS, aufzubauen und einen reibungslosen Übergang von den bestehenden Systemen unter diesen Systemen zu Systemen unter dem neuen europäischen Rahmen für die Cybersicherheitszertifizierung zu ermöglichen. Der europäische Rahmen für die Cybersicherheitszertifizierung sollte zwei Hauptzwecke verfolgen. Erstens sollte er dazu beitragen, das Vertrauen in IKT-Produkte, IKT-Dienste und IKT-Prozesse zu stärken, die nach europäischen Cybersicherheitszertifizierungssystemen zertifiziert wurden. Zweitens sollte er dazu beitragen, die Vervielfältigung widersprüchlicher oder sich überschneidender nationaler Cybersicherheitszertifizierungssysteme zu vermeiden und somit die Kosten für Unternehmen zu senken, die im digitalen Binnenmarkt tätig sind. Die europäischen Cybersicherheitszertifizierungssysteme sollten diskriminierungsfrei und auf europäischen oder internationalen Normen beruhen, es sei denn, diese Normen sind zur Erreichung der legitimen Ziele der Union in dieser Hinsicht unwirksam oder ungeeignet.

(70) Der europäische Rahmen für Cybersicherheitszertifizierungen sollte in allen Mitgliedstaaten einheitlich eingerichtet werden, um ein ‘Zertifizierungstourismus’ aufgrund unterschiedlicher Strengegrade in den verschiedenen Mitgliedstaaten zu verhindern.

(71) Europäische Zertifizierungssysteme für Cybersicherheit sollten auf bestehenden internationalen und nationalen Regelungen aufbauen und, falls erforderlich, auf technischen Spezifikationen von Foren und Konsortien, wobei die aktuellen Stärken genutzt und Schwächen bewertet und behoben werden sollten.

Flexible Cybersicherheitslösungen sind für die Industrie notwendig, um Cyberbedrohungen immer einen Schritt voraus zu sein, und daher sollte jeder Zertifizierungsrahmen so gestaltet sein, dass die Gefahr einer schnellen Veralterung vermieden wird.

(73) Die Kommission sollte ermächtigt werden, europäische Cybersecurity-Zertifizierungssysteme für bestimmte Gruppen von IKT-Produkten, IKT-Diensten und IKT-Verfahren zu erlassen. Diese Systeme sollten von nationalen Cybersecurity-Zertifizierungsstellen umgesetzt und überwacht werden, und nach diesen Systemen ausgestellte Zertifikate sollten in der gesamten Union gültig und anerkannt sein. Zertifizierungssysteme, die von der Industrie oder anderen privaten Organisationen betrieben werden, sollten nicht unter diese Verordnung fallen. Die Betreiber solcher Systeme sollten die Kommission jedoch davon in Kenntnis setzen können, dass die Kommission solche Systeme als Grundlage für ihre Genehmigung als europäisches Cybersecurity-Zertifizierungssystem in Betracht ziehen kann.

(74) Die Bestimmungen dieser Verordnung sollten das Unionsrecht unberührt lassen, das spezifische Vorschriften für die Zertifizierung von IKT-Produkten, IKT-Diensten und IKT-Prozessen enthält. Insbesondere enthält die Verordnung (EU) 2016/679 Bestimmungen zur Einrichtung von Zertifizierungsmechanismen sowie von Datenschutzsiegeln und -zeichen, um nachzuweisen, dass die Verarbeitungsvorgänge durch Verantwortliche und Auftragsverarbeiter mit dieser Verordnung im Einklang stehen. Solche Zertifizierungsmechanismen sowie Datenschutzsiegel und -zeichen sollten es den betroffenen Personen ermöglichen, das Datenschutzniveau der betreffenden IKT-Produkte, IKT-Dienste und IKT-Prozesse rasch einzuschätzen. Diese Verordnung lässt die Zertifizierung von Datenverarbeitungsvorgängen gemäß der Verordnung (EU) 2016/679 unberührt, auch wenn diese Vorgänge in IKT-Produkten, IKT-Diensten und IKT-Prozessen eingebettet sind.

(75) Der Zweck europäischer Cybersicherheitszertifizierungssysteme sollte darin bestehen, sicherzustellen, dass die im Rahmen solcher Systeme zertifizierten IT-Produkte, IT-Dienstleistungen und IT-Prozesse den festgelegten Anforderungen entsprechen, die darauf abzielen, die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von gespeicherten, übertragenen oder verarbeiteten Daten oder der damit verbundenen Funktionen oder Dienstleistungen, die von diesen Produkten, Dienstleistungen und Prozessen angeboten oder über diese zugänglich sind, während ihres gesamten Lebenszyklus zu schützen. Es ist nicht möglich, die cybersicherheitsbezogenen Anforderungen für alle IT-Produkte, IT-Dienstleistungen und IT-Prozesse in dieser Verordnung im Einzelnen darzulegen. IT-Produkte, IT-Dienstleistungen und IT-Prozesse sowie die damit verbundenen Cybersicherheitsanforderungen sind so vielfältig, dass es sehr schwierig ist, allgemeine Cybersicherheitsanforderungen zu entwickeln, die unter allen Umständen gültig sind. Daher ist es notwendig, für die Zwecke der Zertifizierung ein breites und allgemeines Verständnis von Cybersicherheit anzunehmen, das durch eine Reihe spezifischer Cybersicherheitsziele ergänzt werden sollte, die bei der Gestaltung europäischer Cybersicherheitszertifizierungssysteme zu berücksichtigen sind. Die Regelungen, mit denen solche Ziele für spezifische IT-Produkte, IT-Dienstleistungen und IT-Prozesse erreicht werden sollen, sollten dann auf der Ebene des von der Kommission angenommenen einzelnen Zertifizierungssystems weiter im Einzelnen spezifiziert werden, beispielsweise durch Verweise auf Normen oder technische Spezifikationen, falls keine geeigneten Normen verfügbar sind.

(76) Die für europäische cybersicherheitsrechtliche Zertifizierungsregelungen zu verwendenden technischen Spezifikationen sollten die in Anhang II der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates (19) dargelegten Anforderungen beachten. Abweichungen von diesen Anforderungen könnten jedoch in begründeten Fällen als notwendig erachtet werden, wenn diese technischen Spezifikationen in einer europäischen cybersicherheitsrechtlichen Zertifizierungsregelung mit dem Vertrauensniveau ‘hoch’ verwendet werden sollen. Die Gründe für solche Abweichungen sollten öffentlich zugänglich gemacht werden.

(77) Eine Konformitätsbewertung ist ein Verfahren zur Bewertung, ob bestimmte Anforderungen an ein IKT-Produkt, eine IKT-Dienstleistung oder einen IKT-Prozess erfüllt wurden. Dieses Verfahren wird von einer unabhängigen Stelle eines Drittanbieters durchgeführt, die weder der Hersteller noch der Anbieter der bewerteten IKT-Produkte, IKT-Dienstleistungen oder IKT-Prozesse ist. Nach erfolgreicher Bewertung eines IKT-Produkts, einer IKT-Dienstleistung oder eines IKT-Prozesses sollte ein europäisches Cybersicherheitszertifikat ausgestellt werden. Ein europäisches Cybersicherheitszertifikat sollte als Bestätigung dafür angesehen werden, dass die Bewertung ordnungsgemäß durchgeführt wurde. Abhängig von der Vertrauensstufe sollte der europäische Cybersicherheitszertifizierungsvorgang angeben, ob das europäische Cybersicherheitszertifikat von einer privaten oder einer öffentlichen Stelle ausgestellt werden soll. Konformitätsbewertung und Zertifizierung können per se nicht garantieren, dass zertifizierte IKT-Produkte, IKT-Dienstleistungen und IKT-Prozesse cybersicher sind. Es handelt sich vielmehr um Verfahren und technische Methodologien, um zu bestätigen, dass IKT-Produkte, IKT-Dienstleistungen und IKT-Prozesse getestet wurden und dass sie bestimmten Cybersicherheitsanforderungen entsprechen, die anderswo festgelegt sind, z. B. in technischen Standards.

(78) Die Wahl der geeigneten Zertifizierung und der damit verbundenen Sicherheitsanforderungen durch die Nutzer europäischer Cybersicherheitszertifikate sollte auf einer Analyse der Risiken beruhen, die mit der Verwendung der jeweiligen IKT-Produkte, IKT-Dienstleistungen oder IKT-Prozesse verbunden sind. Dementsprechend sollte die Vertrauensstufe dem Risiko entsprechen, das mit der beabsichtigten Verwendung eines IKT-Produkts, einer IKT-Dienstleistung oder eines IKT-Prozesses verbunden ist.

(79) Europäische Cybersicherheitszertifizierungssysteme könnten eine Konformitätsbewertung vorsehen, die unter der alleinigen Verantwortung des Herstellers oder Anbieters von IKT-Produkten, IKT-Dienstleistungen oder IKT-Prozessen durchgeführt wird (‘Selbsterklärung zur Konformität’). In solchen Fällen sollte es ausreichen, dass der Hersteller oder Anbieter von IKT-Produkten, IKT-Dienstleistungen oder IKT-Prozessen selbst alle Prüfungen durchführt, um sicherzustellen, dass die IKT-Produkte, IKT-Dienstleistungen oder IKT-Prozesse mit dem europäischen Cybersicherheitszertifizierungssystem konform sind. Die Selbsterklärung zur Konformität sollte für IKT-Produkte, IKT-Dienstleistungen oder IKT-Prozesse mit geringer Komplexität und geringem Risiko für die Öffentlichkeit, wie z. B. einfache Design- und Produktionsmechanismen, als angemessen erachtet werden. Darüber hinaus sollte die Selbsterklärung zur Konformität für IKT-Produkte, IKT-Dienstleistungen oder IKT-Prozesse nur zulässig sein, wenn sie der Zusicherungsebene ‘basis’ entsprechen.

(80) Europäische Cybersicherheitszertifizierungssysteme könnten sowohl Selbstbewertungen der Konformität als auch Zertifizierungen von IKT-Produkten, IKT-Dienstleistungen oder IKT-Prozessen ermöglichen. In einem solchen Fall sollte das System klare und verständliche Mittel für Verbraucher oder andere Nutzer vorsehen, um zwischen IKT-Produkten, IKT-Dienstleistungen oder IKT-Prozessen zu unterscheiden, bei denen der Hersteller oder Anbieter von IKT-Produkten, IKT-Dienstleistungen oder IKT-Prozessen für die Bewertung verantwortlich ist, und IKT-Produkten, IKT-Dienstleistungen oder IKT-Prozessen, die von einer dritten Partei zertifiziert sind.

(81) Der Hersteller oder Anbieter von IKT-Produkten, IKT-Dienstleistungen oder IKT-Verfahren, der eine Konformitäts-Selbstbewertung durchführt, sollte im Rahmen des Konformitätsbewertungsverfahrens die EU-Konformitätserklärung ausstellen und unterzeichnen können. Eine EU-Konformitätserklärung ist ein Dokument, das bescheinigt, dass ein bestimmtes IKT-Produkt, eine IKT-Dienstleistung oder ein IKT-Verfahren die Anforderungen des europäischen Cyber-sicherheit-Zertifizierungsschemas erfüllt. Mit der Ausstellung und Unterzeichnung der EU-Konformitätserklärung übernimmt der Hersteller oder Anbieter von IKT-Produkten, IKT-Dienstleistungen oder IKT-Verfahren die Verantwortung für die Konformität des IKT-Produkts, der IKT-Dienstleistung oder des IKT-Verfahrens mit den rechtlichen Anforderungen des europäischen Cyber-sicherheit-Zertifizierungsschemas. Eine Kopie der EU-Konformitätserklärung sollte der nationalen Behörde für Cyber-sicherheit-Zertifizierung und der ENISA vorgelegt werden.

(82) Hersteller oder Anbieter von IKT-Produkten, IKT-Dienstleistungen oder IKT-Prozessen halten die EU-Konformitätserklärung, die technischen Unterlagen und alle anderen relevanten Informationen bezüglich der Konformität der IKT-Produkte, IKT-Dienstleistungen oder IKT-Prozesse mit einem europäischen cybersicheren Zertifizierungssystem für einen im betreffenden europäischen cybersicheren Zertifizierungssystem vorgesehenen Zeitraum für die zuständige nationale Stelle für die Zertifizierung der Cybersicherheit bereit. Die technischen Unterlagen sollten die nach dem System geltenden Anforderungen festlegen und den Entwurf, die Herstellung und den Betrieb des IKT-Produkts, der IKT-Dienstleistung oder des IKT-Prozesses soweit für die Selbsterklärung der Konformität relevant abdecken. Die technischen Unterlagen sollten so zusammengestellt sein, dass sie die Beurteilung ermöglichen, ob ein IKT-Produkt oder eine IKT-Dienstleistung den nach diesem System geltenden Anforderungen entspricht.

(83) Die Steuerung des europäischen Rahmens für die Cybersicherheitszertifizierung berücksichtigt die Einbindung der Mitgliedstaaten sowie die angemessene Einbindung der Interessenträger und legt die Rolle der Kommission bei der Planung und dem Vorschlag, der Anforderung, der Vorbereitung, der Annahme und der Überprüfung von europäischen Cybersicherheitszertifizierungssystemen fest.

(84) Die Kommission sollte – mit Unterstützung der Europäischen Gruppe für Cybersicherheitszertifizierung (im Folgenden ‘ECCG’) und der Interessentengruppe für Cybersicherheitszertifizierung und nach einer offenen und breiten Konsultation – ein rollierendes Arbeitsprogramm der Union für europäische Cybersicherheitszertifizierungssysteme erstellen und dieses in Form eines nicht rechtsverbindlichen Instruments veröffentlichen. Das rollierende Arbeitsprogramm der Union sollte ein strategisches Dokument sein, das es insbesondere der Industrie, den nationalen Behörden und den Normungsgremien ermöglicht, sich auf künftige europäische Cybersicherheitszertifizierungssysteme vorzubereiten. Das rollierende Arbeitsprogramm der Union sollte einen mehrjährigen Überblick über die Anträge auf Kandidatensysteme enthalten, die die Kommission auf der Grundlage spezifischer Begründungen zur Vorbereitung an die ENISA übermitteln will. Die Kommission sollte das rollierende Arbeitsprogramm der Union bei der Ausarbeitung ihres rollierenden Plans für die ICT-Standardisierung und ihrer Standardisierungsaufträge an europäische Normungsorganisationen berücksichtigen. Angesichts der raschen Einführung und Verbreitung neuer Technologien, des Auftretens unbekannter Cybersicherheitsrisiken sowie von Rechts- und Marktentwicklungen sollten die Kommission oder die ECCG berechtigt sein, die ENISA zu ersuchen, Kandidatensysteme vorzubereiten, die nicht in das rollierende Arbeitsprogramm der Union aufgenommen wurden. In solchen Fällen sollten die Kommission und die ECCG auch die Notwendigkeit eines solchen Ersuchens prüfen und dabei die allgemeinen Ziele und Vorgaben dieser Verordnung sowie die Notwendigkeit der Gewährleistung der Kontinuität der Planung und des Ressourceneinsatzes der ENISA berücksichtigen.

Auf ein solches Ersuchen hin sollte die ENISA die Kandidatenregelungen für bestimmte IKT-Produkte, IKT-Dienste und IKT-Prozesse unverzüglich ausarbeiten. Die Kommission sollte die positiven und negativen Auswirkungen ihres Ersuchens auf den betreffenden Markt bewerten, insbesondere die Auswirkungen auf KMU, auf die Innovation, auf die Marktzutrittsschranken und auf die Kosten für die Endnutzer. Die Kommission sollte auf der Grundlage des von der ENISA ausgearbeiteten Kandidatenprogramms befugt sein, das europäische Zertifizierungssystem für Cybersicherheit im Wege von Durchführungsrechtsakten zu erlassen. Unter Berücksichtigung des allgemeinen Zwecks und der in dieser Verordnung festgelegten Sicherheitsziele sollten die von der Kommission erlassenen europäischen Zertifizierungssysteme für Cybersicherheit eine Mindestanzahl von Elementen hinsichtlich des Gegenstands, des Anwendungsbereichs und der Funktionsweise des jeweiligen Systems festlegen. Diese Elemente sollten unter anderem den Anwendungsbereich und den Gegenstand der Cybersicherheitszertifizierung umfassen, einschließlich der Kategorien der erfassten IKT-Produkte, IKT-Dienste und IKT-Prozesse, die detaillierte Spezifikation der Cybersicherheitsanforderungen, beispielsweise durch Verweis auf Normen oder technische Spezifikationen, die spezifischen Bewertungskriterien und Bewertungsmethoden sowie das angestrebte Sicherheitsniveau (‘grundlegend’, ‘erheblich’ oder ‘hoch’) und gegebenenfalls die Bewertungsstufen. Die ENISA sollte in der Lage sein, einen Antrag der ECCG abzulehnen. Solche Entscheidungen sollten vom Verwaltungsrat getroffen und ordnungsgemäß begründet werden.

(85) Die ENISA sollte eine Website unterhalten, die Informationen über europäische Cybersicherheitszertifizierungssysteme bereitstellt und diese bekannt macht. Diese Website sollte unter anderem die Anträge auf Erstellung eines Kandidatensystems sowie die im Rahmen des von der ENISA in der Vorbereitungsphase durchgeführten Konsultationsverfahrens erhaltenen Rückmeldungen enthalten. Die Website sollte auch Informationen über die nach dieser Verordnung ausgestellten europäischen Cybersicherheitszertifikate und Konformitätserklärungen der EU enthalten, einschließlich Informationen über die Rücknahme und das Auslaufen solcher europäischen Cybersicherheitszertifikate und Konformitätserklärungen der EU. Auf der Website sollten auch die nationalen Cybersicherheitszertifizierungssysteme angegeben werden, die durch ein europäisches Cybersicherheitszertifizierungssystem ersetzt wurden.

(86) Die Vertrauenswürdigkeitsstufe eines europäischen Zertifizierungsschemas ist die Grundlage für das Vertrauen, dass eine IKT-Produkt, eine IKT-Dienstleistung oder ein IKT-Prozess die Sicherheitsanforderungen eines bestimmten europäischen Cybersicherheits-Zertifizierungsschemas erfüllt. Um die Kohärenz des europäischen Rahmens für die Cybersicherheitszertifizierung zu gewährleisten, sollte ein europäisches Cybersicherheits-Zertifizierungsschema in der Lage sein, Vertrauenswürdigkeitsstufen für europäische Cybersicherheitszertifikate und EU-Konformitätserklärungen, die im Rahmen dieses Schemas ausgestellt werden, festzulegen. Jedes europäische Cybersicherheitszertifikat könnte sich auf eine der Vertrauenswürdigkeitsstufen beziehen: ‘grundlegend’, ‘beträchtlich’ oder ‘hoch’, während sich die EU-Konformitätserklärung nur auf die Vertrauenswürdigkeitsstufe ‘grundlegend’ beziehen könnte. Die Vertrauenswürdigkeitsstufen würden die entsprechende Strenge und Tiefe der Bewertung des IKT-Produkts, der IKT-Dienstleistung oder des IKT-Prozesses bieten und würden durch Verweis auf technische Spezifikationen, Standards und zugehörige Verfahren, einschließlich technischer Kontrollen zur Verhinderung oder Eindämmung von Vorfällen, charakterisiert werden. Jede Vertrauenswürdigkeitsstufe sollte in den verschiedenen Anwendungsbereichen der Zertifizierung kohärent sein.

(87) Ein europäisches Schema zur Cybersicherheitszertifizierung könnte mehrere Bewertungsstufen festlegen, je nach Strenge und Tiefe der angewandten Bewertungsmethodik. Die Bewertungsstufen sollten einer der Vertrauensstufen entsprechen und mit einer geeigneten Kombination von Vertrauenskomponenten verbunden sein. Für alle Vertrauensstufen sollte das IKT-Produkt, der IKT-Dienst oder der IKT-Prozess eine Reihe von sicheren Funktionen enthalten, wie im Schema festgelegt, zu denen gehören können: eine sichere Konfiguration ab Werk, signierter Code, sichere Updates und Schutz vor Ausnutzung sowie durchgängige oder Heap-Speicherschutzmechanismen. Diese Funktionen sollten im Rahmen von sicherheitsorientierten Entwicklungsansätzen und zugehörigen Werkzeugen entwickelt und gewartet werden, um sicherzustellen, dass wirksame Software- und Hardwaremechanismen zuverlässig integriert sind.

(88) Für die Sicherheitsstufe ‘basic’ sollte die Bewertung zumindest von den folgenden Sicherheitskomponenten geleitet werden: Die Bewertung sollte zumindest die Überprüfung der technischen Dokumentation des IKT-Produkts, des IKT-Dienstes oder des IKT-Prozesses durch die Konformitätsbewertungsstelle umfassen. Wenn die Zertifizierung IKT-Prozesse umfasst, sollte der für die Gestaltung, Entwicklung und Wartung eines IKT-Produkts oder IKT-Dienstes verwendete Prozess ebenfalls der technischen Überprüfung unterzogen werden. Wenn ein europäisches Cybersicherheitszertifizierungssystem eine Selbstbewertung der Konformität vorsieht, sollte es für den Hersteller oder Anbieter von IKT-Produkten, IKT-Diensten oder IKT-Prozessen ausreichend sein, eine Selbstbewertung der Konformität des IKT-Produkts, des IKT-Dienstes oder des IKT-Prozesses mit dem Zertifizierungssystem durchgeführt zu haben.

(89) Für die Vertrauensstufe ‘erheblich’ sollte die Bewertung zusätzlich zu den Anforderungen für die Vertrauensstufe ‘grundlegend’ zumindest anhand der Überprüfung der Konformität der Sicherheitsfunktionen des IKT-Produkts, des IKT-Dienstes oder des IKT-Prozesses mit seiner technischen Dokumentation erfolgen.

(90) Für die Sicherheitsstufe ‘hoch’ sollte die Bewertung, zusätzlich zu den Anforderungen für die Sicherheitsstufe ‘erheblich’, mindestens durch einen Effizienztest geleitet werden, der den Widerstand der Sicherheitsfunktionen eines IKT-Produkts, eines IKT-Dienstes oder eines IKT-Prozesses gegen anspruchsvolle Cyberangriffe bewertet, die von Personen mit erheblichen Fähigkeiten und Ressourcen durchgeführt werden.

(91) Die Inanspruchnahme europäischer Cybersicherheitszertifizierungen und von EU-Konformitätserklärungen sollte freiwillig bleiben, es sei denn, dies ist in Unionsrecht oder in nationalem Recht der Mitgliedstaaten, das gemäß Unionsrecht erlassen wurde, anders vorgesehen. In Ermangelung harmonisierten Unionsrechts können die Mitgliedstaaten nationale technische Vorschriften erlassen, die eine zwingende Zertifizierung im Rahmen eines europäischen Cybersicherheitszertifizierungsschemas gemäß der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates (20) vorsehen. Die Mitgliedstaaten können auch im Rahmen des öffentlichen Auftragswesens und der Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates (21) auf die europäische Cybersicherheitszertifizierung zurückgreifen.

(92) In einigen Bereichen könnte es zukünftig notwendig sein, spezifische Cybersicherheitsanforderungen einzuführen und deren Zertifizierung für bestimmte IKT-Produkte, IKT-Dienstleistungen oder IKT-Prozesse verbindlich zu machen, um das Cybersicherheitsniveau in der Union zu verbessern. Die Kommission sollte die Auswirkungen der angenommenen europäischen Cybersicherheitszertifizierungssysteme auf die Verfügbarkeit sicherer IKT-Produkte, IKT-Dienstleistungen und IKT-Prozesse auf dem Binnenmarkt regelmäßig überwachen und die Nutzung der Zertifizierungssysteme durch die Hersteller oder Anbieter von IKT-Produkten, IKT-Dienstleistungen oder IKT-Prozessen in der Union regelmäßig bewerten. Die Effizienz der europäischen Cybersicherheitszertifizierungssysteme und die Frage, ob bestimmte Systeme verbindlich gemacht werden sollten, sollten im Hinblick auf die cybersicherheitsbezogenen Rechtsvorschriften der Union, insbesondere die Richtlinie (EU) 2016/1148, unter Berücksichtigung der Sicherheit der von den Betreibern kritischer Infrastrukturen genutzten Netz- und Informationssysteme, bewertet werden.

(93) Europäische Cybersicherheitszertifikate und EU-Konformitätserklärungen sollten Endnutzern dabei helfen, fundierte Entscheidungen zu treffen. Daher sollten IKT-Produkte, IKT-Dienste und IKT-Prozesse, die zertifiziert wurden oder für die eine EU-Konformitätserklärung ausgestellt wurde, mit strukturierten Informationen versehen sein, die dem zu erwartenden technischen Kenntnisstand des vorgesehenen Endnutzers entsprechen. Alle diese Informationen sollten online und gegebenenfalls in physischer Form verfügbar sein. Der Endnutzer sollte Zugang zu Informationen über die Referenznummer des Zertifizierungssystems, das Sicherheitsniveau, die Beschreibung der mit dem IKT-Produkt, der IKT-Dienstleistung oder dem IKT-Prozess verbundenen Cybersicherheitsrisiken sowie die ausstellende Behörde oder Stelle haben oder in der Lage sein, eine Kopie des europäischen Cybersicherheitszertifikats zu erhalten. Darüber hinaus sollte der Endnutzer über die Cybersicherheits-Supportpolitik informiert werden, insbesondere darüber, wie lange der Endnutzer mit Cybersicherheits-Updates oder Patches vom Hersteller oder Anbieter von IKT-Produkten, IKT-Diensten oder IKT-Prozessen rechnen kann. Gegebenenfalls sollten Anleitungen zu Maßnahmen oder Einstellungen bereitgestellt werden, die der Endnutzer umsetzen kann, um die Cybersicherheit des IKT-Produkts oder der IKT-Dienstleistung aufrechtzuerhalten oder zu erhöhen, sowie Kontaktinformationen einer zentralen Anlaufstelle, an die im Falle von Cyberangriffen (zusätzlich zur automatischen Meldung) Meldung erstattet und Unterstützung angefordert werden kann. Diese Informationen sollten regelmäßig aktualisiert und auf einer Website bereitgestellt werden, die Informationen zu europäischen Cybersicherheits-Zertifizierungssystemen bietet.

(94) Zur Erreichung der Ziele dieser Verordnung und zur Vermeidung einer Zersplitterung des Binnenmarktes sollten nationale cybersicherheitsbezogene Zertifizierungssysteme oder -verfahren für ICT-Produkte, ICT-Dienstleistungen oder ICT-Prozesse, die unter ein europäisches cybersicherheitsbezogenes Zertifizierungssystem fallen, ab einem von der Kommission durch Durchführungsrechtsakte festgelegten Datum unwirksam werden. Darüber hinaus sollten die Mitgliedstaaten keine neuen nationalen cybersicherheitsbezogenen Zertifizierungssysteme für ICT-Produkte, ICT-Dienstleistungen oder ICT-Prozesse einführen, die bereits von einem bestehenden europäischen cybersicherheitsbezogenen Zertifizierungssystem abgedeckt werden. Die Mitgliedstaaten sollten jedoch nicht daran gehindert werden, nationale cybersicherheitsbezogene Zertifizierungssysteme für Zwecke der nationalen Sicherheit zu erlassen oder beizubehalten. Die Mitgliedstaaten sollten die Kommission und die ECCG über jede Absicht informieren, neue nationale cybersicherheitsbezogene Zertifizierungssysteme zu erlassen. Die Kommission und die ECCG sollten die Auswirkungen neuer nationaler cybersicherheitsbezogener Zertifizierungssysteme auf das ordnungsgemäße Funktionieren des Binnenmarktes und im Lichte etwaiger strategischer Interessen an der Forderung nach einem europäischen cybersicherheitsbezogenen Zertifizierungssystem stattdessen bewerten.

(95) Europäische cybersicherheitszertifizierungssysteme sollen dazu beitragen, die Praktiken für Cybersicherheit innerhalb der Union zu harmonisieren. Sie müssen dazu beitragen, das Niveau der Cybersicherheit innerhalb der Union zu erhöhen. Der Entwurf der europäischen cybersicherheitszertifizierungssysteme sollte die Entwicklung von Innovationen im Bereich der Cybersicherheit berücksichtigen und ermöglichen.

Europäische cybersichereitsszertifizierungssysteme sollten die aktuellen Methoden der Software- und Hardwareentwicklung und insbesondere die Auswirkungen häufiger Software- oder Firmware-Updates auf einzelne europäische cybersichereitszertifikate berücksichtigen. Europäische cybersichereitsszertifizierungssysteme sollten die Bedingungen festlegen, unter denen ein Update eine Neuzertifizierung eines IK-Produkts, eines IK-Dienstes oder eines IK-Prozesses erforderlich machen kann oder der Umfang eines bestimmten europäischen cybersichereitszertifikats reduziert werden kann, wobei mögliche nachteilige Auswirkungen des Updates auf die Einhaltung der Sicherheitsanforderungen dieses Zertifikats berücksichtigt werden.

(97) Sobald ein europäisches IT-Sicherheitszertifizierungssystem angenommen ist, sollten Hersteller oder Anbieter von IT-Produkten, IT-Dienstleistungen oder IT-Prozessen in der gesamten Union Anträge auf Zertifizierung ihrer IT-Produkte oder IT-Dienstleistungen bei der Konformitätsbewertungsstelle ihrer Wahl einreichen können. Konformitätsbewertungsstellen sollten von einer nationalen Akkreditierungsstelle akkreditiert werden, wenn sie bestimmte in dieser Verordnung festgelegte Anforderungen erfüllen. Die Akkreditierung sollte für höchstens fünf Jahre erteilt werden und unter den gleichen Bedingungen verlängerbar sein, vorausgesetzt, dass die Konformitätsbewertungsstelle die Anforderungen weiterhin erfüllt. Nationale Akkreditierungsstellen sollten die Akkreditierung einer Konformitätsbewertungsstelle einschränken, aussetzen oder widerrufen, wenn die Bedingungen für die Akkreditierung nicht erfüllt worden sind oder nicht mehr erfüllt sind oder wenn die Konformitätsbewertungsstelle gegen diese Verordnung verstößt.

Referenzen in nationalen Rechtsvorschriften auf nationale Normen, die aufgrund des Inkrafttretens eines europäischen Cybersicherheits-Zertifizierungssystems unwirksam geworden sind, können zu Verwirrung führen. Daher sollten die Mitgliedstaaten die Annahme eines europäischen Cybersicherheits-Zertifizierungssystems in ihren nationalen Rechtsvorschriften widerspiegeln.

Um unionseinheitliche Standards zu erzielen, die gegenseitige Anerkennung zu erleichtern und die allgemeine Akzeptanz europäischer Cybersicherheitszertifikate und EU-Konformitätserklärungen zu fördern, ist es erforderlich, ein System von Peer-Reviews zwischen den nationalen Cybersicherheitszertifizierungsstellen einzurichten. Die Peer-Reviews sollten die Verfahren zur Überwachung der Konformität von IKT-Produkten, IKT-Dienstleistungen und IKT-Prozessen mit europäischen Cybersicherheitszertifikaten, die Überwachung der Verpflichtungen von Herstellern oder Anbietern von IKT-Produkten, IKT-Dienstleistungen oder IKT-Prozessen, die eine Selbstbewertung der Konformität durchführen, die Überwachung von Konformitätsbewertungsstellen sowie die Angemessenheit der Fachkenntnisse des Personals von Stellen, die Zertifikate für die Vertrauenswürdigkeitsstufe ‘hoch’ ausstellen, abdecken. Die Kommission sollte in der Lage sein, im Wege von Durchführungsrechtsakten einen Plan für Peer-Reviews, der mindestens fünf Jahre umfasst, festzulegen sowie die Kriterien und Methoden für die Funktionsweise des Peer-Review-Systems festzulegen.

(100) Unbeschadet des allgemeinen Peer-Review-Systems, das für alle nationalen Zertifizierungsstellen für Cybersicherheit im Rahmen des europäischen Cybersicherheitszertifizierungssystems eingeführt wird, können bestimmte europäische Cybersicherheitszertifizierungssysteme einen Peer-Assessment-Mechanismus für die Stellen vorsehen, die europäische Cybersicherheitszertifikate für IKT-Produkte, IKT-Dienste und IKT-Prozesse mit der Vertrauenswürdigkeitsstufe ‘hoch’ im Rahmen solcher Systeme ausstellen. Der ECCG sollte die Umsetzung solcher Peer-Assessment-Mechanismen unterstützen. Die Peer-Assessments sollten insbesondere prüfen, ob die betreffenden Stellen ihre Aufgaben harmonisiert wahrnehmen, und können Revisionsmechanismen beinhalten. Die Ergebnisse der Peer-Assessments sollten öffentlich zugänglich gemacht werden. Die betreffenden Stellen können geeignete Maßnahmen ergreifen, um ihre Praktiken und Fachkenntnisse entsprechend anzupassen.

(101) Die Mitgliedstaaten sollten eine oder mehrere nationale Cybersicherheitszertifizierungsstellen benennen, um die Einhaltung der sich aus dieser Verordnung ergebenden Verpflichtungen zu überwachen. Eine nationale Cybersicherheitszertifizierungsstelle kann eine bestehende oder eine neue Behörde sein. Ein Mitgliedstaat sollte nach Absprache mit einem anderen Mitgliedstaat auch eine oder mehrere nationale Cybersicherheitszertifizierungsstellen im Hoheitsgebiet dieses anderen Mitgliedstaats benennen können.

(102) Nationale Zertifizierungsstellen für Cybersicherheit sollten insbesondere die Verpflichtungen von Herstellern oder Anbietern von IKT-Produkten, IKT-Dienste oder IKT-Prozesse, die in ihrem jeweiligen Hoheitsgebiet niedergelassen sind, in Bezug auf die EU-Konformitätserklärung zu überwachen und durchzusetzen, sollten die nationalen Akkreditierungsstellen bei der Überwachung und Beaufsichtigung der Tätigkeiten von Konformitätsbewertungsstellen unterstützen, indem sie ihnen Fachwissen und relevante Informationen zur Verfügung stellen, sollten Konformitätsbewertungsstellen zur Wahrnehmung ihrer Aufgaben ermächtigen, sofern diese Stellen zusätzliche Anforderungen erfüllen, die in einem europäischen Zertifizierungssystem für Cybersicherheit festgelegt sind, und sollten relevante Entwicklungen im Bereich der Cybersicherheitszertifizierung beobachten. Nationale Zertifizierungsstellen für Cybersicherheit sollten außerdem Beschwerden bearbeiten, die von natürlichen oder juristischen Personen in Bezug auf von diesen Stellen ausgestellte europäische Cybersicherheitszertifikate oder in Bezug auf von Konformitätsbewertungsstellen ausgestellte europäische Cybersicherheitszertifikate eingereicht werden, sofern diese Zertifikate die Sicherheitsstufe ‘hoch’ aufweisen; sie sollten den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung informieren. Darüber hinaus sollten nationale Cybersicherheits-Zertifizierungsstellen mit anderen nationalen Cybersicherheits-Zertifizierungsstellen oder anderen Behörden zusammenarbeiten, unter anderem durch den Austausch von Informationen über die mögliche Nichtkonformität von IKT-Produkten, IKT-Diensten und IKT-Prozessen mit den Anforderungen dieser Verordnung oder mit spezifischen europäischen Cybersicherheits-Zertifizierungssystemen. Die Kommission sollte diesen Informationsaustausch erleichtern, indem sie ein allgemeines elektronisches Informationssystem zur Verfügung stellt, beispielsweise das Informations- und Kommunikationssystem zur Marktüberwachung (ICSMS) und das Schnellwarnsystem für gefährliche Non-Food-Produkte (RAPEX), die bereits von Marktüberwachungsbehörden gemäß der Verordnung (EG) Nr. 765/2008 genutzt werden.

Um die konsistente Anwendung des europäischen Cybersicherheitszertifizierungsrahmens zu gewährleisten, sollte eine ECCG eingerichtet werden, die sich aus Vertretern der nationalen Cybersicherheitszertifizierungsbehörden oder anderer relevanter nationaler Behörden zusammensetzt. Die Hauptaufgaben der ECCG sollten darin bestehen, die Kommission bei ihrer Arbeit zur Gewährleistung der konsistenten Implementierung und Anwendung des europäischen Cybersicherheitszertifizierungsrahmens zu beraten und zu unterstützen, die ENISA bei der Vorbereitung von Entwürfen für Cybersicherheitszertifizierungssysteme zu unterstützen und eng mit ihr zusammenzuarbeiten, die ENISA in begründeten Fällen aufzufordern, einen Entwurf für ein Zertifizierungssystem vorzubereiten, Stellungnahmen an die ENISA zu Entwürfen für Zertifizierungssysteme und Stellungnahmen an die Kommission zur Beibehaltung und Überprüfung bestehender europäischer Cybersicherheitszertifizierungssysteme zu verabschieden. Die ECCG sollte den Austausch von bewährten Verfahren und Fachkenntnissen zwischen den verschiedenen nationalen Cybersicherheitszertifizierungsbehörden erleichtern, die für die Zulassung von Konformitätsbewertungsstellen und die Ausstellung europäischer Cybersicherheitszertifikate zuständig sind.

(104) Um das Bewusstsein zu schärfen und die Akzeptanz künftiger europäischer Cybersicherheitszertifizierungsregelungen zu erleichtern, kann die Kommission allgemeine oder branchenspezifische Cybersicherheitsleitlinien herausgeben, beispielsweise zu guten Cybersicherheitspraktiken oder verantwortungsvollem Cybersicherheitsverhalten, wobei die positiven Auswirkungen der Verwendung zertifizierter IKT-Produkte, IKT-Dienstleistungen und IKT-Prozesse hervorgehoben werden.

(105) Um den Handel weiter zu erleichtern und in Anerkennung der Tatsache, dass die IKT-Lieferketten global sind, können im Einklang mit Artikel 218 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) von der Union gegenseitige Anerkennungsvereinbarungen bezüglich europäischer Cybersicherheitszertifikate geschlossen werden. Die Kommission kann unter Berücksichtigung der Empfehlungen von ENISA und der Europäischen beratenden Gruppe für Cybersicherheitszertifizierung die Aufnahme relevanter Verhandlungen empfehlen. Jeder europäische Rahmen für die Cybersicherheitszertifizierung sollte spezifische Bedingungen für solche gegenseitigen Anerkennungsvereinbarungen mit Drittländern vorsehen.

(106) Um einheitliche Bedingungen für die Durchführung dieser Verordnung zu gewährleisten, sollten der Kommission Durchführungsbefugnisse verliehen werden. Diese Befugnisse sollten gemäß der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (22) ausgeübt werden.

(107) Das Prüfverfahren sollte für die Annahme von Durchführungsrechtsakten zu europäischen Cybersicherheitszertifizierungssystemen für IT-Produkte, IT-Dienstleistungen oder IT-Prozesse, für die Annahme von Durchführungsrechtsakten zu Regelungen für die Durchführung von Prüfungen durch die ENISA, für die Annahme von Durchführungsrechtsakten zu einem Plan für die Peer-Review nationaler Cybersicherheitszertifizierungsstellen sowie für die Annahme von Durchführungsrechtsakten zu den Umständen, Formaten und Verfahren von Meldungen von akkreditierten Konformitätsbewertungsstellen durch die nationalen Cybersicherheitszertifizierungsstellen an die Kommission verwendet werden.

(108) Die Tätigkeiten von ENISA sollten regelmäßigen und unabhängigen Bewertungen unterliegen. Diese Bewertungen sollten die Ziele von ENISA, ihre Arbeitsweise und die Relevanz ihrer Aufgaben, insbesondere ihrer Aufgaben im Zusammenhang mit der operativen Zusammenarbeit auf Unionsebene, berücksichtigen. Diese Bewertungen sollten auch die Auswirkungen, die Wirksamkeit und die Effizienz des europäischen Rahmens für die Cybersicherheitszertifizierung bewerten. Im Falle einer Überprüfung sollte die Kommission prüfen, wie die Rolle von ENISA als Anlaufstelle für Beratung und Fachwissen gestärkt werden kann, und auch die Möglichkeit prüfen, ENISA bei der Bewertung von Produkten, Dienstleistungen und Prozessen der Informations- und Kommunikationstechnologie von Drittländern, die nicht den Unionsvorschriften entsprechen und in die Union gelangen, zu unterstützen.

Da die Ziele dieser Verordnung von den Mitgliedstaaten nicht in ausreichendem Maße verwirklicht werden können, sondern vielmehr wegen ihres Umfangs und ihrer Wirkungen auf Unionsebene besser verwirklicht werden können, kann die Union nach dem in Artikel 5 des Vertrags über die Europäische Union (EUV) niedergelegten Subsidiaritätsprinzip tätig werden. Nach dem in diesem Artikel niedergelegten Verhältnismäßigkeitsprinzip geht diese Verordnung nicht über das zur Erreichung dieser Ziele erforderliche Maß hinaus.

(110) Die Verordnung (EU) Nr. 526/2013 sollte aufgehoben werden,

HABEN DIESE VERORDNUNG ANGENOMMEN: