Preambule

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,
Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 114,
Gezien het voorstel van de Europese Commissie,
Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,
Gezien het advies van het Europees Economisch en Sociaal Comité (1), Overwegende hetgeen volgt
Gezien het advies van het Comité van de Regio's (2), Overwegende hetgeen volgt
Handelend volgens de gewone wetgevingsprocedure (3),

Overwegende hetgeen volgt:

(1) Netwerk- en informatiesystemen en elektronische communicatienetwerken en -diensten spelen een cruciale rol in de samenleving en zijn de ruggengraat van de economische groei geworden. Informatie- en communicatietechnologie (ICT) ligt aan de basis van de complexe systemen die de dagelijkse maatschappelijke activiteiten ondersteunen, onze economieën draaiende houden in belangrijke sectoren zoals gezondheid, energie, financiën en vervoer, en met name de werking van de interne markt ondersteunen.

(2) Het gebruik van netwerk- en informatiesystemen door burgers, organisaties en bedrijven in de hele Unie is inmiddels alomtegenwoordig. Digitalisering en connectiviteit worden kernelementen van een steeds groeiend aantal producten en diensten en met de komst van het internet van de dingen (ivd) wordt verwacht dat in het komende decennium in de hele Unie een extreem groot aantal verbonden digitale apparaten zal worden ingevoerd. Hoewel steeds meer apparaten met het internet verbonden zijn, zijn beveiliging en veerkracht bij het ontwerp onvoldoende ingebouwd, wat leidt tot onvoldoende cyberbeveiliging. In dat verband leidt het beperkte gebruik van certificering ertoe dat individuele, organisatorische en zakelijke gebruikers onvoldoende informatie hebben over de cyberbeveiligingskenmerken van ICT-producten, ICT-diensten en ICT-processen, wat het vertrouwen in digitale oplossingen ondermijnt. Netwerk- en informatiesystemen kunnen alle aspecten van ons leven ondersteunen en de economische groei van de Unie stimuleren. Zij vormen de hoeksteen van de digitale eengemaakte markt.

(3) Door de toegenomen digitalisering en connectiviteit nemen de risico's op het gebied van cyberbeveiliging toe, waardoor de samenleving als geheel kwetsbaarder wordt voor cyberdreigingen en de gevaren voor individuen, waaronder kwetsbare personen zoals kinderen, toenemen. Om deze risico's te beperken, moeten alle nodige maatregelen worden genomen om de cyberbeveiliging in de Unie te verbeteren, zodat netwerk- en informatiesystemen, communicatienetwerken, digitale producten, diensten en apparaten die worden gebruikt door burgers, organisaties en bedrijven - variërend van kleine en middelgrote ondernemingen (kmo's), zoals gedefinieerd in Aanbeveling 2003/361/EG van de Commissie (4 ), tot exploitanten van kritieke infrastructuur - beter beschermd zijn tegen cyberdreigingen.

(4) Door de relevante informatie ter beschikking van het publiek te stellen, draagt het Agentschap voor netwerk- en informatiebeveiliging van de Europese Unie (ENISA), opgericht bij Verordening (EU) nr. 526/2013 van het Europees Parlement en de Raad (5 ), bij tot de ontwikkeling van de cyberbeveiligingsindustrie in de Unie, met name kmo's en start-ups. ENISA moet streven naar nauwere samenwerking met universiteiten en onderzoeksinstellingen om de afhankelijkheid van cyberbeveiligingsproducten en -diensten van buiten de Unie te verminderen en de toeleveringsketens binnen de Unie te versterken.

(5) Cyberaanvallen nemen toe en een verbonden economie en samenleving die kwetsbaarder is voor cyberdreigingen en -aanvallen vereist een sterkere verdediging. Hoewel cyberaanvallen vaak grensoverschrijdend zijn, zijn de bevoegdheden van en de beleidsreacties van cyberbeveiligings- en rechtshandhavingsautoriteiten overwegend nationaal. Grootschalige incidenten kunnen de levering van essentiële diensten in de hele Unie verstoren. Dit vereist effectieve en gecoördineerde reacties en crisisbeheer op het niveau van de Unie, voortbouwend op specifiek beleid en bredere instrumenten voor Europese solidariteit en wederzijdse bijstand. Bovendien zijn een regelmatige beoordeling van de staat van cyberbeveiliging en -veerkracht in de Unie, gebaseerd op betrouwbare gegevens van de Unie, en systematische voorspellingen van toekomstige ontwikkelingen, uitdagingen en bedreigingen, op EU- en mondiaal niveau, belangrijk voor beleidsmakers, de industrie en gebruikers.

(6) In het licht van de toegenomen uitdagingen op het gebied van cyberbeveiliging waarmee de Unie wordt geconfronteerd, is er behoefte aan een alomvattend pakket maatregelen dat voortbouwt op eerdere maatregelen van de Unie en dat wederzijds versterkende doelstellingen bevordert. Deze doelstellingen omvatten het verder vergroten van de capaciteiten en paraatheid van de lidstaten en het bedrijfsleven, alsmede het verbeteren van de samenwerking, informatie-uitwisseling en coördinatie tussen de lidstaten en de instellingen, organen, bureaus en agentschappen van de Unie. Gezien de grenzeloze aard van cyberdreigingen is het voorts noodzakelijk om de capaciteiten op EU-niveau te vergroten die de maatregelen van de lidstaten kunnen aanvullen, met name in het geval van grootschalige grensoverschrijdende incidenten en crises, waarbij rekening moet worden gehouden met het belang van het behoud en de verdere versterking van de nationale capaciteiten om te reageren op cyberdreigingen van elke omvang.

(7) Er zijn ook extra inspanningen nodig om burgers, organisaties en bedrijven bewuster te maken van cyberbeveiligingskwesties. Aangezien incidenten het vertrouwen in digitale dienstDigitale service iedere dienst van de informatiemaatschappij, dat wil zeggen iedere dienst die gewoonlijk tegen vergoeding, langs elektronische weg, op afstand en op individueel verzoek van een afnemer van diensten verricht wordt. In deze definitie wordt verstaan onder: i) "op afstand": een dienst die wordt geleverd zonder dat de partijen gelijktijdig aanwezig zijn; ii) "langs elektronische weg": een dienst die verzonden en ontvangen wordt via elektronische apparatuur voor de verwerking (met inbegrip van digitale compressie) en de opslag van gegevens, en die geheel via draden, radio, optische middelen of andere elektromagnetische middelen wordt verzonden, doorgeleid en ontvangen; iii) "op individueel verzoek van een afnemer van diensten": een dienst die op individueel verzoek via de transmissie van gegevens wordt geleverd. - Definitie overeenkomstig artikel 1, lid 1, onder b), van Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad. aanbieders en op de digitale eengemaakte markt zelf, met name onder consumenten, moet het vertrouwen verder worden versterkt door op transparante wijze informatie te verstrekken over het beveiligingsniveau van ICT-producten, ICT-diensten en ICT-processen, waarbij wordt benadrukt dat zelfs een hoog niveau van cyberbeveiligingscertificering niet kan garanderen dat een ICT-product, ICT-dienst of ICT-proces aan de hoogste eisen voldoet. ICT-productICT-product Een element of groep elementen van een netwerk of informatiesysteem. - Definitie overeenkomstig artikel 2, punt 12, van Verordening (EU) 2019/881., ICT-dienstICT-dienst Een dienst die geheel of hoofdzakelijk bestaat uit het overbrengen, opslaan, opvragen of verwerken van informatie door middel van netwerken en informatiesystemen - Definitie overeenkomstig artikel 2, punt 13, van Verordening (EU) 2019/881. of ICT-procesICT-proces Een reeks activiteiten voor het ontwerpen, ontwikkelen, leveren of onderhouden van een ICT-product of ICT-dienst. - Definitie overeenkomstig artikel 2, punt 14, van Verordening (EU) 2019/881. volledig veilig is. Een groter vertrouwen kan worden bevorderd door certificering in de hele Unie die voorziet in gemeenschappelijke cyberbeveiligingseisen en evaluatiecriteria voor alle nationale markten en sectoren.

(8) Cyberbeveiliging is niet alleen een kwestie van technologie, maar ook van menselijk gedrag. Daarom moet "cyberhygiëne", d.w.z. eenvoudige routinemaatregelen die, wanneer ze door burgers, organisaties en bedrijven worden uitgevoerd en regelmatig worden uitgevoerd, hun blootstelling aan risico's van cyberdreigingen tot een minimum beperken, sterk worden bevorderd.

(9) Om de cyberbeveiligingsstructuren van de Unie te versterken, is het van belang de capaciteit van de lidstaten om cyberdreigingen, met inbegrip van grensoverschrijdende incidenten, alomvattend aan te pakken, in stand te houden en te ontwikkelen.

(10) Bedrijven en individuele consumenten moeten accurate informatie krijgen over de mate van zekerheid waarmee de beveiliging van hun ICT-producten, ICT-diensten en ICT-processen is gecertificeerd. Tegelijkertijd is geen enkel ICT-product of ICT-dienst volledig cyberveilig en moeten basisregels inzake cyberhygiëne worden bevorderd en prioriteit krijgen. Gezien de groeiende beschikbaarheid van IoT-apparaten is er een reeks vrijwillige maatregelen die de private sector kan nemen om het vertrouwen in de beveiliging van ICT-producten, ICT-diensten en ICT-processen te versterken.

(11) Moderne ICT-producten en -systemen integreren vaak en steunen op een of meer technologieën en componenten van derden, zoals softwaremodules, bibliotheken of toepassingsprogramma-interfaces. Deze afhankelijkheid, die "afhankelijkheid" wordt genoemd, kan extra risico's voor cyberbeveiliging opleveren, aangezien kwetsbaarheden in componenten van derden ook de beveiliging van de ICT-producten, ICT-diensten en ICT-processen kunnen aantasten. In veel gevallen kunnen eindgebruikers van ICT-producten, ICT-diensten en ICT-processen hun cyberbeveiliging verbeteren door dergelijke afhankelijkheden te identificeren en te documenteren. risicoRisico Betekent de kans op verlies of verstoring veroorzaakt door een incident en moet worden uitgedrukt als een combinatie van de omvang van een dergelijk verlies of verstoring en de waarschijnlijkheid dat het incident zich voordoet. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) beheeractiviteiten door bijvoorbeeld de cyberbeveiliging van gebruikers te verbeteren kwetsbaarheidKwetsbaarheid Een zwakte, gevoeligheid of tekortkoming van ICT-producten of ICT-diensten die door een cyberdreiging kan worden uitgebuit. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) beheer- en herstelprocedures.

(12) Organisaties, fabrikanten of aanbieders die betrokken zijn bij het ontwerp en de ontwikkeling van ICT-producten, ICT-diensten of ICT-processen moeten worden aangemoedigd om in de vroegste ontwerp- en ontwikkelingsfasen maatregelen te treffen om de beveiliging van deze producten, diensten en processen zo goed mogelijk te beschermen, zodat cyberaanvallen worden vermoed en de impact ervan wordt geanticipeerd en geminimaliseerd ("security-by-design"). De beveiliging moet gedurende de hele levensduur van het ICT-product, de ICT-dienst of het ICT-proces worden gewaarborgd door ontwerp- en ontwikkelingsprocessen die voortdurend evolueren om het risico op schade door kwaadwillige exploitatie te beperken.

(13) Ondernemingen, organisaties en de publieke sector moeten de door hen ontworpen ICT-producten, ICT-diensten of ICT-processen configureren op een manier die een hoger beveiligingsniveau waarborgt, zodat de eerste gebruiker een standaardconfiguratie met de veiligst mogelijke instellingen krijgt ("standaardbeveiliging"), waardoor de gebruikers minder worden belast omdat zij een ICT-product, ICT-dienst of ICT-proces naar behoren moeten configureren. Standaardbeveiliging mag geen uitgebreide configuratie, specifieke technische kennis of niet-intuïtief gedrag van de gebruiker vereisen, en moet bij implementatie gemakkelijk en betrouwbaar werken. Als een risico- en bruikbaarheidsanalyse per geval tot de conclusie leidt dat een dergelijke standaardinstelling niet haalbaar is, moeten gebruikers worden gevraagd te kiezen voor de veiligste instelling.

(14) Bij Verordening (EG) nr. 460/2004 van het Europees Parlement en de Raad (6 ) is het ENISA opgericht met als doel bij te dragen tot de verwezenlijking van de doelstellingen van een hoog en doeltreffend niveau van netwerk- en informatiebeveiliging in de Unie, en een cultuur van netwerk- en informatiebeveiliging ten behoeve van burgers, consumenten, bedrijven en overheidsinstanties te ontwikkelen. Bij Verordening (EG) nr. 1007/2008 van het Europees Parlement en de Raad (7 ) is het mandaat van ENISA verlengd tot maart 2012. Bij Verordening (EU) nr. 580/2011 van het Europees Parlement en de Raad (8 ) is het mandaat van het ENISA verlengd tot 13 september 2013. Bij Verordening (EU) nr. 526/2013 is het mandaat van het ENISA verlengd tot 19 juni 2020.

(15) De Unie heeft al belangrijke stappen gezet om cyberbeveiliging te waarborgen en het vertrouwen in digitale technologieën te vergroten. In 2013 werd de cyberbeveiligingsstrategie van de Europese Unie vastgesteld als leidraad voor de beleidsreactie van de Unie op cyberdreigingen en -risico's. In een poging om burgers online beter te beschermen, werd in 2016 de eerste rechtshandeling van de Unie op het gebied van cyberbeveiliging vastgesteld in de vorm van Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad (9). Richtlijn (EU) 2016/1148 stelde eisen aan de nationale capaciteiten op het gebied van cyberbeveiliging, stelde de eerste mechanismen in om de strategische en operationele samenwerking tussen de lidstaten te verbeteren, en introduceerde verplichtingen met betrekking tot beveiligingsmaatregelen en de bescherming van persoonsgegevens. incidentIncident Een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid in gevaar brengt van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) kennisgevingen in sectoren die van vitaal belang zijn voor de economie en de samenleving, zoals energie, vervoer, drinkwatervoorziening en -distributie, bankwezen, infrastructuur van de financiële markten, gezondheidszorg, digitale infrastructuur en belangrijke leveranciers van digitale diensten (zoekmachines, cloudcomputingdiensten en online marktplaatsen).

ENISA kreeg een sleutelrol toebedeeld bij de ondersteuning van de tenuitvoerlegging van die richtlijn. Daarnaast is de effectieve bestrijding van cybercriminaliteit een belangrijke prioriteit in de Europese agenda voor veiligheid, die bijdraagt aan de algemene doelstelling om een hoog niveau van cyberbeveiliging te bereiken. Andere rechtshandelingen zoals Verordening (EU) 2016/679 van het Europees Parlement en de Raad (10 ) en Richtlijnen 2002/58/EG (11 ) en (EU) 2018/1972 (12 ) van het Europees Parlement en de Raad dragen ook bij aan een hoog niveau van cyberbeveiliging op de digitale eengemaakte markt.

(16) Sinds de aanneming van de cyberbeveiligingsstrategie van de Europese Unie in 2013 en de laatste herziening van het mandaat van het ENISA is de algemene beleidscontext aanzienlijk veranderd aangezien de mondiale omgeving onzekerder en minder veilig is geworden. Tegen die achtergrond en in de context van de positieve ontwikkeling van de rol van het ENISA als referentiepunt voor advies en expertise, als facilitator van samenwerking en capaciteitsopbouw en in het kader van het nieuwe cyberbeveiligingsbeleid van de Unie, is het noodzakelijk het mandaat van het ENISA te herzien, zijn rol in het veranderde ecosysteem van cyberbeveiliging te bepalen en ervoor te zorgen dat het op doeltreffende wijze bijdraagt aan de respons van de Unie op de uitdagingen op het gebied van cyberbeveiliging die voortvloeien uit het radicaal veranderde cyberdreigingCyberdreiging elke potentiële omstandigheid, gebeurtenis of actie die netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen kan beschadigen, verstoren of anderszins nadelig kan beïnvloeden - definitie overeenkomstig artikel 2, punt 8, van Verordening (EU) 2019/881 landschap, waarvoor, zoals tijdens de evaluatie van ENISA werd erkend, het huidige mandaat niet volstaat.

(17) Het bij deze verordening opgerichte ENISA moet het bij Verordening (EU) nr. 526/2013 opgerichte ENISA opvolgen. Het ENISA dient de taken uit te voeren die het bij deze verordening en andere rechtshandelingen van de Unie worden toebedeeld op het gebied van cyberbeveiliging, onder meer door advies en deskundigheid te verstrekken en op te treden als een informatie- en kenniscentrum van de Unie. Het dient de uitwisseling van beste praktijken tussen de lidstaten en private belanghebbenden te bevorderen, beleidsvoorstellen te doen aan de Commissie en de lidstaten, als referentiepunt te fungeren voor sectorale beleidsinitiatieven van de Unie met betrekking tot cyberbeveiligingskwesties, en operationele samenwerking te stimuleren, zowel tussen de lidstaten onderling als tussen de lidstaten en de instellingen, organen, bureaus en agentschappen van de Unie.

(18) In het kader van Besluit 2004/97/EG, Euratom, genomen bij onderlinge overeenstemming tussen de vertegenwoordigers van de lidstaten, op het niveau van de staatshoofden en regeringsleiders bijeen (13 ), hebben de vertegenwoordigers van de lidstaten besloten dat ENISA zijn zetel zal hebben in een door de Griekse regering aan te wijzen stad in Griekenland. De gastlidstaat van ENISA moet zorgen voor de best mogelijke omstandigheden voor de vlotte en efficiënte werking van ENISA. Het is absoluut noodzakelijk voor de goede en efficiënte uitvoering van zijn taken, voor het aanwerven en behouden van personeel en voor het vergroten van de efficiëntie van netwerkactiviteiten dat ENISA op een geschikte locatie wordt gevestigd, onder meer door te zorgen voor passende vervoersverbindingen en faciliteiten voor echtgenoten en kinderen die personeelsleden van ENISA vergezellen. De nodige regelingen moeten worden vastgelegd in een overeenkomst tussen ENISA en de gastlidstaat, die wordt gesloten na goedkeuring door de raad van bestuur van ENISA.

(19) Gezien de toenemende risico's en uitdagingen op het gebied van cyberbeveiliging waarmee de Unie wordt geconfronteerd, moeten de financiële en personele middelen die aan het ENISA worden toegewezen, worden verhoogd in overeenstemming met de versterkte rol en taken van het agentschap en zijn kritieke positie in het ecosysteem van organisaties die het digitale ecosysteem van de Unie verdedigen, zodat het ENISA de taken die het bij deze verordening krijgt toebedeeld, doeltreffend kan uitvoeren.

(20) ENISA moet een hoog niveau van deskundigheid ontwikkelen en handhaven en als referentiepunt fungeren, dat vertrouwen in de interne markt wekt door zijn onafhankelijkheid, de kwaliteit van zijn advies, de kwaliteit van de informatie die het verspreidt, de transparantie van zijn procedures, de transparantie van zijn werkmethoden en de zorgvuldigheid waarmee het zijn taken uitvoert. Het ENISA moet de nationale inspanningen actief ondersteunen en proactief bijdragen aan de inspanningen van de Unie, terwijl het zijn taken uitvoert in volledige samenwerking met de instellingen, organen en instanties van de Unie en met de lidstaten, waarbij dubbel werk moet worden vermeden en synergie moet worden bevorderd. Daarnaast moet ENISA voortbouwen op de inbreng van en samenwerking met de particuliere sector en andere relevante belanghebbenden. In een reeks taken moet worden vastgesteld hoe ENISA zijn doelstellingen moet verwezenlijken, terwijl flexibiliteit in zijn activiteiten mogelijk moet blijven.

(21) Om de operationele samenwerking tussen de lidstaten adequaat te kunnen ondersteunen, moet ENISA zijn technische en menselijke capaciteiten en vaardigheden verder versterken. Het ENISA moet zijn knowhow en capaciteiten vergroten. ENISA en de lidstaten kunnen op vrijwillige basis programma's ontwikkelen om nationale deskundigen bij ENISA te detacheren, pools van deskundigen te vormen en personeel uit te wisselen.

(22) Het ENISA dient de Commissie bij te staan door middel van adviezen, opinies en analyses met betrekking tot alle aangelegenheden van de Unie die verband houden met de ontwikkeling, actualisering en herziening van beleid en wetgeving op het gebied van cyberbeveiliging en de sectorspecifieke aspecten daarvan, teneinde de relevantie van beleid en wetgeving van de Unie met een cyberbeveiligingsdimensie te vergroten en de consistentie bij de uitvoering van dat beleid en die wetgeving op nationaal niveau mogelijk te maken. Het ENISA dient te fungeren als referentiepunt voor advies en expertise voor sectorspecifieke beleids- en wetgevingsinitiatieven van de Unie met betrekking tot kwesties die verband houden met cyberbeveiliging. Het ENISA dient het Europees Parlement regelmatig te informeren over zijn activiteiten.

(23) De publieke kern van het open internet, namelijk de belangrijkste protocollen en infrastructuur, die een mondiaal publiek goed zijn, zorgen voor de essentiële functionaliteit van het internet als geheel en ondersteunen de normale werking ervan. Het ENISA moet de veiligheid van de openbare kern van het open internet en de stabiliteit van de werking ervan ondersteunen, met inbegrip van, maar niet beperkt tot, de belangrijkste protocollen (met name DNS, BGP en IPv6), de werking van het domeinnaamsysteem (zoals de werking van alle topleveldomeinen) en de werking van de rootzone.

(24) De onderliggende taak van het ENISA is het bevorderen van de consistente tenuitvoerlegging van het relevante rechtskader, met name de effectieve tenuitvoerlegging van Richtlijn (EU) 2016/1148 en andere relevante rechtsinstrumenten die aspecten van cyberbeveiliging bevatten, wat essentieel is voor het vergroten van de cyberveerkracht. In het licht van het snel evoluerende cyberdreigingslandschap is het duidelijk dat de lidstaten moeten worden ondersteund door een meer omvattende, beleidsoverschrijdende aanpak om cyberveerkracht op te bouwen.

(25) ENISA moet de lidstaten en de instellingen, organen, instanties en agentschappen van de Unie bijstaan bij hun inspanningen om capaciteiten en paraatheid op te bouwen en te verbeteren om cyberdreigingen en -incidenten te voorkomen, op te sporen en erop te reageren en met betrekking tot de beveiliging van netwerk- en informatiesystemenBeveiliging van netwerk- en informatiesystemen Het vermogen van netwerk- en informatiesystemen om met een gegeven mate van betrouwbaarheid bestand te zijn tegen gebeurtenissen die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die door deze netwerk- en informatiesystemen worden aangeboden of via deze toegankelijk zijn, in gevaar kunnen brengen. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn). ENISA moet met name steun verlenen aan de ontwikkeling en versterking van de nationale en communautaire computercalamiteitenteams ("CSIRT's") waarin Richtlijn (EU) 2016/1148 voorziet, teneinde een hoog gemeenschappelijk niveau van volwassenheid van deze teams in de Unie te bereiken. De activiteiten van ENISA met betrekking tot de operationele capaciteiten van de lidstaten moeten de acties van de lidstaten om te voldoen aan hun verplichtingen op grond van Richtlijn (EU) 2016/1148 actief ondersteunen en mogen deze derhalve niet vervangen.

(26) ENISA moet ook bijstand verlenen bij de ontwikkeling en actualisering van strategieën voor de beveiliging van netwerk- en informatiesystemen op het niveau van de Unie en, op verzoek, op het niveau van de lidstaten, met name op het gebied van cyberbeveiliging, en moet de verspreiding van dergelijke strategieën bevorderen en de voortgang van de uitvoering ervan volgen. ENISA moet ook bijdragen aan het voorzien in de behoefte aan opleiding en opleidingsmateriaal, met inbegrip van de behoeften van overheidsinstanties, en waar nodig in hoge mate "opleiders opleiden", voortbouwend op het kader voor digitale competentie voor burgers, teneinde de lidstaten en de instellingen, organen, bureaus en agentschappen van de Unie te helpen bij het ontwikkelen van hun eigen opleidingscapaciteiten.

(27) ENISA dient de lidstaten te ondersteunen op het gebied van bewustmaking en opleiding inzake cyberbeveiliging door nauwere coördinatie en uitwisseling van beste praktijken tussen de lidstaten te faciliteren. Deze steun zou kunnen bestaan uit de ontwikkeling van een netwerk van nationale contactpunten voor onderwijs en de ontwikkeling van een opleidingsplatform voor cyberbeveiliging. Het netwerk van nationale contactpunten voor onderwijs zou kunnen functioneren binnen het netwerk van nationale verbindingsfunctionarissen en een uitgangspunt kunnen zijn voor toekomstige coördinatie binnen de lidstaten.

(28) ENISA moet de bij Richtlijn (EU) 2016/1148 opgerichte samenwerkingsgroep bijstaan bij de uitvoering van zijn taken, met name door deskundigheid en advies te verstrekken en door de uitwisseling van beste praktijken te vergemakkelijken, onder meer met betrekking tot de identificatie van exploitanten van essentiële diensten door de lidstaten en met betrekking tot grensoverschrijdende afhankelijkheden, risico's en incidenten.

(29) Teneinde de samenwerking tussen de openbare en de particuliere sector en binnen de particuliere sector te stimuleren, met name om de bescherming van kritieke infrastructuur te ondersteunen, moet ENISA de uitwisseling van informatie binnen en tussen sectoren ondersteunen, met name tussen de sectoren die zijn opgenomen in bijlage II bij Richtlijn (EU) 2016/1148/EG, door beste praktijken en richtsnoeren over beschikbare instrumenten en over de procedure te verstrekken en door richtsnoeren te verstrekken over de wijze waarop regelgevingskwesties in verband met informatiedeling moeten worden aangepakt, bijvoorbeeld door de oprichting van sectorale centra voor informatiedeling en analyse te vergemakkelijken.

(30) Aangezien de potentiële negatieve impact van kwetsbaarheden in ICT-producten, ICT-diensten en ICT-processen voortdurend toeneemt, speelt het opsporen en verhelpen van dergelijke kwetsbaarheden een belangrijke rol bij het verminderen van het algemene risico van cyberbeveiliging. Gebleken is dat samenwerking tussen organisaties, fabrikanten of leveranciers van kwetsbare ICT-producten, ICT-diensten en ICT-processen en leden van de onderzoeksgemeenschap op het gebied van cyberbeveiliging en overheden die kwetsbaarheden vinden, zowel de snelheid waarmee kwetsbaarheden in ICT-producten, ICT-diensten en ICT-processen worden ontdekt als de mate waarin deze worden verholpen, aanzienlijk kan verhogen. Gecoördineerde bekendmaking van kwetsbaarheden houdt een gestructureerd samenwerkingsproces in waarbij kwetsbaarheden worden gemeld aan de eigenaar van het informatiesysteem, zodat de organisatie de kans krijgt om een diagnose te stellen en de kwetsbaarheid te verhelpen voordat gedetailleerde informatie over de kwetsbaarheid wordt bekendgemaakt aan derden of aan het publiek. Het proces voorziet ook in coördinatie tussen de vinder en de organisatie wat betreft de publicatie van die kwetsbaarheden. Een gecoördineerd beleid voor het openbaar maken van kwetsbaarheden kan een belangrijke rol spelen bij de inspanningen van de lidstaten om de cyberveiligheid te verbeteren.

(31) ENISA moet vrijwillig gedeelde nationale verslagen van CSIRT's en het interinstitutionele computercalamiteitenteam voor de instellingen, organen en agentschappen van de Unie, dat is opgericht bij de regeling tussen het Europees Parlement, de Europese Raad, de Raad van de Europese Unie, de Europese Commissie, het Hof van Justitie van de Europese Unie, de Europese Centrale Bank, de Europese dienst voor extern optreden, het Europees Economisch en Sociaal Comité, het Europees Comité van de Regio's en de Europese Investeringsbank over de organisatie en de werking van een computercalamiteitenteam voor de instellingen, organen en agentschappen van de Unie, bundelen en analyseren, de Europese Rekenkamer, de Europese Dienst voor extern optreden, het Europees Economisch en Sociaal Comité, het Europees Comité van de Regio's en de Europese Investeringsbank betreffende de organisatie en de werking van een computercalamiteitenteam voor de instellingen, organen en agentschappen van de Unie (CERT-EU) (14 ), teneinde bij te dragen tot de vaststelling van gemeenschappelijke procedures, taal en terminologie voor de uitwisseling van informatie. In dat verband moet ENISA de particuliere sector betrekken bij het netwerk van computercalamiteitenteams ("CSIRT-netwerk") dat bij Richtlijn (EU) 2016/1148 is opgericht, waarin de grondslagen worden gelegd voor de vrijwillige uitwisseling van technische informatie op operationeel niveau.

(32) Het ENISA dient bij te dragen tot reacties op het niveau van de Unie in het geval van grootschalige grensoverschrijdende incidenten en crises die verband houden met cyberbeveiliging. Die taak moet worden uitgevoerd overeenkomstig het mandaat van het ENISA uit hoofde van deze verordening en een door de lidstaten overeen te komen aanpak in het kader van Aanbeveling (EU) 2017/1584 van de Commissie (15 ) en de conclusies van de Raad van 26 juni 2018 over een gecoördineerde respons van de EU op grootschalige cyberbeveiligingsincidenten en -crises. Die taak kan het verzamelen van relevante informatie omvatten en optreden als facilitator tussen het CSIRT-netwerk en de technische gemeenschap, alsook tussen besluitvormers die verantwoordelijk zijn voor crisisbeheer. Voorts moet ENISA de operationele samenwerking tussen de lidstaten ondersteunen, wanneer een of meer lidstaten daarom verzoeken, bij de behandeling van incidenten vanuit technisch oogpunt, door relevante uitwisselingen van technische oplossingen tussen de lidstaten te vergemakkelijken en door input te leveren voor openbare communicatie. ENISA moet de operationele samenwerking ondersteunen door de regelingen voor die samenwerking te testen door middel van regelmatige cyberbeveiligingsoefeningen.

(33) Bij de ondersteuning van de operationele samenwerking moet ENISA via gestructureerde samenwerking gebruikmaken van de beschikbare technische en operationele deskundigheid van CERT-EU. Deze gestructureerde samenwerking kan voortbouwen op de deskundigheid van ENISA. In voorkomend geval moeten specifieke regelingen tussen de twee entiteiten worden getroffen om de praktische uitvoering van een dergelijke samenwerking vast te leggen en dubbel werk te vermijden.

(34) Bij het uitvoeren van zijn taak om de operationele samenwerking binnen het CSIRT-netwerk te ondersteunen, moet ENISA de lidstaten op hun verzoek ondersteuning kunnen bieden, bijvoorbeeld door advies te verstrekken over de wijze waarop zij hun capaciteit om incidenten te voorkomen, op te sporen en te bestrijden, kunnen verbeteren, door de technische behandeling van incidenten met een significante of aanzienlijke impact te faciliteren of door ervoor te zorgen dat cyberdreigingen en -incidenten worden geanalyseerd. Het ENISA moet de technische behandeling van incidenten met een significante of substantiële impact faciliteren, met name door het vrijwillig delen van technische oplossingen tussen de lidstaten te ondersteunen of door gecombineerde technische informatie te produceren, zoals technische oplossingen die vrijwillig door de lidstaten worden gedeeld. Aanbeveling (EU) 2017/1584 beveelt aan dat de lidstaten te goeder trouw samenwerken en onderling en met het ENISA zonder onnodige vertraging informatie uitwisselen over grootschalige incidenten en crises op het gebied van cyberbeveiliging. Dergelijke informatie zou het ENISA verder helpen bij het uitvoeren van zijn taak om de operationele samenwerking te ondersteunen.

(35) In het kader van de regelmatige samenwerking op technisch niveau ter ondersteuning van het situationeel bewustzijn van de Unie dient het ENISA, in nauwe samenwerking met de lidstaten, regelmatig een diepgaand technisch situatieverslag van de EU op het gebied van cyberbeveiliging op te stellen over incidenten en cyberdreigingen, op basis van openbaar beschikbare informatie, zijn eigen analyse en verslagen die met hem worden gedeeld door de CSIRT's van de lidstaten of de nationale centrale contactpunten voor de beveiliging van netwerk- en informatiesystemen ("centrale contactpunten") waarin Richtlijn (EU) 2016/1148 voorziet, beide op vrijwillige basis, het Europees Centrum voor de bestrijding van cybercriminaliteit (EC3) bij Europol, CERT-EU en, in voorkomend geval, het inlichtingen- en situatiecentrum van de Europese Unie (EU INTCEN) bij de Europese Dienst voor extern optreden. Dat verslag moet ter beschikking worden gesteld van de Raad, de Commissie, de hoge vertegenwoordiger van de Unie en de Commissie. VertegenwoordigerVertegenwoordiger Een in de Unie gevestigde natuurlijke of rechtspersoon die uitdrukkelijk is aangewezen om op te treden namens een DNS-dienstverlener, een TLD-naamregister, een entiteit die domeinnaamregistratiediensten levert, een aanbieder van cloud computing-diensten, een aanbieder van datacenterdiensten, een aanbieder van een content delivery network, een aanbieder van beheerde diensten, een aanbieder van beheerde beveiligingsdiensten of een aanbieder van een online marktplaats, een online zoekmachine of een platform voor sociale netwerkdiensten die niet in de Unie is gevestigd, die door een bevoegde autoriteit of een CSIRT in de plaats van de entiteit zelf kan worden aangesproken met betrekking tot de verplichtingen van die entiteit uit hoofde van deze richtlijn. - Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) van de Unie voor buitenlandse zaken en veiligheidsbeleid en het CSIRT-netwerk.

(36) De steun van ENISA voor technische onderzoeken achteraf van incidenten met aanzienlijke gevolgen die op verzoek van de betrokken lidstaten worden uitgevoerd, moet gericht zijn op de preventie van toekomstige incidenten. De betrokken lidstaten moeten de nodige informatie en bijstand verstrekken om het ENISA in staat te stellen het technisch onderzoek achteraf doeltreffend te ondersteunen.

(37) De lidstaten kunnen de bij het incident betrokken ondernemingen verzoeken samen te werken door de nodige informatie en bijstand te verstrekken aan ENISA, onverminderd hun recht om commercieel gevoelige informatie en informatie die relevant is voor de openbare veiligheid te beschermen.

(38) Om een beter inzicht te krijgen in de uitdagingen op het gebied van cyberbeveiliging en met het oog op het verstrekken van strategisch langetermijnadvies aan de lidstaten en de instellingen, organen en instanties van de Unie, dient het ENISA de huidige en nieuwe risico's op het gebied van cyberbeveiliging te analyseren. Daartoe moet het ENISA, in samenwerking met de lidstaten en, waar nodig, met statistische organen en andere instanties, relevante publiek beschikbare of vrijwillig gedeelde informatie verzamelen en analyses uitvoeren van opkomende technologieën en themaspecifieke beoordelingen maken van de verwachte maatschappelijke, wettelijke, economische en regelgevende gevolgen van technologische innovaties voor de netwerk- en informatiebeveiliging, met name voor de cyberbeveiliging. ENISA dient voorts lidstaten en instellingen, organen, bureaus en agentschappen van de Unie te ondersteunen bij het identificeren van opkomende risico's voor cyberbeveiliging en het voorkomen van incidenten, door analyses van cyberdreigingen, kwetsbaarheden en incidenten uit te voeren.

(39) Om de veerkracht van de Unie te vergroten, moet het ENISA deskundigheid ontwikkelen op het gebied van de cyberbeveiliging van infrastructuren, met name ter ondersteuning van de sectoren die zijn opgesomd in bijlage II bij Richtlijn (EU) 2016/1148 en de sectoren die worden gebruikt door de aanbieders van de digitale diensten die zijn opgesomd in bijlage III bij die richtlijn, door advies te verstrekken, richtsnoeren uit te vaardigen en beste praktijken uit te wisselen. Om de toegang tot beter gestructureerde informatie over risico's op het gebied van cyberbeveiliging en mogelijke oplossingen te vergemakkelijken, moet ENISA de "informatiehub" van de Unie ontwikkelen en onderhouden, een one-stop-shop portaal dat het publiek voorziet van informatie over cyberbeveiliging die afkomstig is van instellingen, organen, bureaus en agentschappen van de Unie en de lidstaten. Het vergemakkelijken van de toegang tot beter gestructureerde informatie over cyberbeveiligingsrisico's en mogelijke oplossingen zou de lidstaten ook kunnen helpen hun capaciteiten te versterken en hun praktijken op elkaar af te stemmen, waardoor hun algehele weerbaarheid tegen cyberaanvallen zou toenemen.

(40) ENISA dient bij te dragen aan de bewustmaking van het publiek van de risico's op het gebied van cyberbeveiliging, onder meer door middel van een EU-brede bewustmakingscampagne door het bevorderen van onderwijs, en door het verstrekken van richtsnoeren inzake goede praktijken voor individuele gebruikers gericht op burgers, organisaties en bedrijven. ENISA moet ook bijdragen aan het bevorderen van beste praktijken en oplossingen, waaronder cyberhygiëne en cybergeletterdheid op het niveau van burgers, organisaties en bedrijven door het verzamelen en analyseren van openbaar beschikbare informatie over significante incidenten en door het opstellen en publiceren van verslagen en richtsnoeren voor burgers, organisaties en bedrijven om hun algemene niveau van paraatheid en veerkracht te verbeteren. ENISA moet er ook naar streven consumenten relevante informatie te verstrekken over toepasselijke certificeringsregelingen, bijvoorbeeld door richtsnoeren en aanbevelingen te verstrekken. ENISA moet bovendien, in overeenstemming met het actieplan voor digitale educatie dat is vastgesteld in de mededeling van de Commissie van 17 januari 2018 en in samenwerking met de lidstaten en de instellingen, organen, bureaus en agentschappen van de Unie, regelmatige outreach- en voorlichtingscampagnes voor eindgebruikers organiseren, om veiliger online gedrag door individuen en digitale geletterdheid te bevorderen, om het bewustzijn van potentiële cyberdreigingen te verhogen, met inbegrip van online criminele activiteiten zoals phishingaanvallen, botnets, financiële en bankfraude, incidenten met gegevensfraude, en om elementaire multifactorauthenticatie, patching, encryptie, anonimisering en advies inzake gegevensbescherming te bevorderen.

(41) ENISA moet een centrale rol spelen bij het bespoedigen van het bewustzijn bij eindgebruikers van de beveiliging van apparaten en het veilig gebruik van diensten, en moet security-by-design en privacy-by-design op het niveau van de Unie bevorderen. Bij het nastreven van die doelstelling moet het ENISA gebruikmaken van beschikbare beste praktijken en ervaringen, met name de beste praktijken en ervaringen van academische instellingen en IT-beveiligingsonderzoekers.

(42) Om de bedrijven die actief zijn in de cyberbeveiligingssector en de gebruikers van cyberbeveiligingsoplossingen te ondersteunen, dient het ENISA een "waarnemingscentrum voor de markt" te ontwikkelen en in stand te houden door regelmatig analyses uit te voeren en informatie te verspreiden over de belangrijkste tendensen in de cyberbeveiligingsmarkt, zowel aan de vraag- als aan de aanbodzijde.

(43) ENISA dient bij te dragen aan de inspanningen van de Unie om samen te werken met internationale organisaties en binnen relevante internationale samenwerkingsverbanden op het gebied van cyberbeveiliging. ENISA moet met name waar nodig bijdragen aan de samenwerking met organisaties als de OESO, de OVSE en de NAVO. Deze samenwerking kan onder meer bestaan uit gezamenlijke cyberbeveiligingsoefeningen en de coördinatie van gezamenlijke reacties op incidenten. Deze activiteiten moeten worden uitgevoerd met volledige inachtneming van de beginselen van inclusiviteit, wederkerigheid en beslissingsautonomie van de Unie, onverminderd het specifieke karakter van het veiligheids- en defensiebeleid van de lidstaten.

(44) Om ervoor te zorgen dat het zijn doelstellingen volledig verwezenlijkt, moet het ENISA contacten onderhouden met de relevante toezichthoudende autoriteiten van de Unie en met andere bevoegde autoriteiten in de Unie, instellingen, organen, bureaus en agentschappen van de Unie, waaronder CERT-EU, EC3, het Europees Defensieagentschap (EDA), het Europees Agentschap voor wereldwijde satellietnavigatiesystemen (Europees GNSS-Agentschap), het Orgaan van Europese regelgevende instanties voor elektronische communicatie (BEREC), het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA), de Europese Centrale Bank (ECB), de Europese Bankautoriteit (EBA), de Europese Raad voor gegevensbescherming, het Agentschap voor de samenwerking tussen energieregulators (ACER), het Europees Agentschap voor de veiligheid van de luchtvaart (EASA) en andere agentschappen van de Unie die betrokken zijn bij cyberbeveiliging. ENISA dient ook contact te onderhouden met autoriteiten die zich bezighouden met gegevensbescherming om knowhow en beste praktijken uit te wisselen en advies te geven over cyberbeveiligingskwesties die van invloed kunnen zijn op hun werkzaamheden. Vertegenwoordigers van nationale rechtshandhavings- en gegevensbeschermingsautoriteiten en van de Unie moeten in aanmerking komen voor vertegenwoordiging in de ENISA-adviesgroep. Bij het onderhouden van contacten met rechtshandhavingsinstanties over kwesties op het gebied van netwerk- en informatiebeveiliging die gevolgen kunnen hebben voor hun werkzaamheden, moet ENISA bestaande informatiekanalen en gevestigde netwerken respecteren.

(45) Er kunnen partnerschappen worden aangegaan met academische instellingen die onderzoeksinitiatieven hebben op relevante gebieden, en er moeten passende kanalen zijn voor de inbreng van consumentenorganisaties en andere organisaties, waarmee rekening moet worden gehouden.

(46) ENISA moet, in zijn rol als secretariaat van het CSIRT-netwerk, de CSIRT's van de lidstaten en het CERT-EU ondersteunen bij de operationele samenwerking in verband met de relevante taken van het CSIRT-netwerk, als bedoeld in Richtlijn (EU) 2016/1148. Voorts moet ENISA de samenwerking tussen de betrokken CSIRT's bevorderen en ondersteunen bij incidenten, aanvallen of verstoringen van netwerken of infrastructuur die door de CSIRT's worden beheerd of beschermd en waarbij ten minste twee CSIRT's betrokken zijn of kunnen zijn, waarbij naar behoren rekening moet worden gehouden met de volgende elementen StandaardStandaard Een technische specificatie die door een erkende normalisatie-instelling is aangenomen voor herhaalde of voortdurende toepassing, waarvan de inachtneming niet verplicht is en die tot een van de volgende categorieën behoort (a) "internationale norm": een norm die door een internationale normalisatie-instelling is vastgesteld; b) "Europese norm": een norm die door een Europese normalisatie-instelling is vastgesteld; c) "geharmoniseerde norm": een Europese norm die is vastgesteld op basis van een door de Commissie ingediend verzoek om toepassing van harmonisatiewetgeving van de Unie; d) "nationale norm": een norm die door een nationale normalisatie-instelling is vastgesteld - Definitie overeenkomstig artikel 2, punt 1, van Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad. Operationele procedures van het CSIRT-netwerk.

(47) Teneinde de paraatheid van de Unie bij het reageren op incidenten te vergroten, dient het ENISA regelmatig cyberbeveiligingsoefeningen op het niveau van de Unie te organiseren en, op hun verzoek, lidstaten en instellingen, organen en instanties van de Unie te ondersteunen bij het organiseren van dergelijke oefeningen. Om de twee jaar moeten grootschalige uitgebreide oefeningen worden georganiseerd die technische, operationele of strategische elementen omvatten. Daarnaast moet ENISA regelmatig minder uitgebreide oefeningen kunnen organiseren met hetzelfde doel om de paraatheid van de Unie bij het reageren op incidenten te vergroten.

(48) ENISA moet zijn deskundigheid op het gebied van cyberbeveiligingscertificering verder ontwikkelen en in stand houden ter ondersteuning van het beleid van de Unie op dat gebied. ENISA moet voortbouwen op bestaande beste praktijken en moet de invoering van cyberbeveiligingscertificering binnen de Unie bevorderen, onder meer door bij te dragen tot de vaststelling en het onderhoud van een kader voor cyberbeveiligingscertificering op het niveau van de Unie (Europees kader voor cyberbeveiligingscertificering) met het oog op het vergroten van de transparantie van de cyberbeveiligingswaarborg van ICT-producten, ICT-diensten en ICT-processen, waardoor het vertrouwen in de digitale interne markt en het concurrentievermogen daarvan worden versterkt.

(49) Een efficiënt cyberbeveiligingsbeleid moet gebaseerd zijn op goed ontwikkelde risicobeoordelingsmethoden, zowel in de publieke als in de private sector. Risicobeoordelingsmethoden worden op verschillende niveaus gebruikt, zonder dat er een gemeenschappelijke praktijk is voor de efficiënte toepassing ervan. Het bevorderen en ontwikkelen van beste praktijken voor risicobeoordeling en voor interoperabele oplossingen voor risicobeheer in organisaties in de publieke en private sector zal het niveau van cyberbeveiliging in de Unie verhogen. Daartoe moet ENISA de samenwerking tussen belanghebbenden op het niveau van de Unie ondersteunen en hun inspanningen faciliteren met betrekking tot de vaststelling en invoering van Europese en internationale normen voor risicobeheer en voor de meetbare beveiliging van elektronische producten, systemen, netwerken en diensten die, samen met software, het netwerk en de informatiesystemen vormen.

(50) ENISA moet de lidstaten en de fabrikanten of leveranciers van ICT-producten, ICT-diensten of ICT-processen aanmoedigen om hun algemene beveiligingsnormen aan te scherpen, zodat alle internetgebruikers de nodige stappen kunnen nemen om hun eigen persoonlijke cyberbeveiliging te waarborgen, en moet stimulansen geven om dit te doen. Fabrikanten en aanbieders van ICT-producten, ICT-diensten of ICT-processen dienen met name alle noodzakelijke updates te verstrekken en ICT-producten, ICT-diensten of ICT-processen die niet aan de normen inzake cyberbeveiliging voldoen, terug te roepen, uit de handel te nemen of te recyclen, terwijl importeurs en distributeurs ervoor moeten zorgen dat de ICT-producten, ICT-diensten en ICT-processen die zij in de Unie in de handel brengen, voldoen aan de toepasselijke eisen en geen risico vormen voor consumenten in de Unie.

(51) In samenwerking met de bevoegde autoriteiten moet ENISA informatie kunnen verspreiden over het niveau van cyberbeveiliging van de ICT-producten, ICT-diensten en ICT-processen die op de interne markt worden aangeboden, en waarschuwingen kunnen geven aan fabrikanten of aanbieders van ICT-producten, ICT-diensten of ICT-processen en hen verplichten de beveiliging van hun ICT-producten, ICT-diensten en ICT-processen, met inbegrip van de cyberbeveiliging, te verbeteren.

(52) ENISA dient ten volle rekening te houden met de lopende activiteiten op het gebied van onderzoek, ontwikkeling en technologische beoordeling, met name de activiteiten die worden uitgevoerd door de diverse onderzoeksinitiatieven van de Unie om de instellingen, organen, bureaus en agentschappen van de Unie en, voor zover relevant, de lidstaten op hun verzoek te adviseren over onderzoeksbehoeften en -prioriteiten op het gebied van cyberbeveiliging. Om de onderzoeksbehoeften en -prioriteiten vast te stellen, moet ENISA ook de relevante gebruikersgroepen raadplegen. Meer in het bijzonder zou kunnen worden samengewerkt met de Europese Onderzoeksraad, het Europees Instituut voor innovatie en technologie en het Instituut voor veiligheidsstudies van de Europese Unie.

(53) Het ENISA moet bij de voorbereiding van de Europese certificeringsregelingen voor cyberbeveiliging regelmatig overleg plegen met normalisatie-instellingen, met name de Europese normalisatie-instellingen.

(54) Cyberdreigingen zijn een wereldwijd probleem. Er is behoefte aan nauwere internationale samenwerking om de normen voor cyberbeveiliging te verbeteren, met inbegrip van de behoefte aan definities van gemeenschappelijke gedragsnormen, de vaststelling van gedragscodes, het gebruik van internationale normen en het delen van informatie, het bevorderen van snellere internationale samenwerking bij de aanpak van problemen op het gebied van netwerk- en informatiebeveiliging en het bevorderen van een gemeenschappelijke mondiale aanpak van dergelijke problemen. Daartoe moet het ENISA verdere betrokkenheid en samenwerking van de Unie met derde landen en internationale organisaties ondersteunen door, waar nodig, de nodige deskundigheid en analyse ter beschikking te stellen van de betrokken instellingen, organen, bureaus en agentschappen van de Unie.

(55) Het ENISA moet kunnen ingaan op ad-hocverzoeken om advies en bijstand van lidstaten en instellingen, organen en instanties van de Unie over aangelegenheden die onder het mandaat van het ENISA vallen.

(56) Het is zinvol en aanbevolen bepaalde beginselen inzake het bestuur van ENISA ten uitvoer te leggen om te voldoen aan de gezamenlijke verklaring en gemeenschappelijke aanpak die in juli 2012 zijn overeengekomen door de interinstitutionele werkgroep voor gedecentraliseerde EU-agentschappen en die tot doel hebben de activiteiten van gedecentraliseerde agentschappen te stroomlijnen en hun prestaties te verbeteren. De aanbevelingen in de gezamenlijke verklaring en de gemeenschappelijke aanpak moeten waar nodig ook tot uiting komen in de werkprogramma's van ENISA, de evaluaties van ENISA en de rapporterings- en administratieve praktijken van ENISA.

(57) De raad van bestuur, die is samengesteld uit de vertegenwoordigers van de lidstaten en van de Commissie, moet de algemene leiding van de werkzaamheden van ENISA vaststellen en erop toezien dat ENISA zijn taken overeenkomstig deze verordening uitvoert. De raad van bestuur moet beschikken over de nodige bevoegdheden om de begroting op te stellen, de uitvoering van de begroting te controleren, passende financiële regels vast te stellen, transparante werkprocedures voor de besluitvorming door ENISA in te voeren, het ENISA-programmeringsdocument vast te stellen, zijn eigen reglement van orde vast te stellen, de uitvoerend directeur te benoemen en te beslissen over de verlenging en beëindiging van het mandaat van de uitvoerend directeur.

(58) Opdat het ENISA naar behoren en doeltreffend kan functioneren, moeten de Commissie en de lidstaten erop toezien dat de in de raad van bestuur te benoemen personen over passende professionele deskundigheid en ervaring beschikken. De Commissie en de lidstaten moeten ook inspanningen leveren om het verloop van hun respectieve vertegenwoordigers in de raad van bestuur te beperken teneinde de continuïteit van de werkzaamheden te garanderen.

(59) Voor de goede werking van het ENISA moet de uitvoerend directeur worden benoemd op grond van verdienste en van door bewijsstukken aangetoonde bestuurlijke en leidinggevende vaardigheden, alsook bekwaamheid en ervaring die relevant is voor cyberbeveiliging. De taken van de uitvoerend directeur moeten volledig onafhankelijk worden uitgevoerd. De uitvoerend directeur dient een voorstel voor het jaarlijkse werkprogramma van ENISA op te stellen, na voorafgaand overleg met de Commissie, en dient alle nodige maatregelen te nemen om ervoor te zorgen dat dat werkprogramma correct wordt uitgevoerd. De uitvoerend directeur moet een jaarverslag opstellen voor de raad van bestuur over de uitvoering van het jaarlijkse werkprogramma van ENISA, een ontwerpraming van de ontvangsten en uitgaven van ENISA opstellen en de begroting uitvoeren. Bovendien moet de uitvoerend directeur de mogelijkheid hebben ad hoc werkgroepen op te richten om specifieke kwesties te behandelen, in het bijzonder kwesties van wetenschappelijke, technische, juridische of sociaaleconomische aard. Met name in verband met de voorbereiding van een specifiek kandidaat-Europees certificeringsstelsel voor cyberbeveiliging ("kandidaatstelsel") wordt de oprichting van een ad-hocwerkgroep noodzakelijk geacht. De uitvoerend directeur dient ervoor te zorgen dat de leden van de ad-hocwerkgroepen worden geselecteerd op basis van de hoogste normen inzake deskundigheid, waarbij wordt gestreefd naar genderevenwicht en een passend evenwicht, afhankelijk van de specifieke kwesties in kwestie, tussen de overheidsdiensten van de lidstaten, de instellingen, organen en agentschappen van de Unie en de private sector, met inbegrip van de industrie, de gebruikers en academische deskundigen op het gebied van netwerk- en informatiebeveiliging.

(60) Het dagelijks bestuur dient bij te dragen tot de doeltreffende werking van de raad van bestuur. Als onderdeel van zijn voorbereidende werkzaamheden met betrekking tot besluiten van de raad van bestuur dient het dagelijks bestuur relevante informatie in detail te onderzoeken, beschikbare opties te verkennen en advies en oplossingen aan te reiken ter voorbereiding van de besluiten van de raad van bestuur.

(61) ENISA moet beschikken over een ENISA-adviesgroep als adviesorgaan voor een regelmatige dialoog met de particuliere sector, consumentenorganisaties en andere relevante belanghebbenden. De ENISA-adviesgroep, die door de raad van bestuur is opgericht op voorstel van de uitvoerend directeur, moet zich richten op kwesties die relevant zijn voor belanghebbenden en moet deze onder de aandacht van ENISA brengen. De ENISA-adviesgroep moet met name worden geraadpleegd over het ontwerp van het jaarlijkse werkprogramma van ENISA. De samenstelling van de ENISA-adviesgroep en de eraan toegewezen taken moeten ervoor zorgen dat de belanghebbenden voldoende vertegenwoordigd zijn bij de werkzaamheden van ENISA.

(62) De Stakeholdergroep voor certificering van cyberbeveiliging moet worden opgericht om ENISA en de Commissie te helpen de raadpleging van relevante belanghebbenden te vergemakkelijken. De Stakeholder-certificeringsgroep voor cyberbeveiliging moet bestaan uit leden die het bedrijfsleven evenwichtig vertegenwoordigen, zowel aan de vraag- als aan de aanbodzijde van ICT-producten en ICT-diensten, en die met name kmo's, aanbieders van digitale diensten, Europese en internationale normalisatie-instellingen, nationale accreditatie-instellingen, toezichthoudende autoriteiten voor gegevensbescherming en conformiteitsbeoordelingsinstanties overeenkomstig Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad (16 ), en de academische wereld en consumentenorganisaties omvatten.

(63) ENISA moet regels hebben voor de preventie en het beheer van belangenconflicten. ENISA moet ook de relevante bepalingen van de Unie inzake de toegang van het publiek tot documenten toepassen, zoals bepaald in Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad (17). De verwerking van persoonsgegevens door ENISA moet onderworpen zijn aan Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (18). ENISA moet voldoen aan de bepalingen die van toepassing zijn op de instellingen, organen en instanties van de Unie en aan de nationale wetgeving betreffende de behandeling van informatie, met name gevoelige niet-gerubriceerde informatie en gerubriceerde informatie van de Europese Unie (EUCI).

(64) Om de volledige autonomie en onafhankelijkheid van het ENISA te garanderen en het in staat te stellen extra taken uit te voeren, inclusief onvoorziene noodtaken, moet het ENISA de beschikking krijgen over een toereikende en autonome begroting waarvan de inkomsten in de eerste plaats afkomstig moeten zijn van een bijdrage van de Unie en bijdragen van derde landen die deelnemen aan de werkzaamheden van het ENISA. Een passende begroting is van het grootste belang om ervoor te zorgen dat ENISA over voldoende capaciteit beschikt om al zijn groeiende taken uit te voeren en zijn doelstellingen te bereiken. De meerderheid van het personeel van ENISA moet rechtstreeks betrokken zijn bij de operationele uitvoering van het mandaat van ENISA. De gastlidstaat, en elke andere lidstaat, moet de mogelijkheid krijgen om vrijwillig bij te dragen aan de begroting van ENISA. De begrotingsprocedure van de Unie moet van toepassing blijven voor zover het gaat om subsidies die ten laste komen van de algemene begroting van de Unie. Bovendien moet de Rekenkamer de rekeningen van ENISA controleren om transparantie en verantwoordingsplicht te waarborgen.

(65) Certificering van cyberbeveiliging speelt een belangrijke rol bij het vergroten van het vertrouwen in en de veiligheid van ICT-producten, ICT-diensten en ICT-processen. De digitale eengemaakte markt, en met name de gegevenseconomie en het ivd, kan alleen gedijen als er bij het grote publiek vertrouwen bestaat dat dergelijke producten, diensten en processen een bepaald niveau van cyberbeveiliging bieden. Aangesloten en geautomatiseerde auto's, elektronische medische apparatuur, controlesystemen voor industriële automatisering en slimme netwerken zijn slechts enkele voorbeelden van sectoren waarin certificering al op grote schaal wordt gebruikt of in de nabije toekomst waarschijnlijk zal worden gebruikt. De sectoren die worden gereguleerd door Richtlijn (EU) 2016/1148 zijn ook sectoren waarin certificering van cyberbeveiliging van cruciaal belang is.

(66) In de mededeling van 2016 "Het Europese systeem van cyberweerbaarheid versterken en een concurrerende en innovatieve cyberbeveiligingsindustrie bevorderen" heeft de Commissie gewezen op de behoefte aan hoogwaardige, betaalbare en interoperabele cyberbeveiligingsproducten en -oplossingen. Het aanbod van ICT-producten, ICT-diensten en ICT-processen binnen de eengemaakte markt blijft geografisch zeer gefragmenteerd. Dit komt doordat de cyberbeveiligingsindustrie in Europa zich grotendeels heeft ontwikkeld op basis van de vraag van nationale overheden. Daarnaast zijn het gebrek aan interoperabele oplossingen (technische normen), praktijken en EU-brede certificeringsmechanismen enkele van de andere hiaten waar de interne markt op het gebied van cyberbeveiliging mee kampt. Dit maakt het voor Europese bedrijven moeilijk om op nationaal, EU- en mondiaal niveau te concurreren. Het beperkt ook de keuze aan levensvatbare en bruikbare cyberbeveiligingstechnologieën waartoe particulieren en bedrijven toegang hebben. Evenzo heeft de Commissie in haar mededeling van 2017 over de tussentijdse evaluatie van de tenuitvoerlegging van de strategie voor de digitale eengemaakte markt - Een digitale interne markt voor iedereen, gewezen op de noodzaak van veilige verbonden producten en systemen, en aangegeven dat de oprichting van een Europees ICT-beveiligingskader met regels voor de organisatie van ICT-beveiligingscertificering in de Unie zowel het vertrouwen in het internet zou kunnen behouden als de huidige versnippering van de interne markt zou kunnen aanpakken.

(67) Momenteel wordt slechts in beperkte mate gebruik gemaakt van certificering van ICT-producten, ICT-diensten en ICT-processen op het gebied van cyberbeveiliging. Als dat al gebeurt, gebeurt dat meestal op het niveau van de lidstaten of in het kader van door de sector aangestuurde regelingen. In dat verband wordt een certificaat dat is afgegeven door een nationale certificeringsautoriteit voor cyberbeveiliging in principe niet erkend in andere lidstaten. Het is dus mogelijk dat bedrijven hun ICT-producten, ICT-diensten en ICT-processen moeten certificeren in verschillende lidstaten waar ze actief zijn, bijvoorbeeld om te kunnen deelnemen aan nationale aanbestedingsprocedures, waardoor hun kosten stijgen. Hoewel er nieuwe regelingen ontstaan, lijkt er bovendien geen samenhangende en holistische aanpak te zijn voor horizontale kwesties op het gebied van cyberbeveiliging, bijvoorbeeld op het gebied van het internet van de dingen. Bestaande regelingen vertonen aanzienlijke tekortkomingen en verschillen wat betreft productdekking, garantieniveaus, inhoudelijke criteria en feitelijk gebruik, waardoor wederzijdse erkenningsmechanismen binnen de Unie worden belemmerd.

(68) Er zijn inspanningen geleverd om de wederzijdse erkenning van certificaten binnen de Unie te waarborgen. Deze zijn echter slechts gedeeltelijk succesvol geweest. Het belangrijkste voorbeeld in dit verband is de overeenkomst inzake wederzijdse erkenning (MRA) tussen de Groep van hoge ambtenaren - Veiligheid van informatiesystemen (SOG-IS). Hoewel dit het belangrijkste model is voor samenwerking en wederzijdse erkenning op het gebied van beveiligingscertificering, zijn slechts enkele lidstaten bij de SOG-IS betrokken. Dit feit heeft de effectiviteit van de SOG-IS MRA beperkt vanuit het oogpunt van de interne markt.

(69) Daarom is het noodzakelijk een gemeenschappelijke aanpak te kiezen en een Europees kader voor de certificering van cyberbeveiliging vast te stellen waarin de belangrijkste horizontale eisen voor te ontwikkelen Europese regelingen voor de certificering van cyberbeveiliging zijn vastgelegd en op grond waarvan Europese certificaten voor cyberbeveiliging en EU-conformiteitsverklaringen voor ICT-producten, ICT-diensten of ICT-processen in alle lidstaten kunnen worden erkend en gebruikt. Daarbij is het van essentieel belang om voort te bouwen op bestaande nationale en internationale regelingen en op systemen voor wederzijdse erkenning, met name SOG-IS, en om een soepele overgang mogelijk te maken van de bestaande regelingen in het kader van dergelijke systemen naar regelingen in het kader van het nieuwe Europese kader voor certificering van cyberbeveiliging. Het Europees kader voor certificering van cyberbeveiliging moet een tweeledig doel hebben. Ten eerste moet het bijdragen tot een groter vertrouwen in ICT-producten, ICT-diensten en ICT-processen die gecertificeerd zijn in het kader van Europese regelingen voor de certificering van cyberbeveiliging. Ten tweede moet het helpen voorkomen dat het aantal conflicterende of overlappende nationale certificeringsregelingen voor cyberbeveiliging toeneemt, waardoor de kosten voor ondernemingen die actief zijn op de digitale eengemaakte markt dalen. De Europese certificeringsregelingen voor cyberbeveiliging mogen niet discriminerend zijn en moeten gebaseerd zijn op Europese of internationale normen, tenzij die normen ondoeltreffend of ongeschikt zijn om de legitieme doelstellingen van de Unie op dat gebied te verwezenlijken.

(70) Het Europees certificeringskader voor cyberbeveiliging moet in alle lidstaten op uniforme wijze worden vastgesteld om "certificeringsshopping" op basis van verschillende strengheidsniveaus in de verschillende lidstaten te voorkomen.

(71) Europese certificeringsregelingen voor cyberbeveiliging moeten worden gebaseerd op wat er al bestaat op internationaal en nationaal niveau en, indien nodig, op technische specificaties van fora en consortia, waarbij wordt geleerd van de huidige sterke punten en zwakke punten worden beoordeeld en gecorrigeerd.

(72) Flexibele oplossingen voor cyberbeveiliging zijn noodzakelijk voor de sector om cyberdreigingen voor te blijven, en daarom moet elke certificeringsregeling zo worden ontworpen dat het risico wordt vermeden dat ze snel verouderd is.

(73) De Commissie dient de bevoegdheid te krijgen om Europese regelingen voor de certificering van cyberbeveiliging vast te stellen voor specifieke groepen ICT-producten, ICT-diensten en ICT-processen. Die regelingen moeten worden uitgevoerd door en onder toezicht staan van nationale certificeringsautoriteiten op het gebied van cyberbeveiliging, en in het kader van die regelingen afgegeven certificaten moeten in de hele Unie geldig zijn en worden erkend. Certificeringsregelingen die door de sector of door andere particuliere organisaties worden beheerd, dienen buiten het toepassingsgebied van deze verordening te vallen. De instanties die dergelijke regelingen beheren, moeten echter kunnen voorstellen dat de Commissie dergelijke regelingen in aanmerking neemt als basis voor de goedkeuring ervan als Europees certificeringssysteem voor cyberbeveiliging.

(74) De bepalingen van deze verordening mogen geen afbreuk doen aan EU-wetgeving die voorziet in specifieke regels voor de certificering van ICT-producten, ICT-diensten en ICT-processen. Met name Verordening (EU) 2016/679 bevat bepalingen voor de vaststelling van certificeringsmechanismen en gegevensbeschermingszegels en -merktekens om aan te tonen dat verwerkingen door voor de verwerking verantwoordelijken en verwerkers aan die verordening voldoen. Dergelijke certificeringsmechanismen en gegevensbeschermingszegels en -merktekens moeten betrokkenen in staat stellen het gegevensbeschermingsniveau van de relevante ICT-producten, ICT-diensten en ICT-processen snel te beoordelen. Deze verordening laat de certificering van gegevensverwerkingen krachtens Verordening (EU) 2016/679 onverlet, ook wanneer dergelijke verwerkingen zijn ingebed in ICT-producten, ICT-diensten en ICT-processen.

(75) Europese regelingen voor de certificering van cyberbeveiliging moeten ervoor zorgen dat ICT-producten, ICT-diensten en ICT-processen die in het kader van dergelijke regelingen worden gecertificeerd, voldoen aan specifieke eisen ter bescherming van de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de daarmee samenhangende functies van of diensten die worden aangeboden door of toegankelijk zijn via die producten, diensten en processen gedurende hun gehele levenscyclus. Het is niet mogelijk om in deze verordening de eisen inzake cyberbeveiliging voor alle ICT-producten, ICT-diensten en ICT-processen in detail te beschrijven. ICT-producten, ICT-diensten en ICT-processen en de cyberbeveiligingsbehoeften met betrekking tot die producten, diensten en processen zijn zo divers dat het zeer moeilijk is om algemene cyberbeveiligingseisen op te stellen die in alle omstandigheden geldig zijn. Daarom moet met het oog op certificering een ruim en algemeen begrip van cyberbeveiliging worden vastgesteld, dat moet worden aangevuld met een reeks specifieke doelstellingen inzake cyberbeveiliging waarmee rekening moet worden gehouden bij het ontwerpen van Europese certificeringsregelingen voor cyberbeveiliging. De regelingen waarmee dergelijke doelstellingen in specifieke ICT-producten, ICT-diensten en ICT-processen moeten worden bereikt, moeten dan verder in detail worden gespecificeerd op het niveau van de individuele certificeringsregeling die door de Commissie wordt vastgesteld, bijvoorbeeld door verwijzing naar normen of technische specificaties als er geen passende normen beschikbaar zijn.

(76) De technische specificaties die moeten worden gebruikt in Europese certificeringsregelingen voor cyberbeveiliging moeten voldoen aan de eisen van bijlage II bij Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad (19). Bepaalde afwijkingen van die vereisten kunnen echter noodzakelijk worden geacht in naar behoren gemotiveerde gevallen waarin die technische specificaties moeten worden gebruikt in een Europees certificeringsprogramma inzake cyberbeveiliging dat verwijst naar garantieniveau "hoog". De redenen voor dergelijke afwijkingen moeten openbaar worden gemaakt.

(77) Een conformiteitsbeoordeling is een procedure om te beoordelen of aan specifieke eisen voor een ICT-product, ICT-dienst of ICT-proces is voldaan. Die procedure wordt uitgevoerd door een onafhankelijke derde partij die niet de fabrikant of leverancier is van de ICT-producten, ICT-diensten of ICT-processen die worden beoordeeld. Een Europees certificaat van cyberbeveiliging moet worden afgegeven na de succesvolle beoordeling van een ICT-product, ICT-dienst of ICT-proces. Een Europees certificaat voor cyberbeveiliging moet worden beschouwd als een bevestiging dat de beoordeling correct is uitgevoerd. Afhankelijk van het garantieniveau moet het Europees certificeringssysteem voor cyberbeveiliging aangeven of het Europees certificaat voor cyberbeveiliging door een particuliere of openbare instantie wordt afgegeven. Conformiteitsbeoordeling en certificering kunnen op zich niet garanderen dat gecertificeerde ICT-producten, ICT-diensten en ICT-processen cyberveilig zijn. In plaats daarvan zijn het procedures en technische methoden om te bevestigen dat ICT-producten, ICT-diensten en ICT-processen zijn getest en dat zij voldoen aan bepaalde cyberbeveiligingseisen die elders zijn vastgelegd, bijvoorbeeld in technische normen.

(78) De keuze van de passende certificering en bijbehorende beveiligingseisen door de gebruikers van Europese cyberbeveiligingscertificaten moet gebaseerd zijn op een analyse van de risico's die verbonden zijn aan het gebruik van de ICT-producten, ICT-diensten of ICT-processen. Het garantieniveau moet dan ook in verhouding staan tot het risiconiveau dat verbonden is aan het beoogde gebruik van een ICT-product, ICT-dienst of ICT-proces.

(79) Europese regelingen voor de certificering van cyberbeveiliging zouden kunnen voorzien in een conformiteitsbeoordeling die uitsluitend onder de verantwoordelijkheid van de fabrikant of leverancier van ICT-producten, ICT-diensten of ICT-processen wordt uitgevoerd ("conformiteitszelfbeoordeling"). In dergelijke gevallen moet het voldoende zijn dat de fabrikant of leverancier van ICT-producten, ICT-diensten of ICT-processen zelf alle controles uitvoert om te garanderen dat de ICT-producten, ICT-diensten of ICT-processen voldoen aan de Europese certificatieregeling voor cyberbeveiliging. Zelfbeoordeling van de conformiteit moet geschikt worden geacht voor ICT-producten, ICT-diensten of ICT-processen met een lage complexiteit en een laag risico voor het publiek, zoals eenvoudige ontwerp- en productiemechanismen. Bovendien moet zelfbeoordeling van de conformiteit alleen worden toegestaan voor ICT-producten, ICT-diensten of ICT-processen die overeenstemmen met het zekerheidsniveau "basic".

(80) Europese regelingen voor cyberbeveiligingscertificering zouden zowel zelfbeoordelingen van conformiteit als certificeringen van ICT-producten, ICT-diensten of ICT-processen mogelijk kunnen maken. In dat geval moet de regeling voorzien in duidelijke en begrijpelijke middelen waarmee consumenten of andere gebruikers onderscheid kunnen maken tussen ICT-producten, ICT-diensten of ICT-processen waarvoor de fabrikant of leverancier van ICT-producten, ICT-diensten of ICT-processen verantwoordelijk is voor de beoordeling, en ICT-producten, ICT-diensten of ICT-processen die door een derde partij worden gecertificeerd.

(81) De fabrikant of leverancier van ICT-producten, ICT-diensten of ICT-processen die een conformiteitszelfbeoordeling uitvoert, moet de EU-conformiteitsverklaring kunnen afgeven en ondertekenen als onderdeel van de conformiteitsbeoordelingsprocedure. Een EU-conformiteitsverklaring is een document waarin staat dat een specifiek ICT-product, ICT-dienst of ICT-proces voldoet aan de eisen van de Europese cyberbeveiligingscertificering. Door de EU-conformiteitsverklaring af te geven en te ondertekenen, neemt de fabrikant of leverancier van ICT-producten, ICT-diensten of ICT-processen de verantwoordelijkheid op zich voor de conformiteit van het ICT-product, de ICT-dienst of het ICT-proces met de wettelijke voorschriften van de Europese regeling voor certificering van cyberbeveiliging. Een kopie van de EU-conformiteitsverklaring moet worden ingediend bij de nationale autoriteit voor de certificering van cyberbeveiliging en bij ENISA.

(82) Fabrikanten of aanbieders van ICT-producten, ICT-diensten of ICT-processen moeten de EU-conformiteitsverklaring, de technische documentatie en alle andere relevante informatie over de conformiteit van de ICT-producten, ICT-diensten of ICT-processen met een Europees systeem voor certificering van cyberbeveiliging gedurende een in het desbetreffende Europees systeem voor certificering van cyberbeveiliging vastgestelde periode ter beschikking stellen van de bevoegde nationale autoriteit voor certificering van cyberbeveiliging. In de technische documentatie moeten de in het kader van de regeling geldende eisen worden vermeld; zij moet betrekking hebben op het ontwerp, de fabricage en de werking van het ICT-product, de ICT-dienst of het ICT-proces, voor zover relevant voor de zelfbeoordeling inzake de conformiteit. De technische documentatie moet zodanig zijn samengesteld dat kan worden beoordeeld of een ICT-product of ICT-dienst voldoet aan de in het kader van die regeling toepasselijke eisen.

(83) De governance van het Europees kader voor certificering van cyberbeveiliging houdt rekening met de betrokkenheid van de lidstaten en met de passende betrokkenheid van belanghebbenden, en bepaalt de rol van de Commissie bij de planning en het voorstellen, aanvragen, voorbereiden, goedkeuren en herzien van Europese regelingen voor certificering van cyberbeveiliging.

(84) De Commissie dient, met de steun van de Europese Groep voor certificering van cyberbeveiliging (de "ECCG") en de Groep voor certificering van cyberbeveiliging door belanghebbenden en na een open en brede raadpleging, een voortschrijdend werkprogramma van de Unie voor Europese regelingen voor certificering van cyberbeveiliging op te stellen en te publiceren in de vorm van een niet-bindend instrument. Het voortschrijdend werkprogramma van de Unie dient een strategisch document te zijn dat met name de industrie, de nationale autoriteiten en de normalisatie-instellingen in staat stelt zich vooraf voor te bereiden op toekomstige Europese certificeringsregelingen voor cyberbeveiliging. Het voortschrijdend werkprogramma van de Unie moet een meerjarig overzicht bevatten van de verzoeken om kandidaatregelingen die de Commissie voornemens is op basis van specifieke gronden ter voorbereiding aan het ENISA voor te leggen. De Commissie moet rekening houden met het voortschrijdend werkprogramma van de Unie bij het opstellen van haar voortschrijdend plan voor ICT-normalisatie en normalisatieverzoeken aan Europese normalisatieorganisaties. In het licht van de snelle invoering en acceptatie van nieuwe technologieën, het ontstaan van voorheen onbekende risico's op het gebied van cyberbeveiliging en wetgevings- en marktontwikkelingen moet de Commissie of de ECCG het recht hebben het ENISA te verzoeken kandidaatregelingen voor te bereiden die niet in het voortschrijdend werkprogramma van de Unie zijn opgenomen. In dergelijke gevallen moeten de Commissie en de ECCG ook de noodzaak van een dergelijk verzoek beoordelen, rekening houdend met de algemene doelstellingen van deze verordening en de noodzaak om de continuïteit van de planning en het gebruik van de middelen van het ENISA te waarborgen.

Na een dergelijk verzoek moet ENISA zonder onnodige vertraging de kandidaatregelingen voor specifieke ICT-producten, ICT-diensten en ICT-processen voorbereiden. De Commissie moet de positieve en negatieve gevolgen van haar verzoek voor de specifieke markt in kwestie evalueren, met name de gevolgen voor kmo's, voor innovatie, voor belemmeringen voor de toegang tot die markt en voor de kosten voor eindgebruikers. De Commissie moet de bevoegdheid krijgen om op basis van de door het ENISA opgestelde kandidaatregeling door middel van uitvoeringshandelingen de Europese regeling voor de certificering van cyberbeveiliging vast te stellen. Rekening houdend met het algemene doel en de beveiligingsdoelstellingen die in deze verordening zijn vastgelegd, moeten in de door de Commissie vastgestelde Europese certificeringsregelingen voor cyberbeveiliging een minimumaantal elementen betreffende het onderwerp, het toepassingsgebied en de werking van de individuele regeling worden gespecificeerd. Die elementen omvatten onder meer de reikwijdte en het doel van de cyberbeveiligingscertificering, waaronder de categorieën ICT-producten, ICT-diensten en ICT-processen die eronder vallen, de gedetailleerde specificatie van de cyberbeveiligingseisen, bijvoorbeeld door verwijzing naar normen of technische specificaties, de specifieke evaluatiecriteria en evaluatiemethoden, alsook het beoogde garantieniveau ("basis", "substantieel" of "hoog") en de evaluatieniveaus, indien van toepassing. ENISA moet een verzoek van de ECCG kunnen weigeren. Dergelijke besluiten moeten worden genomen door de raad van bestuur en moeten naar behoren worden gemotiveerd.

(85) ENISA should maintain a website providing information on and publicising European cybersecurity certification schemes, which should include, among other things, the requests for the preparation of a candidate scheme as well as the feedback received in the consultation process carried out by ENISA in the preparation phase. The website should also provide information about the European cybersecurity certificates and EU statements of conformity issued under this Regulation including information regarding the withdrawal and expiry of such European cybersecurity certificates and EU statements of conformity. The website should also indicate the national cybersecurity certification schemes that have been replaced by a European cybersecurity certification scheme.

(86) The assurance level of a European certification scheme is a basis for confidence that an ICT product, ICT service or ICT process meets the security requirements of a specific European cybersecurity certification scheme. In order to ensure the consistency of the European cybersecurity certification framework, a European cybersecurity certification scheme should be able to specify assurance levels for European cybersecurity certificates and EU statements of conformity issued under that scheme. Each European cybersecurity certificate might refer to one of the assurance levels: ‘basic’, ‘substantial’ or ‘high’, while the EU statement of conformity might only refer to the assurance level ‘basic’. The assurance levels would provide the corresponding rigour and depth of the evaluation of the ICT product, ICT service or ICT process and would be characterised by reference to technical specifications, standards and procedures related thereto, including technical controls, the purpose of which is to mitigate or prevent incidents. Each assurance level should be consistent among the different sectorial domains where certification is applied.

(87) A European cybersecurity certification scheme might specify several evaluation levels depending on the rigour and depth of the evaluation methodology used. Evaluation levels should correspond to one of the assurance levels and should be associated with an appropriate combination of assurance components. For all assurance levels, the ICT product, ICT service or ICT process should contain a number of secure functions, as specified by the scheme, which may include: a secure out-of-the-box configuration, a signed code, secure update and exploit mitigations and full stack or heap memory protections. Those functions should have been developed, and be maintained, using security-focused development approaches and associated tools to ensure that effective software and hardware mechanisms are reliably incorporated.

(88) For assurance level ‘basic’, the evaluation should be guided at least by the following assurance components: the evaluation should at least include a review of the technical documentation of the ICT product, ICT service or ICT process by the conformity assessment body. Where the certification includes ICT processes, the process used to design, develop and maintain an ICT product or ICT service should also be subject to the technical review. Where a European cybersecurity certification scheme provides for a conformity self-assessment, it should be sufficient that the manufacturer or provider of ICT products, ICT services or ICT processes has carried out a self-assessment of the compliance of the ICT product, ICT service or ICT process with the certification scheme.

(89) For assurance level ‘substantial’, the evaluation, in addition to the requirements for assurance level ‘basic’, should be guided at least by the verification of the compliance of the security functionalities of the ICT product, ICT service or ICT process with its technical documentation.

(90) For assurance level ‘high’, the evaluation, in addition to the requirements for assurance level ‘substantial’, should be guided at least by an efficiency testing which assesses the resistance of the security functionalities of ICT product, ICT service or ICT process against elaborate cyberattacks performed by persons who have significant skills and resources.

(91) Recourse to European cybersecurity certification and to EU statements of conformity should remain voluntary, unless otherwise provided for in Union law, or in Member State law adopted in accordance with Union law. In the absence of harmonised Union law, Member States are able to adopt national technical regulations providing for mandatory certification under a European cybersecurity certification scheme in accordance with Directive (EU) 2015/1535 of the European Parliament and of the Council (20). Member States also have recourse to European cybersecurity certification in the context of public procurement and of Directive 2014/24/EU of the European Parliament and of the Council (21).

(92) In some areas, it could be necessary in the future to impose specific cybersecurity requirements and make the certification thereof mandatory for certain ICT products, ICT services or ICT processes, in order to improve the level of cybersecurity in the Union. The Commission should regularly monitor the impact of adopted European cybersecurity certification schemes on the availability of secure ICT products, ICT services and ICT processes in the internal market and should regularly assess the level of use of the certification schemes by the manufacturers or providers of ICT products, ICT services or ICT processes in the Union. The efficiency of the European cybersecurity certification schemes, and whether specific schemes should be made mandatory, should be assessed in light of the cybersecurity-related legislation of the Union, in particular Directive (EU) 2016/1148, taking into consideration the security of the network and information systems used by operators of essential services.

(93) European cybersecurity certificates and EU statements of conformity should help end users to make informed choices. Therefore, ICT products, ICT services and ICT processes that have been certified or for which an EU statement of conformity has been issued should be accompanied by structured information that is adapted to the expected technical level of the intended end user. All such information should be available online, and, where appropriate, in physical form. The end user should have access to information regarding the reference number of the certification scheme, the assurance level, the description of the cybersecurity risks associated with the ICT product, ICT service or ICT process, and the issuing authority or body, or should be able to obtain a copy of the European cybersecurity certificate. In addition, the end user should be informed of the cybersecurity support policy, namely for how long the end user can expect to receive cybersecurity updates or patches, of the manufacturer or provider of ICT products, ICT services or ICT processes. Where applicable, guidance on actions or settings that the end user can implement to maintain or increase the cybersecurity of the ICT product or of the ICT service and contact information of a single point of contact to report and receive support in the case of cyberattacks (in addition to automatic reporting) should be provided. That information should be regularly updated and made available on a website providing information on European cybersecurity certification schemes.

(94) With a view to achieving the objectives of this Regulation and avoiding the fragmentation of the internal market, national cybersecurity certification schemes or procedures for ICT products, ICT services or ICT processes covered by a European cybersecurity certification scheme should cease to be effective from a date established by the Commission by means of implementing acts. Moreover, Member States should not introduce new national cybersecurity certification schemes for ICT products, ICT services or ICT processes already covered by an existing European cybersecurity certification scheme. However, Member States should not be prevented from adopting or maintaining national cybersecurity certification schemes for national security purposes. Member States should inform the Commission and the ECCG of any intention to draw up new national cybersecurity certification schemes. The Commission and the ECCG should evaluate the impact of the new national cybersecurity certification schemes on the proper functioning of the internal market and in light of any strategic interest in requesting a European cybersecurity certification scheme instead.

(95) European cybersecurity certification schemes are intended to help harmonise cybersecurity practices within the Union. They need to contribute to increasing the level of cybersecurity within the Union. The design of the European cybersecurity certification schemes should take into account and allow for the development of innovations in the field of cybersecurity.

(96) European cybersecurity certification schemes should take into account current software and hardware development methods and, in particular, the impact of frequent software or firmware updates on individual European cybersecurity certificates. European cybersecurity certification schemes should specify the conditions under which an update may require that an ICT product, ICT service or ICT process be recertified or that the scope of a specific European cybersecurity certificate be reduced, taking into account any possible adverse effects of the update on compliance with the security requirements of that certificate.

(97) Once a European cybersecurity certification scheme is adopted, manufacturers or providers of ICT products, ICT services or ICT processes should be able to submit applications for certification of their ICT products or ICT services to the conformity assessment body of their choice anywhere in the Union. Conformity assessment bodies should be accredited by a national accreditation body if they comply with certain specified requirements set out in this Regulation. Accreditation should be issued for a maximum of five years and should be renewable on the same conditions provided that the conformity assessment body still meets the requirements. National accreditation bodies should restrict, suspend or revoke the accreditation of a conformity assessment body where the conditions for the accreditation have not been met or are no longer met, or where the conformity assessment body infringes this Regulation.

(98) References in national legislation to national standards which have ceased to be effective due to the entry into force of a European cybersecurity certification scheme can be a source of confusion. Therefore, Member States should reflect the adoption of a European cybersecurity certification scheme in their national legislation.

(99) In order to achieve equivalent standards throughout the Union, to facilitate mutual recognition and to promote the overall acceptance of European cybersecurity certificates and EU statements of conformity, it is necessary to put in place a system of peer review between national cybersecurity certification authorities. Peer review should cover procedures for supervising the compliance of ICT products, ICT services and ICT processes with European cybersecurity certificates, for monitoring the obligations of manufacturers or providers of ICT products, ICT services or ICT processes who carry out the conformity self-assessment, for monitoring conformity assessment bodies, as well as the appropriateness of the expertise of the staff of bodies issuing certificates for assurance level ‘high’. The Commission should be able, by means of implementing acts, to establish at least a five-year plan for peer reviews, as well as lay down criteria and methodologies for the operation of the peer review system.

(100) Without prejudice to the general peer review system to be put in place across all national cybersecurity certification authorities within the European cybersecurity certification framework, certain European cybersecurity certification schemes may include a peer-assessment mechanism for the bodies that issue European cybersecurity certificates for ICT products, ICT services and ICT processes with an assurance level ‘high’ under such schemes. The ECCG should support the implementation of such peer-assessment mechanisms. The peer assessments should assess in particular whether the bodies concerned carry out their tasks in a harmonised way, and may include appeal mechanisms. The results of the peer assessments should be made publicly available. The bodies concerned may adopt appropriate measures to adapt their practices and expertise accordingly.

(101) Member States should designate one or more national cybersecurity certification authorities to supervise compliance with obligations arising from this Regulation. A national cybersecurity certification authority may be an existing or new authority. A Member State should also be able to designate, after agreeing with another Member State, one or more national cybersecurity certification authorities in the territory of that other Member State.

(102) National cybersecurity certification authorities should in particular monitor and enforce the obligations of manufacturers or providers of ICT products, ICT services or ICT processes established in its respective territory in relation to the EU statement of conformity, should assist the national accreditation bodies in the monitoring and supervision of the activities of conformity assessment bodies by providing them with expertise and relevant information, should authorise conformity assessment bodies to carry out their tasks where such bodies meet additional requirements set out in a European cybersecurity certification scheme, and should monitor relevant developments in the field of cybersecurity certification. National cybersecurity certification authorities should also handle complaints lodged by natural or legal persons in relation to European cybersecurity certificates issued by those authorities or in relation to European cybersecurity certificates issued by conformity assessment bodies, where such certificates indicate assurance level ‘high’, should investigate, to the extent appropriate, the subject matter of the complaint and should inform the complainant of the progress and the outcome of the investigation within a reasonable period. Moreover, national cybersecurity certification authorities should cooperate with other national cybersecurity certification authorities or other public authorities, including by the sharing of information on the possible non-compliance of ICT products, ICT services and ICT processes with the requirements of this Regulation or with specific European cybersecurity certification schemes. The Commission should facilitate that sharing of information by making available a general electronic information support system, for example the Information and Communication System on Market Surveillance (ICSMS) and the Rapid Alert System for dangerous non-food products (RAPEX), already used by market surveillance authorities pursuant to Regulation (EC) No 765/2008.

(103) With a view to ensuring the consistent application of the European cybersecurity certification framework, an ECCG that consists of representatives of national cybersecurity certification authorities or other relevant national authorities should be established. The main tasks of the ECCG should be to advise and assist the Commission in its work towards ensuring the consistent implementation and application of the European cybersecurity certification framework, to assist and closely cooperate with ENISA in the preparation of candidate cybersecurity certification schemes, in duly justified cases to request ENISA to prepare a candidate scheme, to adopt opinions addressed to ENISA on candidate schemes and to adopt opinions addressed to the Commission on the maintenance and review of existing European cybersecurity certifications schemes. The ECCG should facilitate the exchange of good practices and expertise between the various national cybersecurity certification authorities that are responsible for the authorisation of conformity assessment bodies and the issuance of European cybersecurity certificates.

(104) In order to raise awareness and to facilitate the acceptance of future European cybersecurity certification schemes, the Commission may issue general or sector-specific cybersecurity guidelines, for example on good cybersecurity practices or responsible cybersecurity behaviour highlighting the positive effect of the use of certified ICT products, ICT services and ICT processes.

(105) In order to further facilitate trade, and recognising that ICT supply chains are global, mutual recognition agreements concerning European cybersecurity certificates may be concluded by the Union in accordance with Article 218 of the Treaty on the Functioning of the European Union (TFEU). The Commission, taking into account the advice from ENISA and the European Cybersecurity Certification Group, may recommend the opening of relevant negotiations. Each European cybersecurity certification scheme should provide specific conditions for such mutual recognition agreements with third countries.

(106) In order to ensure uniform conditions for the implementation of this Regulation, implementing powers should be conferred on the Commission. Those powers should be exercised in accordance with Regulation (EU) No 182/2011 of the European Parliament and of the Council (22).

(107) The examination procedure should be used for the adoption of implementing acts on European cybersecurity certification schemes for ICT products, ICT services or ICT processes, for the adoption of implementing acts on arrangements for carrying out inquiries by ENISA, for the adoption of implementing acts on a plan for the peer review of national cybersecurity certification authorities, as well as for the adoption of implementing acts on the circumstances, formats and procedures of notifications of accredited conformity assessment bodies by the national cybersecurity certification authorities to the Commission.

(108) ENISA’s operations should be subject to regular and independent evaluation. That evaluation should have regard to ENISA’s objectives, its working practices and the relevance of its tasks, in particular its tasks relating to the operational cooperation at Union level. That evaluation should also assess the impact, effectiveness and efficiency of the European cybersecurity certification framework. In the event of a review, the Commission should evaluate how ENISA’s role as a reference point for advice and expertise can be reinforced and should also evaluate the possibility of a role for ENISA in supporting the assessment of third country ICT products, ICT services and ICT processes that do not comply with Union rules, where such products, services and processes enter the Union.

(109) Since the objectives of this Regulation cannot be sufficiently achieved by the Member States but can rather, by reason of its scale and effects, be better achieved at Union level, the Union may adopt measures, in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty on European Union (TEU). In accordance with the principle of proportionality as set out in that Article, this Regulation does not go beyond what is necessary in order to achieve those objectives.

(110) Regulation (EU) No 526/2013 should be repealed,

HEBBEN DEZE VERORDENING AANGENOMEN: