Aanhef

Netwerk- en informatiesystemen alsmede elektronischecommunicatienetwerken en -diensten spelen een cruciale rol in de maatschappij en zijn de ruggengraat van de economische groei geworden. Informatie- en communicatietechnologie (ICT) vormt de basis van de complexe systemen die dagelijkse maatschappelijke activiteiten ondersteunen en onze economieën draaiende houden in essentiële sectoren zoals gezondheid, energie, financiën en vervoer, en met name de werking van de interne markt ondersteunen.

Burgers, organisaties en ondernemingen in de hele Unie maken alom gebruik van netwerk- en informatiesystemen. Digitalisering en connectiviteit zijn cruciale kenmerken aan het worden van steeds meer producten en diensten, en door de opkomst van het internet der dingen (IoT) zal naar verwachting de volgende tien jaar in de hele Unie een uitermate groot aantal verbonden digitale toestellen worden gebruikt. Er worden weliswaar steeds meer toestellen met het internet verbonden, maar bij het ontwerp wordt onvoldoende rekening gehouden met de beveiliging en de weerbaarheid, waardoor de cyberbeveiliging te wensen overlaat. Het beperkte gebruik van certificering leidt er in die context toe dat individuele gebruikers en gebruikers binnen organisaties en ondernemingen te weinig informatie hebben over de cyberbeveiligingskenmerken van ICT-producten, -diensten en -processen, hetgeen schadelijk is voor het vertrouwen in digitale oplossingen. Netwerk- en informatiesystemen zijn in staat om alle aspecten van ons leven te ondersteunen en zij vormen de motor van de economische groei in de Unie. Zij vormen de hoeksteen om de digitale eengemaakte markt tot stand te kunnen brengen.

De toenemende digitalisering en connectiviteit verhogen cyberbeveiligingsrisico's, waardoor de maatschappij als geheel kwetsbaarder wordt voor cyberdreigingen en waardoor de gevaren waaraan individuen, waaronder kwetsbare personen zoals kinderen, zijn blootgesteld worden verergerd. Om die risico's te beperken, moeten alle noodzakelijke maatregelen worden genomen om de cyberbeveiliging in de Unie te versterken, zodat netwerk- en informatiesystemen, communicatienetwerken, digitale producten, diensten en toestellen die worden gebruikt door burgers, organisaties en bedrijven — van kleine en middelgrote ondernemingen in de zin van Aanbeveling 2003/361/EG van de Commissie (4) tot exploitanten van cruciale infrastructuurvoorzieningen — beter beschermd worden tegen cyberdreigingen.

Door de relevante informatie openbaar te maken, draagt het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa), zoals opgericht bij Verordening (EU) nr. 526/2013 van het Europees Parlement en de Raad (5), bij aan de ontwikkeling van de cyberbeveiligingssector in de Unie, met name kleine en middelgrote ondernemingen en startende bedrijven. Enisa moet streven naar een nauwere samenwerking met universiteiten en onderzoekscentra, om de afhankelijkheid van cyberbeveiligingsproducten en -diensten van buiten de Unie te helpen verminderen en toeleveringsketens binnen de Unie te versterken.

Cyberaanvallen komen steeds vaker voor, en een verbonden economie en samenleving die kwetsbaarder is voor cyberdreigingen en -aanvallen moet beter worden beschermd. Hoewel cyberaanvallen vaak grensoverschrijdend plaatsvinden, zijn de bevoegdheden en beleidsmaatregelen van cyberbeveiligingsautoriteiten en rechtshandhavingsinstanties voornamelijk nationaal. Grootschalige incidenten kunnen de voorziening van essentiële diensten in de gehele Unie verstoren. Dit vereist een doeltreffend en gecoördineerd antwoord en crisisbeheer op Unieniveau, voortbouwend op specifiek beleid en bredere instrumenten voor Europese solidariteit en wederzijdse bijstand. Voorts zijn een regelmatige beoordeling van de staat van de cyberbeveiliging en -weerbaarheid in de Unie, op basis van betrouwbare Uniegegevens, alsmede systematische prognoses van toekomstige ontwikkelingen, uitdagingen en dreigingen, op Unie- en mondiaal niveau, belangrijk voor de beleidmakers, het bedrijfsleven en de gebruikers.

Gezien de toegenomen cyberbeveiligingsuitdagingen waarmee de Unie wordt geconfronteerd, moet een uitvoerige reeks maatregelen worden genomen die voortbouwen op eerdere Uniemaatregelen en die moeten bijdragen tot doelstellingen die elkaar wederzijds versterken. Zo moeten de capaciteiten en paraatheid van de lidstaten en het bedrijfsleven verder worden versterkt en moet de samenwerking, het delen van informatie en de coördinatie tussen de lidstaten en de instellingen, organen, en instanties van de Unie worden verbeterd. Gezien de grenzeloze aard van cyberdreigingen moet, in aanvulling op het optreden van de lidstaten, de capaciteiten op Unieniveau worden versterkt, met name in geval van grootschalige grensoverschrijdende incidenten en crises, waarbij het belang van handhaving en verdere versterking van de nationale capaciteiten om te kunnen reageren op cyberdreigingen van elke omvang in aanmerking moet worden genomen.

Er moeten ook meer inspanningen worden geleverd om de burgers, organisaties en ondernemingen bewuster te maken van cyberbeveiligingsvraagstukken. Aangezien incidenten het vertrouwen in digitaledienstverleners en in de digitale eengemaakte markt zelf ondermijnen, in het bijzonder bij consumenten, moet het vertrouwen in de digitale eengemaakte markt verder worden versterkt door over het beveiligingsniveau van ICT-producten, -diensten en -processen op transparante wijze informatie te verstrekken waarin wordt benadrukt dat zelfs een hoog niveau van cyberbeveiligingscertificering niet kan garanderen dat een ICT-product, -dienst of -proces volkomen beveiligd is. Een toename van het vertrouwen kan worden bevorderd door middel van een Uniebrede certificering die voorziet in gemeenschappelijke cyberbeveiligingsvoorschriften en evaluatiecriteria, ongeacht de nationale markten en sectoren.

Cyberbeveiliging is niet alleen maar een technologievraagstuk; het menselijk gedrag is even belangrijk. Daarom moet ‘cyberhygiëne’ sterk worden aangemoedigd, namelijk eenvoudige routinemaatregelen die, indien zij regelmatig door burgers, organisaties en bedrijven worden toegepast en uitgevoerd, hun blootstelling aan risico's van cyberdreigingen tot een minimum beperken.

Ter versterking van cyberbeveiligingsstructuren in de Unie is het van belang dat de capaciteiten van de lidstaten om uitgebreid te reageren op cyberdreigingen, met inbegrip van grensoverschrijdende incidenten, worden gehandhaafd en ontwikkeld.

Bedrijven en individuele consumenten moeten beschikken over nauwkeurige informatie met betrekking tot het zekerheidsniveau waarop hun ICT-producten, -diensten en -processen zijn gecertificeerd. Tegelijkertijd is geen enkel ICT-product en geen enkele ICT-dienst volledig cyberbeveiligd en moeten de basisregels van cyberhygiëne worden bevorderd en moeten zij prioriteit krijgen. Gezien de toenemende beschikbaarheid van IoT-apparaten kan de particuliere sector een reeks vrijwillige maatregelen treffen om het vertrouwen in de beveiliging van ICT-producten, -diensten en -processen te vergroten.

Moderne ICT-producten en -systemen maken vaak gebruik van technologieën en onderdelen die door een of meer derde partijen worden geleverd, zoals softwaremodules, bibliotheekprogramma's of applicatieprogramma-interfaces, en steunen daarop. Deze omstandigheid, die ‘afhankelijkheid’ wordt genoemd, kan een aanvullend cyberbeveiligingsrisico inhouden, aangezien kwetsbaarheden in onderdelen van derde partijen ook de veiligheid van de ICT-producten, -diensten en -processen kunnen aantasten. In veel gevallen stelt de identificatie en documentatie van dergelijke afhankelijkheden de eindgebruikers van ICT-producten, -diensten en -processen in staat om de cyberbeveiligingsrisico's beter te beheersen door bijvoorbeeld het beleid en de herstelprocedures van de gebruikers inzake kwetsbaarheden van de cyberbeveiliging te verbeteren.

Bij het ontwerp en de ontwikkeling van ICT-producten, -diensten en -processen betrokken organisaties, fabrikanten en aanbieders moeten ertoe worden aangespoord om al in de eerste fase van ontwerp en ontwikkeling maatregelen te treffen om ervoor te zorgen dat het beveiligingsniveau van ICT-producten, -diensten en -processen zo hoog mogelijk is, zodat cyberaanvallen zijn ingecalculeerd en de gevolgen daarvan zijn ingeschat en tot een minimum beperkt (‘beveiliging door ontwerp’). Beveiliging moet tijdens de gehele levensduur van het ICT-product, de ICT-dienst of het ICT-proces worden gewaarborgd door middel van ontwerp- en ontwikkelingsprocessen die constant evolueren om het risico op schade door kwaadwillig gebruik te verminderen.

Ondernemingen, organisaties en overheidsinstanties dienen de door hen ontworpen ICT-producten, -diensten of -processen zodanig te configureren dat een hoger beveiligingsniveau is gewaarborgd, waarbij de eerste gebruiker de meest beveiligde instelling wordt aangeboden (‘beveiliging door standaardinstellingen’), waardoor het voor gebruikers minder lastig wordt om een ICT-product, -dienst of -proces geschikt te configureren. De beveiliging door standaardinstellingen moet eenvoudig en betrouwbaar werken zonder dat daarvoor een uitvoerige configuratie, specifiek technisch inzicht of niet voor de hand liggende handelingen van de gebruiker vereist zijn. Als uit een risico- en bruikbaarheidsanalyse per geval blijkt dat een dergelijke standaardinstelling niet haalbaar is, moeten gebruikers ertoe worden aangespoord voor de meest beveiligde instelling te kiezen.

Bij Verordening (EG) nr. 460/2004 van het Europees Parlement en de Raad (6) is Enisa opgericht teneinde bij te dragen tot een hoog en doeltreffend netwerk- en informatiebeveiligingsniveau in de Unie, en tot de ontwikkeling van een netwerk- en informatiebeveiligingscultuur ten bate van burgers, consumenten, ondernemingen en overheidsdiensten. Bij Verordening (EG) nr. 1007/2008 van het Europees Parlement en de Raad (7) is het mandaat van Enisa tot en met maart 2012 verlengd. Bij Verordening (EU) nr. 580/2011 van het Europees Parlement en de Raad (8) is het mandaat van Enisa nog eens verlengd tot en met 13 september 2013. Bij Verordening (EU) nr. 526/2013 is het mandaat van Enisa tot en met 19 juni 2020 verlengd.

De Unie heeft reeds belangrijke maatregelen genomen om voor cyberbeveiliging te zorgen en om het vertrouwen in digitale technologieën te vergroten. In 2013 werd de strategie inzake cyberbeveiliging van de Europese Unie goedgekeurd als leidraad voor de beleidsreactie van de Unie op cyberdreigingen en -risico's. Om de burgers online beter te beschermen, werd in 2016 de eerste rechtshandeling van de Unie inzake cyberbeveiliging in de vorm van Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad (9) vastgesteld. Bij Richtlijn (EU) 2016/1148 werden eisen vastgesteld betreffende nationale capaciteiten inzake cyberbeveiliging, werden de eerste mechanismen opgezet om de strategische en operationele samenwerking tussen de lidstaten te versterken, en werden verplichtingen ingevoerd met betrekking tot beveiligingsmaatregelen en melding van incidenten in alle sectoren die van vitaal belang zijn voor de economie en de samenleving, zoals energie, vervoer, levering en distributie van drinkwater, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, digitale infrastructuur en belangrijke digitaledienstverleners (zoekmachines, cloudcomputingdiensten en onlinemarktplaatsen).

Aan Enisa werd een sleutelrol toebedeeld bij het ondersteunen van de uitvoering van die richtlijn. Daarnaast is de doeltreffende bestrijding van cybercriminaliteit een belangrijke prioriteit in de Europese veiligheidsagenda, die bijdraagt tot de algemene doelstelling om een hoog cyberbeveiligingsniveau tot stand te brengen. Andere rechtshandelingen zoals Verordening (EU) 2016/679 van het Europees Parlement en de Raad (10) en de Richtlijnen 2002/58/EG(11) en (EU) 2018/1972(12) van het Europees Parlement en de Raad, dragen eveneens bij tot een hoog cyberbeveiligingsniveau in de digitale eengemaakte markt.

Sinds de strategie inzake cyberbeveiliging van de Europese Unie in 2013 werd vastgesteld en het mandaat van Enisa de laatste keer werd herzien, is de algehele beleidscontext aanzienlijk veranderd doordat de mondiale omgeving onzekerder en onveiliger is geworden. Tegen die achtergrond en in het licht van de positieve ontwikkeling van de rol die Enisa speelt als referentiepunt voor advies en expertise, als bemiddelaar van samenwerking en capaciteitsopbouw, evenals binnen het kader van het nieuwe cyberbeveiligingsbeleid van de Unie, moet het mandaat van Enisa worden herzien teneinde de rol van Enisa in de veranderde cyberbeveiligingsomgeving te bepalen en te waarborgen dat het op doeltreffende wijze bijdraagt tot de respons van de Unie op cyberbeveiligingsuitdagingen die voortvloeien uit het radicaal gewijzigde cyberdreigingslandschap, waarvoor, zoals gedurende de evaluatie van Enisa is gebleken, het huidige mandaat niet toereikend is.

Enisa, zoals bij deze verordening opgericht, moet Enisa, zoals opgericht bij Verordening (EG)[lees: (EU)] nr. 526/2013, opvolgen. Enisa moet de taken uitvoeren die hem bij deze verordening en rechtshandelingen van de Unie op het gebied van cyberbeveiliging aan worden toegewezen, onder meer door advies en expertise te verstrekken en te fungeren als informatie- en kenniscentrum van de Unie. Enisa moet de uitwisseling van beste praktijken tussen de lidstaten en particuliere belanghebbenden bevorderen, beleidsaanbevelingen doen aan de Commissie en de lidstaten, fungeren als referentiepunt voor sectorale beleidsinitiatieven van de Unie inzake cyberbeveiligingsvraagstukken, en de operationele samenwerking tussen de lidstaten onderling en tussen de lidstaten en instellingen, organen en instanties van de Unie bevorderen.

Binnen het kader van Besluit 2004/97/EG, Euratom, in onderlinge overeenstemming genomen door de vertegenwoordigers van de lidstaten, op het niveau van de staatshoofden en regeringsleiders bijeen (13), hebben de vertegenwoordigers van de lidstaten besloten dat Enisa zou worden gevestigd in een door de Griekse regering aan te wijzen stad in Griekenland. De lidstaat van vestiging moet zorgen voor zo gunstig mogelijke voorwaarden voor de soepele en efficiënte werking van Enisa. Met het oog op de goede en efficiënte uitvoering van zijn taken, het werven en behouden van zijn personeel en efficiëntere netwerkactiviteiten is het noodzakelijk dat Enisa op een geschikte locatie wordt gehuisvest, waar onder meer goede vervoersverbindingen en geschikte faciliteiten voorhanden zijn voor echtgenoten en kinderen die meereizen met de leden van het personeel van Enisa. De noodzakelijke bepalingen moeten worden vastgelegd in een overeenkomst tussen Enisa en de lidstaat van vestiging, die wordt gesloten nadat de raad van bestuur van Enisa daarmee heeft ingestemd.

Gezien de toenemende cyberbeveiligingsrisico's en -uitdagingen waarmee de Unie wordt geconfronteerd, moeten de financiële en personele middelen die aan Enisa worden toegewezen, worden uitgebreid om recht te doen aan zijn versterkte rol en taken en zijn cruciale positie in het ecosysteem van organisaties die het digitale ecosysteem van de Unie verdedigen, zodat Enisa de bij deze verordening toegekende taken op doeltreffende wijze kan uitvoeren.

Enisa moet een hoog expertiseniveau ontwikkelen en handhaven, en fungeren als een referentiepunt dat op grond van zijn onafhankelijkheid, de kwaliteit van zijn advies en informatie, de transparantie van zijn procedures en werkmethoden, en de toewijding bij de uitvoering van zijn taken vertrouwen in de eengemaakte markt schept. Enisa moet nationale inspanningen actief ondersteunen en proactief bijdragen aan inspanningen van de Unie en daarbij zijn taken uitvoeren in volledige samenwerking met de instellingen, organen en instanties van de Unie en de lidstaten, en daarbij dubbel werk vermijden en synergie bevorderen. Daarnaast moet Enisa voortbouwen op de input van en de samenwerking met de particuliere sector en andere relevante belanghebbenden. In een reeks taken moet worden vastgesteld hoe Enisa zijn doelstellingen moet verwezenlijken en toch flexibel kan functioneren.

Om gepaste ondersteuning aan de operationele samenwerking van de lidstaten te kunnen bieden, moet Enisa zijn technische en menselijke capaciteiten en vaardigheden verder versterken. Enisa moet zijn kennis en capaciteit uitbreiden. Enisa en de lidstaten zouden op vrijwillige basis programma's kunnen ontwikkelen om nationale deskundigen bij het Enisa te detacheren en aldus een groep deskundigen kunnen samenbrengen en personeel kunnen uitwisselen.

Enisa moet de Commissie bijstaan met advies, standpunten en analyses over alle aangelegenheden van de Unie in verband met de ontwikkeling, actualisering en herziening van beleid en wetgeving op het gebied van cyberbeveiliging en de sectorspecifieke aspecten daarvan teneinde de relevantie van Uniebeleid en -wetgeving met een cyberbeveiligingsdimensie te vergroten en te zorgen voor een consistente uitvoering van dat beleid en die wetgeving op nationaal niveau. Enisa moet als referentiepunt voor advies en expertise fungeren ten behoeve van sectorspecifieke beleids- en wetgevingsinitiatieven van de Unie waarbij cyberbeveiligingsvraagstukken zijn betrokken. Enisa moet het Europees Parlement regelmatig van zijn werkzaamheden op de hoogte brengen.

De openbare kern van het open internet, namelijk de belangrijkste protocollen en infrastructuur, die een mondiaal publiek goed zijn, vormen de essentiële functionaliteit van het internet als geheel en ondersteunen de normale werking ervan. Enisa dient de beveiliging van de openbare kern van het open internet en de stabiliteit van zijn werking te ondersteunen, met inbegrip van, maar niet beperkt tot, cruciale protocollen (met name DNS, BGP en IPv6), de werking van het domeinnaamsysteem (waaronder de werking van alle topniveaudomeinen) en de werking van de ‘root zone’.

De onderliggende taak van Enisa bestaat uit de bevordering van de consistente uitvoering van het desbetreffende juridische kader, en met name de doeltreffende uitvoering van Richtlijn (EU) 2016/1148 en andere relevante rechtsinstrumenten met cyberbeveiligingsaspecten, hetgeen van essentieel belang is om de cyberweerbaarheid te versterken. Gezien het snel veranderende cyberdreigingslandschap is het duidelijk dat de lidstaten moeten worden ondersteund met een meer omvattende, beleidsoverschrijdende aanpak voor de opbouw van cyberweerbaarheid.

Enisa moet de lidstaten en de instellingen, organen en instanties van de Unie bijstaan bij hun inspanningen om capaciteiten en paraatheid te ontwikkelen en te vergroten om cyberdreigingen en -incidenten in verband met de beveiliging van netwerk- en informatiesystemen te voorkomen, op te sporen en aan te pakken. Enisa moet met name steun verlenen bij de ontwikkeling en versterking van bij Richtlijn (EU) 2016/1148 voorziene nationale computer security incident response teams (‘CSIRT's’) en CSIRT's van de Unie, met het oog op een hoog gemeenschappelijk niveau aan volwassenheid in de Unie. De activiteiten van Enisa in verband met de operationele capaciteiten van de lidstaten moeten actief ondersteuning bieden aan de maatregelen die de lidstaten zelf nemen om hun verplichtingen op grond van Richtlijn (EU) 2016/1148 na te komen en mogen derhalve daarvoor niet in de plaats komen.

Enisa moet ook helpen bij de ontwikkeling en actualisering van strategieën op Unieniveau en, op verzoek, op het niveau van de lidstaten, voor de beveiliging van netwerk- en informatiesystemen, en met name inzake cyberbeveiliging, en het dient de verspreiding van dergelijke strategieën te bevorderen en de voortgang van hun uitvoering te volgen. Enisa moet ook meehelpen te voorzien in de behoefte aan opleidingen en opleidingsmateriaal, ook ten aanzien van overheidsinstanties, en dient waar passend voor een groot deel de ‘opleiding voor opleiders’ voor zijn rekening te nemen, voortbouwend op het digitalecompetentiekader voor burgers, teneinde de lidstaten en instellingen, organen en instanties van de Unie bij de ontwikkeling van hun eigen opleidingscapaciteit bij te staan.

Enisa moet de lidstaten ondersteunen bij de bewustmaking en voorlichting inzake cyberbeveiliging, door de lidstaten onderling nauwer te helpen samenwerken en beste praktijken te helpen uitwisselen. Zulke steun zou kunnen bestaan uit de ontwikkeling van een netwerk van nationale voorlichtingscontactpunten en de ontwikkeling van een opleidingsplatform voor cyberbeveiliging. Het netwerk van nationale voorlichtingscontactpunten zou binnen het netwerk van nationale verbindingsfunctionarissen kunnen fungeren en zou binnen de lidstaten een startpunt kunnen vormen voor toekomstige coördinatie.

Enisa moet de op grond van de bij Richtlijn (EU) 2016/1148 opgerichte samenwerkingsgroep helpen bij de uitvoering van zijn taken, in het bijzonder door expertise en advies te verstrekken en de uitwisseling van beste praktijken te bevorderen, met name wat betreft de identificatie van aanbieders van essentiële diensten door de lidstaten, alsmede met betrekking tot grensoverschrijdende afhankelijkheid, inzake risico's en incidenten.

Ter bevordering van de samenwerking tussen de overheidssector en de particuliere sector enerzijds, en binnen de particuliere sector anderzijds, in het bijzonder ter ondersteuning van de bescherming van cruciale infrastructuur, moet Enisa het delen van informatie binnen en tussen sectoren, en met name de in bijlage II bij Richtlijn (EU) 2016/1148 vermelde sectoren, ondersteunen door te voorzien in beste praktijken en richtsnoeren over beschikbare instrumenten en over procedures, en richtsnoeren over de manier waarop problemen op regelgevingsgebied in verband met het delen van informatie kunnen worden opgelost, bijvoorbeeld door de oprichting van sectorale centra voor informatie-uitwisseling en -analyse te faciliteren.

Doordat de mogelijke negatieve gevolgen van kwetsbaarheden in ICT-producten, -diensten en -processen constant toenemen, is het achterhalen en verhelpen van die kwetsbaarheden van groot belang om het algehele cyberbeveiligingsrisico te verkleinen. Gebleken is dat de samenwerking tussen enerzijds organisaties, fabrikanten of aanbieders van kwetsbare ICT-producten, -diensten en -processen, en anderzijds de leden van de onderzoeksgemeenschap op cyberbeveiligingsgebied en overheden die kwetsbaarheden aantreffen, een aanzienlijke stijging oplevert van het aantal kwetsbaarheden dat in ICT-producten, -diensten en -processen wordt ontdekt en verholpen. De gecoördineerde openbaarmaking van kwetsbaarheden behelst een gestructureerde samenwerkingsprocedure waarin kwetsbaarheden aan de eigenaar van het informatiesysteem worden gemeld, zodat de organisatie de kans krijgt een diagnose te stellen en de kwetsbaarheden te verhelpen voordat gedetailleerde informatie over de kwetsbaarheden aan derden of het publiek wordt vrijgegeven. In het kader van die procedure worden tussen de vinder en de organisatie ook afspraken gemaakt over het bekendmaken van die kwetsbaarheden. Gecoördineerd openbaarmakingsbeleid inzake kwetsbaarheden kan een belangrijk onderdeel vormen van de inspanningen die de lidstaten ter versterking van cyberbeveiliging leveren.

Enisa moet vrijwillig gedeelde nationale verslagen van de CSIRT's en het interinstitutionele computercrisisteam voor de instellingen, organen en instanties van de Unie dat is opgericht bij de overeenkomst tussen het Europees Parlement, de Europese Raad, de Raad van de Europese Unie, de Europese Commissie, het Hof van Justitie van de Europese Unie, de Europese Centrale Bank, de Europese Rekenkamer, de Europese Dienst voor extern optreden, het Europees Economisch en Sociaal Comité, het Europees Comité van de Regio's en de Europese Investeringsbank betreffende de organisatie en het functioneren van een computercrisisteam voor de instellingen, organen en instanties van de Unie (CERT-EU) (14) verzamelen en analyseren om bij te dragen tot de instelling van gemeenschappelijke procedures, taal en terminologie voor de uitwisseling van informatie. Enisa moet daarbij de particuliere sector betrekken, binnen het kader van Richtlijn 2016/1148 die de grondslag legt voor de vrijwillige uitwisseling van technische informatie op operationeel niveau binnen het CSIRT-netwerk.

Enisa moet een bijdrage leveren aan een reactie op Unieniveau in het geval van grootschalige grensoverschrijdende incidenten en -crises in verband met cyberbeveiliging. Enisa moet die taak overeenkomstig zijn mandaat krachtens deze verordening uitvoeren, met een aanpak die de lidstaten overeen dienen te komen in het kader van Aanbeveling (EU) 2017/1584 van de Commissie (15) en de conclusies van de Raad van 26 juni 2018 over een gecoördineerde EU-respons op grootschalige cyberincidenten en -crises. Tot die taak behoren mogelijk het vergaren van relevante informatie en het optreden als bemiddelaar tussen het CSIRT-netwerk enerzijds en de technische gemeenschap en de beleidsmakers die belast zijn met crisisbeheer anderzijds. Daarnaast dient Enisa, op verzoek van een of meer lidstaten, de operationele samenwerking tussen de lidstaten bij de behandeling van incidenten vanuit een technisch oogpunt te ondersteunen door de uitwisseling van relevante technische oplossingen tussen de lidstaten te vergemakkelijken en input te leveren voor mededelingen aan het publiek. Enisa moet operationele samenwerking ondersteunen door de regelingen voor dergelijke samenwerking door middel van regelmatige cyberbeveiligingsoefeningen te testen.

Bij de ondersteuning van de operationele samenwerking moet Enisa door middel van gestructureerde samenwerking de beschikbare technische en operationele expertise van CERT-EU gebruiken. Dergelijke gestructureerde samenwerking kan voortbouwen op de expertise van Enisa. Indien passend moeten specifieke regelingen tussen de twee entiteiten worden vastgesteld teneinde de praktische uitvoering van dergelijke samenwerking te bepalen en dubbel werk te vermijden.

Bij de uitvoering van zijn taak ter ondersteuning van operationele samenwerking binnen het CSIRT-netwerk moet Enisa in staat zijn ondersteuning te bieden aan de lidstaten indien zij daarom verzoeken, bijvoorbeeld door advies te geven omtrent het vergroten van hun capaciteiten om incidenten te voorkomen, op te sporen en aan te pakken, door de technische afhandeling van incidenten met aanzienlijke of substantiële gevolgen te vergemakkelijken of door te zorgen voor analyses van cyberdreigingen en -incidenten. Enisa dient de technische afhandeling te vergemakkelijken van incidenten met aanzienlijke of substantiële gevolgen, in het bijzonder door het vrijwillig delen van technische oplossingen tussen lidstaten te ondersteunen of gecombineerde technische informatie op te stellen, waaronder door de lidstaten vrijwillig gedeelde technische oplossingen. In Aanbeveling (EU) 2017/1584 wordt aanbevolen dat de lidstaten te goeder trouw samenwerken en zowel onderling als met Enisa onverwijld informatie delen over grootschalige cyberincidenten en -crises. Die informatie moet Enisa verder helpen bij de uitoefening van zijn taak om operationele samenwerking te ondersteunen.

Als onderdeel van de regelmatige samenwerking op technisch niveau ter ondersteuning van het situatiebewustzijn van de Unie, moet Enisa regelmatig en in nauwe samenwerking met de lidstaten grondige een technisch situatieverslag inzake Uniecyberbeveiliging (EU Cybersecurity Technical Situation Report) over incidenten en cyberdreigingen opstellen, op basis van openbaar beschikbare informatie en eigen analyses en verslagen die het ontvangt van de CSIRT's van de lidstaten of de bij Richtlijn (EU) 2016/1148 opgerichte nationale centrale contactpunten inzake de beveiliging van netwerk- en informatiesystemen (‘centrale contactpunten’), beide op vrijwillige basis, het Europees Centrum voor de bestrijding van cybercriminaliteit (EC3) van Europol, CERT-EU, en, voor zover passend, het Inlichtingen- en situatiecentrum van de Europese Unie (EU-INTCEN) van de Europese Dienst voor extern optreden. Dat verslag moet ter beschikking worden gesteld van de Raad, de Commissie, de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid, en het CSIRT-netwerk.

De steun die Enisa op verzoek van de betrokken lidstaten verleent aan technische onderzoeken achteraf van incidenten met aanzienlijke of substantiële gevolgen dient te zijn gericht op de preventie van toekomstige incidenten. De betrokken lidstaten moeten de nodige informatie en bijstand verstrekken opdat Enisa het technisch onderzoek achteraf doeltreffend kan steunen.

De lidstaten kunnen de bij het incident betrokken ondernemingen verzoeken medewerking te verlenen door Enisa de nodige informatie en bijstand te geven, zonder afbreuk te doen aan hun recht om commercieel gevoelige informatie en informatie die relevant is voor de openbare veiligheid te beschermen.

Om de cyberbeveiligingsuitdagingen beter te begrijpen en de lidstaten en de instellingen, organen en instanties van de Unie strategisch van langetermijnadvies te voorzien, moet Enisa bestaande en opkomende cyberbeveiligingsrisico's analyseren. Daartoe moet Enisa, in samenwerking met de lidstaten en, wanneer passend, met bureaus voor de statistiek en andere entiteiten, relevante voor iedereen beschikbare of vrijwillig gedeelde informatie verzamelen, opkomende technologieën analyseren en themaspecifieke beoordelingen verstrekken over de verwachte maatschappelijke, juridische, economische en regelgevende gevolgen van technologische innovaties op het vlak van netwerk- en informatiebeveiliging, en met name op het vlak van cyberbeveiliging. Ook moet Enisa de lidstaten en de instellingen, organen en instanties van de Unie door de analyse van cyberdreigingen, -kwetsbaarheden en -incidenten ondersteunen bij het in kaart brengen van nieuwe cyberbeveiligingsrisico's en het voorkomen van incidenten.

Om de weerbaarheid van de Unie te versterken, moet Enisa expertise ontwikkelen op het gebied van de cyberbeveiliging van infrastructuren, in het bijzonder ter ondersteuning van de in bijlage II bij Richtlijn (EU) 2016/1148 vermelde sectoren en de infrastructuren die worden gebruikt door de in bijlage III bij die richtlijn vermelde digitaledienstverleners, door advies, richtsnoeren en beste praktijken te verstrekken. Met het oog op het waarborgen van gemakkelijkere toegang tot beter gestructureerde informatie over cyberbeveiligingsrisico's en mogelijke oplossingen, moet Enisa zorgen voor de ontwikkeling en instandhouding van het ‘informatiecentrum’ van de Unie, één centraal portaal dat het publiek voorziet van informatie over cyberbeveiliging die afkomstig is van de instellingen, organen en instanties van de Unie en de lidstaten. Het vergemakkelijken van de toegang tot beter gestructureerde informatie over cyberbeveiligingsrisico's en mogelijke oplossingen kan de lidstaten ook helpen hun capaciteiten te versterken en hun praktijken op elkaar af te stemmen, en zo de een algehele weerbaarheid ten aanzien van cyberaanvallen verhogen.

Enisa moet ertoe bijdragen het publiek bewuster te maken van cyberbeveiligingsrisico's, onder meer door een Uniebrede bewustmakingscampagne, door voorlichting te bevorderen, en richtsnoeren te verstrekken inzake goede praktijken voor individuele gebruikers, gericht op burgers, organisaties en bedrijven. Verder moet Enisa bijdragen tot de bevordering van beste praktijken en oplossingen, onder meer inzake cyberhygiëne en cybergeletterdheid, op het niveau van burgers, organisaties en bedrijven, door publiek beschikbare informatie over significante incidenten te verzamelen en analyseren, en door verslagen en richtsnoeren op te stellen en te publiceren voor burgers, organisaties en bedrijven om het algemene paraatheids- en weerbaarheidsniveau te verhogen. Enisa moet er tevens naar streven consumenten van relevante informatie over toepasselijke certificeringsregelingen te voorzien, bijvoorbeeld door richtsnoeren en aanbevelingen te verstrekken. Enisa moet daarnaast regelmatig, overeenkomstig het bij de mededeling van de Commissie van 17 januari 2018 vastgestelde actieplan voor digitaal onderwijs is vastgesteld en in samenwerking met de lidstaten en de instellingen, organen en instanties van de Unie, aan de eindgebruikers gerichte voorlichtingscampagnes opzetten om een veiliger individueel online-gedrag en digitale geletterdheid te bevorderen, het publiek bewuster te maken van potentiële cyberdreigingen, waaronder criminele onlineactiviteiten zoals phishing-aanvallen, botnets, financiële en bankfraude, gegevensfraude-incidenten, en door advies te geven over meervoudige authentificatie, patching, encryptie, anonimisering en gegevensbescherming.

Enisa moet een centrale rol spelen bij de snellere bewustwording van de eindgebruikers over de beveiliging van toestellen en het veilig gebruik van diensten, en moet beveiliging door ontwerp en gegevensbescherming door ontwerp op Unieniveau bevorderen. Om dat doel na te streven moet Enisa zo veel mogelijk gebruikmaken van de beschikbare beste praktijken en ervaring, in het bijzonder van wetenschappelijke instellingen en onderzoekers op het gebied van IT-beveiliging.

Om bedrijven die actief zijn in de cyberbeveiligingssector en de gebruikers van cyberbeveiligingsoplossingen te ondersteunen, moet Enisa een ‘marktwaarnemingspost’ opzetten en onderhouden door regelmatig analyses uit te voeren en informatie te verspreiden over de voornaamste tendensen op de cyberbeveiligingsmarkt, zowel aan de vraag- als aan de aanbodzijde.

Enisa moet de Unie steunen bij haar inspanningen om samen te werken met internationale organisaties, evenals binnen relevante internationale samenwerkingsverbanden op het gebied van cyberbeveiliging. Enisa moet, waar passend, bijdragen aan de samenwerking met organisaties zoals de OESO, de OVSE en de NAVO. Die samenwerking kan bestaan uit gezamenlijke cyberbeveiligingsoefeningen en een gezamenlijke gecoördineerde antwoord op incidenten. Die werkzaamheden moeten worden verricht met volledige inachtneming van de beginselen inclusiviteit, wederkerigheid en besluitvormingsautonomie van de Unie, zonder afbreuk te doen aan het specifieke karakter van het veiligheids- en defensiebeleid van enige lidstaat.

Teneinde te waarborgen dat Enisa zijn doelstellingen volledig verwezenlijkt, moet het overleggen met de betrokken toezichthoudende autoriteiten van de Unie en met andere bevoegde autoriteiten in de Unie, de instellingen, organen en instanties van de Unie, met inbegrip van CERT-EU, EC3, het Europees Defensieagentschap (EDA), het Agentschap van het Europese wereldwijde satellietnavigatiesysteem (Europees GNSS-agentschap), het Orgaan van Europese regelgevende instanties voor elektronische communicatie (Berec), het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA), de Europese Centrale Bank (ECB), de Europese Bankautoriteit (EBA), het Europees Comité voor gegevensbescherming, het Agentschap voor de samenwerking tussen energieregulators (ACER), het Agentschap van de Europese Unie voor de veiligheid van de luchtvaart (EASA) en alle andere agentschappen van de Unie die bij cyberbeveiliging betrokken zijn. Enisa moet overleggen met autoriteiten die zich bezighouden met gegevensbescherming teneinde kennis en beste praktijken uit te wisselen en advies te geven over cyberbeveiligingsaspecten die gevolgen kunnen hebben voor hun werkzaamheden. De vertegenwoordigers van de rechtshandhavings- en gegevensbeschermingsautoriteiten van de lidstaten en de Unie moeten recht hebben op vertegenwoordiging in de Enisa-adviesgroep. Wanneer Enisa contact opneemt met rechtshandhavingsautoriteiten betreffende netwerk- en informatiebeveiligingsaspecten die van invloed kunnen zijn op hun werkzaamheden, moet Enisa de bestaande informatiekanalen en gevestigde netwerken respecteren.

Er kunnen partnerschappen worden gesloten met wetenschappelijke instellingen die onderzoek verrichten op de betreffende gebieden, en er moeten geëigende kanalen zijn voor de input van consumentenorganisaties en andere organisaties, dat in ogenschouw moet worden genomen.

Enisa moet in zijn rol van het secretariaat van het CSIRT-netwerk de CSIRT's van de lidstaten en CERT-EU ondersteunen wat betreft de operationele samenwerking in verband met alle in Richtlijn (EU) 2016/1148 bedoelde relevante taken van het CSIRT-netwerk. In het geval van incidenten, aanvallen of storingen van netwerken of infrastructuurvoorzieningen die door de CSIRT's worden beheerd of beveiligd en waarbij ten minste twee CSIRT's betrokken zijn of kunnen zijn, moet Enisa tevens de samenwerking tussen de betrokken CSIRT's bevorderen, daarbij terdege rekening houdend met de standaardwerkwijzen van het CSIRT-netwerk.

Om de paraatheid van de Unie wat betreft de reactie op incidenten te verhogen, moet Enisa regelmatig cyberbeveiligingsoefeningen op Unieniveau organiseren, en de lidstaten alsmede de instellingen, organen en instanties van de Unie op hun verzoek ondersteunen bij het organiseren van dergelijke oefeningen. Om de twee jaar moet grootschalige oefeningen worden georganiseerd, waarbij technische, operationele of strategische aspecten zijn betrokken. Daarnaast kan Enisa regelmatig minder grootschalige oefeningen met hetzelfde doel houden, om de paraatheid van de Unie wat betreft de reactie op incidenten verhogen.

Verder moet Enisa expertise op het gebied van cyberbeveiligingscertificering ontwikkelen en in stand houden met het oog op de ondersteuning van het Uniebeleid op dat gebied. Enisa moet voortbouwen op bestaande beste praktijken en het gebruik van cyberbeveiligingscertificering binnen de Unie bevorderen, onder meer door bij te dragen aan de totstandbrenging en instandhouding van een kader voor cyberbeveiligingscertificering op Unieniveau (Europees kader voor cyberbeveiligingscertificering), om de transparantie van de cyberbeveiligingszekerheid van ICT-producten, -diensten en -processen, en daarmee het vertrouwen in en het concurrentievermogen van de digitale interne markt, te vergroten.

Efficiënte beleidsmaatregelen inzake cyberbeveiliging moeten zijn gebaseerd op goed ontwikkelde methoden voor risicoanalyse, zowel in de overheidssector als in de particuliere sector. Methoden voor risicoanalyse worden op verschillende niveaus ingezet zonder dat er een gemeenschappelijke praktijk bestaat over de manier waarop deze efficiënt kunnen worden toegepast. Door beste praktijken voor risicoanalyse en voor interoperabele oplossingen voor risicobeheersing binnen overheids- en particuliere organisaties te promoten en te ontwikkelen, zal het cyberbeveiligingsniveau in de Unie worden verbeterd. Daartoe moet Enisa de samenwerking tussen belanghebbenden op Unieniveau bevorderen en hun inspanningen met betrekking tot de vaststelling en het gebruik van Europese en internationale normen voor risicobeheer en meetbare beveiliging van elektronische producten, systemen, netwerken en diensten die, samen met software, de netwerk- en informatiesystemen vormen.

Enisa moet de lidstaten, fabrikanten en aanbieders van ICT-producten, -diensten, of -processen ertoe aansporen hun algemene veiligheidsnormen op te voeren, zodat alle internetgebruikers de nodige stappen kunnen ondernemen om voor hun eigen cyberbeveiliging te zorgen en daartoe worden aangezet. Wanneer ICT-producten, -diensten of -processen niet aan cyberbeveiligingsnormen voldoen, moeten fabrikanten en aanbieders van ICT-producten, -diensten, of -processen alle nodige updates leveren en deze terugnemen, intrekken of recyclen, waarbij importeurs en distributeurs ervoor moeten zorgen dat de ICT-producten, -diensten en -processen die zij in de Unie in de handel brengen, aan de toepasselijke voorschriften voldoen en geen risico vormen voor consumenten in de Unie.

In samenwerking met de bevoegde autoriteiten dient Enisa informatie te kunnen verspreiden over het cyberbeveiligingsniveau van de ICT-producten, diensten en -processen die op de interne markt worden aangeboden, en dient het fabrikanten of aanbieders van ICT-producten, -diensten, of -processen waarschuwen en hen verplichten de beveiliging van hun ICT-producten, diensten en -processen, waaronder de cyberbeveiliging, te verbeteren.

Enisa moet volledig rekening houden met de lopende activiteiten op het gebied van onderzoek, ontwikkeling en technologiebeoordeling, en in het bijzonder de activiteiten van de verschillende onderzoeksinitiatieven van de Unie om de instellingen, organen en instanties van de Unie en in voorkomend geval de lidstaten, op hun verzoek, te adviseren over onderzoeksbehoeften op het gebied van cyberbeveiliging. Om te de onderzoeksbehoeften en -prioriteiten te bepalen, moet Enisa ook de relevante gebruikersgroepen raadplegen. Meer specifiek, zou samenwerking met de Europese Onderzoeksraad, het Europees Instituut voor innovatie en technologie, het Instituut voor veiligheidsstudies van de Europese Unie tot stand kunnen worden gebracht.

Enisa moet regelmatig normalisatieorganisaties raadplegen, met name Europese normalisatieorganisaties, wanneer het de Europese regelingen voor cyberbeveiligingscertificering opstelt.

Cyberdreigingen zijn een wereldwijd probleem. Er is dan ook behoefte aan nauwere internationale samenwerking om de cyberbeveiligingsnormen, met inbegrip van de omschrijving van gemeenschappelijke gedragsnormen, de vaststelling van gedragscodes, het gebruik van internationale normen en het delen van informatie, te verbeteren om snellere internationale samenwerking bij en een gemeenschappelijke wereldwijde aanpak van problemen op het gebied van netwerk- en informatiebeveiliging te bevorderen. Daartoe moet Enisa een verdergaande betrokkenheid van de Unie bij en samenwerking met derde landen en internationale organisaties ondersteunen door, voor zover van toepassing, de betrokken instellingen, organen en instanties van de Unie van de noodzakelijke expertise en analyses te voorzien.

Enisa moet kunnen reageren op ad-hocverzoeken om advies en bijstand van de lidstaten en de instellingen, organen en instanties van de Unie over aangelegenheden die binnen het mandaat van Enisa vallen.

Het is zinvol en aan te bevelen met betrekking tot het bestuur van Enisa bepaalde beginselen toe te passen uit de gezamenlijke verklaring en gemeenschappelijke aanpak die in juli 2012 door de interinstitutionele werkgroep voor gedecentraliseerde EU-agentschappen zijn overeengekomen en die tot doel hebben de activiteiten van gedecentraliseerde agentschappen te stroomlijnen en hun prestaties te verbeteren. Ook de aanbevelingen in de gezamenlijke verklaring en de gemeenschappelijke aanpak moeten, waar passend, in de werkprogramma's, evaluaties, verslaglegging en administratieve werkwijzen van Enisa tot uiting komen.

De raad van bestuur, die is samengesteld uit vertegenwoordigers van de lidstaten en de Commissie, moet de algemene richting van de werkzaamheden van Enisa vaststellen en ervoor zorgen dat het Agentschap zijn taken overeenkomstig deze verordening uitvoert. De raad van bestuur dient de noodzakelijke bevoegdheden toegewezen te krijgen voor de vaststelling van de begroting, de controle op de uitvoering ervan, de vaststelling van passende financiële regels, de opstelling van transparante werkprocedures voor besluitvorming door Enisa, de goedkeuring van het enig programmeringsdocument van Enisa, de vaststelling van zijn eigen reglement van orde, de benoeming van de uitvoerend directeur en de besluitvorming over de verlenging en beëindiging van de ambtstermijn van de uitvoerend directeur.

Met het oog op van de goede en doeltreffende werking van Enisa moeten de Commissie en de lidstaten erop toezien dat personen die worden benoemd tot de raad van bestuur over passende professionele expertise en ervaring beschikken. De Commissie en de lidstaten dienen zich tevens in te spannen om het verloop onder hun respectieve vertegenwoordigers in de raad van bestuur te beperken met het oog op de continuïteit in de werkzaamheden.

Voor het goed functioneren van Enisa is het noodzakelijk dat de uitvoerend directeur wordt benoemd op grond van zowel verdiensten en aantoonbare administratieve en leidinggevende vaardigheden, als bekwaamheid en ervaring die relevant is voor cyberbeveiliging. De uitvoerend directeur dient zijn taken op volledig onafhankelijke wijze uit te voeren. De uitvoerend directeur moet een voorstel voor het jaarlijks werkprogramma van Enisa voorbereiden, na voorafgaand overleg met de Commissie, en alle nodige stappen ondernemen om te zorgen voor de goede uitvoering van dat werkprogramma. Hij moet een jaarverslag opstellen over onder andere de uitvoering van het jaarlijkse werkprogramma van Enisa, dat moet worden voorgelegd aan de raad van bestuur, een ontwerpverklaring van de geraamde inkomsten en uitgaven van Enisa opstellen en de begroting uitvoeren. De uitvoerend directeur moet voorts over de mogelijkheid beschikken om ad-hocwerkgroepen op te richten voor specifieke aangelegenheden, met name van wetenschappelijke, technische, juridische of sociaaleconomische aard. Met name voor het opstellen van een specifieke potentiële Europese regeling voor cyberbeveiligingscertificering (potentiële regeling) wordt het nodig geacht een ad-hocwerkgroep in te stellen. De uitvoerend directeur moet erop toezien dat de leden van de ad-hocwerkgroepen overeenkomstig de hoogste normen inzake expertise worden geselecteerd, waarbij gestreefd wordt naar een evenwicht tussen mannen en vrouwen en, afhankelijk van de specifieke aangelegenheid, een passend evenwicht tussen de overheidsinstanties van de lidstaten, de instellingen, organen en instanties van de Unie, de particuliere sector, waaronder het bedrijfsleven, de gebruikers en wetenschappelijke deskundigen op het gebied van netwerk- en informatiebeveiliging.

Het dagelijks bestuur moet bijdragen tot het doeltreffend functioneren van de raad van bestuur. In het kader van de voorbereidende werkzaamheden met betrekking tot besluiten van de raad van bestuur, moet het dagelijks bestuur relevante informatie nauwkeurig onderzoeken, de beschikbare opties verkennen alsmede advies en oplossingen bieden ter voorbereiding van de besluiten van de raad van bestuur.

Enisa moet beschikken over een Enisa-adviesgroep als adviserend orgaan teneinde regelmatig overleg met de particuliere sector, consumentenorganisaties en andere relevante belanghebbenden te waarborgen. De op voorstel van de uitvoerend directeur door de raad van bestuur opgerichte Enisa-adviesgroep moet zich richten op voor de belanghebbenden relevante vraagstukken en deze onder de aandacht van Enisa brengen. De Enisa-adviesgroep wordt in het bijzonder geraadpleegd met betrekking tot het ontwerp van het jaarlijks werkprogramma van Enisa. De samenstelling van de Enisa-adviesgroep en de aan deze groep toegewezen taken, moeten waarborgen dat de belanghebbenden voldoende worden vertegenwoordigd in de werkzaamheden van Enisa.

De Groep van belanghebbenden bij cyberbeveiligingscertificering moet worden opgericht om Enisa en de Commissie te helpen het raadplegen van de betrokken belanghebbenden te vergemakkelijken. De Groep van belanghebbenden bij cyberbeveiligingscertificering moet worden samengesteld uit leden die op evenwichtige wijze de sector vertegenwoordigen, zowel wat vraag als aanbod van ICT-producten en -diensten betreft, waaronder met name kleine en middelgrote ondernemingen, digitaledienstverleners, Europese en internationale normalisatieorganisaties, nationale accreditatie-instanties, gegevensbeschermingsautoriteiten en conformiteitsbeoordelingsinstanties overeenkomstig Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad (16), de wetenschap alsmede consumentenorganisaties.

Enisa moet beschikken over regels ter voorkoming en beheersing van belangenconflicten. Enisa moet voorts de toepasselijke in Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad (17) vastgelegde Unievoorschriften inzake toegang van het publiek tot documenten toepassen, zoals vervat. Persoonsgegevens moeten door Enisa worden verwerkt overeenkomstig Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (18). Enisa dient de bepalingen na te leven die van toepassing zijn op de instellingen, organen en instanties van de Unie alsmede de nationale wetgeving inzake de behandeling van informatie, in het bijzonder gevoelige niet-gerubriceerde informatie en gerubriceerde informatie van de Europese Unie (EUCI).

Om de volledige autonomie en onafhankelijkheid van Enisa te garanderen en Enisa in staat te stellen bijkomende taken te verrichten, waaronder onvoorziene noodmaatregelen, dient aan Enisa een toereikende eigen begroting te worden toegekend die hoofdzakelijk moet worden gefinancierd uit een bijdrage van de Unie en bijdragen van derde landen die deelnemen aan de werkzaamheden van Enisa. Een passende begroting is cruciaal om te waarborgen dat Enisa over voldoende capaciteit beschikt om al zijn steeds omvangrijkere taken te kunnen vervullen en zijn doelstellingen te verwezenlijken. Het merendeel van het personeel van Enisa moet rechtstreeks worden ingezet voor de operationele uitvoering van het mandaat van Enisa. De lidstaat van vestiging of enige andere lidstaat mag een vrijwillige bijdrage leveren aan de inkomsten van Enisa. De Uniebegrotingsprocedure blijft van toepassing op eventuele subsidies die ten laste van de algemene begroting van de Unie komen. Voorts controleert de Rekenkamer de rekeningen van Enisa teneinde transparantie en verantwoording zeker te stellen.

Cyberbeveiligingscertificering is belangrijk om het vertrouwen in en de beveiliging van ICT-producten, -diensten en -processen te vergroten. De digitale eengemaakte markt, en met name de data-economie en het internet der dingen, kan enkel gedijen als het grote publiek er vertrouwen in heeft dat dergelijke producten, diensten en processen een bepaald cyberbeveiligingsniveau bieden. Verbonden en geautomatiseerde auto's, elektronische medische hulpmiddelen, besturingssystemen voor industriële automatisering en slimme netwerken zijn slechts enkele voorbeelden van sectoren waarin certificering reeds op grote schaal wordt gebruikt of naar verwachting in de toekomst zal worden gebruikt. De door Richtlijn (EU) 2016/1148 gereguleerde sectoren, zijn tevens sectoren waarin cyberbeveiligingscertificering van cruciaal belang is.

In de mededeling ‘Versterken van het Europese cyberbeveiligingssysteem en bevorderen van een concurrerende en innovatieve cyberbeveiligingsbranche’ van 2016 heeft de Commissie gesteld dat er behoefte is aan hoogwaardige, betaalbare en interoperabele producten en oplossingen op het gebied van cyberbeveiliging. De levering van ICT-producten, -diensten en -processen binnen de eengemaakte markt blijft in geografisch opzicht zeer versnipperd, omdat de cyberbeveiligingsbranche in Europa zich grotendeels op basis van de vraag van nationale overheden heeft ontwikkeld. Daarnaast is het gebrek aan interoperabele oplossingen (technische normen), praktijken en Uniebrede certificeringsmechanismen een tekortkoming van de eengemaakte markt op het gebied van cyberbeveiliging. Dit maakt het voor Europese ondernemingen moeilijk om op nationaal, Unie- en mondiaal niveau te concurreren. Burgers en bedrijven hebben hierdoor slechts toegang tot een beperkte keuze aan levensvatbare en bruikbare cyberbeveiligingstechnologieën. Verder heeft de Commissie in de mededeling van 2017 inzake de tussentijdse evaluatie van de uitvoering van de strategie voor de digitale interne markt — Een connectieve digitale interne markt voor iedereen, gewezen op de noodzaak van veilige verbonden producten en systemen en aangegeven dat door het opzetten van een Europees ICT-beveiligingskader met regels voor het organiseren van ICT-beveiligingscertificering in de Unie zowel het vertrouwen in het internet in stand kan worden gehouden als de huidige versnippering van de interne markt kan worden aangepakt.

Momenteel wordt de cyberbeveiligingscertificering van ICT-producten, -diensten en -processen slechts in beperkte mate gebruikt. Indien deze certificering bestaat, is dat meestal op het niveau van de lidstaten of in het kader van regelingen die op initiatief van het bedrijfsleven zijn opgezet. In dat kader wordt een certificaat dat is afgegeven door een nationale cyberbeveiligingscertificeringsautoriteit in principe niet erkend in andere lidstaten. Bijgevolg moeten bedrijven hun ICT-producten, -diensten en -processen wellicht laten certificeren in de verschillende lidstaten waarin zij actief zijn, bijvoorbeeld met het oog op deelname aan nationale aanbestedingsprocedures, waardoor hun kosten oplopen. Er worden weliswaar nieuwe regelingen opgezet, maar er schijnt geen samenhangende en alomvattende benadering te zijn ten aanzien van horizontale cyberbeveiligingsvraagstukken, bijvoorbeeld op het gebied van het internet der dingen. Bestaande regelingen vertonen aanzienlijke tekortkomingen en verschillen wat betreft productdekking, zekerheidsniveaus, materiële criteria en daadwerkelijk gebruik, hetgeen een belemmering vormt voor wederzijdse-erkenningsmechanismen binnen de Unie.

Er zijn enige inspanningen geleverd om te zorgen voor wederzijdse erkenning van certificaten in de Unie. Maar die zijn echter slechts gedeeltelijk geslaagd. Het voornaamste voorbeeld daarvan is de overeenkomst inzake wederzijdse erkenning van de Groep van Hoge Ambtenaren voor de beveiliging van informatiesystemen (SOG-IS). Dat is weliswaar het belangrijkste model voor samenwerking en wederzijdse erkenning op het gebied van beveiligingscertificering, maar SOG-IS omvat slechts enkele lidstaten. De doeltreffendheid van de overeenkomst inzake wederzijdse erkenning van SOG-IS is daardoor vanuit het oogpunt van de interne markt beperkt.

Het is daarom noodzakelijk een gemeenschappelijke aanpak vast te stellen en een Europees kader voor cyberbeveiligingscertificering op te zetten waarin de voornaamste horizontale voorschriften voor te ontwikkelen Europese cyberbeveiligingscertificeringsregelingen worden vastgesteld, en dat het mogelijk maakt dat Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen voor ICT-producten, -diensten of -processen in alle lidstaten worden erkend en gebruikt. Daarbij is het essentieel om voort te bouwen op zowel bestaande nationale en internationale regelingen als stelsels voor wederzijdse erkenning, in het bijzonder SOG-IS, en een vlotte overgang mogelijk te maken van bestaande regelingen binnen die stelsels naar regelingen binnen het nieuwe Europese kader voor cyberbeveiligingscertificering. Het Europees kader voor cyberbeveiligingscertificering moet een tweeledig doel hebben. Enerzijds moet het bijdragen aan een groter vertrouwen in ICT-producten, -diensten en -processen die op grond van Europese regelingen voor cyberbeveiligingscertificering zijn gecertificeerd. Anderzijds moet het helpen voorkomen dat er meerdere tegenstrijdige of elkaar overlappende nationale cyberbeveiligingscertificeringsregelingen bestaan, en zodoende zorgen voor lagere kosten voor ondernemingen die actief zijn op de digitale eengemaakte markt. De Europese cyberbeveiligingscertificeringsregelingen moeten niet-discriminerend en gebaseerd zijn op Europese of internationale normen, tenzij dergelijke normen met het oog op de verwezenlijking van de desbetreffende legitieme doelstellingen van de Unie niet doeltreffend of niet geschikt zijn.

Het Europees kader voor cyberbeveiligingscertificering moet op uniforme wijze in alle lidstaten worden opgesteld om het ‘certificeringsshoppen’ vanwege verschillende stringentieniveaus in de verschillende lidstaten tegen te gaan.

Europese cybercertificeringsregelingen moeten voortbouwen op wat er al op internationaal en nationaal niveau bestaat en zo nodig op technische specificaties van overlegfora en consortia; er moeten lessen worden getrokken uit de huidige sterke punten en de zwakke punten moeten worden beoordeeld en gecorrigeerd.

Aangezien het bedrijfsleven behoefte heeft aan flexibele cyberbeveiligingsoplossingen om cyberdreigingen voor te blijven, moet alle certificeringsregelingen zo worden ontwerpen dat het risico dat ze snel achterhaald zijn, wordt vermeden.

De Commissie dient de bevoegdheid te krijgen om Europese regelingen voor cyberbeveiligingscertificering met betrekking tot bepaalde groepen van ICT-producten, -diensten en -processen vast te stellen. De uitvoering van en het toezicht op die regelingen moeten worden verricht door de nationale cyberbeveiligingscertificeringsautoriteiten en de in het kader van die regelingen afgegeven certificaten moeten in de hele Unie geldig zijn en worden erkend. Certificeringsregelingen die door het bedrijfsleven of door andere particuliere organisaties worden toegepast, moeten buiten het toepassingsgebied van deze verordening vallen. De organisaties die dergelijke regelingen toepassen, moeten echter kunnen voorstellen dat de Commissie dergelijke regelingen in overweging nemen als basis voor de verbetering daarvan in de vorm van een Europese cyberbeveiligingscertificeringsregeling.

De bepalingen van deze verordening moeten Uniewetgeving waarbij specifieke regels voor de certificering van ICT-producten, -diensten en -processen zijn vastgesteld, onverlet laten. Met name omvat Verordening (EU) 2016/679 bepalingen betreffende de vaststelling van certificeringsmechanismen en van gegevensbeschermingszegels en -merktekens, om de naleving van die verordening bij verwerkingen door verwerkingsverantwoordelijken en verwerkers aan te tonen. Met behulp van dergelijke certificeringsmechanismen en gegevensbeschermingszegels en -merktekens dienen betrokkenen snel te kunnen beoordelen wat het beschermingsniveau van de relevante ICT-producten en -diensten is. Deze verordening doet geen afbreuk aan de certificering van gegevensverwerkingen overeenkomstig Verordening (EU) 2016/649, ook niet als dergelijke verwerkingen zijn geïntegreerd in ICT-producten, -diensten en -processen.

Europese regelingen voor cyberbeveiligingscertificering moeten tot doel hebben te waarborgen dat ICT-producten, -diensten en -processen die door middel van een dergelijke regeling zijn gecertificeerd, aan gespecificeerde voorschriften voldoen met als doel de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of verzonden gegevens of de daaraan gerelateerde diensten die via die producten, diensten en processen, worden aangeboden of toegankelijk zijn, gedurende hun levenscyclus te beschermen. Het is niet mogelijk om in deze verordening de cyberbeveiligingsvoorschriften voor alle ICT-producten, -diensten en -processen in detail op te nemen. ICT-producten, -diensten en -processen en de daarmee verband houdende behoeften inzake cyberbeveiliging zijn zodanig uiteenlopend dat het zeer moeilijk is te voorzien in algemene, in alle omstandigheden geldende cyberbeveiligingsvoorschriften. Met het oog op certificering is daarom een breed en algemeen begrip van cyberbeveiliging noodzakelijk, dat moet worden aangevuld met een reeks specifieke doelstellingen inzake cyberbeveiliging waarmee rekening moet worden gehouden bij het opzetten van Europese regelingen voor cyberbeveiligingscertificering. De regelingen waarmee dergelijke doelstellingen dienen te worden verwezenlijkt in specifieke ICT-producten, -diensten en -processen moet vervolgens verder worden gepreciseerd op het niveau van de specifieke, door de Commissie vastgestelde certificeringsregeling, bijvoorbeeld door middel van verwijzing naar normen of technische specificaties wanneer er geen passende normen beschikbaar zijn.

De in Europese cyberbeveiligingscertificeringsregelingen te gebruiken technische specificaties moeten de in bijlage II bij Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad (19) vastgestelde voorschriften in acht nemen. Enige afwijkingen van die voorschriften kunnen evenwel in naar behoren gemotiveerde gevallen noodzakelijk worden geacht wanneer die technische specificaties moeten worden gebruikt in een Europese cyberbeveiligingscertificeringsregeling waarin zekerheidsniveau ‘hoog’ staat aangegeven. De redenen voor dergelijke afwijkingen moeten openbaar worden gemaakt.

Een conformiteitsbeoordeling is een procedure waarbij wordt geëvalueerd of aan gespecificeerde voorschriften met betrekking tot een ICT-product, -dienst of -proces is voldaan. Die procedure wordt verricht door een onafhankelijke derde partij die niet de fabrikant of de aanbieder van de geëvalueerde ICT-producten, -diensten of -processen is. Een Europese cyberbeveiligingscertificaat dient te worden afgegeven na een succesvolle evaluatie van een ICT-product, -dienst of -proces. Een Europees cyberbeveiligingscertificaat moet worden gezien als een bevestiging dat de evaluatie correct is uitgevoerd. Afhankelijk van het zekerheidsniveau moet in de Europese cyberbeveiligingscertificeringsregeling worden aangegeven of het Europees cyberbeveiligingscertificaat dient te worden afgegeven door een particuliere of een openbare instantie. Conformiteitsbeoordeling en certificering bieden geen garantie dat gecertificeerde ICT-producten, -diensten en -processen cyberbeveiligd zijn. Zij behelzen veeleer procedures en een technische methoden om te bevestigen dat ICT-producten, -diensten en -processen zijn getest en dat zij voldoen aan bepaalde cyberbeveiligingsvoorschriften die elders, bijvoorbeeld in technische normen, zijn vastgesteld.

De keuze van de gebruikers van Europese cyberbeveiligingscertificaten voor de passende certificering en de bijbehorende beveiligingsvoorschriften moet worden gebaseerd op een analyse van de met het gebruik van de ICT-producten, -diensten of -processen verbonden risico's. Het zekerheidsniveau moet daarom in verhouding staan tot het niveau van het risico dat verbonden is aan het beoogde gebruik van een ICT-product, -dienst of -proces.

In Europese regelingen voor cyberbeveiligingscertificering zou kunnen worden bepaald dat een conformiteitsbeoordeling wordt uitgevoerd onder de uitsluitende verantwoordelijkheid van de fabrikant of aanbieder van ICT-producten, -diensten of -processen (‘conformiteitszelfbeoordeling’). In dergelijke gevallen moet het volstaan dat de fabrikant of de aanbieder van ICT-producten, -diensten of -processen zelf alle inspecties uitvoert om te zorgen dat de ICT-producten, -diensten of -processen in overeenstemming zijn met de Europese cyberbeveiligingscertificeringsregeling. De conformiteitszelfbeoordeling moet geschikt worden geacht voor ICT-producten, -diensten en -processen met een geringe complexiteit (eenvoudig ontwerp- en productiemechanismen) die een laag risico voor het openbaar belang opleveren. Voorts dient conformiteitszelfbeoordeling ten aanzien van ICT-producten, -diensten of -processen alleen te worden toegestaan wanneer deze zekerheidsniveau ‘basis’ hebben.

Europese regelingen voor cyberbeveiligingscertificering zouden de mogelijkheid kunnen bieden van zowel conformiteitszelfbeoordeling als certificering van ICT-producten, -diensten of -processen. In een dergelijk geval moet de regeling de consumenten of andere gebruikers duidelijke en begrijpelijke middelen aanreiken waarmee zij een onderscheid kunnen maken tussen ICT-producten, -diensten of -processen ten aanzien waarvan de fabrikant of aanbieder verantwoordelijk is voor de beoordeling en ICT-producten, -diensten of -processen die door een derde partij zijn gecertificeerd.

De fabrikant of aanbieder van ICT-producten, -diensten of -processen die een conformiteitszelfbeoordeling uitvoert moet, als onderdeel van de conformiteitsbeoordelingsprocedure, de EU-conformiteitsverklaring kunnen verstrekken en ondertekenen. Een EU-conformiteitsverklaring is een document waarin staat dat een specifiek ICT-product, -dienst of -proces voldoet aan de voorschriften van de Europese cyberbeveiligingscertificeringsregeling. Door de EU-conformiteitsverklaring te verstrekken en ondertekenen verklaart de fabrikant of de aanbieder van ICT-producten, -diensten of -processen zich verantwoordelijk voor de conformiteit van het ICT-product, -dienst of -proces met de wettelijke voorschriften van de Europese cyberbeveiligingscertificeringsregeling. Van de EU-conformiteitsverklaring moet een exemplaar bij de nationale cyberbeveiligingscertificeringsautoriteit en bij Enisa worden ingediend.

Fabrikanten of aanbieders van ICT-producten, -diensten of -processen moeten de EU-conformiteitsverklaring en de technische documentatie van alle andere relevante informatie met betrekking tot de conformiteit van de ICT-producten, -diensten of -processen met een Europese cyberbeveiligingscertificeringsregeling ter beschikking van de bevoegde nationale cyberbeveiligingscertificeringsautoriteit stellen, en wel gedurende een in de betrokken Europese cyberbeveiligingscertificeringsregeling bepaalde periode. In de technische documentatie moeten de krachtens de regeling toepasselijke vereisten worden vermeld en moet, voor zover relevant voor de conformiteitszelfbeoordeling, het ontwerp, de fabricage en de werking van het ICT-product, -dienst of -proces worden bestreken. De technische documentatie moet zodanig worden opgesteld dat kan worden beoordeeld of een ICT-product, -dienst of -proces voldoet aan de krachtens die regeling toepasselijke vereisten.

De governance van het Europees kader voor cyberbeveiligingscertificering houdt rekening met de betrokkenheid van de lidstaten alsmede de passende betrokkenheid van belanghebbenden en legt de rol van de Commissie vast gedurende het plannen, voorstellen, aanvragen, voorbereiden, goedkeuren en evalueren van Europese regelingen voor cyberbeveiligingscertificering.

De Commissie moet na open en breed overleg met de steun van de Europese Groep voor cyberbeveiligingscertificering (de ‘EGC’) en de Groep van belanghebbenden bij cyberbeveiligingscertificering een voortschrijdend werkprogramma van de Unie voor Europese regelingen voor cyberbeveiligingscertificering opstellen en bekendmaken in de vorm van een niet-bindend instrument. Het voortschrijdend werkprogramma van de Unie dient een strategisch document te zijn aan de hand waarvan met name de sector, de nationale autoriteiten en de normalisatieorganisaties zich kunnen voorbereiden op toekomstige Europese regelingen voor cyberbeveiligingscertificering. Het voortschrijdend werkprogramma van de Unie moet een meerjarig overzicht van de verzoeken om potentiële regelingen bevatten die de Commissie ter voorbereiding bij Enisa wil indienen, op specifieke gronden. De Commissie moet met het voortschrijdend werkprogramma van de Unie rekening houden wanneer zij haar voortschrijdend plan voor ICT-normalisatie en normalisatieverzoeken aan Europese normalisatieorganisaties opstelt. In het licht van de snelle invoering en absorptie van nieuwe technologieën, het ontstaan van voorheen onbekende cyberbeveiligingsrisico's en ontwikkelingen in wetgeving en de markt, moet de Commissie of de EGC het recht hebben om Enisa te verzoeken potentiële regelingen op te stellen die niet in het voortschrijdend werkprogramma van de Unie zijn opgenomen. In dergelijke gevallen moeten de Commissie en de EGC ook de noodzaak van een dergelijk verzoek beoordelen, rekening houdend met de algemene doelstellingen van deze verordening en noodzaak tot waarborging van de continuïteit van de planning en het gebruik van de middelen van Enisa.

Enisa moet, naar aanleiding van een dergelijk verzoek, onverwijld potentiële regelingen opstellen voor specifieke ICT-producten, -diensten en -processen. De Commissie moet de positieve en negatieve gevolgen van haar verzoek voor de betrokken specifieke markt evalueren, met name wat betreft kleine en middelgrote ondernemingen, innovatie, belemmeringen om tot die markt toe te treden en kosten voor eindgebruikers. De Commissie moet de bevoegdheid krijgen om vervolgens, op basis van de door Enisa voorgestelde potentiële regeling, de Europese cyberbeveiligingscertificeringsregeling bij uitvoeringshandeling vast te stellen. Rekening houdend met het in deze verordening bepaalde algemene doel en de beveiligingsdoelstellingen, moet in door de Commissie vastgestelde Europese cyberbeveiligingscertificeringsregelingen een minimumreeks elementen worden gespecificeerd wat betreft onderwerp, toepassingsgebied en werking van de afzonderlijke regeling. Tot die elementen moeten onder meer het toepassingsgebied en het voorwerp van de cyberbeveiligingscertificering behoren, met inbegrip van de betrokken categorieën ICT-producten, -diensten en -processen, de gedetailleerde specificatie van de cyberbeveiligingsvoorschriften, bijvoorbeeld door verwijzing naar normen of technische specificaties, de specifieke evaluatiecriteria en -methoden evenals het beoogde zekerheidsniveau (‘basis’, ‘substantieel’ of ‘hoog’) en de evaluatieniveaus, indien van toepassing. Enisa moet een verzoek van de EGC kunnen weigeren. Dergelijke beslissingen moeten door de raad van bestuur worden genomen en moeten naar behoren worden gemotiveerd.

Enisa moet een website in stand houden met informatie over en bekendmaking van Europese cyberbeveiligingscertificeringsregelingen, waaronder de verzoeken voor de opstelling van een potentiële regeling en voor de feedback die wordt ontvangen tijdens het raadplegingsproces dat Enisa in de voorbereidingsfase uitvoert. De website moet ook informatie verstrekken over Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen die krachtens deze verordening worden afgegeven, waaronder informatie over intrekking en verval van dergelijke Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen. Tevens moet de website vermelden welke nationale cyberbeveiligingscertificeringsregelingen zijn vervangen door een Europese cyberbeveiligingscertificeringsregeling.

Het zekerheidsniveau van een Europese certificeringsregeling is een basis voor vertrouwen dat een ICT-product, -dienst of -proces voldoet aan de beveiligingsvoorschriften van een specifieke Europese cyberbeveiligingscertificeringsregeling. Teneinde de samenhang van het Europees cyberbeveiligingscertificeringskader te waarborgen moeten in een Europese cybercertificeringsregeling zekerheidsniveaus kunnen worden aangegeven voor uit hoofde van die regeling afgegeven Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen. In elk Europees cyberbeveiligingscertificaat zou kunnen worden verwezen naar de zekerheidsniveaus ‘basis’, ‘substantieel’ of ‘hoog’, terwijl in de EU-conformiteitsverklaring alleen melding zou kunnen worden gemaakt van zekerheidsniveau ‘basis’. De zekerheidsniveaus zouden de overeenkomstige grondigheid en diepgang van de evaluatie van het ICT-product, de ICT-dienst of het ICT-proces bepalen, en zouden worden gekenmerkt door verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles, waarvan het doel is om incidenten te beperken of voorkomen. Elk zekerheidsniveau dient in overeenstemming te zijn met de diverse sectorale domeinen waar certificering wordt toegepast.

In een Europese cyberbeveiligingscertificeringsregeling zouden verscheidene evaluatieniveaus kunnen worden vermeld, afhankelijk van de vraag hoe strikt en diepgaand de gebruikte evaluatiemethodologie is. Evaluatieniveaus moeten overeenkomen met één van de zekerheidsniveaus en moeten gepaard gaan met een passende combinatie van zekerheidscomponenten. Voor alle zekerheidsniveaus moeten ICT-producten, -diensten of -processen een aantal in de regeling gespecificeerde beveiligde functies bevatten zoals onder meer: een standaardconfiguratie, een ondertekende code, beveiligde actualisering en exploitmitigatie, en volledige bescherming van het stack- of heapgeheugen. Die functies moeten worden ontwikkeld en onderhouden met op beveiliging gerichte benaderingen inzake ontwikkeling en de bijbehorende hulpmiddelen waardoor wordt gewaarborgd dat er doeltreffende software- en hardwaremechanismen op betrouwbare wijze in worden verwerkt.

Voor het zekerheidsniveau ‘basis’ moet de evaluatie worden geleid door ten minste de volgende zekerheidscomponenten: de evaluatie moet ten minste een beoordeling inhouden van de technische documentaties van het ICT-product, de ICT-dienst of het ICT-proces door de conformiteitsbeoordelingsinstantie. Indien de certificering ICT-processen omvat, moet de technische evaluatie ook betrekking hebben op het proces dat wordt gebruikt voor het ontwerpen, ontwikkelen en in stand houden van een ICT-product of -dienst. Indien een Europese cyberbeveiligingscertificeringsregeling voorziet in een conformiteitszelfbeoordeling, moet het voldoende zijn als de fabrikant of aanbieder van ICT-producten, -diensten of -processen zelf heeft beoordeeld of de ICT-producten, -diensten of -processen voldoen aan de certificeringsregeling.

Voor zekerheidsniveau ‘substantieel’ moet de evaluatie, in aanvulling op de vereisten voor het zekerheidsniveau ‘basis’, worden geleid door ten minste de verificatie van de conformiteit van de beveiligingsfuncties van het ICT-product, de ICT-dienst of het ICT-proces met de technische documentatie ervan omvatten.

Voor zekerheidsniveau ‘hoog’ moet de evaluatie, in aanvulling op de vereisten voor zekerheidsniveau ‘substantieel’, worden geleid door ten minste een efficiëntietest waarbij wordt beoordeeld of de beveiligingsfuncties van een ICT-product, -dienst of -proces bestand zijn tegen mensen die complexe cyberaanvallen uitvoeren en over aanzienlijke vaardigheden en middelen beschikken.

Het gebruik van Europese cyberbeveiligingscertificering en EU-conformiteitsverklaringen moet vrijwillig blijven, tenzij anders is bepaald in Unierecht, of in het in overeenstemming met het Unierecht vastgestelde recht van de lidstaten. Bij ontstentenis van geharmoniseerd Unierecht kunnen de lidstaten nationale technische voorschriften vaststellen die voorzien in verplichte certificering uit hoofde van een Europese cyberbeveiligingscertificeringsregeling overeenkomstig Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad (20). De lidstaten kunnen tevens gebruikmaken van de Europese cyberbeveiligingscertificering in het kader van overheidsopdrachten en Richtlijn 2014/24/EU van het Europees Parlement en de Raad (21).

Op sommige gebieden kan het in de toekomst nodig zijn om specifieke cyberbeveiligingsvoorschriften op te leggen en de certificering daarvan verplicht te maken voor bepaalde ICT-producten, -diensten of -processen teneinde het cyberbeveiligingsniveau in de Unie te verbeteren. De Commissie moet toezien op de vastgestelde Europese cyberbeveiligingscertificeringsregelingen en de beschikbaarheid van beveiligde ICT-producten, -diensten en -processen in de interne markt en regelmatig het niveau van de door de fabrikanten of aanbieders van ICT-producten, -diensten en -processen in de Unie gebruikte certificeringsregelingen beoordelen. De efficiëntie van de Europese cyberbeveiligingscertificeringsregelingen en de vraag of specifieke regelingen verplicht moeten worden gesteld, moet worden beoordeeld in het licht van de Uniewetgeving inzake cyberbeveiliging, met name Richtlijn (EU) 2016/1148, rekening houdend met de beveiliging van de netwerk- en informatiesystemen die door aanbieders van essentiële diensten worden gebruikt.

Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen moeten eindgebruikers helpen geïnformeerde keuzes te maken. Daarom moeten ICT-producten, -diensten en -processen die zijn gecertificeerd of waarvoor een EU-conformiteitsverklaring is afgegeven, vergezeld gaan van gestructureerde informatie die aan het verwachte technische niveau van de beoogde eindgebruiker is aangepast. Alle dergelijke informatie moet online, en waar passend in tastbare vorm, beschikbaar zijn. De eindgebruiker moet toegang hebben tot informatie met betrekking tot het referentienummer van de certificeringsregeling, het zekerheidsniveau, de omschrijving van de cyberbeveiligingsrisico's die gepaard gaan met het ICT-product, de ICT-dienst of het ICT-proces, en de autoriteit of instantie van afgifte, of moet een kopie van het Europees cyberbeveiligingscertificaat kunnen verkrijgen. Daarnaast moet de eindgebruiker worden geïnformeerd over het cyberbeveiligingsondersteuningsbeleid namelijk hoe lang de eindgebruiker mag verwachten cyberbeveiligingsupdates of -patches te krijgen van de fabrikant of aanbieder van ICT-producten, -diensten of -processen. Waar van toepassing dienen richtsnoeren te worden verstrekt over maatregelen of instellingen die de eindgebruiker kan toepassen om de cyberbeveiliging van het ICT-product, de ICT-dienst of het ICT-proces in stand te houden of te verbeteren, alsmede de contactgegevens van een centraal contactpunt om cyberaanvallen te melden of in geval van cyberaanvallen hulp te ontvangen (naast automatische melding). Die informatie moet regelmatig worden geactualiseerd en op een website met informatie over Europese cyberbeveiligingscertificeringsregelingen beschikbaar worden gesteld.

Om de doelstellingen van deze verordening te verwezenlijken en de versnippering van de interne markt te voorkomen, dient de geldigheid van nationale cyberbeveiligingscertificeringsregelingen of -procedures voor ICT-producten, -diensten of -processen die onder een Europese cyberbeveiligingscertificeringsregelingen vallen, te vervallen vanaf een door de Commissie bij de uitvoeringshandeling vastgestelde datum. Bovendien dienen de lidstaten geen nieuwe nationale cyberbeveiligingscertificeringsregelingen in te voeren voor ICT-producten, -diensten of -processen die reeds onder een bestaande Europese regeling voor cyberbeveiligingscertificering vallen. De lidstaten dient echter niet belet te worden nationale cyberbeveiligingscertificeringsregelingen met het oog op de nationale veiligheid vast te stellen of te handhaven. De lidstaten dienen de Commissie en de EGC in te lichten over elk voornemen om nieuwe nationale cyberbeveiligingscertificeringsregelingen op te stellen. De Commissie en de EGC moeten de gevolgen van de nieuwe nationale cyberbeveiligingscertificeringsregelingen voor de goede werking van de interne markt evalueren, mede in het licht van enig strategische belang om in de plaats daarvan om een Europese cyberbeveiligingscertificeringsregeling te verzoeken.

Met Europese cyberbeveiligingscertificeringsregelingen wordt beoogd bij te dragen aan de harmonisatie van cyberbeveiligingspraktijken in de Unie. Zij dienen bij te dragen tot een betere cyberbeveiliging binnen de Unie. Bij het ontwerp van de Europese cyberbeveiligingscertificeringsregelingen moet de ontwikkeling van innovaties op het gebied van cyberbeveiliging in aanmerking worden genomen en mogelijk zijn.

Bij Europese cyberbeveiligingscertificeringsregelingen dient rekening gehouden te worden met bestaande software- en hardwareontwikkelingsmethoden en in het bijzonder met de gevolgen van veelvuldige updates van software of firmware voor afzonderlijke Europese cyberbeveiligingscertificaten. In Europese cyberbeveiligingscertificeringsregelingen moeten de voorwaarden zijn gespecificeerd waaronder een update kan vereisen dat een ICT-product, -dienst of -proces opnieuw wordt gecertificeerd of dat de geldigheid van dat Europees cyberbeveiligingscertificaat wordt beperkt, rekening houdend met mogelijke negatieve gevolgen van de update voor de naleving van de beveiligingsvoorschriften van dat certificaat.

Zodra een Europese cyberbeveiligingscertificeringsregelingen is vastgesteld, moeten fabrikanten of aanbieders van ICT-producten, -diensten of -processen bij een conformiteitsbeoordelingsinstantie van hun keuze, waar dan ook in de Unie, een aanvraag indienen voor de certificering van hun ICT-producten of -diensten. Conformiteitsbeoordelingsinstanties moeten door een nationale accreditatie-instantie worden geaccrediteerd indien zij aan bepaalde, in deze verordening vastgestelde specifieke vereisten voldoen. De accreditatie moet worden afgegeven voor een maximumperiode van vijf jaar en moet onder dezelfde voorwaarden kunnen worden verlengd, mits de conformiteitsbeoordelingsinstantie nog steeds aan de vereisten voldoet. Nationale accreditatie-instanties moeten de accreditatie van een conformiteitsbeoordelingsinstantie beperken, opschorten of intrekken wanneer niet of niet meer aan de voorwaarden voor de accreditatie wordt voldaan of wanneer de conformiteitsbeoordelingsinstantie inbreuk maakt op deze verordening.

Verwijzingen in nationale wetgeving naar nationale normen die niet langer gelden door de inwerkingtreding van een Europese cyberbeveiligingscertificeringsregelingen, kunnen een bron van verwarring zijn. Daarom moeten de lidstaten de vaststelling van een Europese cyberbeveiligingscertificeringsregelingen in hun nationale wetgeving weerspiegelen.

Om binnen de hele Unie gelijkwaardige normen te bereiken teneinde wederzijdse erkenning te vergemakkelijken en de algemene acceptatie van Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen te bevorderen, moeten de nationale cyberbeveiligingscertificeringsautoriteiten een collegialetoetsingssysteem inrichten. Collegiale toetsing moet procedures omvatten voor het toezicht op de conformiteit van ICT-producten, -diensten en -processen van Europese cyberbeveiligingscertificaten, op de verplichtingen van fabrikanten en aanbieders van ICT-producten, -diensten en -processen die aan zelfbeoordeling doen, op conformiteitsbeoordelingsinstanties, evenals op de relevantie van de expertise van het personeel van de organen die certificaten voor zekerheidsniveau ‘hoog’ afgeven. De Commissie moet, door middel van een uitvoeringshandeling, ten minste een vijfjarenplan voor collegiale toetsingen kunnen opstellen, alsmede ook criteria en methoden vastleggen voor de werking van het systeem van collegiale toetsing.

Sommige Europese cyberbeveiligingscertificeringsregelingen kunnen, onverminderd het algemene systeem van collegiale toetsing dat voor alle nationale cyberbeveiligingscertificeringsautoriteiten binnen het Europees cyberbeveiligingscertificeringskader moet worden ingericht, een collegialetoetsingsmechanisme opzetten voor de instanties die onder dergelijke regelingen Europese cyberbeveiligingscertificaten voor ICT-producten, -diensten en -processen met zekerheidsniveau ‘hoog’ afgeven. De EGC moet de uitvoering van dergelijke collegialetoetsingsmechanismen steunen. Bij de collegiale toetsingen dient in het bijzonder te worden beoordeeld of de betrokken instanties hun taken op geharmoniseerde wijze uitvoeren, en kunnen beroepsmechanismen omvatten. De resultaten van de collegiale toetsing moeten openbaar worden gemaakt. De betrokken instanties kunnen passende maatregelen nemen om hun praktijken en expertise aan te passen.

De lidstaten moeten één of meer nationale cyberbeveiligingscertificeringsautoriteiten aanwijzen om toe te zien op de naleving van de uit deze verordening voortvloeiende verplichtingen. Een nationale cyberbeveiligingscertificeringsautoriteit kan een bestaande of een nieuwe autoriteit zijn. Een lidstaat moet, na overeenstemming met een andere lidstaat, tevens één of meer nationale cyberbeveiligingscertificeringsautoriteiten op het grondgebied van die andere lidstaat kunnen aanwijzen.

Nationale cyberbeveiligingscertificeringsautoriteiten moeten in het bijzonder de verplichtingen van op hun respectieve grondgebieden gevestigde fabrikanten of aanbieders van ICT-producten, -diensten of -processen, ten aanzien van de EU-conformiteitsverklaring, volgen en handhaven, de nationale accreditatie-instanties bijstaan bij het volgen van en toezicht op de activiteiten van conformiteitsbeoordelingsinstanties door hen te voorzien van expertise en relevante informatie, conformiteitsbeoordelingsinstanties toestaan hun taken uit te voeren wanneer dergelijke instanties voldoen aan in Europese cyberbeveiligingscertificeringsregelingen gestelde aanvullende vereisten, en relevante ontwikkelingen volgen op het gebied van cyberbeveiligingscertificering. De nationale cyberbeveiligingscertificeringsautoriteiten moeten klachten behandelen die natuurlijke of rechtspersonen hebben ingediend over door die autoriteiten afgegeven Europese cyberbeveiligingscertificaten of in verband met Europese cyberbeveiligingscertificaten die zijn afgegeven door conformiteitsbeoordelingsinstanties indien in dergelijke certificaten zekerheidsniveau ‘hoog’ staat aangegeven, moeten de inhoud van de klacht in passende mate onderzoeken en de klager binnen een redelijke termijn in kennis stellen van de vooruitgang en het resultaat van het onderzoek. Bovendien moeten de nationale cyberbeveiligingscertificeringsautoriteiten samenwerken met andere nationale autoriteiten voor cyberbeveiligingscertificering of andere overheidsinstanties, onder meer door de uitwisseling van informatie over de mogelijke niet-conformiteit van ICT-producten, -diensten en -processen met de voorschriften van deze verordening of van specifieke Europese cyberbeveiligingscertificeringsregelingen. De Commissie moet die informatie-uitwisseling bevorderen door een algemeen elektronisch informatieondersteuningssysteem beschikbaar te stellen, bijvoorbeeld het informatie- en communicatiesysteem voor markttoezicht (ICSMS) en het systeem voor snelle waarschuwingen over gevaarlijke niet-levensmiddelen (Rapex), die overeenkomstig Verordening (EG) nr. 765/2008 al door markttoezichtautoriteiten worden gebruikt.

Om de consistente toepassing van het Europees cyberbeveiligingscertificeringskader te waarborgen moet een EGC worden opgericht die is samengesteld uit vertegenwoordigers van de nationale cyberbeveiligingscertificeringsautoriteiten of andere relevante nationale autoriteiten. De voornaamste taken van de EGC moeten bestaan in het verlenen van advies en bijstand aan de Commissie bij haar taak een samenhangende uitvoering en toepassing van het Europees cyberbeveiligingscertificeringskader te waarborgen, het verlenen van bijstand aan en het nauw samenwerken met Enisa bij het opstellen van potentiële cyberbeveiligingscertificeringsregelingen, het in naar behoren gemotiveerde gevallen verzoeken van Enisa om een potentiële regeling op te stellen, het vaststellen van aan Enisa gerichte standpunten over potentiële regelingen en het vaststellen van aan de Commissie gerichte standpunten over de instandhouding en herziening van bestaande Europese cyberbeveiligingscertificeringsregelingen. De EGC moet de uitwisseling vergemakkelijken van goede praktijken en expertise tussen de verschillende nationale cyberbeveiligingscertificeringsautoriteiten die verantwoordelijk zijn voor de toelating van conformiteitsbeoordelingsinstanties en voor de afgifte van Europese cyberbeveiligingscertificaten.

Om toekomstige Europese cyberbeveiligingscertificeringsregelingen onder de aandacht te brengen en de acceptatie ervan te bevorderen, kan de Commissie algemene of sectorspecifieke richtsnoeren inzake cyberbeveiliging uitbrengen, bijvoorbeeld over goede praktijken op het gebied van cyberbeveiliging of verantwoordelijk cyberbeveiligingsgedrag, waarbij wordt gewezen op het gunstige effect van het gebruik van gecertificeerde ICT-producten, -diensten en -processen.

Teneinde de handel verder te vergemakkelijken, en erkennende dat ICT-toeleveringsketens mondiaal zijn, kan de Unie overeenkomstig artikel 218 van het Verdrag betreffende de werking van de Europese Unie (VWEU) overeenkomsten inzake wederzijdse erkenning sluiten met betrekking tot Europese cyberbeveiligingscertificaten. De Commissie, rekening houdend met het advies van Enisa en de Europese Groep voor cyberbeveiligingscertificering, kan aanbevelen daarover onderhandelingen te openen. Iedere Europese cyberbeveiligingscertificeringsregeling moet specifieke voorwaarden bevatten voor dergelijke overeenkomsten met derde landen inzake wederzijdse erkenning.

Aan de Commissie dienen de uitvoeringsbevoegdheden te worden verleend opdat zij voor uniforme omstandigheden voor de uitvoering van deze verordening kan zorgen. Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (22).

De onderzoeksprocedure moet worden toegepast voor de vaststelling van uitvoeringshandelingen inzake Europese cyberbeveiligingscertificeringsregelingen voor ICT-producten, -diensten of -processen, voor de vaststelling van uitvoeringshandelingen inzake regelingen voor door Enisa uit te voeren onderzoeken, voor de vaststelling van uitvoeringshandelingen inzake een plan voor de collegiale toetsing van nationale cyberbeveiligingscertificeringsautoriteiten, alsmede voor de vaststelling van uitvoeringshandelingen inzake de omstandigheden, vormen en procedures voor kennisgeving aan de Commissie van geaccrediteerde conformiteitsbeoordelingsinstanties door de nationale cyberbeveiligingscertificeringsautoriteiten.

De werking van Enisa moet aan een regelmatige en onafhankelijke evaluatie worden onderworpen. Die evaluatie moet betrekking hebben op de verwezenlijking van de doelstellingen van Enisa, zijn werkmethoden en de relevantie van zijn taken, met name zijn taken met betrekking tot de operationele samenwerking op Unieniveau. Bij die evaluatie moeten tevens de gevolgen, de doeltreffendheid en de efficiëntie van het Europees cyberbeveiligingscertificeringskader worden geëvalueerd. In geval van een herziening moet de Commissie nagaan hoe de rol van Enisa als referentiepunt voor advies en expertise kan worden versterkt en moet de Commissie tevens de mogelijkheid evalueren van een rol voor Enisa bij het helpen beoordelen van ICT-producten, -diensten en -processen uit derde landen die niet aan de Unieregels voldoen.

Aangezien de doelstellingen van deze verordening niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar vanwege de omvang en de gevolgen ervan beter op het niveau van de Unie kunnen worden gerealiseerd, kan de Unie maatregelen nemen overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie (VEU) neergelegde subsidiariteitsbeginsel. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstellingen te verwezenlijken.

Verordening (EU) nr. 526/2013 moet worden ingetrokken,