{"id":1146,"date":"2024-01-29T16:47:57","date_gmt":"2024-01-29T16:47:57","guid":{"rendered":"https:\/\/nis2resources.eu\/?page_id=1146"},"modified":"2024-08-11T22:16:06","modified_gmt":"2024-08-11T22:16:06","slug":"praambel","status":"publish","type":"page","link":"https:\/\/nis2resources.eu\/de\/regulation-2019-881-enisa\/preamble\/","title":{"rendered":"Pr\u00e4ambel"},"content":{"rendered":"
\n

VERORDNUNG (EU) 2019\/881 DES EUROP\u00c4ISCHEN PARLAMENTS UND DES RATES<\/h2>\n\n\n\n

vom 17. April 2019<\/p>\n\n\n\n

auf ENISA (die Agentur der Europ\u00e4ischen Union f\u00fcr CybersecurityCybersecurity<\/span> \"Cybersicherheit\" ist die Cybersicherheit im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) 2019\/881; - Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a>\r\r\"Cybersicherheit\" bezeichnet die T\u00e4tigkeiten, die erforderlich sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu sch\u00fctzen; - Definition gem\u00e4\u00df Artikel 2 Nummer 1 der Verordnung (EU) 2019\/881;<\/span><\/span><\/span>) und \u00fcber die Zertifizierung von Informations- und Kommunikationstechnologien im Bereich der Cybersicherheit und zur Aufhebung der Verordnung (EU) Nr. 526\/2013 (Cybersicherheitsgesetz)<\/p>\n\n\n\n

(Text mit Bedeutung f\u00fcr den EWR)<\/p>\n<\/div>\n\n\n\n

<\/p>\n\n\n\n

DAS EUROP\u00c4ISCHE PARLAMENT UND DER RAT DER EUROP\u00c4ISCHEN UNION,
gest\u00fctzt auf den Vertrag \u00fcber die Arbeitsweise der Europ\u00e4ischen Union, insbesondere auf Artikel 114,
gest\u00fctzt auf den Vorschlag der Europ\u00e4ischen Kommission,
nach \u00dcbermittlung des Entwurfs des Rechtsakts an die nationalen Parlamente,
Unter Ber\u00fccksichtigung der Stellungnahme des Europ\u00e4ischen Wirtschafts- und Sozialausschusses (1),
In Anbetracht der Stellungnahme des Ausschusses der Regionen (2),
Nach dem ordentlichen Gesetzgebungsverfahren (3),<\/p>\n\n\n\n

in Erw\u00e4gung nachstehender Gr\u00fcnde:<\/p>\n\n\n\n

(1) Netz- und Informationssysteme sowie elektronische Kommunikationsnetze und -dienste spielen eine entscheidende Rolle in der Gesellschaft und sind zum R\u00fcckgrat des Wirtschaftswachstums geworden. Informations- und Kommunikationstechnologien (IKT) bilden die Grundlage f\u00fcr komplexe Systeme, die allt\u00e4gliche gesellschaftliche Aktivit\u00e4ten unterst\u00fctzen, unsere Volkswirtschaften in Schl\u00fcsselbereichen wie Gesundheit, Energie, Finanzen und Verkehr am Laufen halten und insbesondere die Funktionsweise des Binnenmarktes unterst\u00fctzen.<\/p>\n\n\n\n

(2) Die Nutzung von Netzwerk- und Informationssystemen durch B\u00fcrger, Organisationen und Unternehmen in der gesamten Union ist inzwischen allgegenw\u00e4rtig. Digitalisierung und Vernetzung werden in einer stetig wachsenden Zahl von Produkten und Dienstleistungen zu Kernmerkmalen, und mit dem Aufkommen des Internets der Dinge (IoT) wird erwartet, dass in den n\u00e4chsten zehn Jahren eine extrem hohe Zahl vernetzter digitaler Ger\u00e4te in der gesamten Union eingesetzt wird. W\u00e4hrend eine steigende Zahl von Ger\u00e4ten mit dem Internet verbunden ist, sind Sicherheit und Resilienz nicht ausreichend von Grund auf integriert, was zu unzureichender Cybersicherheit f\u00fchrt. In diesem Zusammenhang f\u00fchrt die begrenzte Nutzung von Zertifizierungen dazu, dass einzelne, organisatorische und gesch\u00e4ftliche Nutzer nur unzureichende Informationen \u00fcber die Cybersicherheitsmerkmale von IKT-Produkten, IKT-Dienstleistungen und IKT-Prozessen erhalten, was das Vertrauen in digitale L\u00f6sungen untergr\u00e4bt. Netzwerk- und Informationssysteme k\u00f6nnen alle Aspekte unseres Lebens unterst\u00fctzen und das Wirtschaftswachstum der Union vorantreiben. Sie sind der Eckpfeiler f\u00fcr die Verwirklichung des digitalen Binnenmarktes.<\/p>\n\n\n\n

(3) Zunehmende Digitalisierung und Vernetzung erh\u00f6hen die Risiken f\u00fcr die Cybersicherheit und machen somit die Gesellschaft als Ganzes anf\u00e4lliger f\u00fcr Cyberbedrohungen, was die Gefahren f\u00fcr Einzelpersonen, einschlie\u00dflich schutzbed\u00fcrftiger Personen wie Kinder, versch\u00e4rft. Um diese Risiken zu mindern, m\u00fcssen alle erforderlichen Ma\u00dfnahmen ergriffen werden, um die Cybersicherheit in der Union zu verbessern, damit die von B\u00fcrgern, Organisationen und Unternehmen \u2013 von kleinen und mittleren Unternehmen (KMU) gem\u00e4\u00df der Empfehlung 2003\/361\/EG der Kommission (4) bis hin zu Betreibern kritischer Infrastrukturen \u2013 genutzten vernetzten Informationssysteme, Kommunikationsnetze, digitalen Produkte, Dienste und Ger\u00e4te besser vor Cyberbedrohungen gesch\u00fctzt sind.<\/p>\n\n\n\n

(4) Indem die Europ\u00e4ische Agentur f\u00fcr Netz- und Informationssicherheit (ENISA), die durch die Verordnung (EU) Nr. 526\/2013 des Europ\u00e4ischen Parlaments und des Rates (5) eingesetzt wurde, die einschl\u00e4gigen Informationen der \u00d6ffentlichkeit zug\u00e4nglich macht, tr\u00e4gt sie zur Entwicklung der Cybersicherheitsbranche in der Union, insbesondere von KMU und Start-ups, bei. Die ENISA sollte eine engere Zusammenarbeit mit Universit\u00e4ten und Forschungseinrichtungen anstreben, um dazu beizutragen, die Abh\u00e4ngigkeit von Cybersicherheitsprodukten und -dienstleistungen von au\u00dferhalb der Union zu verringern und die Lieferketten innerhalb der Union zu st\u00e4rken.<\/p>\n\n\n\n

(5) Cyberangriffe nehmen zu, und eine vernetzte Wirtschaft und Gesellschaft, die st\u00e4rker f\u00fcr Cyberbedrohungen und -angriffe anf\u00e4llig ist, erfordert st\u00e4rkere Abwehrma\u00dfnahmen. W\u00e4hrend Cyberangriffe oft grenz\u00fcberschreitend stattfinden, sind die Zust\u00e4ndigkeiten und politischen Reaktionen von Cybersicherheits- und Strafverfolgungsbeh\u00f6rden \u00fcberwiegend national. Gro\u00dfe Zwischenf\u00e4lle k\u00f6nnten die Bereitstellung wesentlicher Dienstleistungen in der gesamten Union st\u00f6ren. Dies erfordert wirksame und koordinierte Reaktionen und Krisenmanagement auf Unionsebene, die auf speziellen Politiken und breiteren Instrumenten f\u00fcr europ\u00e4ische Solidarit\u00e4t und gegenseitige Unterst\u00fctzung basieren. Dar\u00fcber hinaus sind eine regelm\u00e4\u00dfige Bewertung des Stands der Cybersicherheit und der Widerstandsf\u00e4higkeit in der Union auf der Grundlage zuverl\u00e4ssiger Unionsdaten sowie systematische Prognosen zuk\u00fcnftiger Entwicklungen, Herausforderungen und Bedrohungen auf Unionsebene und globaler Ebene f\u00fcr politische Entscheidungstr\u00e4ger, die Industrie und die Nutzer von Bedeutung.<\/p>\n\n\n\n

(6) Angesichts der zunehmenden Herausforderungen f\u00fcr die Cybersicherheit, denen sich die Union gegen\u00fcbersieht, bedarf es eines umfassenden Ma\u00dfnahmenpakets, das auf fr\u00fcheren Ma\u00dfnahmen der Union aufbaut und sich gegenseitig verst\u00e4rkende Ziele f\u00f6rdert. Zu diesen Zielen geh\u00f6ren die weitere St\u00e4rkung der F\u00e4higkeiten und der Bereitschaft der Mitgliedstaaten und Unternehmen sowie die Verbesserung der Zusammenarbeit, des Informationsaustauschs und der Koordinierung zwischen den Mitgliedstaaten und den Institutionen, Einrichtungen, \u00c4mtern und Agenturen der Union. Dar\u00fcber hinaus besteht angesichts des grenz\u00fcberschreitenden Charakters von Cyberbedrohungen die Notwendigkeit, die F\u00e4higkeiten auf Unionsebene zu st\u00e4rken, die die Ma\u00dfnahmen der Mitgliedstaaten erg\u00e4nzen k\u00f6nnten, insbesondere bei grenz\u00fcberschreitenden Vorf\u00e4llen und Krisen gro\u00dfen Ausma\u00dfes, wobei die Bedeutung der Aufrechterhaltung und weiteren Verbesserung der nationalen F\u00e4higkeiten zur Abwehr von Cyberbedrohungen jeder Gr\u00f6\u00dfenordnung zu ber\u00fccksichtigen ist.<\/p>\n\n\n\n

(7) Zus\u00e4tzliche Anstrengungen sind auch erforderlich, um die Wahrnehmung von B\u00fcrgern, Organisationen und Unternehmen f\u00fcr Cybersicherheitsprobleme zu erh\u00f6hen. Dar\u00fcber hinaus untergraben Vorf\u00e4lle angesichts dessen das Vertrauen in digitaler DienstDigitaler Dienst<\/span> jede Dienstleistung der Informationsgesellschaft, d. h. jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empf\u00e4ngers erbrachte Dienstleistung.\r\rIm Sinne dieser Definition bedeutet i) \"im Fernabsatz\", dass die Dienstleistung ohne gleichzeitige Anwesenheit der Beteiligten erbracht wird; ii) \"auf elektronischem Wege\", dass die Dienstleistung mittels Ger\u00e4ten f\u00fcr die elektronische Verarbeitung (einschlie\u00dflich digitaler Kompression) und Speicherung von Daten am Ausgangspunkt gesendet und am Zielort empfangen wird und vollst\u00e4ndig \u00fcber Draht, \u00fcber Funk, auf optischem oder anderem elektromagnetischem Wege \u00fcbertragen, weitergeleitet und empfangen wird; iii) \"auf individuellen Abruf eines Empf\u00e4ngers von Diensten\", dass die Dienstleistung durch \u00dcbermittlung von Daten auf individuelle Anforderung erbracht wird.\r\r- Definition gem\u00e4\u00df Artikel 1 Absatz 1 Buchstabe b der Richtlinie (EU) 2015\/1535 des Europ\u00e4ischen Parlaments und des Rates<\/span><\/span><\/span> Anbieter und im digitalen Binnenmarkt selbst, insbesondere bei den Verbrauchern, das Vertrauen weiter gest\u00e4rkt werden, indem auf transparente Weise Informationen \u00fcber das Sicherheitsniveau von IKT-Produkten, -Dienstleistungen und -Prozessen angeboten werden, die hervorheben, dass selbst ein hohes Ma\u00df an Cybersicherheitszertifizierung keine Garantie daf\u00fcr bieten kann, dass IKT-ProduktIKT-Produkt<\/span> Bezeichnet ein Element oder eine Gruppe von Elementen eines Netzes oder Informationssystems - Definition gem\u00e4\u00df Artikel 2, Punkt (12), Verordnung (EU) 2019\/881<\/span><\/span><\/span>, IKT-DienstleistungIKT-Dienstleistung<\/span> bezeichnet eine Dienstleistung, die ganz oder \u00fcberwiegend in der \u00dcbertragung, Speicherung, Abfrage oder Verarbeitung von Informationen mittels Netz- und Informationssystemen besteht - Definition gem\u00e4\u00df Artikel 2 Nummer 13 der Verordnung (EU) 2019\/881<\/span><\/span><\/span> oder IKT-ProzessIKT-Prozess<\/span> Bezeichnet eine Reihe von T\u00e4tigkeiten, die f\u00fcr den Entwurf, die Entwicklung, die Bereitstellung oder die Wartung eines IKT-Produkts oder einer IKT-Dienstleistung durchgef\u00fchrt werden - Definition gem\u00e4\u00df Artikel 2, Punkt (14), Verordnung (EU) 2019\/881<\/span><\/span><\/span> ist vollst\u00e4ndig sicher. Eine Vertrauenssteigerung kann durch eine unionsweite Zertifizierung gef\u00f6rdert werden, die gemeinsame Cybersicherheitsanforderungen und Bewertungskriterien f\u00fcr nationale M\u00e4rkte und Sektoren vorsieht.<\/p>\n\n\n\n

(8) Cybersicherheit ist nicht nur eine Angelegenheit der Technologie, sondern auch eine, bei der menschliches Verhalten gleicherma\u00dfen wichtig ist. Daher sollte \u2018Cyberhygiene\u2019, d. h. einfache, routinem\u00e4\u00dfige Ma\u00dfnahmen, die bei B\u00fcrgern, Organisationen und Unternehmen umgesetzt und regelm\u00e4\u00dfig ausgef\u00fchrt werden, um deren Anf\u00e4lligkeit f\u00fcr Risiken durch Cyberbedrohungen zu minimieren, nachdr\u00fccklich gef\u00f6rdert werden.<\/p>\n\n\n\n

(9) Zur St\u00e4rkung der Cybersicherheitsstrukturen der Union ist es wichtig, die F\u00e4higkeiten der Mitgliedstaaten zur umfassenden Reaktion auf Cyberbedrohungen, einschlie\u00dflich grenz\u00fcberschreitender Vorf\u00e4lle, zu erhalten und weiterzuentwickeln.<\/p>\n\n\n\n

(10) Unternehmen und einzelne Verbraucher sollten genaue Informationen \u00fcber den Zusicherungsgrad haben, mit dem die Sicherheit ihrer IKT-Produkte, IKT-Dienste und IKT-Prozesse zertifiziert wurde. Gleichzeitig ist kein IKT-Produkt oder keine IKT-Dienstleistung vollst\u00e4ndig cybersicher, und grundlegende Regeln der Cyberhygiene m\u00fcssen gef\u00f6rdert und priorisiert werden. Angesichts der zunehmenden Verf\u00fcgbarkeit von IoT-Ger\u00e4ten gibt es eine Reihe von freiwilligen Ma\u00dfnahmen, die der Privatsektor ergreifen kann, um das Vertrauen in die Sicherheit von IKT-Produkten, IKT-Diensten und IKT-Prozessen zu st\u00e4rken.<\/p>\n\n\n\n

(11) Moderne IKT-Produkte und -Systeme integrieren und basieren oft auf einer oder mehreren Technologien und Komponenten von Drittanbietern, wie z. B. Softwaremodulen, Bibliotheken oder Anwendungsprogrammierschnittstellen. Diese Abh\u00e4ngigkeit, die als \u2018Dependency\u2019 bezeichnet wird, k\u00f6nnte zus\u00e4tzliche Cybersicherheitsrisiken bergen, da Schwachstellen in Komponenten von Drittanbietern auch die Sicherheit der IKT-Produkte, IKT-Dienste und IKT-Prozesse beeintr\u00e4chtigen k\u00f6nnten. In vielen F\u00e4llen erm\u00f6glicht die Identifizierung und Dokumentation solcher Abh\u00e4ngigkeiten den Endnutzern von IKT-Produkten, IKT-Diensten und IKT-Prozessen, ihre Cybersicherheit zu verbessern. RisikoRisiko<\/span> Bezeichnet das Potenzial f\u00fcr Verluste oder St\u00f6rungen, die durch ein Ereignis verursacht werden, und wird als Kombination aus dem Ausma\u00df eines solchen Verlusts oder einer solchen St\u00f6rung und der Wahrscheinlichkeit des Eintretens des Ereignisses ausgedr\u00fcckt. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> Managementaktivit\u00e4ten durch Verbesserung, zum Beispiel, der Cybersicherheit der Benutzer SchwachstelleSchwachstelle<\/span> Bezeichnet eine Schw\u00e4che, Anf\u00e4lligkeit oder einen Fehler von IKT-Produkten oder IKT-Diensten, die durch eine Cyber-Bedrohung ausgenutzt werden k\u00f6nnen. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> Management- und Sanierungsverfahren.<\/p>\n\n\n\n

(12) Organisationen, Hersteller oder Anbieter, die an der Konzeption und Entwicklung von IKT-Produkten, IKT-Diensten oder IKT-Prozessen beteiligt sind, sollten dazu angehalten werden, bereits in den fr\u00fchesten Phasen der Konzeption und Entwicklung Ma\u00dfnahmen zu ergreifen, um die Sicherheit dieser Produkte, Dienste und Prozesse so weit wie m\u00f6glich zu gew\u00e4hrleisten, und zwar in einer Weise, bei der das Auftreten von Cyberangriffen vorausgesetzt und deren Auswirkungen antizipiert und minimiert werden (\u2018Security-by-Design\u2019). Die Sicherheit sollte w\u00e4hrend der gesamten Lebensdauer des IKT-Produkts, der IKT-Dienstleistung oder des IKT-Prozesses durch Entwurfs- und Entwicklungsprozesse gew\u00e4hrleistet werden, die st\u00e4ndig weiterentwickelt werden, um das Risiko von Sch\u00e4den durch b\u00f6swillige Ausnutzung zu verringern.<\/p>\n\n\n\n

(13) Unternehmen, Organisationen und der \u00f6ffentliche Sektor sollten die von ihnen konzipierten IKT-Produkte, IKT-Dienstleistungen oder IKT-Prozesse so konfigurieren, dass ein h\u00f6heres Sicherheitsniveau gew\u00e4hrleistet ist, das es dem Endnutzer erm\u00f6glicht, eine Standardkonfiguration mit den bestm\u00f6glichen Sicherheitseinstellungen zu erhalten (\u2018Security by Default\u2019), wodurch die Belastung der Nutzer, die ein IKT-Produkt, eine IKT-Dienstleistung oder einen IKT-Prozess ordnungsgem\u00e4\u00df konfigurieren m\u00fcssen, verringert wird. Security by Default sollte keine umfangreiche Konfiguration, kein spezifisches technisches Verst\u00e4ndnis oder kein unintuitives Verhalten seitens des Nutzers erfordern und sollte bei der Implementierung einfach und zuverl\u00e4ssig funktionieren. Wenn im Einzelfall eine Risiko- und Usability-Analyse zu dem Schluss f\u00fchrt, dass eine solche Standardeinstellung nicht praktikabel ist, sollten die Nutzer aufgefordert werden, sich f\u00fcr die sicherste Einstellung zu entscheiden.<\/p>\n\n\n\n

(14) Die Verordnung (EG) Nr. 460\/2004 des Europ\u00e4ischen Parlaments und des Rates (6) hat die ENISA mit dem Ziel eingerichtet, zur Gew\u00e4hrleistung eines hohen und wirksamen Niveaus der Netz- und Informationssicherheit in der Union beizutragen und eine Kultur der Netz- und Informationssicherheit zum Vorteil von B\u00fcrgern, Verbrauchern, Unternehmen und \u00f6ffentlichen Verwaltungen zu entwickeln. Die Verordnung (EG) Nr. 1007\/2008 des Europ\u00e4ischen Parlaments und des Rates (7) verl\u00e4ngerte das Mandat der ENISA bis M\u00e4rz 2012. Die Verordnung (EU) Nr. 580\/2011 des Europ\u00e4ischen Parlaments und des Rates (8) verl\u00e4ngerte das Mandat der ENISA weiter bis zum 13. September 2013. Die Verordnung (EU) Nr. 526\/2013 verl\u00e4ngerte das Mandat der ENISA bis zum 19. Juni 2020.<\/p>\n\n\n\n

(15) Die Union hat bereits wichtige Schritte unternommen, um die Cybersicherheit zu gew\u00e4hrleisten und das Vertrauen in digitale Technologien zu st\u00e4rken. Im Jahr 2013 wurde die Cybersicherheitsstrategie der Europ\u00e4ischen Union angenommen, um die Politik der Union im Umgang mit Cyberbedrohungen und -risiken zu leiten. Um die B\u00fcrgerinnen und B\u00fcrger online besser zu sch\u00fctzen, wurde 2016 der erste Rechtsakt der Union im Bereich der Cybersicherheit in Form der Richtlinie (EU) 2016\/1148 des Europ\u00e4ischen Parlaments und des Rates (9) angenommen. Die Richtlinie (EU) 2016\/1148 legte Anforderungen an die nationalen F\u00e4higkeiten im Bereich der Cybersicherheit fest, schuf die ersten Mechanismen zur Verbesserung der strategischen und operativen Zusammenarbeit zwischen den Mitgliedstaaten und f\u00fchrte Verpflichtungen bez\u00fcglich Sicherheitsma\u00dfnahmen ein. VorfallVorfall<\/span> Bezeichnet ein Ereignis, das die Verf\u00fcgbarkeit, Authentizit\u00e4t, Integrit\u00e4t oder Vertraulichkeit gespeicherter, \u00fcbermittelter oder verarbeiteter Daten oder der von Netz- und Informationssystemen angebotenen oder \u00fcber sie zug\u00e4nglichen Dienste beeintr\u00e4chtigt. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> Benachrichtigungen in Sektoren, die f\u00fcr die Wirtschaft und Gesellschaft von entscheidender Bedeutung sind, wie Energie, Verkehr, Trinkwasserversorgung und -verteilung, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, digitale Infrastrukturen sowie wichtige Anbieter digitaler Dienste (Suchmaschinen, Cloud-Computing-Dienste und Online-Marktpl\u00e4tze).<\/p>\n\n\n\n

ENISA wurde eine Schl\u00fcsselrolle bei der Unterst\u00fctzung der Umsetzung dieser Richtlinie zugeschrieben. Dar\u00fcber hinaus ist die wirksame Bek\u00e4mpfung der Cyberkriminalit\u00e4t eine wichtige Priorit\u00e4t der Europ\u00e4ischen Sicherheitsagenda, die zum Gesamtziel der Erzielung eines hohen Niveaus der Cybersicherheit beitr\u00e4gt. Andere Rechtsakte wie die Verordnung (EU) 2016\/679 des Europ\u00e4ischen Parlaments und des Rates (10) sowie die Richtlinien 2002\/58\/EG (11) und (EU) 2018\/1972 (12) des Europ\u00e4ischen Parlaments und des Rates tragen ebenfalls zu einem hohen Niveau der Cybersicherheit im digitalen Binnenmarkt bei.<\/p>\n\n\n\n

(16) Seit der Verabschiedung der Cybersicherheitsstrategie der Europ\u00e4ischen Union im Jahr 2013 und der letzten \u00dcberarbeitung des Mandats der ENISA hat sich der allgemeine politische Kontext erheblich ge\u00e4ndert, da das globale Umfeld unsicherer und weniger sicher geworden ist. Vor diesem Hintergrund und im Kontext der positiven Entwicklung der Rolle der ENISA als Referenzpunkt f\u00fcr Beratung und Fachwissen, als Vermittler von Zusammenarbeit und Kapazit\u00e4tsaufbau sowie im Rahmen der neuen Cybersicherheitspolitik der Union ist es notwendig, das Mandat der ENISA zu \u00fcberpr\u00fcfen, ihre Rolle im ver\u00e4nderten Cybersicherheits-\u00d6kosystem festzulegen und sicherzustellen, dass sie wirksam zur Reaktion der Union auf Cybersicherheitsherausforderungen beitr\u00e4gt, die sich aus der radikal ver\u00e4nderten Cyber-BedrohungCyber-Bedrohung<\/span> bezeichnet alle potenziellen Umst\u00e4nde, Ereignisse oder Handlungen, die Netz- und Informationssysteme, die Nutzer solcher Systeme und andere Personen besch\u00e4digen, st\u00f6ren oder anderweitig beeintr\u00e4chtigen k\u00f6nnten - Definition gem\u00e4\u00df Artikel 2 Nummer 8 der Verordnung (EU) 2019\/881<\/span><\/span><\/span> Landschaft, f\u00fcr die, wie im Rahmen der ENISA-Bewertung anerkannt, das derzeitige Mandat nicht ausreicht.<\/p>\n\n\n\n

(17) Die gem\u00e4\u00df dieser Verordnung eingesetzte ENISA sollte die gem\u00e4\u00df der Verordnung (EU) Nr. 526\/2013 eingesetzte ENISA abl\u00f6sen. Die ENISA sollte \u2013 unter anderem durch die Bereitstellung von Rat und Fachwissen und als Unionszentrum f\u00fcr Informationen und Kenntnisse \u2013 die ihr durch diese Verordnung und andere Rechtsakte der Union im Bereich der Cybersicherheit \u00fcbertragenen Aufgaben wahrnehmen. Sie sollte den Austausch bew\u00e4hrter Verfahren zwischen den Mitgliedstaaten und privaten Interessentr\u00e4gern f\u00f6rdern, der Kommission und den Mitgliedstaaten Politikvorschl\u00e4ge unterbreiten, als Anlaufstelle f\u00fcr sektorale Politikinitiativen der Union im Bereich der Cybersicherheit dienen und die operative Zusammenarbeit sowohl zwischen den Mitgliedstaaten als auch zwischen den Mitgliedstaaten und den Organen, Einrichtungen und Agenturen der Union f\u00f6rdern.<\/p>\n\n\n\n

Im Rahmen der nach einstimmigem Einvernehmen der Vertreter der Mitgliedstaaten auf der Ebene der Staats- und Regierungschefs (13) getroffenen Entscheidung 2004\/97\/EG des Rates und der Kommission zur Gr\u00fcndung der Europ\u00e4ischen Agentur f\u00fcr Netzsicherheits- und Informationssicherheit (ENISA) haben die Vertreter der Mitgliedstaaten beschlossen, dass der Sitz der ENISA in einer von der griechischen Regierung zu bestimmenden Stadt in Griechenland sein wird. Der ENISA-Aufnahmemitgliedstaat soll die bestm\u00f6glichen Bedingungen f\u00fcr den reibungslosen und effizienten Betrieb der ENISA gew\u00e4hrleisten. F\u00fcr die ordnungsgem\u00e4\u00dfe und effiziente Erf\u00fcllung ihrer Aufgaben, f\u00fcr die Rekrutierung und Bindung von Personal sowie zur Steigerung der Effizienz von Vernetzungsaktivit\u00e4ten ist es unerl\u00e4sslich, dass die ENISA an einem geeigneten Standort angesiedelt wird, der unter anderem \u00fcber angemessene Verkehrsverbindungen und Einrichtungen f\u00fcr Ehegatten und Kinder, die das Personal der ENISA begleiten, verf\u00fcgt. Die erforderlichen Regelungen sind in einer Vereinbarung zwischen der ENISA und dem Aufnahmemitgliedstaat nach Genehmigung durch den Verwaltungsrat der ENISA zu treffen.<\/p>\n\n\n\n

(19) Angesichts der zunehmenden Cyber\u00adsicher\u00adheits\u00adrisiken und -heraus\u00adforderungen, denen die Union gegen\u00fcbersteht, sollten die ENISA zugewiesenen finanziellen und personellen Mittel erh\u00f6ht werden, um ihrer gest\u00e4rkten Rolle und ihren Aufgaben sowie ihrer kritischen Stellung im \u00d6kosystem der f\u00fcr die Verteidigung des digitalen \u00d6kosystems der Union zust\u00e4ndigen Organisationen Rechnung zu tragen, damit die ENISA die ihr durch diese Verordnung \u00fcbertragenen Aufgaben wirksam wahrnehmen kann.<\/p>\n\n\n\n

(20) Die ENISA sollte ein hohes Ma\u00df an Fachkompetenz entwickeln und aufrechterhalten und als Bezugspunkt fungieren, indem sie durch ihre Unabh\u00e4ngigkeit, die Qualit\u00e4t ihrer Beratung, die Qualit\u00e4t der von ihr verbreiteten Informationen, die Transparenz ihrer Verfahren, die Transparenz ihrer Arbeitsweise und die Sorgfalt bei der Erf\u00fcllung ihrer Aufgaben Vertrauen in den Binnenmarkt schafft. Die ENISA sollte nationale Bem\u00fchungen aktiv unterst\u00fctzen und proaktiv zu den Bem\u00fchungen der Union beitragen, wobei sie ihre Aufgaben in enger Zusammenarbeit mit den Organen, Einrichtungen, \u00c4mtern und Agenturen der Union sowie mit den Mitgliedstaaten wahrnimmt, Doppelarbeit vermeidet und Synergien f\u00f6rdert. Dar\u00fcber hinaus sollte die ENISA auf Beitr\u00e4gen des privaten Sektors sowie anderer relevanter Interessengruppen aufbauen und mit diesen zusammenarbeiten. In einem Aufgabenkatalog sollte festgelegt werden, wie die ENISA ihre Ziele erreichen soll, wobei ihr bei der Durchf\u00fchrung ihrer T\u00e4tigkeiten Flexibilit\u00e4t einger\u00e4umt werden sollte.<\/p>\n\n\n\n

(21) Um die operative Zusammenarbeit zwischen den Mitgliedstaaten angemessen unterst\u00fctzen zu k\u00f6nnen, sollte die ENISA ihre technischen und personellen Kapazit\u00e4ten sowie ihre Fachkompetenzen weiter ausbauen. Die ENISA sollte ihr Know-how und ihre F\u00e4higkeiten erweitern. Die ENISA und die Mitgliedstaaten k\u00f6nnten auf freiwilliger Basis Programme zur Entsendung nationaler Experten an die ENISA entwickeln und so Expertenpools sowie Personalaustauschprogramme einrichten.<\/p>\n\n\n\n

(22) Die ENISA sollte die Kommission mit Ratschl\u00e4gen, Stellungnahmen und Analysen zu allen Fragen der Union im Zusammenhang mit der Politik- und Rechtsentwicklung, Aktualisierungen und \u00dcberpr\u00fcfungen im Bereich der Cybersicherheit und deren branchenspezifischen Aspekten unterst\u00fctzen, um die Relevanz der Politik und des Rechts der Union mit einer Cybersicherheitsdimension zu verbessern und eine koh\u00e4rente Umsetzung dieser Politik und dieses Rechts auf nationaler Ebene zu erm\u00f6glichen. Die ENISA sollte als Anlaufstelle f\u00fcr Ratschl\u00e4ge und Fachwissen f\u00fcr branchenspezifische Politik- und Gesetzesinitiativen der Union dienen, wenn Angelegenheiten im Zusammenhang mit der Cybersicherheit betroffen sind. Die ENISA sollte das Europ\u00e4ische Parlament regelm\u00e4\u00dfig \u00fcber ihre T\u00e4tigkeiten informieren.<\/p>\n\n\n\n

(23) Der \u00f6ffentliche Kern des offenen Internets, n\u00e4mlich seine Hauptprotokolle und Infrastruktur, die ein globales \u00f6ffentliches Gut darstellen, stellt die wesentliche Funktionalit\u00e4t des Internets als Ganzes bereit und bildet die Grundlage f\u00fcr seinen normalen Betrieb. Die ENISA sollte die Sicherheit des \u00f6ffentlichen Kerns des offenen Internets und die Stabilit\u00e4t seiner Funktionsweise unterst\u00fctzen, einschlie\u00dflich, aber nicht beschr\u00e4nkt auf, Schl\u00fcsselprotokolle (insbesondere DNS, BGP und IPv6), den Betrieb des Domain Name Systems (wie den Betrieb aller Top-Level-Domains) und den Betrieb der Root-Zone.<\/p>\n\n\n\n

(24) Die zugrunde liegende Aufgabe der ENISA ist die F\u00f6rderung der einheitlichen Umsetzung des einschl\u00e4gigen rechtlichen Rahmens, insbesondere der wirksamen Umsetzung der Richtlinie (EU) 2016\/1148 und anderer einschl\u00e4giger Rechtsinstrumente mit Aspekten der Cybersicherheit, was f\u00fcr die St\u00e4rkung der Cyberresilienz unerl\u00e4sslich ist. Angesichts der sich schnell entwickelnden Cyberbedrohungslandschaft ist klar, dass die Mitgliedstaaten durch einen umfassenderen, politik\u00fcbergreifenden Ansatz zur St\u00e4rkung der Cyberresilienz unterst\u00fctzt werden m\u00fcssen.<\/p>\n\n\n\n

(25) Die ENISA sollte die Mitgliedstaaten und die Organe, Einrichtungen, \u00c4mter und Agenturen der Union bei ihren Bem\u00fchungen um den Aufbau und die Verbesserung der F\u00e4higkeiten und der Bereitschaft zur Vorbeugung, Erkennung und Bew\u00e4ltigung von Cyberbedrohungen und Cyberzwischenf\u00e4llen sowie im Zusammenhang mit den Sicherheit der Netz- und InformationssystemeSicherheit von Netz- und Informationssystemen<\/span> bezeichnet die F\u00e4higkeit von Netz- und Informationssystemen, mit einem bestimmten Vertrauensniveau jedem Ereignis zu widerstehen, das die Verf\u00fcgbarkeit, Authentizit\u00e4t, Integrit\u00e4t oder Vertraulichkeit gespeicherter, \u00fcbermittelter oder verarbeiteter Daten oder der von diesen Netz- und Informationssystemen angebotenen oder \u00fcber sie zug\u00e4nglichen Dienste beeintr\u00e4chtigen k\u00f6nnte; - Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span>. Insbesondere sollte ENISA die Entwicklung und Verbesserung der nationalen und unionsweiten Teams f\u00fcr die Reaktion auf IT-Sicherheitsvorf\u00e4lle (Computer Security Incident Response Teams \u2013 CSIRT), die in der Richtlinie (EU) 2016\/1148 vorgesehen sind, unterst\u00fctzen, um ein hohes gemeinsames Niveau ihrer Reife in der Union zu erreichen. Von ENISA durchgef\u00fchrte T\u00e4tigkeiten im Zusammenhang mit den operativen Kapazit\u00e4ten der Mitgliedstaaten sollten die von den Mitgliedstaaten zur Erf\u00fcllung ihrer Verpflichtungen aus der Richtlinie (EU) 2016\/1148 ergriffenen Ma\u00dfnahmen wirksam unterst\u00fctzen und diese daher nicht ersetzen.<\/p>\n\n\n\n

(26) Die ENISA sollte auch bei der Entwicklung und Aktualisierung von Strategien zur Sicherheit von Netz- und Informationssystemen auf Unionsebene und auf Ersuchen auf Ebene der Mitgliedstaaten, insbesondere im Bereich der Cybersicherheit, unterst\u00fctzen, die Verbreitung dieser Strategien f\u00f6rdern und die Fortschritte bei ihrer Umsetzung verfolgen. Die ENISA sollte auch dazu beitragen, den Bedarf an Schulungen und Schulungsmaterialien, einschlie\u00dflich des Bedarfs \u00f6ffentlicher Stellen, und gegebenenfalls in hohem Ma\u00dfe \u2018Trainer zu schulen\u2019 zu decken, und zwar auf der Grundlage des Kompetenzrahmens f\u00fcr digitale Kompetenzen f\u00fcr B\u00fcrgerinnen und B\u00fcrger, um die Mitgliedstaaten und die Organe, Einheiten, \u00c4mter und Agenturen der Union bei der Entwicklung ihrer eigenen Schulungskapazit\u00e4ten zu unterst\u00fctzen.<\/p>\n\n\n\n

(27) ENISA sollte die Mitgliedstaaten im Bereich der Sensibilisierung und Bildung f\u00fcr Cybersicherheit unterst\u00fctzen, indem sie eine engere Koordinierung und den Austausch von bew\u00e4hrten Praktiken zwischen den Mitgliedstaaten erleichtert. Eine solche Unterst\u00fctzung k\u00f6nnte in der Entwicklung eines Netzwerks nationaler Ansprechpartner f\u00fcr Bildung und der Entwicklung einer Plattform f\u00fcr Cybersicherheitsschulungen bestehen. Das Netzwerk nationaler Ansprechpartner f\u00fcr Bildung k\u00f6nnte innerhalb des Netzwerks der nationalen Verbindungsoffiziere t\u00e4tig sein und ein Ausgangspunkt f\u00fcr die k\u00fcnftige Koordinierung innerhalb der Mitgliedstaaten sein.<\/p>\n\n\n\n

Die ENISA sollte die durch die Richtlinie (EU) 2016\/1148 eingesetzte Kooperationsgruppe bei der Ausf\u00fchrung ihrer Aufgaben unterst\u00fctzen, insbesondere durch die Bereitstellung von Fachwissen, Beratung und die F\u00f6rderung des Austauschs bew\u00e4hrter Verfahren, unter anderem im Hinblick auf die Ermittlung von Betreibern kritischer Infrastrukturen durch die Mitgliedstaaten sowie im Zusammenhang mit grenz\u00fcberschreitenden Abh\u00e4ngigkeiten, Risiken und Vorf\u00e4llen.<\/p>\n\n\n\n

Um die Zusammenarbeit zwischen dem \u00f6ffentlichen und dem privaten Sektor sowie innerhalb des privaten Sektors zu f\u00f6rdern, insbesondere zur Unterst\u00fctzung des Schutzes kritischer Infrastrukturen, sollte ENISA den Informationsaustausch innerhalb und zwischen den Sektoren, insbesondere den in Anhang II der Richtlinie (EU) 2016\/1148 aufgef\u00fchrten Sektoren, unterst\u00fctzen, indem sie bew\u00e4hrte Verfahren und Leitlinien zu verf\u00fcgbaren Werkzeugen und Verfahren bereitstellt und Leitlinien dazu gibt, wie regulatorische Fragen im Zusammenhang mit dem Informationsaustausch angegangen werden k\u00f6nnen, beispielsweise durch die Erleichterung der Einrichtung von sektorspezifischen Informationsaustausch- und Analysezentren.<\/p>\n\n\n\n

(30) Da die potenziellen negativen Auswirkungen von Schwachstellen in IKT-Produkten, IKT-Diensten und IKT-Prozessen st\u00e4ndig zunehmen, spielt die Identifizierung und Behebung solcher Schwachstellen eine wichtige Rolle bei der Verringerung des gesamten Cybersicherheitsrisikos. Die Zusammenarbeit zwischen Organisationen, Herstellern oder Anbietern anf\u00e4lliger IKT-Produkte, IKT-Dienste und IKT-Prozesse sowie Mitgliedern der Cybersicherheits-Forschungsgemeinschaft und Regierungen, die Schwachstellen finden, hat sich nachweislich erheblich auf die Entdeckungsrate und die Behebung von Schwachstellen in IKT-Produkten, IKT-Diensten und IKT-Prozessen ausgewirkt. Die koordinierte Offenlegung von Schwachstellen spezifiziert einen strukturierten Kooperationsprozess, bei dem Schwachstellen dem Eigent\u00fcmer des Informationssystems gemeldet werden, was der Organisation die M\u00f6glichkeit gibt, die Schwachstelle zu diagnostizieren und zu beheben, bevor detaillierte Informationen \u00fcber die Schwachstelle an Dritte oder die \u00d6ffentlichkeit weitergegeben werden. Der Prozess sieht auch eine Koordinierung zwischen dem Finder und der Organisation hinsichtlich der Ver\u00f6ffentlichung dieser Schwachstellen vor. Richtlinien zur koordinierten Offenlegung von Schwachstellen k\u00f6nnten eine wichtige Rolle bei den Bem\u00fchungen der Mitgliedstaaten zur Verbesserung der Cybersicherheit spielen.<\/p>\n\n\n\n

(31) ENISA sollte freiwillig \u00fcbermittelte nationale Berichte von CSIRTs und dem zwischeninstitutionellen Computer-Notfallreaktionsteam f\u00fcr die Organe, Einrichtungen und sonstigen Stellen der Union (CERT-EU), das durch die Vereinbarung zwischen dem Europ\u00e4ischen Parlament, dem Europ\u00e4ischen Rat, dem Rat der Europ\u00e4ischen Union, der Europ\u00e4ischen Kommission, dem Gerichtshof der Europ\u00e4ischen Union, der Europ\u00e4ischen Zentralbank, dem Europ\u00e4ischen Rechnungshof, dem Europ\u00e4ischen Ausw\u00e4rtigen Dienst, dem Europ\u00e4ischen Wirtschafts- und Sozialausschuss, dem Ausschuss der Regionen und der Europ\u00e4ischen Investitionsbank \u00fcber die Organisation und Arbeitsweise eines Computer-Notfallreaktionsteams f\u00fcr die Organe, Einrichtungen und sonstigen Stellen der Union (14) eingerichtet wurde, sammeln und analysieren, um zur Etablierung gemeinsamer Verfahren, einer gemeinsamen Sprache und Terminologie f\u00fcr den Informationsaustausch beizutragen. In diesem Zusammenhang sollte ENISA den Privatsektor im Rahmen der Richtlinie (EU) 2016\/1148 einbeziehen, die die Grundlage f\u00fcr den freiwilligen Austausch technischer Informationen auf operativer Ebene im Netzwerk der Computer-Notfallteams (CSIRTs-Netzwerk) schafft, das durch diese Richtlinie eingerichtet wurde.<\/p>\n\n\n\n

(32) ENISA sollte im Falle gro\u00df angelegter grenz\u00fcberschreitender cyber-bezogener Vorf\u00e4lle und Krisen zu Reaktionen auf Unionsebene beitragen. Diese Aufgabe sollte im Einklang mit dem Mandat von ENISA gem\u00e4\u00df dieser Verordnung und einem von den Mitgliedstaaten im Rahmen der Empfehlung (EU) 2017\/1584 der Kommission (15) und der Schlussfolgerungen des Rates vom 26. Juni 2018 zur koordinierten Reaktion der EU auf cyber-bezogene Vorf\u00e4lle und Krisen gro\u00df angelegten Umfangs zu vereinbarenden Ansatzes wahrgenommen werden. Diese Aufgabe k\u00f6nnte die Sammlung relevanter Informationen und die Rolle eines Vermittlers zwischen dem CSIRTs-Netzwerk und der technischen Gemeinschaft sowie zwischen den f\u00fcr das Krisenmanagement zust\u00e4ndigen Entscheidungstr\u00e4gern umfassen. Dar\u00fcber hinaus sollte ENISA die operative Zusammenarbeit zwischen den Mitgliedstaaten unterst\u00fctzen, wenn dies von einem oder mehreren Mitgliedstaaten im Umgang mit Vorf\u00e4llen aus technischer Sicht gew\u00fcnscht wird, indem sie den Austausch relevanter technischer L\u00f6sungen zwischen den Mitgliedstaaten erleichtert und Beitr\u00e4ge zur \u00f6ffentlichen Kommunikation leistet. ENISA sollte die operative Zusammenarbeit durch die Erprobung der Regelungen f\u00fcr eine solche Zusammenarbeit im Rahmen regelm\u00e4\u00dfiger \u00dcbungen zur Cybersicherheit unterst\u00fctzen.<\/p>\n\n\n\n

(33) Bei der Unterst\u00fctzung der operativen Zusammenarbeit sollte die ENISA die vorhandene technische und operative Expertise von CERT-EU durch eine strukturierte Zusammenarbeit nutzen. Eine solche strukturierte Zusammenarbeit k\u00f6nnte auf der Expertise der ENISA aufbauen. Gegebenenfalls sollten zwischen den beiden Einrichtungen spezielle Vereinbarungen getroffen werden, um die praktische Umsetzung einer solchen Zusammenarbeit festzulegen und Doppelarbeit zu vermeiden.<\/p>\n\n\n\n

(34) Bei der Erf\u00fcllung seiner Aufgabe zur Unterst\u00fctzung der operativen Zusammenarbeit im Netz der CSIRTs sollte die ENISA in der Lage sein, die Mitgliedstaaten auf deren Ersuchen hin zu unterst\u00fctzen, beispielsweise durch die Bereitstellung von Ratschl\u00e4gen zur Verbesserung ihrer F\u00e4higkeiten zur Verh\u00fctung, Erkennung und Bew\u00e4ltigung von Vorf\u00e4llen, durch die Erleichterung der technischen Bew\u00e4ltigung von Vorf\u00e4llen mit erheblichen oder wesentlichen Auswirkungen oder durch die Sicherstellung der Analyse von Cyberbedrohungen und -vorf\u00e4llen. Die ENISA sollte die technische Bew\u00e4ltigung von Vorf\u00e4llen mit erheblichen oder wesentlichen Auswirkungen insbesondere durch die Unterst\u00fctzung des freiwilligen Austauschs technischer L\u00f6sungen zwischen den Mitgliedstaaten oder durch die Erstellung kombinierter technischer Informationen, wie durch die Mitgliedstaaten freiwillig ausgetauschter technischer L\u00f6sungen, erleichtern. Die Empfehlung (EU) 2017\/1584 empfiehlt den Mitgliedstaaten, in gutem Glauben zusammenzuarbeiten und sich gegenseitig und der ENISA unverz\u00fcglich Informationen \u00fcber gro\u00df angelegte Cyber-Sicherheitsvorf\u00e4lle und -krisen auszutauschen. Solche Informationen w\u00fcrden der ENISA ferner bei der Erf\u00fcllung ihrer Aufgabe zur Unterst\u00fctzung der operativen Zusammenarbeit helfen.<\/p>\n\n\n\n

(35) Als Teil der regelm\u00e4\u00dfigen technischen Zusammenarbeit zur Unterst\u00fctzung des Lagebildes der Union sollte die ENISA in enger Zusammenarbeit mit den Mitgliedstaaten einen regelm\u00e4\u00dfigen vertieften technischen Lagebericht der EU zur Cybersicherheit \u00fcber Vorf\u00e4lle und Cyberbedrohungen vorbereiten. Dieser Bericht sollte auf \u00f6ffentlich zug\u00e4nglichen Informationen, eigenen Analysen und Berichten basieren, die ihr von den CSIRTs der Mitgliedstaaten oder den gem\u00e4\u00df der Richtlinie (EU) 2016\/1148 vorgesehenen nationalen zentralen Anlaufstellen f\u00fcr die Sicherheit von Netz- und Informationssystemen (\u2019zentrale Anlaufstellen\u2018) freiwillig \u00fcbermittelt werden, sowie auf Informationen des Europ\u00e4ischen Zentrums zur Bek\u00e4mpfung der Computerkriminalit\u00e4t (EC3) bei Europol, CERT-EU und gegebenenfalls des Zentrums f\u00fcr die analytische Nachrichtenbeschaffung und die Lageerfassung der Europ\u00e4ischen Union (EU INTCEN) beim Europ\u00e4ischen Ausw\u00e4rtigen Dienst. Dieser Bericht sollte dem Rat, der Kommission, dem Hohen Vertreter zur Verf\u00fcgung gestellt werden (dieser Teil des Satzes musste abgeschritten werden, da die genaue \u00dcbersetzung des Satzendes im Original inkonsistent war). AbgeordneterAbgeordneter<\/span> Bezeichnet eine in der Union ans\u00e4ssige nat\u00fcrliche oder juristische Person, die ausdr\u00fccklich dazu bestimmt ist, im Namen eines DNS-Diensteanbieters, eines TLD-Namenregisters, einer Einrichtung, die Dom\u00e4nennamenregistrierungsdienste anbietet, eines Cloud-Computing-Diensteanbieters, eines Rechenzentrumsdiensteanbieters, eines Content-Delivery-Network-Anbieters, eines Managed-Service-Anbieters, eines Managed-Security-Service-Anbieters oder eines Anbieters eines Online-Marktplatzes, einer Online-Suchmaschine oder einer Plattform f\u00fcr soziale Netzwerkdienste, der nicht in der Union ans\u00e4ssig ist, zu handeln, und an die sich eine zust\u00e4ndige Beh\u00f6rde oder ein CSIRT anstelle der Einrichtung selbst in Bezug auf die Verpflichtungen dieser Einrichtung nach dieser Richtlinie wenden kann.\r\r- Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> des Ausschusses f\u00fcr ausw\u00e4rtige Angelegenheiten und Sicherheitspolitik sowie des CSIRT-Netzwerks.<\/p>\n\n\n\n

(36) Die Unterst\u00fctzung der ENISA bei technischen Nachuntersuchungen von Vorf\u00e4llen mit erheblichen oder wesentlichen Auswirkungen, die auf Ersuchen der betroffenen Mitgliedstaaten erfolgen, sollte sich auf die Verhinderung k\u00fcnftiger Vorf\u00e4lle konzentrieren. Die betroffenen Mitgliedstaaten sollten die notwendigen Informationen und die erforderliche Unterst\u00fctzung leisten, damit die ENISA die technische Nachuntersuchung wirksam unterst\u00fctzen kann.<\/p>\n\n\n\n

(37) Die Mitgliedstaaten k\u00f6nnen die von dem Vorfall betroffenen Unternehmen auffordern, durch Bereitstellung notwendiger Informationen und Unterst\u00fctzung f\u00fcr ENISA mitzuwirken, unbeschadet ihres Rechts, gesch\u00e4ftlich sensible Informationen und f\u00fcr die \u00f6ffentliche Sicherheit relevante Informationen zu sch\u00fctzen.<\/p>\n\n\n\n

(38) Um die Herausforderungen im Bereich der Cybersicherheit besser zu verstehen und zur strategischen langfristigen Beratung der Mitgliedstaaten und der Organe, Einrichtungen, \u00c4mter und Agenturen der Union beizutragen, muss die ENISA aktuelle und aufkommende Cybersicherheitsrisiken analysieren. Zu diesem Zweck sollte die ENISA in Zusammenarbeit mit den Mitgliedstaaten und gegebenenfalls mit Statistik\u00e4mtern und anderen Stellen relevante \u00f6ffentlich zug\u00e4ngliche oder freiwillig geteilte Informationen sammeln und Analysen neuartiger Technologien durchf\u00fchren sowie themenspezifische Bewertungen der erwarteten gesellschaftlichen, rechtlichen, wirtschaftlichen und regulatorischen Auswirkungen technologischer Innovationen auf die Netz- und Informationssicherheit, insbesondere auf die Cybersicherheit, vorlegen. Die ENISA sollte die Mitgliedstaaten und die Organe, Einrichtungen, \u00c4mter und Agenturen der Union ferner bei der Identifizierung aufkommender Cybersicherheitsrisiken und der Verhinderung von Vorf\u00e4llen unterst\u00fctzen, indem sie Analysen von Cyberbedrohungen, Schwachstellen und Vorf\u00e4llen durchf\u00fchrt.<\/p>\n\n\n\n

(39) Zur St\u00e4rkung der Widerstandsf\u00e4higkeit der Union sollte die ENISA Fachwissen im Bereich der Cybersicherheit von Infrastrukturen entwickeln, insbesondere zur Unterst\u00fctzung der Sektoren, die in Anhang II der Richtlinie (EU) 2016\/1148 genannt sind, und derjenigen, die von den Anbietern der in Anhang III der genannten Richtlinie aufgef\u00fchrten digitalen Dienste genutzt werden, indem sie beratend t\u00e4tig wird, Leitlinien herausgibt und bew\u00e4hrte Verfahren austauscht. Um den Zugang zu besser strukturierten Informationen \u00fcber Cybersicherheitsrisiken und m\u00f6gliche Abhilfema\u00dfnahmen zu erleichtern, sollte die ENISA die \u2018Informationsplattform\u2019 der Union entwickeln und pflegen, ein zentrales Portal mit Informationen \u00fcber Cybersicherheit von Unions- und nationalen Institutionen, Einrichtungen, \u00c4mtern und Agenturen. Die Erleichterung des Zugangs zu besser strukturierten Informationen \u00fcber Cybersicherheitsrisiken und m\u00f6gliche Abhilfema\u00dfnahmen k\u00f6nnte auch dazu beitragen, dass die Mitgliedstaaten ihre Kapazit\u00e4ten st\u00e4rken und ihre Praktiken aufeinander abstimmen und dadurch ihre allgemeine Widerstandsf\u00e4higkeit gegen Cyberangriffe erh\u00f6hen.<\/p>\n\n\n\n

(40) ENISA sollte zur Sensibilisierung der \u00d6ffentlichkeit f\u00fcr Cybersicherheitsrisiken beitragen, unter anderem durch eine EU-weite Sensibilisierungskampagne durch F\u00f6rderung der Bildung und durch Bereitstellung von Leitlinien f\u00fcr gute Praktiken f\u00fcr einzelne Nutzer, die sich an B\u00fcrger, Organisationen und Unternehmen richten. ENISA sollte auch zur F\u00f6rderung von Best Practices und L\u00f6sungen, einschlie\u00dflich Cyberhygiene und Cyberkompetenz auf Ebene der B\u00fcrger, Organisationen und Unternehmen beitragen, indem sie \u00f6ffentlich zug\u00e4ngliche Informationen \u00fcber bedeutende Vorf\u00e4lle sammelt und analysiert und Berichte und Leitlinien f\u00fcr B\u00fcrger, Organisationen und Unternehmen erstellt und ver\u00f6ffentlicht, um deren Gesamtgrad an Bereitschaft und Widerstandsf\u00e4higkeit zu verbessern. ENISA sollte sich auch bem\u00fchen, Verbraucher mit relevanten Informationen \u00fcber anwendbare Zertifizierungssysteme zu versorgen, beispielsweise durch Bereitstellung von Leitlinien und Empfehlungen. ENISA sollte ferner, im Einklang mit dem Aktionsplan f\u00fcr digitale Bildung, der in der Mitteilung der Kommission vom 17. Januar 2018 festgelegt wurde, und in Zusammenarbeit mit den Mitgliedstaaten und den Organen, Einrichtungen, \u00c4mtern und Agenturen der Union, regelm\u00e4\u00dfige Aufkl\u00e4rungs- und Bildungskampagnen f\u00fcr Endnutzer organisieren, um ein sichereres Online-Verhalten von Einzelpersonen und digitale Kompetenz zu f\u00f6rdern, das Bewusstsein f\u00fcr potenzielle Cyberbedrohungen, einschlie\u00dflich Online-Kriminalit\u00e4t wie Phishing-Angriffe, Botnetze, Finanz- und Bankbetrug, Datenbetrugsvorf\u00e4lle, zu sch\u00e4rfen und grundlegende Ratschl\u00e4ge zu Multi-Faktor-Authentifizierung, Patching, Verschl\u00fcsselung, Anonymisierung und Datenschutz zu geben.<\/p>\n\n\n\n

(41) Die ENISA sollte eine zentrale Rolle bei der F\u00f6rderung des Endverbraucherbewusstseins f\u00fcr die Sicherheit von Ger\u00e4ten und die sichere Nutzung von Diensten spielen und sollte auf Unionsebene Sicherheit und Datenschutz durch Design f\u00f6rdern. Bei der Verfolgung dieses Ziels sollte die ENISA verf\u00fcgbare bew\u00e4hrte Verfahren und Erfahrungen nutzen, insbesondere die bew\u00e4hrten Verfahren und Erfahrungen von akademischen Einrichtungen und IT-Sicherheitsforschern.<\/p>\n\n\n\n

(42) Zur Unterst\u00fctzung der im Cybersicherheitssektor t\u00e4tigen Unternehmen und der Nutzer von Cybersicherheitsl\u00f6sungen sollte die ENISA eine \u2018Marktbeobachtungsstelle\u2019 einrichten und unterhalten, indem sie regelm\u00e4\u00dfig Analysen durchf\u00fchrt und Informationen \u00fcber die wichtigsten Trends auf dem Cybersicherheitsmarkt sowohl auf der Nachfrageseite als auch auf der Angebotsseite verbreitet.<\/p>\n\n\n\n

(43) Die ENISA sollte zu den Bem\u00fchungen der Union um Zusammenarbeit mit internationalen Organisationen sowie im Rahmen relevanter internationaler Kooperationsstrukturen im Bereich der Cybersicherheit beitragen. Insbesondere sollte die ENISA nach Bedarf zur Zusammenarbeit mit Organisationen wie der OECD, der OSZE und der NATO beitragen. Diese Zusammenarbeit k\u00f6nnte gemeinsame Cyber-Sicherheits\u00fcbungen und eine gemeinsame Koordinierung der Reaktion auf Zwischenf\u00e4lle umfassen. Diese T\u00e4tigkeiten sind unter voller Achtung der Grunds\u00e4tze der Inklusivit\u00e4t, der Gegenseitigkeit und der autonomen Entscheidungsfindung der Union durchzuf\u00fchren, ohne die Besonderheiten der Sicherheits- und Verteidigungspolitik eines Mitgliedstaates zu beeintr\u00e4chtigen.<\/p>\n\n\n\n

Um sicherzustellen, dass sie ihre Ziele vollst\u00e4ndig erreicht, sollte die ENISA mit den zust\u00e4ndigen Aufsichtsbeh\u00f6rden der Union und anderen zust\u00e4ndigen Beh\u00f6rden in der Union, Unionsorganen, -einrichtungen, -\u00e4mtern und -agenturen, einschlie\u00dflich CERT-EU, EC3, der Europ\u00e4ischen Verteidigungsagentur (EDA), der Agentur der Europ\u00e4ischen Union f\u00fcr das globale satellitengest\u00fctzte Navigationssystem (GSuppAbs), dem Gremium Europ\u00e4ischer Regulierungsbeh\u00f6rden f\u00fcr die elektronische Kommunikation (BEREC), der Europ\u00e4ischen Agentur f\u00fcr das Betriebsmanagement von IT-Gro\u00dfprojekten im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA), der Europ\u00e4ischen Zentralbank (EZB), der Europ\u00e4ischen Bankenaufsichtsbeh\u00f6rde (EBA), dem Europ\u00e4ischen Datenschutzausschuss, der Agentur f\u00fcr die Zusammenarbeit der Energieregulierungsbeh\u00f6rden (ACER), der Europ\u00e4ischen Agentur f\u00fcr Flugsicherheit (EASA) und jeder anderen Unionsagentur, die im Bereich der Cybersicherheit t\u00e4tig ist, zusammenarbeiten. Die ENISA sollte auch mit zust\u00e4ndigen Datenschutzbeh\u00f6rden zusammenarbeiten, um Fachkenntnisse und bew\u00e4hrte Verfahren auszutauschen, und sollte Ratschl\u00e4ge zu Cybersicherheitsfragen geben, die sich auf deren Arbeit auswirken k\u00f6nnten. Vertreter von nationalen und Unionsbeh\u00f6rden f\u00fcr Strafverfolgung und Datenschutz sollten berechtigt sein, in der beratenden Gruppe der ENISA vertreten zu sein. Bei der Zusammenarbeit mit Strafverfolgungsbeh\u00f6rden in Bezug auf Fragen der Netz- und Informationssicherheit, die sich auf deren Arbeit auswirken k\u00f6nnten, sollte die ENISA bestehende Informationskan\u00e4le und etablierte Netzwerke beachten.<\/p>\n\n\n\n

Es k\u00f6nnten Partnerschaften mit akademischen Einrichtungen, die Forschungsinitiativen in relevanten Bereichen unterhalten, aufgebaut werden, und es sollten geeignete Kan\u00e4le f\u00fcr den Input von Verbraucherorganisationen und anderen Organisationen eingerichtet werden, die ber\u00fccksichtigt werden sollten.<\/p>\n\n\n\n

(46) Die ENISA sollte in ihrer Funktion als Sekretariat des CSIRT-Netzwerks die CSIRTs der Mitgliedstaaten und das CERT-EU bei der operativen Zusammenarbeit im Zusammenhang mit den relevanten Aufgaben des CSIRT-Netzwerks gem\u00e4\u00df der Richtlinie (EU) 2016\/1148 unterst\u00fctzen. Dar\u00fcber hinaus sollte die ENISA die Zusammenarbeit zwischen den einschl\u00e4gigen CSIRTs im Falle von Vorf\u00e4llen, Angriffen oder St\u00f6rungen von Netzwerken oder Infrastrukturen, die von den CSIRTs verwaltet oder gesch\u00fctzt werden und mindestens zwei CSIRTs betreffen oder betreffen k\u00f6nnen, f\u00f6rdern und unterst\u00fctzen, wobei sie dabei geb\u00fchrend ber\u00fccksichtigt StandardStandard<\/span> Eine technische Spezifikation, die von einem anerkannten Normungsgremium zur wiederholten oder st\u00e4ndigen Anwendung angenommen wurde, deren Einhaltung nicht zwingend vorgeschrieben ist und bei der es sich um eine der folgenden Normen handelt:\r(a) \"internationale Norm\" eine Norm, die von einem internationalen Normungsgremium angenommen wurde; b) \"europ\u00e4ische Norm\" eine Norm, die von einer europ\u00e4ischen Normungsorganisation angenommen wurde; c) \"harmonisierte Norm\" eine europ\u00e4ische Norm, die auf der Grundlage eines Antrags der Kommission auf Anwendung der Harmonisierungsrechtsvorschriften der Union angenommen wurde; d) \"nationale Norm\" eine Norm, die von einem nationalen Normungsgremium angenommen wurde - Definition gem\u00e4\u00df Artikel 2 Nummer 1 der Verordnung (EU) Nr. 1025\/2012 des Europ\u00e4ischen Parlaments und des Rates.<\/span><\/span><\/span> Betriebsabl\u00e4ufe des CSIRT-Netzwerks.<\/p>\n\n\n\n

(47) Mit dem Ziel, die Bereitschaft der Union zur Bew\u00e4ltigung von Zwischenf\u00e4llen zu verbessern, sollte die ENISA regelm\u00e4\u00dfig Cybersicherheits\u00fcbungen auf Unionsebene organisieren und auf Anfrage die Mitgliedstaaten sowie die Organe, Einrichtungen, \u00c4mter und Agenturen der Union bei der Organisation solcher \u00dcbungen unterst\u00fctzen. Umfassende Gro\u00df\u00fcbungen, die technische, operative oder strategische Elemente umfassen, sollten zweij\u00e4hrlich stattfinden. Dar\u00fcber hinaus sollte die ENISA in der Lage sein, regelm\u00e4\u00dfig weniger umfassende \u00dcbungen mit demselben Ziel, n\u00e4mlich der Verbesserung der Bereitschaft der Union zur Bew\u00e4ltigung von Zwischenf\u00e4llen, zu organisieren.<\/p>\n\n\n\n

(48) Die ENISA sollte ihre Expertise im Bereich der Cybersicherheitszertifizierung weiter ausbauen und pflegen, um die Unionspolitik in diesem Bereich zu unterst\u00fctzen. Die ENISA sollte auf bestehenden bew\u00e4hrten Verfahren aufbauen und die Akzeptanz der Cybersicherheitszertifizierung innerhalb der Union f\u00f6rdern, unter anderem durch Beitr\u00e4ge zur Einrichtung und Pflege eines unionsweiten Rahmens f\u00fcr die Cybersicherheitszertifizierung (europ\u00e4ischer Rahmen f\u00fcr die Cybersicherheitszertifizierung), um die Transparenz der Cybersicherheitszusicherungen von IKT-Produkten, IKT-Dienstleistungen und IKT-Prozessen zu erh\u00f6hen und dadurch das Vertrauen in den digitalen Binnenmarkt und seine Wettbewerbsf\u00e4higkeit zu st\u00e4rken.<\/p>\n\n\n\n

(49) Effiziente Cybersicherheitsrichtlinien sollten sowohl im \u00f6ffentlichen als auch im privaten Sektor auf gut entwickelten Methoden zur Risikobewertung beruhen. Methoden zur Risikobewertung werden auf verschiedenen Ebenen eingesetzt, wobei es keine einheitliche Praxis f\u00fcr deren effiziente Anwendung gibt. Die F\u00f6rderung und Entwicklung von bew\u00e4hrten Verfahren f\u00fcr die Risikobewertung und f\u00fcr interoperable Risikomanagementl\u00f6sungen in \u00f6ffentlichen und privaten Organisationen wird das Niveau der Cybersicherheit in der Union erh\u00f6hen. Zu diesem Zweck sollte die ENISA die Zusammenarbeit zwischen den Interessentr\u00e4gern auf Unionsebene unterst\u00fctzen und deren Bem\u00fchungen im Zusammenhang mit der Festlegung und \u00dcbernahme europ\u00e4ischer und internationaler Standards f\u00fcr das Risikomanagement und f\u00fcr die messbare Sicherheit von elektronischen Produkten, Systemen, Netzen und Diensten erleichtern, die zusammen mit Software die Netz- und Informationssysteme bilden.<\/p>\n\n\n\n

(50) Die ENISA sollte die Mitgliedstaaten, Hersteller oder Anbieter von ICT-Produkten, ICT-Dienstleistungen oder ICT-Verfahren ermutigen, ihre allgemeinen Sicherheitsstandards zu erh\u00f6hen, damit alle Internetnutzer die notwendigen Schritte unternehmen k\u00f6nnen, um ihre eigene pers\u00f6nliche Cybersicherheit zu gew\u00e4hrleisten, und sollte Anreize daf\u00fcr schaffen. Insbesondere sollten Hersteller und Anbieter von ICT-Produkten, ICT-Dienstleistungen oder ICT-Verfahren alle notwendigen Aktualisierungen bereitstellen und ICT-Produkte, ICT-Dienstleistungen oder ICT-Verfahren, die Cybersicherheitsstandards nicht erf\u00fcllen, zur\u00fcckrufen, zur\u00fcckziehen oder recyceln, w\u00e4hrend Importeure und H\u00e4ndler sicherstellen sollten, dass die ICT-Produkte, ICT-Dienstleistungen und ICT-Verfahren, die sie auf dem Unionsmarkt in Verkehr bringen, den geltenden Anforderungen entsprechen und keine Gefahr f\u00fcr die Verbraucher in der Union darstellen.<\/p>\n\n\n\n

(51) In Zusammenarbeit mit zust\u00e4ndigen Beh\u00f6rden sollte die ENISA in der Lage sein, Informationen \u00fcber den Stand der Cybersicherheit von im Binnenmarkt angebotenen IKT-Produkten, IKT-Dienstleistungen und IKT-Prozessen zu verbreiten und Warnungen herauszugeben, die sich an Hersteller oder Anbieter von IKT-Produkten, IKT-Dienstleistungen oder IKT-Prozessen richten und diese auffordern, die Sicherheit ihrer IKT-Produkte, IKT-Dienstleistungen oder IKT-Prozesse, einschlie\u00dflich der Cybersicherheit, zu verbessern.<\/p>\n\n\n\n

(52) Die ENISA sollte die laufenden Aktivit\u00e4ten in den Bereichen Forschung, Entwicklung und Technologiebewertung, insbesondere diejenigen, die von den verschiedenen Forschunginitiativen der Union durchgef\u00fchrt werden, vollst\u00e4ndig ber\u00fccksichtigen, um die Organe, Einrichtungen, \u00c4mter und Agenturen der Union und, wo relevant, die Mitgliedstaaten auf deren Ersuchen zu Fragen der Forschungsbed\u00fcrfnisse und -priorit\u00e4ten im Bereich der Cybersicherheit zu beraten. Um die Forschungsbed\u00fcrfnisse und -priorit\u00e4ten zu ermitteln, sollte die ENISA auch die einschl\u00e4gigen Benutzergruppen konsultieren. Ganz konkret k\u00f6nnte eine Zusammenarbeit mit dem Europ\u00e4ischen Forschungsrat, dem Europ\u00e4ischen Innovations- und Technologieinstitut und dem Europ\u00e4ischen Institut f\u00fcr Sicherheitstudien aufgenommen werden.<\/p>\n\n\n\n

(53) Die ENISA sollte bei der Ausarbeitung der europ\u00e4ischen Cybersicherheitszertifizierungssysteme regelm\u00e4\u00dfig Standardisierungsorganisationen, insbesondere europ\u00e4ische Standardisierungsorganisationen, konsultieren.<\/p>\n\n\n\n

(54) Cyberbedrohungen sind ein globales Problem. Es bedarf einer engeren internationalen Zusammenarbeit zur Verbesserung der Cybersicherheitsstandards, einschlie\u00dflich der Festlegung gemeinsamer Verhaltensnormen, der Verabschiedung von Verhaltenskodizes, der Anwendung internationaler Standards und des Informationsaustauschs, um eine z\u00fcgigere internationale Zusammenarbeit bei der Bew\u00e4ltigung von Problemen der Netz- und Informationssicherheit zu f\u00f6rdern und einen gemeinsamen globalen Ansatz f\u00fcr solche Probleme voranzutreiben. Zu diesem Zweck sollte die ENISA ein st\u00e4rkeres Engagement der Union sowie die Zusammenarbeit mit Drittl\u00e4ndern und internationalen Organisationen unterst\u00fctzen, indem sie den zust\u00e4ndigen Organen, Einrichtungen, \u00c4mtern und Agenturen der Union gegebenenfalls das erforderliche Fachwissen und die notwendigen Analysen zur Verf\u00fcgung stellt.<\/p>\n\n\n\n

ENISA sollte in der Lage sein, auf Ad-hoc-Anfragen von Mitgliedstaaten und Unionsinstitutionen, -gremien, -\u00e4mtern und -agenturen zu Angelegenheiten im Rahmen des Mandats von ENISA um Rat und Unterst\u00fctzung zu reagieren.<\/p>\n\n\n\n

(56) Es ist sinnvoll und empfehlenswert, bestimmte Grunds\u00e4tze f\u00fcr die Governance der ENISA umzusetzen, um die von der Interinstitutionellen Arbeitsgruppe f\u00fcr dezentrale Agenturen der EU im Juli 2012 vereinbarte Gemeinsame Erkl\u00e4rung und den Gemeinsamen Ansatz einzuhalten, deren Zweck es ist, die T\u00e4tigkeiten der dezentralen Agenturen zu straffen und ihre Leistung zu verbessern. Die Empfehlungen der Gemeinsamen Erkl\u00e4rung und des Gemeinsamen Ansatzes sollten gegebenenfalls auch in den Arbeitsprogrammen, Bewertungen, Berichterstattungen und der Verwaltungspraxis der ENISA widergespiegelt werden.<\/p>\n\n\n\n

(57) Der Verwaltungsrat, bestehend aus Vertretern der Mitgliedstaaten und der Kommission, sollte die allgemeine Ausrichtung der T\u00e4tigkeiten von ENISA festlegen und sicherstellen, dass ENISA ihre Aufgaben in \u00dcbereinstimmung mit dieser Verordnung erf\u00fcllt. Der Verwaltungsrat sollte mit den notwendigen Befugnissen ausgestattet werden, um den Haushaltsplan aufzustellen, die Ausf\u00fchrung des Haushaltsplans zu pr\u00fcfen, eine geeignete Finanzordnung zu erlassen, transparente Verfahren f\u00fcr die Beschlussfassung durch ENISA festzulegen, das einheitliche Programmieren-Dokument von ENISA anzunehmen, seine eigene Gesch\u00e4ftsordnung anzunehmen, den Exekutivdirektor zu ernennen und \u00fcber die Verl\u00e4ngerung und Beendigung der Amtszeit des Exekutivdirektors zu entscheiden.<\/p>\n\n\n\n

Damit die ENISA ordnungsgem\u00e4\u00df und wirksam funktionieren kann, sollten die Kommission und die Mitgliedstaaten sicherstellen, dass die f\u00fcr den Verwaltungsrat zu ernennenden Personen \u00fcber die entsprechende fachliche Qualifikation und Erfahrung verf\u00fcgen. Die Kommission und die Mitgliedstaaten sollten sich ferner bem\u00fchen, die Fluktuation ihrer jeweiligen Vertreter im Verwaltungsrat zu begrenzen, um die Kontinuit\u00e4t seiner Arbeit zu gew\u00e4hrleisten.<\/p>\n\n\n\n

(59) Die reibungslose Funktionsweise der ENISA setzt voraus, dass ihr Exekutivdirektor auf der Grundlage von Verdiensten, nachgewiesenen Verwaltungs- und F\u00fchrungsf\u00e4higkeiten sowie einschl\u00e4giger Fachkompetenz und Erfahrung im Bereich Cybersicherheit ernannt wird. Die Aufgaben des Exekutivdirektors sollten mit vollst\u00e4ndiger Unabh\u00e4ngigkeit wahrgenommen werden. Der Exekutivdirektor sollte nach vorheriger Konsultation mit der Kommission einen Vorschlag f\u00fcr das j\u00e4hrliche Arbeitsprogramm der ENISA vorbereiten und alle erforderlichen Schritte ergreifen, um die ordnungsgem\u00e4\u00dfe Umsetzung dieses Arbeitsprogramms zu gew\u00e4hrleisten. Der Exekutivdirektor sollte dem Verwaltungsrat einen Jahresbericht \u00fcber die Umsetzung des j\u00e4hrlichen Arbeitsprogramms der ENISA vorlegen, einen Entwurf des \u00dcberschlags \u00fcber Einnahmen und Ausgaben f\u00fcr die ENISA ausarbeiten und den Haushalt ausf\u00fchren. Dar\u00fcber hinaus sollte der Exekutivdirektor die M\u00f6glichkeit haben, Ad-hoc-Arbeitsgruppen einzurichten, um spezifische Themen zu behandeln, insbesondere solche wissenschaftlicher, technischer, rechtlicher oder sozio\u00f6konomischer Natur. Insbesondere im Zusammenhang mit der Ausarbeitung eines spezifischen Kandidaten f\u00fcr ein europ\u00e4isches Cybersicherheitszertifizierungssystem (\u2018Kandidatensystem\u2019) wird die Einrichtung einer Ad-hoc-Arbeitsgruppe f\u00fcr notwendig erachtet. Der Exekutivdirektor sollte sicherstellen, dass die Mitglieder von Ad-hoc-Arbeitsgruppen nach den h\u00f6chsten Kompetenzstandards ausgew\u00e4hlt werden, wobei darauf abzuzielen ist, eine geschlechter ausgewogene Vertretung und ein angemessenes Gleichgewicht, je nach den betreffenden spezifischen Fragen, zwischen \u00f6ffentlichen Verwaltungen der Mitgliedstaaten, Unionsinstitutionen, -organen, -\u00e4mtern und -agenturen sowie dem Privatsektor, einschlie\u00dflich Industrie, Nutzern und akademischen Experten f\u00fcr Netz- und Informationssicherheit, zu gew\u00e4hrleisten.<\/p>\n\n\n\n

(60) Der Verwaltungsrat soll zum effektiven Funktionieren des Vorstands beitragen. Als Teil seiner vorbereitenden Arbeit im Zusammenhang mit Vorstandsbeschl\u00fcssen soll der Verwaltungsrat relevante Informationen detailliert pr\u00fcfen, verf\u00fcgbare Optionen erkunden und Ratschl\u00e4ge und L\u00f6sungen anbieten, um die Beschl\u00fcsse des Vorstands vorzubereiten.<\/p>\n\n\n\n

(61) Die ENISA sollte eine ENISA-Beratungsgruppe als beratendes Gremium einrichten, um einen regelm\u00e4\u00dfigen Dialog mit dem Privatsektor, Verbraucherorganisationen und anderen relevanten Interessentr\u00e4gern zu gew\u00e4hrleisten. Die durch den Verwaltungsrat auf Vorschlag des Exekutivdirektors eingerichtete ENISA-Beratungsgruppe sollte sich auf f\u00fcr die Interessentr\u00e4ger relevante Themen konzentrieren und diese der ENISA zur Kenntnis bringen. Die ENISA-Beratungsgruppe sollte insbesondere bei ENISAs Entwurf f\u00fcr das j\u00e4hrliche Arbeitsprogramm konsultiert werden. Die Zusammensetzung der ENISA-Beratungsgruppe und die ihr zugewiesenen Aufgaben sollten eine ausreichende Vertretung der Interessentr\u00e4ger in der Arbeit der ENISA gew\u00e4hrleisten.<\/p>\n\n\n\n

(62) Die Stakeholder Cybersecurity Certification Group sollte eingerichtet werden, um die ENISA und die Kommission bei der Konsultation relevanter Stakeholder zu unterst\u00fctzen. Die Stakeholder Cybersecurity Certification Group sollte sich aus Mitgliedern zusammensetzen, die die Industrie in ausgewogener Verh\u00e4ltniskomponente vertreten, sowohl auf der Nachfrageseite als auch auf der Angebotsseite von IKT-Produkten und IKT-Dienstleistungen, und insbesondere KMU, Anbieter digitaler Dienste, europ\u00e4ische und internationale Normungsorganisationen, nationale Akkreditierungsstellen, Datenschutzaufsichtsbeh\u00f6rden und Konformit\u00e4tsbewertungsstellen gem\u00e4\u00df der Verordnung (EG) Nr. 765\/2008 des Europ\u00e4ischen Parlaments und des Rates (16) sowie akademische Kreise und Verbraucherorganisationen umfassen.<\/p>\n\n\n\n

Die ENISA sollte \u00fcber Regeln zur Verhinderung und zum Management von Interessenkonflikten verf\u00fcgen. Die ENISA sollte ferner die einschl\u00e4gigen Unionsbestimmungen \u00fcber den Zugang der \u00d6ffentlichkeit zu Dokumenten gem\u00e4\u00df der Verordnung (EG) Nr. 1049\/2001 des Europ\u00e4ischen Parlaments und des Rates (17) anwenden. Die Verarbeitung personenbezogener Daten durch die ENISA sollte der Verordnung (EU) 2018\/1725 des Europ\u00e4ischen Parlaments und des Rates (18) unterliegen. Die ENISA sollte die f\u00fcr die Unionsinstitutionen, -organe und -agenturen geltenden Bestimmungen und die einzelstaatlichen Rechtsvorschriften \u00fcber den Umgang mit Informationen, insbesondere mit sensiblen, nicht eingestuften Informationen und als \"EU CONFIDENTIAL\" (EUCI) eingestuften Informationen, einhalten.<\/p>\n\n\n\n

(64) Um die volle Autonomie und Unabh\u00e4ngigkeit der ENISA zu gew\u00e4hrleisten und ihr die Erf\u00fcllung zus\u00e4tzlicher Aufgaben, einschlie\u00dflich unvorhergesehener Notfallaufgaben, zu erm\u00f6glichen, sollte die ENISA \u00fcber ein ausreichendes und autonomes Budget verf\u00fcgen, dessen Einnahmen vorrangig aus einem Beitrag der Union und Beitr\u00e4gen von Drittl\u00e4ndern, die sich an der Arbeit der ENISA beteiligen, stammen sollten. Ein angemessenes Budget ist von gr\u00f6\u00dfter Bedeutung, um sicherzustellen, dass die ENISA \u00fcber ausreichende Kapazit\u00e4ten verf\u00fcgt, um all ihre wachsenden Aufgaben zu erf\u00fcllen und ihre Ziele zu erreichen. Die Mehrheit des Personals der ENISA sollte direkt mit der operativen Umsetzung des Mandats der ENISA befasst sein. Der Aufnahmemitgliedstaat und jeder andere Mitgliedstaat sollten freiwillige Beitr\u00e4ge zum Budget der ENISA leisten d\u00fcrfen. Das Haushaltsverfahren der Union sollte weiterhin f\u00fcr alle dem Gesamthaushaltsplan der Union zuzurechnenden Beihilfen gelten. Dar\u00fcber hinaus sollte der Europ\u00e4ische Rechnungshof die Rechnungslegung der ENISA pr\u00fcfen, um Transparenz und Rechenschaftspflicht zu gew\u00e4hrleisten.<\/p>\n\n\n\n

(65) Cybersicherheitszertifizierung spielt eine wichtige Rolle bei der St\u00e4rkung des Vertrauens und der Sicherheit in IKT-Produkte, IKT-Dienste und IKT-Prozesse. Der Digitale Binnenmarkt und insbesondere die Datenwirtschaft und das IoT k\u00f6nnen nur dann gedeihen, wenn die breite \u00d6ffentlichkeit darauf vertrauen kann, dass solche Produkte, Dienste und Prozesse ein bestimmtes Niveau an Cybersicherheit bieten. Vernetzte und automatisierte Fahrzeuge, elektronische medizinische Ger\u00e4te, Steuerungen f\u00fcr die industrielle Automatisierung und intelligente Stromnetze sind nur einige Beispiele f\u00fcr Sektoren, in denen die Zertifizierung bereits weit verbreitet ist oder in naher Zukunft wahrscheinlich genutzt wird. Die durch die Richtlinie (EU) 2016\/1148 geregelten Sektoren sind ebenfalls Sektoren, in denen die Cybersicherheitszertifizierung von entscheidender Bedeutung ist.<\/p>\n\n\n\n

(66) In der Mitteilung \u2018St\u00e4rkung des europ\u00e4ischen Cyberresilienz-Systems und F\u00f6rderung einer wettbewerbsf\u00e4higen und innovativen Cybersicherheitsbranche\u2019 von 2016 stellte die Kommission die Notwendigkeit hochwertiger, erschwinglicher und interoperabler Cybersicherheitserzeugnisse und -l\u00f6sungen dar. Die Versorgung mit IKT-Erzeugnissen, IKT-Dienstleistungen und IKT-Prozessen im Binnenmarkt ist geografisch immer noch sehr fragmentiert. Dies liegt daran, dass sich die Cybersicherheitsbranche in Europa weitgehend auf der Grundlage nationaler staatlicher Nachfrage entwickelt hat. Dar\u00fcber hinaus geh\u00f6ren die mangelnde Interoperabilit\u00e4t von L\u00f6sungen (technische Normen), Praktiken und EU-weiten Zertifizierungsmechanismen zu den weiteren L\u00fccken, die den Binnenmarkt im Bereich der Cybersicherheit beeintr\u00e4chtigen. Dies erschwert es europ\u00e4ischen Unternehmen, auf nationaler Ebene, auf Ebene der Union und auf globaler Ebene zu konkurrieren. Es verringert auch die Auswahl an gangbaren und nutzbaren Cybersicherheitstechnologien, auf die Einzelpersonen und Unternehmen zugreifen k\u00f6nnen. In \u00e4hnlicher Weise hob die Kommission in der Mitteilung von 2017 zur Halbzeitbilanz der Umsetzung der Strategie f\u00fcr einen digitalen Binnenmarkt \u2013 Ein vernetzter digitaler Binnenmarkt f\u00fcr alle \u2013 die Notwendigkeit sicherer vernetzter Erzeugnisse und Systeme hervor und wies darauf hin, dass die Schaffung eines europ\u00e4ischen Rahmenwerks f\u00fcr die IKT-Sicherheit, das Regeln f\u00fcr die Organisation der IKT-Zertifizierung in der Union festlegt, sowohl das Vertrauen in das Internet aufrechterhalten als auch die derzeitige Fragmentierung des Binnenmarktes angehen k\u00f6nnte.<\/p>\n\n\n\n

(67) Derzeit wird die Cyber-Sicherheitszertifizierung von IKT-Produkten, IKT-Dienstleistungen und IKT-Prozessen nur begrenzt genutzt. Wo sie existiert, erfolgt sie meist auf Ebene der Mitgliedstaaten oder im Rahmen von branchengesteuerten Systemen. In diesem Zusammenhang wird ein von einer nationalen Zertifizierungsstelle f\u00fcr Cybersicherheit ausgestelltes Zertifikat grunds\u00e4tzlich nicht in anderen Mitgliedstaaten anerkannt. Unternehmen m\u00fcssen daher m\u00f6glicherweise ihre IKT-Produkte, IKT-Dienstleistungen und IKT-Prozesse in mehreren Mitgliedstaaten, in denen sie t\u00e4tig sind, zertifizieren lassen, beispielsweise um an nationalen Beschaffungsverfahren teilnehmen zu k\u00f6nnen, was ihre Kosten erh\u00f6ht. Dar\u00fcber hinaus gibt es zwar neue Systeme, aber keinen koh\u00e4renten und ganzheitlichen Ansatz f\u00fcr horizontale Cybersicherheitsfragen, zum Beispiel im Bereich des Internet der Dinge (Internet of Things). Bestehende Systeme weisen erhebliche M\u00e4ngel und Unterschiede in Bezug auf die abgedeckten Produkte, die Zusicherungsstufen, die inhaltlichen Kriterien und die tats\u00e4chliche Nutzung auf, was Mechanismen zur gegenseitigen Anerkennung innerhalb der Union behindert.<\/p>\n\n\n\n

(68) Es wurden einige Anstrengungen unternommen, um die gegenseitige Anerkennung von Zertifikaten innerhalb der Union zu gew\u00e4hrleisten. Diese waren jedoch nur teilweise erfolgreich. Das wichtigste Beispiel hierf\u00fcr ist das SOG-IS (Senior Officials Group \u2013 Information Systems Security) Mutual Recognition Agreement (MRA). Obwohl es das wichtigste Modell f\u00fcr Zusammenarbeit und gegenseitige Anerkennung im Bereich der Sicherheitszertifizierung darstellt, umfasst SOG-IS nur einige der Mitgliedstaaten. Dies hat die Wirksamkeit des SOG-IS MRA aus Sicht des Binnenmarktes eingeschr\u00e4nkt.<\/p>\n\n\n\n

(69) Es ist daher erforderlich, einen gemeinsamen Ansatz zu verfolgen und einen europ\u00e4ischen Rahmen f\u00fcr die Cybersicherheitszertifizierung einzurichten, der die wichtigsten horizontalen Anforderungen f\u00fcr zu entwickelnde europ\u00e4ische Cybersicherheitszertifizierungssysteme festlegt und die Anerkennung und Nutzung europ\u00e4ischer Cybersicherheitszertifikate und EU-Konformit\u00e4tserkl\u00e4rungen f\u00fcr IKT-Produkte, IKT-Dienste oder IKT-Prozesse in allen Mitgliedstaaten erm\u00f6glicht. Dabei ist es unerl\u00e4sslich, auf bestehende nationale und internationale Systeme sowie auf Systeme zur gegenseitigen Anerkennung, insbesondere SOG-IS, aufzubauen und einen reibungslosen \u00dcbergang von den bestehenden Systemen unter diesen Systemen zu Systemen unter dem neuen europ\u00e4ischen Rahmen f\u00fcr die Cybersicherheitszertifizierung zu erm\u00f6glichen. Der europ\u00e4ische Rahmen f\u00fcr die Cybersicherheitszertifizierung sollte zwei Hauptzwecke verfolgen. Erstens sollte er dazu beitragen, das Vertrauen in IKT-Produkte, IKT-Dienste und IKT-Prozesse zu st\u00e4rken, die nach europ\u00e4ischen Cybersicherheitszertifizierungssystemen zertifiziert wurden. Zweitens sollte er dazu beitragen, die Vervielf\u00e4ltigung widerspr\u00fcchlicher oder sich \u00fcberschneidender nationaler Cybersicherheitszertifizierungssysteme zu vermeiden und somit die Kosten f\u00fcr Unternehmen zu senken, die im digitalen Binnenmarkt t\u00e4tig sind. Die europ\u00e4ischen Cybersicherheitszertifizierungssysteme sollten diskriminierungsfrei und auf europ\u00e4ischen oder internationalen Normen beruhen, es sei denn, diese Normen sind zur Erreichung der legitimen Ziele der Union in dieser Hinsicht unwirksam oder ungeeignet.<\/p>\n\n\n\n

(70) Der europ\u00e4ische Rahmen f\u00fcr Cybersicherheitszertifizierungen sollte in allen Mitgliedstaaten einheitlich eingerichtet werden, um ein \u2018Zertifizierungstourismus\u2019 aufgrund unterschiedlicher Strengegrade in den verschiedenen Mitgliedstaaten zu verhindern.<\/p>\n\n\n\n

(71) Europ\u00e4ische Zertifizierungssysteme f\u00fcr Cybersicherheit sollten auf bestehenden internationalen und nationalen Regelungen aufbauen und, falls erforderlich, auf technischen Spezifikationen von Foren und Konsortien, wobei die aktuellen St\u00e4rken genutzt und Schw\u00e4chen bewertet und behoben werden sollten.<\/p>\n\n\n\n

Flexible Cybersicherheitsl\u00f6sungen sind f\u00fcr die Industrie notwendig, um Cyberbedrohungen immer einen Schritt voraus zu sein, und daher sollte jeder Zertifizierungsrahmen so gestaltet sein, dass die Gefahr einer schnellen Veralterung vermieden wird.<\/p>\n\n\n\n

(73) Die Kommission sollte erm\u00e4chtigt werden, europ\u00e4ische Cybersecurity-Zertifizierungssysteme f\u00fcr bestimmte Gruppen von IKT-Produkten, IKT-Diensten und IKT-Verfahren zu erlassen. Diese Systeme sollten von nationalen Cybersecurity-Zertifizierungsstellen umgesetzt und \u00fcberwacht werden, und nach diesen Systemen ausgestellte Zertifikate sollten in der gesamten Union g\u00fcltig und anerkannt sein. Zertifizierungssysteme, die von der Industrie oder anderen privaten Organisationen betrieben werden, sollten nicht unter diese Verordnung fallen. Die Betreiber solcher Systeme sollten die Kommission jedoch davon in Kenntnis setzen k\u00f6nnen, dass die Kommission solche Systeme als Grundlage f\u00fcr ihre Genehmigung als europ\u00e4isches Cybersecurity-Zertifizierungssystem in Betracht ziehen kann.<\/p>\n\n\n\n

(74) Die Bestimmungen dieser Verordnung sollten das Unionsrecht unber\u00fchrt lassen, das spezifische Vorschriften f\u00fcr die Zertifizierung von IKT-Produkten, IKT-Diensten und IKT-Prozessen enth\u00e4lt. Insbesondere enth\u00e4lt die Verordnung (EU) 2016\/679 Bestimmungen zur Einrichtung von Zertifizierungsmechanismen sowie von Datenschutzsiegeln und -zeichen, um nachzuweisen, dass die Verarbeitungsvorg\u00e4nge durch Verantwortliche und Auftragsverarbeiter mit dieser Verordnung im Einklang stehen. Solche Zertifizierungsmechanismen sowie Datenschutzsiegel und -zeichen sollten es den betroffenen Personen erm\u00f6glichen, das Datenschutzniveau der betreffenden IKT-Produkte, IKT-Dienste und IKT-Prozesse rasch einzusch\u00e4tzen. Diese Verordnung l\u00e4sst die Zertifizierung von Datenverarbeitungsvorg\u00e4ngen gem\u00e4\u00df der Verordnung (EU) 2016\/679 unber\u00fchrt, auch wenn diese Vorg\u00e4nge in IKT-Produkten, IKT-Diensten und IKT-Prozessen eingebettet sind.<\/p>\n\n\n\n

(75) Der Zweck europ\u00e4ischer Cybersicherheitszertifizierungssysteme sollte darin bestehen, sicherzustellen, dass die im Rahmen solcher Systeme zertifizierten IT-Produkte, IT-Dienstleistungen und IT-Prozesse den festgelegten Anforderungen entsprechen, die darauf abzielen, die Verf\u00fcgbarkeit, Authentizit\u00e4t, Integrit\u00e4t und Vertraulichkeit von gespeicherten, \u00fcbertragenen oder verarbeiteten Daten oder der damit verbundenen Funktionen oder Dienstleistungen, die von diesen Produkten, Dienstleistungen und Prozessen angeboten oder \u00fcber diese zug\u00e4nglich sind, w\u00e4hrend ihres gesamten Lebenszyklus zu sch\u00fctzen. Es ist nicht m\u00f6glich, die cybersicherheitsbezogenen Anforderungen f\u00fcr alle IT-Produkte, IT-Dienstleistungen und IT-Prozesse in dieser Verordnung im Einzelnen darzulegen. IT-Produkte, IT-Dienstleistungen und IT-Prozesse sowie die damit verbundenen Cybersicherheitsanforderungen sind so vielf\u00e4ltig, dass es sehr schwierig ist, allgemeine Cybersicherheitsanforderungen zu entwickeln, die unter allen Umst\u00e4nden g\u00fcltig sind. Daher ist es notwendig, f\u00fcr die Zwecke der Zertifizierung ein breites und allgemeines Verst\u00e4ndnis von Cybersicherheit anzunehmen, das durch eine Reihe spezifischer Cybersicherheitsziele erg\u00e4nzt werden sollte, die bei der Gestaltung europ\u00e4ischer Cybersicherheitszertifizierungssysteme zu ber\u00fccksichtigen sind. Die Regelungen, mit denen solche Ziele f\u00fcr spezifische IT-Produkte, IT-Dienstleistungen und IT-Prozesse erreicht werden sollen, sollten dann auf der Ebene des von der Kommission angenommenen einzelnen Zertifizierungssystems weiter im Einzelnen spezifiziert werden, beispielsweise durch Verweise auf Normen oder technische Spezifikationen, falls keine geeigneten Normen verf\u00fcgbar sind.<\/p>\n\n\n\n

(76) Die f\u00fcr europ\u00e4ische cybersicherheitsrechtliche Zertifizierungsregelungen zu verwendenden technischen Spezifikationen sollten die in Anhang II der Verordnung (EU) Nr. 1025\/2012 des Europ\u00e4ischen Parlaments und des Rates (19) dargelegten Anforderungen beachten. Abweichungen von diesen Anforderungen k\u00f6nnten jedoch in begr\u00fcndeten F\u00e4llen als notwendig erachtet werden, wenn diese technischen Spezifikationen in einer europ\u00e4ischen cybersicherheitsrechtlichen Zertifizierungsregelung mit dem Vertrauensniveau \u2018hoch\u2019 verwendet werden sollen. Die Gr\u00fcnde f\u00fcr solche Abweichungen sollten \u00f6ffentlich zug\u00e4nglich gemacht werden.<\/p>\n\n\n\n

(77) Eine Konformit\u00e4tsbewertung ist ein Verfahren zur Bewertung, ob bestimmte Anforderungen an ein IKT-Produkt, eine IKT-Dienstleistung oder einen IKT-Prozess erf\u00fcllt wurden. Dieses Verfahren wird von einer unabh\u00e4ngigen Stelle eines Drittanbieters durchgef\u00fchrt, die weder der Hersteller noch der Anbieter der bewerteten IKT-Produkte, IKT-Dienstleistungen oder IKT-Prozesse ist. Nach erfolgreicher Bewertung eines IKT-Produkts, einer IKT-Dienstleistung oder eines IKT-Prozesses sollte ein europ\u00e4isches Cybersicherheitszertifikat ausgestellt werden. Ein europ\u00e4isches Cybersicherheitszertifikat sollte als Best\u00e4tigung daf\u00fcr angesehen werden, dass die Bewertung ordnungsgem\u00e4\u00df durchgef\u00fchrt wurde. Abh\u00e4ngig von der Vertrauensstufe sollte der europ\u00e4ische Cybersicherheitszertifizierungsvorgang angeben, ob das europ\u00e4ische Cybersicherheitszertifikat von einer privaten oder einer \u00f6ffentlichen Stelle ausgestellt werden soll. Konformit\u00e4tsbewertung und Zertifizierung k\u00f6nnen per se nicht garantieren, dass zertifizierte IKT-Produkte, IKT-Dienstleistungen und IKT-Prozesse cybersicher sind. Es handelt sich vielmehr um Verfahren und technische Methodologien, um zu best\u00e4tigen, dass IKT-Produkte, IKT-Dienstleistungen und IKT-Prozesse getestet wurden und dass sie bestimmten Cybersicherheitsanforderungen entsprechen, die anderswo festgelegt sind, z. B. in technischen Standards.<\/p>\n\n\n\n

(78) Die Wahl der geeigneten Zertifizierung und der damit verbundenen Sicherheitsanforderungen durch die Nutzer europ\u00e4ischer Cybersicherheitszertifikate sollte auf einer Analyse der Risiken beruhen, die mit der Verwendung der jeweiligen IKT-Produkte, IKT-Dienstleistungen oder IKT-Prozesse verbunden sind. Dementsprechend sollte die Vertrauensstufe dem Risiko entsprechen, das mit der beabsichtigten Verwendung eines IKT-Produkts, einer IKT-Dienstleistung oder eines IKT-Prozesses verbunden ist.<\/p>\n\n\n\n

(79) Europ\u00e4ische Cybersicherheitszertifizierungssysteme k\u00f6nnten eine Konformit\u00e4tsbewertung vorsehen, die unter der alleinigen Verantwortung des Herstellers oder Anbieters von IKT-Produkten, IKT-Dienstleistungen oder IKT-Prozessen durchgef\u00fchrt wird (\u2018Selbsterkl\u00e4rung zur Konformit\u00e4t\u2019). In solchen F\u00e4llen sollte es ausreichen, dass der Hersteller oder Anbieter von IKT-Produkten, IKT-Dienstleistungen oder IKT-Prozessen selbst alle Pr\u00fcfungen durchf\u00fchrt, um sicherzustellen, dass die IKT-Produkte, IKT-Dienstleistungen oder IKT-Prozesse mit dem europ\u00e4ischen Cybersicherheitszertifizierungssystem konform sind. Die Selbsterkl\u00e4rung zur Konformit\u00e4t sollte f\u00fcr IKT-Produkte, IKT-Dienstleistungen oder IKT-Prozesse mit geringer Komplexit\u00e4t und geringem Risiko f\u00fcr die \u00d6ffentlichkeit, wie z. B. einfache Design- und Produktionsmechanismen, als angemessen erachtet werden. Dar\u00fcber hinaus sollte die Selbsterkl\u00e4rung zur Konformit\u00e4t f\u00fcr IKT-Produkte, IKT-Dienstleistungen oder IKT-Prozesse nur zul\u00e4ssig sein, wenn sie der Zusicherungsebene \u2018basis\u2019 entsprechen.<\/p>\n\n\n\n

(80) Europ\u00e4ische Cybersicherheitszertifizierungssysteme k\u00f6nnten sowohl Selbstbewertungen der Konformit\u00e4t als auch Zertifizierungen von IKT-Produkten, IKT-Dienstleistungen oder IKT-Prozessen erm\u00f6glichen. In einem solchen Fall sollte das System klare und verst\u00e4ndliche Mittel f\u00fcr Verbraucher oder andere Nutzer vorsehen, um zwischen IKT-Produkten, IKT-Dienstleistungen oder IKT-Prozessen zu unterscheiden, bei denen der Hersteller oder Anbieter von IKT-Produkten, IKT-Dienstleistungen oder IKT-Prozessen f\u00fcr die Bewertung verantwortlich ist, und IKT-Produkten, IKT-Dienstleistungen oder IKT-Prozessen, die von einer dritten Partei zertifiziert sind.<\/p>\n\n\n\n

(81) Der Hersteller oder Anbieter von IKT-Produkten, IKT-Dienstleistungen oder IKT-Verfahren, der eine Konformit\u00e4ts-Selbstbewertung durchf\u00fchrt, sollte im Rahmen des Konformit\u00e4tsbewertungsverfahrens die EU-Konformit\u00e4tserkl\u00e4rung ausstellen und unterzeichnen k\u00f6nnen. Eine EU-Konformit\u00e4tserkl\u00e4rung ist ein Dokument, das bescheinigt, dass ein bestimmtes IKT-Produkt, eine IKT-Dienstleistung oder ein IKT-Verfahren die Anforderungen des europ\u00e4ischen Cyber-sicherheit-Zertifizierungsschemas erf\u00fcllt. Mit der Ausstellung und Unterzeichnung der EU-Konformit\u00e4tserkl\u00e4rung \u00fcbernimmt der Hersteller oder Anbieter von IKT-Produkten, IKT-Dienstleistungen oder IKT-Verfahren die Verantwortung f\u00fcr die Konformit\u00e4t des IKT-Produkts, der IKT-Dienstleistung oder des IKT-Verfahrens mit den rechtlichen Anforderungen des europ\u00e4ischen Cyber-sicherheit-Zertifizierungsschemas. Eine Kopie der EU-Konformit\u00e4tserkl\u00e4rung sollte der nationalen Beh\u00f6rde f\u00fcr Cyber-sicherheit-Zertifizierung und der ENISA vorgelegt werden.<\/p>\n\n\n\n

(82) Hersteller oder Anbieter von IKT-Produkten, IKT-Dienstleistungen oder IKT-Prozessen halten die EU-Konformit\u00e4tserkl\u00e4rung, die technischen Unterlagen und alle anderen relevanten Informationen bez\u00fcglich der Konformit\u00e4t der IKT-Produkte, IKT-Dienstleistungen oder IKT-Prozesse mit einem europ\u00e4ischen cybersicheren Zertifizierungssystem f\u00fcr einen im betreffenden europ\u00e4ischen cybersicheren Zertifizierungssystem vorgesehenen Zeitraum f\u00fcr die zust\u00e4ndige nationale Stelle f\u00fcr die Zertifizierung der Cybersicherheit bereit. Die technischen Unterlagen sollten die nach dem System geltenden Anforderungen festlegen und den Entwurf, die Herstellung und den Betrieb des IKT-Produkts, der IKT-Dienstleistung oder des IKT-Prozesses soweit f\u00fcr die Selbsterkl\u00e4rung der Konformit\u00e4t relevant abdecken. Die technischen Unterlagen sollten so zusammengestellt sein, dass sie die Beurteilung erm\u00f6glichen, ob ein IKT-Produkt oder eine IKT-Dienstleistung den nach diesem System geltenden Anforderungen entspricht.<\/p>\n\n\n\n

(83) Die Steuerung des europ\u00e4ischen Rahmens f\u00fcr die Cybersicherheitszertifizierung ber\u00fccksichtigt die Einbindung der Mitgliedstaaten sowie die angemessene Einbindung der Interessentr\u00e4ger und legt die Rolle der Kommission bei der Planung und dem Vorschlag, der Anforderung, der Vorbereitung, der Annahme und der \u00dcberpr\u00fcfung von europ\u00e4ischen Cybersicherheitszertifizierungssystemen fest.<\/p>\n\n\n\n

(84) Die Kommission sollte \u2013 mit Unterst\u00fctzung der Europ\u00e4ischen Gruppe f\u00fcr Cybersicherheitszertifizierung (im Folgenden \u2018ECCG\u2019) und der Interessentengruppe f\u00fcr Cybersicherheitszertifizierung und nach einer offenen und breiten Konsultation \u2013 ein rollierendes Arbeitsprogramm der Union f\u00fcr europ\u00e4ische Cybersicherheitszertifizierungssysteme erstellen und dieses in Form eines nicht rechtsverbindlichen Instruments ver\u00f6ffentlichen. Das rollierende Arbeitsprogramm der Union sollte ein strategisches Dokument sein, das es insbesondere der Industrie, den nationalen Beh\u00f6rden und den Normungsgremien erm\u00f6glicht, sich auf k\u00fcnftige europ\u00e4ische Cybersicherheitszertifizierungssysteme vorzubereiten. Das rollierende Arbeitsprogramm der Union sollte einen mehrj\u00e4hrigen \u00dcberblick \u00fcber die Antr\u00e4ge auf Kandidatensysteme enthalten, die die Kommission auf der Grundlage spezifischer Begr\u00fcndungen zur Vorbereitung an die ENISA \u00fcbermitteln will. Die Kommission sollte das rollierende Arbeitsprogramm der Union bei der Ausarbeitung ihres rollierenden Plans f\u00fcr die ICT-Standardisierung und ihrer Standardisierungsauftr\u00e4ge an europ\u00e4ische Normungsorganisationen ber\u00fccksichtigen. Angesichts der raschen Einf\u00fchrung und Verbreitung neuer Technologien, des Auftretens unbekannter Cybersicherheitsrisiken sowie von Rechts- und Marktentwicklungen sollten die Kommission oder die ECCG berechtigt sein, die ENISA zu ersuchen, Kandidatensysteme vorzubereiten, die nicht in das rollierende Arbeitsprogramm der Union aufgenommen wurden. In solchen F\u00e4llen sollten die Kommission und die ECCG auch die Notwendigkeit eines solchen Ersuchens pr\u00fcfen und dabei die allgemeinen Ziele und Vorgaben dieser Verordnung sowie die Notwendigkeit der Gew\u00e4hrleistung der Kontinuit\u00e4t der Planung und des Ressourceneinsatzes der ENISA ber\u00fccksichtigen.<\/p>\n\n\n\n

Auf ein solches Ersuchen hin sollte die ENISA die Kandidatenregelungen f\u00fcr bestimmte IKT-Produkte, IKT-Dienste und IKT-Prozesse unverz\u00fcglich ausarbeiten. Die Kommission sollte die positiven und negativen Auswirkungen ihres Ersuchens auf den betreffenden Markt bewerten, insbesondere die Auswirkungen auf KMU, auf die Innovation, auf die Marktzutrittsschranken und auf die Kosten f\u00fcr die Endnutzer. Die Kommission sollte auf der Grundlage des von der ENISA ausgearbeiteten Kandidatenprogramms befugt sein, das europ\u00e4ische Zertifizierungssystem f\u00fcr Cybersicherheit im Wege von Durchf\u00fchrungsrechtsakten zu erlassen. Unter Ber\u00fccksichtigung des allgemeinen Zwecks und der in dieser Verordnung festgelegten Sicherheitsziele sollten die von der Kommission erlassenen europ\u00e4ischen Zertifizierungssysteme f\u00fcr Cybersicherheit eine Mindestanzahl von Elementen hinsichtlich des Gegenstands, des Anwendungsbereichs und der Funktionsweise des jeweiligen Systems festlegen. Diese Elemente sollten unter anderem den Anwendungsbereich und den Gegenstand der Cybersicherheitszertifizierung umfassen, einschlie\u00dflich der Kategorien der erfassten IKT-Produkte, IKT-Dienste und IKT-Prozesse, die detaillierte Spezifikation der Cybersicherheitsanforderungen, beispielsweise durch Verweis auf Normen oder technische Spezifikationen, die spezifischen Bewertungskriterien und Bewertungsmethoden sowie das angestrebte Sicherheitsniveau (\u2018grundlegend\u2019, \u2018erheblich\u2019 oder \u2018hoch\u2019) und gegebenenfalls die Bewertungsstufen. Die ENISA sollte in der Lage sein, einen Antrag der ECCG abzulehnen. Solche Entscheidungen sollten vom Verwaltungsrat getroffen und ordnungsgem\u00e4\u00df begr\u00fcndet werden.<\/p>\n\n\n\n

(85) Die ENISA sollte eine Website unterhalten, die Informationen \u00fcber europ\u00e4ische Cybersicherheitszertifizierungssysteme bereitstellt und diese bekannt macht. Diese Website sollte unter anderem die Antr\u00e4ge auf Erstellung eines Kandidatensystems sowie die im Rahmen des von der ENISA in der Vorbereitungsphase durchgef\u00fchrten Konsultationsverfahrens erhaltenen R\u00fcckmeldungen enthalten. Die Website sollte auch Informationen \u00fcber die nach dieser Verordnung ausgestellten europ\u00e4ischen Cybersicherheitszertifikate und Konformit\u00e4tserkl\u00e4rungen der EU enthalten, einschlie\u00dflich Informationen \u00fcber die R\u00fccknahme und das Auslaufen solcher europ\u00e4ischen Cybersicherheitszertifikate und Konformit\u00e4tserkl\u00e4rungen der EU. Auf der Website sollten auch die nationalen Cybersicherheitszertifizierungssysteme angegeben werden, die durch ein europ\u00e4isches Cybersicherheitszertifizierungssystem ersetzt wurden.<\/p>\n\n\n\n

(86) Die Vertrauensw\u00fcrdigkeitsstufe eines europ\u00e4ischen Zertifizierungsschemas ist die Grundlage f\u00fcr das Vertrauen, dass eine IKT-Produkt, eine IKT-Dienstleistung oder ein IKT-Prozess die Sicherheitsanforderungen eines bestimmten europ\u00e4ischen Cybersicherheits-Zertifizierungsschemas erf\u00fcllt. Um die Koh\u00e4renz des europ\u00e4ischen Rahmens f\u00fcr die Cybersicherheitszertifizierung zu gew\u00e4hrleisten, sollte ein europ\u00e4isches Cybersicherheits-Zertifizierungsschema in der Lage sein, Vertrauensw\u00fcrdigkeitsstufen f\u00fcr europ\u00e4ische Cybersicherheitszertifikate und EU-Konformit\u00e4tserkl\u00e4rungen, die im Rahmen dieses Schemas ausgestellt werden, festzulegen. Jedes europ\u00e4ische Cybersicherheitszertifikat k\u00f6nnte sich auf eine der Vertrauensw\u00fcrdigkeitsstufen beziehen: \u2018grundlegend\u2019, \u2018betr\u00e4chtlich\u2019 oder \u2018hoch\u2019, w\u00e4hrend sich die EU-Konformit\u00e4tserkl\u00e4rung nur auf die Vertrauensw\u00fcrdigkeitsstufe \u2018grundlegend\u2019 beziehen k\u00f6nnte. Die Vertrauensw\u00fcrdigkeitsstufen w\u00fcrden die entsprechende Strenge und Tiefe der Bewertung des IKT-Produkts, der IKT-Dienstleistung oder des IKT-Prozesses bieten und w\u00fcrden durch Verweis auf technische Spezifikationen, Standards und zugeh\u00f6rige Verfahren, einschlie\u00dflich technischer Kontrollen zur Verhinderung oder Eind\u00e4mmung von Vorf\u00e4llen, charakterisiert werden. Jede Vertrauensw\u00fcrdigkeitsstufe sollte in den verschiedenen Anwendungsbereichen der Zertifizierung koh\u00e4rent sein.<\/p>\n\n\n\n

(87) Ein europ\u00e4isches Schema zur Cybersicherheitszertifizierung k\u00f6nnte mehrere Bewertungsstufen festlegen, je nach Strenge und Tiefe der angewandten Bewertungsmethodik. Die Bewertungsstufen sollten einer der Vertrauensstufen entsprechen und mit einer geeigneten Kombination von Vertrauenskomponenten verbunden sein. F\u00fcr alle Vertrauensstufen sollte das IKT-Produkt, der IKT-Dienst oder der IKT-Prozess eine Reihe von sicheren Funktionen enthalten, wie im Schema festgelegt, zu denen geh\u00f6ren k\u00f6nnen: eine sichere Konfiguration ab Werk, signierter Code, sichere Updates und Schutz vor Ausnutzung sowie durchg\u00e4ngige oder Heap-Speicherschutzmechanismen. Diese Funktionen sollten im Rahmen von sicherheitsorientierten Entwicklungsans\u00e4tzen und zugeh\u00f6rigen Werkzeugen entwickelt und gewartet werden, um sicherzustellen, dass wirksame Software- und Hardwaremechanismen zuverl\u00e4ssig integriert sind.<\/p>\n\n\n\n

(88) F\u00fcr die Sicherheitsstufe \u2018basic\u2019 sollte die Bewertung zumindest von den folgenden Sicherheitskomponenten geleitet werden: Die Bewertung sollte zumindest die \u00dcberpr\u00fcfung der technischen Dokumentation des IKT-Produkts, des IKT-Dienstes oder des IKT-Prozesses durch die Konformit\u00e4tsbewertungsstelle umfassen. Wenn die Zertifizierung IKT-Prozesse umfasst, sollte der f\u00fcr die Gestaltung, Entwicklung und Wartung eines IKT-Produkts oder IKT-Dienstes verwendete Prozess ebenfalls der technischen \u00dcberpr\u00fcfung unterzogen werden. Wenn ein europ\u00e4isches Cybersicherheitszertifizierungssystem eine Selbstbewertung der Konformit\u00e4t vorsieht, sollte es f\u00fcr den Hersteller oder Anbieter von IKT-Produkten, IKT-Diensten oder IKT-Prozessen ausreichend sein, eine Selbstbewertung der Konformit\u00e4t des IKT-Produkts, des IKT-Dienstes oder des IKT-Prozesses mit dem Zertifizierungssystem durchgef\u00fchrt zu haben.<\/p>\n\n\n\n

(89) F\u00fcr die Vertrauensstufe \u2018erheblich\u2019 sollte die Bewertung zus\u00e4tzlich zu den Anforderungen f\u00fcr die Vertrauensstufe \u2018grundlegend\u2019 zumindest anhand der \u00dcberpr\u00fcfung der Konformit\u00e4t der Sicherheitsfunktionen des IKT-Produkts, des IKT-Dienstes oder des IKT-Prozesses mit seiner technischen Dokumentation erfolgen.<\/p>\n\n\n\n

(90) F\u00fcr die Sicherheitsstufe \u2018hoch\u2019 sollte die Bewertung, zus\u00e4tzlich zu den Anforderungen f\u00fcr die Sicherheitsstufe \u2018erheblich\u2019, mindestens durch einen Effizienztest geleitet werden, der den Widerstand der Sicherheitsfunktionen eines IKT-Produkts, eines IKT-Dienstes oder eines IKT-Prozesses gegen anspruchsvolle Cyberangriffe bewertet, die von Personen mit erheblichen F\u00e4higkeiten und Ressourcen durchgef\u00fchrt werden.<\/p>\n\n\n\n

(91) Die Inanspruchnahme europ\u00e4ischer Cybersicherheitszertifizierungen und von EU-Konformit\u00e4tserkl\u00e4rungen sollte freiwillig bleiben, es sei denn, dies ist in Unionsrecht oder in nationalem Recht der Mitgliedstaaten, das gem\u00e4\u00df Unionsrecht erlassen wurde, anders vorgesehen. In Ermangelung harmonisierten Unionsrechts k\u00f6nnen die Mitgliedstaaten nationale technische Vorschriften erlassen, die eine zwingende Zertifizierung im Rahmen eines europ\u00e4ischen Cybersicherheitszertifizierungsschemas gem\u00e4\u00df der Richtlinie (EU) 2015\/1535 des Europ\u00e4ischen Parlaments und des Rates (20) vorsehen. Die Mitgliedstaaten k\u00f6nnen auch im Rahmen des \u00f6ffentlichen Auftragswesens und der Richtlinie 2014\/24\/EU des Europ\u00e4ischen Parlaments und des Rates (21) auf die europ\u00e4ische Cybersicherheitszertifizierung zur\u00fcckgreifen.<\/p>\n\n\n\n

(92) In einigen Bereichen k\u00f6nnte es zuk\u00fcnftig notwendig sein, spezifische Cybersicherheitsanforderungen einzuf\u00fchren und deren Zertifizierung f\u00fcr bestimmte IKT-Produkte, IKT-Dienstleistungen oder IKT-Prozesse verbindlich zu machen, um das Cybersicherheitsniveau in der Union zu verbessern. Die Kommission sollte die Auswirkungen der angenommenen europ\u00e4ischen Cybersicherheitszertifizierungssysteme auf die Verf\u00fcgbarkeit sicherer IKT-Produkte, IKT-Dienstleistungen und IKT-Prozesse auf dem Binnenmarkt regelm\u00e4\u00dfig \u00fcberwachen und die Nutzung der Zertifizierungssysteme durch die Hersteller oder Anbieter von IKT-Produkten, IKT-Dienstleistungen oder IKT-Prozessen in der Union regelm\u00e4\u00dfig bewerten. Die Effizienz der europ\u00e4ischen Cybersicherheitszertifizierungssysteme und die Frage, ob bestimmte Systeme verbindlich gemacht werden sollten, sollten im Hinblick auf die cybersicherheitsbezogenen Rechtsvorschriften der Union, insbesondere die Richtlinie (EU) 2016\/1148, unter Ber\u00fccksichtigung der Sicherheit der von den Betreibern kritischer Infrastrukturen genutzten Netz- und Informationssysteme, bewertet werden.<\/p>\n\n\n\n

(93) Europ\u00e4ische Cybersicherheitszertifikate und EU-Konformit\u00e4tserkl\u00e4rungen sollten Endnutzern dabei helfen, fundierte Entscheidungen zu treffen. Daher sollten IKT-Produkte, IKT-Dienste und IKT-Prozesse, die zertifiziert wurden oder f\u00fcr die eine EU-Konformit\u00e4tserkl\u00e4rung ausgestellt wurde, mit strukturierten Informationen versehen sein, die dem zu erwartenden technischen Kenntnisstand des vorgesehenen Endnutzers entsprechen. Alle diese Informationen sollten online und gegebenenfalls in physischer Form verf\u00fcgbar sein. Der Endnutzer sollte Zugang zu Informationen \u00fcber die Referenznummer des Zertifizierungssystems, das Sicherheitsniveau, die Beschreibung der mit dem IKT-Produkt, der IKT-Dienstleistung oder dem IKT-Prozess verbundenen Cybersicherheitsrisiken sowie die ausstellende Beh\u00f6rde oder Stelle haben oder in der Lage sein, eine Kopie des europ\u00e4ischen Cybersicherheitszertifikats zu erhalten. Dar\u00fcber hinaus sollte der Endnutzer \u00fcber die Cybersicherheits-Supportpolitik informiert werden, insbesondere dar\u00fcber, wie lange der Endnutzer mit Cybersicherheits-Updates oder Patches vom Hersteller oder Anbieter von IKT-Produkten, IKT-Diensten oder IKT-Prozessen rechnen kann. Gegebenenfalls sollten Anleitungen zu Ma\u00dfnahmen oder Einstellungen bereitgestellt werden, die der Endnutzer umsetzen kann, um die Cybersicherheit des IKT-Produkts oder der IKT-Dienstleistung aufrechtzuerhalten oder zu erh\u00f6hen, sowie Kontaktinformationen einer zentralen Anlaufstelle, an die im Falle von Cyberangriffen (zus\u00e4tzlich zur automatischen Meldung) Meldung erstattet und Unterst\u00fctzung angefordert werden kann. Diese Informationen sollten regelm\u00e4\u00dfig aktualisiert und auf einer Website bereitgestellt werden, die Informationen zu europ\u00e4ischen Cybersicherheits-Zertifizierungssystemen bietet.<\/p>\n\n\n\n

(94) Zur Erreichung der Ziele dieser Verordnung und zur Vermeidung einer Zersplitterung des Binnenmarktes sollten nationale cybersicherheitsbezogene Zertifizierungssysteme oder -verfahren f\u00fcr ICT-Produkte, ICT-Dienstleistungen oder ICT-Prozesse, die unter ein europ\u00e4isches cybersicherheitsbezogenes Zertifizierungssystem fallen, ab einem von der Kommission durch Durchf\u00fchrungsrechtsakte festgelegten Datum unwirksam werden. Dar\u00fcber hinaus sollten die Mitgliedstaaten keine neuen nationalen cybersicherheitsbezogenen Zertifizierungssysteme f\u00fcr ICT-Produkte, ICT-Dienstleistungen oder ICT-Prozesse einf\u00fchren, die bereits von einem bestehenden europ\u00e4ischen cybersicherheitsbezogenen Zertifizierungssystem abgedeckt werden. Die Mitgliedstaaten sollten jedoch nicht daran gehindert werden, nationale cybersicherheitsbezogene Zertifizierungssysteme f\u00fcr Zwecke der nationalen Sicherheit zu erlassen oder beizubehalten. Die Mitgliedstaaten sollten die Kommission und die ECCG \u00fcber jede Absicht informieren, neue nationale cybersicherheitsbezogene Zertifizierungssysteme zu erlassen. Die Kommission und die ECCG sollten die Auswirkungen neuer nationaler cybersicherheitsbezogener Zertifizierungssysteme auf das ordnungsgem\u00e4\u00dfe Funktionieren des Binnenmarktes und im Lichte etwaiger strategischer Interessen an der Forderung nach einem europ\u00e4ischen cybersicherheitsbezogenen Zertifizierungssystem stattdessen bewerten.<\/p>\n\n\n\n

(95) Europ\u00e4ische cybersicherheitszertifizierungssysteme sollen dazu beitragen, die Praktiken f\u00fcr Cybersicherheit innerhalb der Union zu harmonisieren. Sie m\u00fcssen dazu beitragen, das Niveau der Cybersicherheit innerhalb der Union zu erh\u00f6hen. Der Entwurf der europ\u00e4ischen cybersicherheitszertifizierungssysteme sollte die Entwicklung von Innovationen im Bereich der Cybersicherheit ber\u00fccksichtigen und erm\u00f6glichen.<\/p>\n\n\n\n

Europ\u00e4ische cybersichereitsszertifizierungssysteme sollten die aktuellen Methoden der Software- und Hardwareentwicklung und insbesondere die Auswirkungen h\u00e4ufiger Software- oder Firmware-Updates auf einzelne europ\u00e4ische cybersichereitszertifikate ber\u00fccksichtigen. Europ\u00e4ische cybersichereitsszertifizierungssysteme sollten die Bedingungen festlegen, unter denen ein Update eine Neuzertifizierung eines IK-Produkts, eines IK-Dienstes oder eines IK-Prozesses erforderlich machen kann oder der Umfang eines bestimmten europ\u00e4ischen cybersichereitszertifikats reduziert werden kann, wobei m\u00f6gliche nachteilige Auswirkungen des Updates auf die Einhaltung der Sicherheitsanforderungen dieses Zertifikats ber\u00fccksichtigt werden.<\/p>\n\n\n\n

(97) Sobald ein europ\u00e4isches IT-Sicherheitszertifizierungssystem angenommen ist, sollten Hersteller oder Anbieter von IT-Produkten, IT-Dienstleistungen oder IT-Prozessen in der gesamten Union Antr\u00e4ge auf Zertifizierung ihrer IT-Produkte oder IT-Dienstleistungen bei der Konformit\u00e4tsbewertungsstelle ihrer Wahl einreichen k\u00f6nnen. Konformit\u00e4tsbewertungsstellen sollten von einer nationalen Akkreditierungsstelle akkreditiert werden, wenn sie bestimmte in dieser Verordnung festgelegte Anforderungen erf\u00fcllen. Die Akkreditierung sollte f\u00fcr h\u00f6chstens f\u00fcnf Jahre erteilt werden und unter den gleichen Bedingungen verl\u00e4ngerbar sein, vorausgesetzt, dass die Konformit\u00e4tsbewertungsstelle die Anforderungen weiterhin erf\u00fcllt. Nationale Akkreditierungsstellen sollten die Akkreditierung einer Konformit\u00e4tsbewertungsstelle einschr\u00e4nken, aussetzen oder widerrufen, wenn die Bedingungen f\u00fcr die Akkreditierung nicht erf\u00fcllt worden sind oder nicht mehr erf\u00fcllt sind oder wenn die Konformit\u00e4tsbewertungsstelle gegen diese Verordnung verst\u00f6\u00dft.<\/p>\n\n\n\n

Referenzen in nationalen Rechtsvorschriften auf nationale Normen, die aufgrund des Inkrafttretens eines europ\u00e4ischen Cybersicherheits-Zertifizierungssystems unwirksam geworden sind, k\u00f6nnen zu Verwirrung f\u00fchren. Daher sollten die Mitgliedstaaten die Annahme eines europ\u00e4ischen Cybersicherheits-Zertifizierungssystems in ihren nationalen Rechtsvorschriften widerspiegeln.<\/p>\n\n\n\n

Um unionseinheitliche Standards zu erzielen, die gegenseitige Anerkennung zu erleichtern und die allgemeine Akzeptanz europ\u00e4ischer Cybersicherheitszertifikate und EU-Konformit\u00e4tserkl\u00e4rungen zu f\u00f6rdern, ist es erforderlich, ein System von Peer-Reviews zwischen den nationalen Cybersicherheitszertifizierungsstellen einzurichten. Die Peer-Reviews sollten die Verfahren zur \u00dcberwachung der Konformit\u00e4t von IKT-Produkten, IKT-Dienstleistungen und IKT-Prozessen mit europ\u00e4ischen Cybersicherheitszertifikaten, die \u00dcberwachung der Verpflichtungen von Herstellern oder Anbietern von IKT-Produkten, IKT-Dienstleistungen oder IKT-Prozessen, die eine Selbstbewertung der Konformit\u00e4t durchf\u00fchren, die \u00dcberwachung von Konformit\u00e4tsbewertungsstellen sowie die Angemessenheit der Fachkenntnisse des Personals von Stellen, die Zertifikate f\u00fcr die Vertrauensw\u00fcrdigkeitsstufe \u2018hoch\u2019 ausstellen, abdecken. Die Kommission sollte in der Lage sein, im Wege von Durchf\u00fchrungsrechtsakten einen Plan f\u00fcr Peer-Reviews, der mindestens f\u00fcnf Jahre umfasst, festzulegen sowie die Kriterien und Methoden f\u00fcr die Funktionsweise des Peer-Review-Systems festzulegen.<\/p>\n\n\n\n

(100) Unbeschadet des allgemeinen Peer-Review-Systems, das f\u00fcr alle nationalen Zertifizierungsstellen f\u00fcr Cybersicherheit im Rahmen des europ\u00e4ischen Cybersicherheitszertifizierungssystems eingef\u00fchrt wird, k\u00f6nnen bestimmte europ\u00e4ische Cybersicherheitszertifizierungssysteme einen Peer-Assessment-Mechanismus f\u00fcr die Stellen vorsehen, die europ\u00e4ische Cybersicherheitszertifikate f\u00fcr IKT-Produkte, IKT-Dienste und IKT-Prozesse mit der Vertrauensw\u00fcrdigkeitsstufe \u2018hoch\u2019 im Rahmen solcher Systeme ausstellen. Der ECCG sollte die Umsetzung solcher Peer-Assessment-Mechanismen unterst\u00fctzen. Die Peer-Assessments sollten insbesondere pr\u00fcfen, ob die betreffenden Stellen ihre Aufgaben harmonisiert wahrnehmen, und k\u00f6nnen Revisionsmechanismen beinhalten. Die Ergebnisse der Peer-Assessments sollten \u00f6ffentlich zug\u00e4nglich gemacht werden. Die betreffenden Stellen k\u00f6nnen geeignete Ma\u00dfnahmen ergreifen, um ihre Praktiken und Fachkenntnisse entsprechend anzupassen.<\/p>\n\n\n\n

(101) Die Mitgliedstaaten sollten eine oder mehrere nationale Cybersicherheitszertifizierungsstellen benennen, um die Einhaltung der sich aus dieser Verordnung ergebenden Verpflichtungen zu \u00fcberwachen. Eine nationale Cybersicherheitszertifizierungsstelle kann eine bestehende oder eine neue Beh\u00f6rde sein. Ein Mitgliedstaat sollte nach Absprache mit einem anderen Mitgliedstaat auch eine oder mehrere nationale Cybersicherheitszertifizierungsstellen im Hoheitsgebiet dieses anderen Mitgliedstaats benennen k\u00f6nnen.<\/p>\n\n\n\n

(102) Nationale Zertifizierungsstellen f\u00fcr Cybersicherheit sollten insbesondere die Verpflichtungen von Herstellern oder Anbietern von IKT-Produkten, IKT-Dienste oder IKT-Prozesse, die in ihrem jeweiligen Hoheitsgebiet niedergelassen sind, in Bezug auf die EU-Konformit\u00e4tserkl\u00e4rung zu \u00fcberwachen und durchzusetzen, sollten die nationalen Akkreditierungsstellen bei der \u00dcberwachung und Beaufsichtigung der T\u00e4tigkeiten von Konformit\u00e4tsbewertungsstellen unterst\u00fctzen, indem sie ihnen Fachwissen und relevante Informationen zur Verf\u00fcgung stellen, sollten Konformit\u00e4tsbewertungsstellen zur Wahrnehmung ihrer Aufgaben erm\u00e4chtigen, sofern diese Stellen zus\u00e4tzliche Anforderungen erf\u00fcllen, die in einem europ\u00e4ischen Zertifizierungssystem f\u00fcr Cybersicherheit festgelegt sind, und sollten relevante Entwicklungen im Bereich der Cybersicherheitszertifizierung beobachten. Nationale Zertifizierungsstellen f\u00fcr Cybersicherheit sollten au\u00dferdem Beschwerden bearbeiten, die von nat\u00fcrlichen oder juristischen Personen in Bezug auf von diesen Stellen ausgestellte europ\u00e4ische Cybersicherheitszertifikate oder in Bezug auf von Konformit\u00e4tsbewertungsstellen ausgestellte europ\u00e4ische Cybersicherheitszertifikate eingereicht werden, sofern diese Zertifikate die Sicherheitsstufe \u2018hoch\u2019 aufweisen; sie sollten den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdef\u00fchrer innerhalb einer angemessenen Frist \u00fcber den Fortgang und das Ergebnis der Untersuchung informieren. Dar\u00fcber hinaus sollten nationale Cybersicherheits-Zertifizierungsstellen mit anderen nationalen Cybersicherheits-Zertifizierungsstellen oder anderen Beh\u00f6rden zusammenarbeiten, unter anderem durch den Austausch von Informationen \u00fcber die m\u00f6gliche Nichtkonformit\u00e4t von IKT-Produkten, IKT-Diensten und IKT-Prozessen mit den Anforderungen dieser Verordnung oder mit spezifischen europ\u00e4ischen Cybersicherheits-Zertifizierungssystemen. Die Kommission sollte diesen Informationsaustausch erleichtern, indem sie ein allgemeines elektronisches Informationssystem zur Verf\u00fcgung stellt, beispielsweise das Informations- und Kommunikationssystem zur Markt\u00fcberwachung (ICSMS) und das Schnellwarnsystem f\u00fcr gef\u00e4hrliche Non-Food-Produkte (RAPEX), die bereits von Markt\u00fcberwachungsbeh\u00f6rden gem\u00e4\u00df der Verordnung (EG) Nr. 765\/2008 genutzt werden.<\/p>\n\n\n\n

Um die konsistente Anwendung des europ\u00e4ischen Cybersicherheitszertifizierungsrahmens zu gew\u00e4hrleisten, sollte eine ECCG eingerichtet werden, die sich aus Vertretern der nationalen Cybersicherheitszertifizierungsbeh\u00f6rden oder anderer relevanter nationaler Beh\u00f6rden zusammensetzt. Die Hauptaufgaben der ECCG sollten darin bestehen, die Kommission bei ihrer Arbeit zur Gew\u00e4hrleistung der konsistenten Implementierung und Anwendung des europ\u00e4ischen Cybersicherheitszertifizierungsrahmens zu beraten und zu unterst\u00fctzen, die ENISA bei der Vorbereitung von Entw\u00fcrfen f\u00fcr Cybersicherheitszertifizierungssysteme zu unterst\u00fctzen und eng mit ihr zusammenzuarbeiten, die ENISA in begr\u00fcndeten F\u00e4llen aufzufordern, einen Entwurf f\u00fcr ein Zertifizierungssystem vorzubereiten, Stellungnahmen an die ENISA zu Entw\u00fcrfen f\u00fcr Zertifizierungssysteme und Stellungnahmen an die Kommission zur Beibehaltung und \u00dcberpr\u00fcfung bestehender europ\u00e4ischer Cybersicherheitszertifizierungssysteme zu verabschieden. Die ECCG sollte den Austausch von bew\u00e4hrten Verfahren und Fachkenntnissen zwischen den verschiedenen nationalen Cybersicherheitszertifizierungsbeh\u00f6rden erleichtern, die f\u00fcr die Zulassung von Konformit\u00e4tsbewertungsstellen und die Ausstellung europ\u00e4ischer Cybersicherheitszertifikate zust\u00e4ndig sind.<\/p>\n\n\n\n

(104) Um das Bewusstsein zu sch\u00e4rfen und die Akzeptanz k\u00fcnftiger europ\u00e4ischer Cybersicherheitszertifizierungsregelungen zu erleichtern, kann die Kommission allgemeine oder branchenspezifische Cybersicherheitsleitlinien herausgeben, beispielsweise zu guten Cybersicherheitspraktiken oder verantwortungsvollem Cybersicherheitsverhalten, wobei die positiven Auswirkungen der Verwendung zertifizierter IKT-Produkte, IKT-Dienstleistungen und IKT-Prozesse hervorgehoben werden.<\/p>\n\n\n\n

(105) Um den Handel weiter zu erleichtern und in Anerkennung der Tatsache, dass die IKT-Lieferketten global sind, k\u00f6nnen im Einklang mit Artikel 218 des Vertrags \u00fcber die Arbeitsweise der Europ\u00e4ischen Union (AEUV) von der Union gegenseitige Anerkennungsvereinbarungen bez\u00fcglich europ\u00e4ischer Cybersicherheitszertifikate geschlossen werden. Die Kommission kann unter Ber\u00fccksichtigung der Empfehlungen von ENISA und der Europ\u00e4ischen beratenden Gruppe f\u00fcr Cybersicherheitszertifizierung die Aufnahme relevanter Verhandlungen empfehlen. Jeder europ\u00e4ische Rahmen f\u00fcr die Cybersicherheitszertifizierung sollte spezifische Bedingungen f\u00fcr solche gegenseitigen Anerkennungsvereinbarungen mit Drittl\u00e4ndern vorsehen.<\/p>\n\n\n\n

(106) Um einheitliche Bedingungen f\u00fcr die Durchf\u00fchrung dieser Verordnung zu gew\u00e4hrleisten, sollten der Kommission Durchf\u00fchrungsbefugnisse verliehen werden. Diese Befugnisse sollten gem\u00e4\u00df der Verordnung (EU) Nr. 182\/2011 des Europ\u00e4ischen Parlaments und des Rates (22) ausge\u00fcbt werden.<\/p>\n\n\n\n

(107) Das Pr\u00fcfverfahren sollte f\u00fcr die Annahme von Durchf\u00fchrungsrechtsakten zu europ\u00e4ischen Cybersicherheitszertifizierungssystemen f\u00fcr IT-Produkte, IT-Dienstleistungen oder IT-Prozesse, f\u00fcr die Annahme von Durchf\u00fchrungsrechtsakten zu Regelungen f\u00fcr die Durchf\u00fchrung von Pr\u00fcfungen durch die ENISA, f\u00fcr die Annahme von Durchf\u00fchrungsrechtsakten zu einem Plan f\u00fcr die Peer-Review nationaler Cybersicherheitszertifizierungsstellen sowie f\u00fcr die Annahme von Durchf\u00fchrungsrechtsakten zu den Umst\u00e4nden, Formaten und Verfahren von Meldungen von akkreditierten Konformit\u00e4tsbewertungsstellen durch die nationalen Cybersicherheitszertifizierungsstellen an die Kommission verwendet werden.<\/p>\n\n\n\n

(108) Die T\u00e4tigkeiten von ENISA sollten regelm\u00e4\u00dfigen und unabh\u00e4ngigen Bewertungen unterliegen. Diese Bewertungen sollten die Ziele von ENISA, ihre Arbeitsweise und die Relevanz ihrer Aufgaben, insbesondere ihrer Aufgaben im Zusammenhang mit der operativen Zusammenarbeit auf Unionsebene, ber\u00fccksichtigen. Diese Bewertungen sollten auch die Auswirkungen, die Wirksamkeit und die Effizienz des europ\u00e4ischen Rahmens f\u00fcr die Cybersicherheitszertifizierung bewerten. Im Falle einer \u00dcberpr\u00fcfung sollte die Kommission pr\u00fcfen, wie die Rolle von ENISA als Anlaufstelle f\u00fcr Beratung und Fachwissen gest\u00e4rkt werden kann, und auch die M\u00f6glichkeit pr\u00fcfen, ENISA bei der Bewertung von Produkten, Dienstleistungen und Prozessen der Informations- und Kommunikationstechnologie von Drittl\u00e4ndern, die nicht den Unionsvorschriften entsprechen und in die Union gelangen, zu unterst\u00fctzen.<\/p>\n\n\n\n

Da die Ziele dieser Verordnung von den Mitgliedstaaten nicht in ausreichendem Ma\u00dfe verwirklicht werden k\u00f6nnen, sondern vielmehr wegen ihres Umfangs und ihrer Wirkungen auf Unionsebene besser verwirklicht werden k\u00f6nnen, kann die Union nach dem in Artikel 5 des Vertrags \u00fcber die Europ\u00e4ische Union (EUV) niedergelegten Subsidiarit\u00e4tsprinzip t\u00e4tig werden. Nach dem in diesem Artikel niedergelegten Verh\u00e4ltnism\u00e4\u00dfigkeitsprinzip geht diese Verordnung nicht \u00fcber das zur Erreichung dieser Ziele erforderliche Ma\u00df hinaus.<\/p>\n\n\n\n

(110) Die Verordnung (EU) Nr. 526\/2013 sollte aufgehoben werden,<\/p>\n\n\n\n

HABEN DIESE VERORDNUNG ANGENOMMEN:<\/p>\n\n\n\n

<\/p>","protected":false},"excerpt":{"rendered":"

THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,Having regard to the Treaty on the Functioning of the European Union, and in particular Article 114 thereof,Having regard to the proposal from the European Commission,After transmission of the draft legislative act to the national parliaments,Having regard to the opinion of the European Economic and Social […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":1145,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_gspb_post_css":".gspb_container-id-gsbp-b565ac4{flex-direction:column;box-sizing:border-box}#gspb_container-id-gsbp-b565ac4.gspb_container>p:last-of-type{margin-bottom:0}.gspb_container{position:relative}#gspb_container-id-gsbp-b565ac4.gspb_container{display:flex;flex-direction:column;align-items:center;margin-bottom:40px}@media (max-width:991.98px){#gspb_container-id-gsbp-b565ac4.gspb_container{margin-bottom:40px}}#gspb_heading-id-gsbp-d1b4c76{font-size:30px}@media (max-width:991.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:30px}}@media (max-width:575.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:25px}}#gspb_heading-id-gsbp-d1b4c76,#gspb_heading-id-gsbp-d1b4c76 .gsap-g-line{text-align:center!important}#gspb_heading-id-gsbp-d1b4c76{margin-top:0;margin-bottom:10px}","footnotes":""},"class_list":["post-1146","page","type-page","status-publish","hentry"],"blocksy_meta":{"has_hero_section":"enabled","styles_descriptor":{"styles":{"desktop":"[data-prefix=\"single_page\"] .entry-header .page-title {--theme-font-size:30px;} [data-prefix=\"single_page\"] .entry-header .entry-meta {--theme-font-weight:600;--theme-text-transform:uppercase;--theme-font-size:12px;--theme-line-height:1.3;}","tablet":"","mobile":""},"google_fonts":[],"version":6},"vertical_spacing_source":"custom","content_area_spacing":"none","page_structure_type":"type-2","hero_elements":[{"id":"custom_title","enabled":true,"heading_tag":"h1","title":"Startseite","__id":"zUAv84-iCqwWhwHz_7eMU"},{"id":"custom_description","enabled":false,"description_visibility":{"desktop":true,"tablet":true,"mobile":false},"__id":"q0z81OBwVS1eiBNwQJZ31"},{"id":"custom_meta","enabled":false,"meta_elements":[{"id":"author","enabled":true,"label":"By","has_author_avatar":"yes","avatar_size":25},{"id":"post_date","enabled":true,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"updated_date","enabled":false,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"categories","enabled":false,"label":"In","style":"simple"},{"id":"comments","enabled":true}],"page_meta_elements":{"joined":true,"articles_count":true,"comments":true},"__id":"908KnW1IQtQMH2CkUzVag"},{"id":"breadcrumbs","enabled":true,"__id":"gyh2MB_UdPumL0ReCyfHv"},{"id":"content-block","enabled":false,"__id":"RhhTfxRztIm-fh5C63-qH"}]},"_links":{"self":[{"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/pages\/1146","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/comments?post=1146"}],"version-history":[{"count":0,"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/pages\/1146\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/pages\/1145"}],"wp:attachment":[{"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/media?parent=1146"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}