(1) Sieci i systemy informatyczne oraz sieci i usługi łączności elektronicznej odgrywają kluczową rolę w społeczeństwie i stały się podstawą wzrostu gospodarczego. Technologie informacyjno-komunikacyjne (ICT) stanowią podstawę złożonych systemów wspierających codzienne działania społeczne, zapewniają funkcjonowanie naszej gospodarki w kluczowych sektorach, takich jak opieka zdrowotna, energetyka, finanse i transport, a zwłaszcza wspomagają funkcjonowanie rynku wewnętrznego.

(2) Korzystanie z sieci i systemów informatycznych przez obywateli, organizacje i przedsiębiorstwa w całej Unii jest obecnie bardzo rozpowszechnione. Cyfryzacja i sieć połączeń stają się podstawowymi cechami coraz większej liczby produktów i usług, a wraz z nastaniem internetu rzeczy w następnym dziesięcioleciu spodziewana jest instalacja wyjątkowo dużej liczby połączonych urządzeń cyfrowych w całej Unii. Coraz więcej urządzeń jest połączonych z internetem, jednak w ich projektowaniu w niewystarczającym stopniu uwzględnia się zabezpieczenia i odporność, co prowadzi do nieefektywnego cyberbezpieczeństwa. W tym kontekście ograniczone stosowanie certyfikacji prowadzi do niewystarczającej wiedzy użytkowników indywidualnych, instytucjonalnych i użytkowników biznesowych o właściwościach produktów ICT, usług ICT i procesów ICT w zakresie cyberbezpieczeństwa, co podważa zaufanie do rozwiązań cyfrowych. Sieci i systemy informatyczne mają możliwość wspierania wszystkich aspektów naszego życia i napędzania wzrostu gospodarczego w Unii. Stanowią one podstawowy element potrzebny do osiągnięcia jednolitego rynku cyfrowego.

(3) Rosnąca cyfryzacja i sieć połączeń zwiększają ryzyka w cyberprzestrzeni, zwiększając tym samym podatność ogółu społeczeństwa na cyberzagrożenia i potęgując niebezpieczeństwo dla osób, w tym osób bardziej na nie podatnych, takich jak dzieci. W celu ograniczenia tych ryzyk należy podjąć wszystkie niezbędne działania na rzecz poprawy cyberbezpieczeństwa w Unii, aby lepiej chronić przed cyberzagrożeniami sieci i systemy informatyczne, sieci łączności oraz produkty, usługi i urządzenia cyfrowe używane przez obywateli, organizacje i przedsiębiorstwa -od małych i średnich przedsiębiorstw (MŚP), zgodnie z definicją zawartą w zaleceniu Komisji 2003/361/WE 4 , aż po operatorów infrastruktury krytycznej.

(4) Udostępniając odpowiednie informacje ogółowi społeczeństwa, Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA), ustanowiona rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 526/2013 (UE) 5 , przyczynia się do rozwijania sektora cyberbezpieczeństwa w Unii, zwłaszcza MŚP i przedsiębiorstw typu startup. ENISA powinna dążyć do ściślejszej współpracy z uniwersytetami i ośrodkami badawczymi, by przyczyniać się do zmniejszenia zależności od produktów i usług z dziedziny cyberbezpieczeństwa spoza terytorium Unii i do wzmocnienia łańcuchów dostaw wewnątrz Unii.

(5) Cyberataki nasilają się, a połączona gospodarka i społeczeństwo, które jest bardziej podatne na cyberzagrożenia i ataki, wymagają silniejszej ochrony. Tymczasem jednak, mimo że cyberataki mają często charakter transgraniczny, kompetencje i reakcje polityczne organów odpowiedzialnych za cyberbezpieczeństwo i organów ścigania mają w głównej mierze charakter krajowy. Incydenty na dużą skalę mogą zakłócać świadczenie usług kluczowych w całej Unii. Taka sytuacja wymaga skutecznego i skoordynowanego reagowania oraz zarządzania kryzysowego na poziomie unijnym, w oparciu o specjalne rozwiązania polityczne oraz szerzej zakrojone instrumenty europejskiej solidarności i wzajemnej pomocy. Ponadto regularna ocena stanu cyberbezpieczeństwa i odporności w Unii, oparta na wiarygodnych danych unijnych, jak również systematyczne prognozowanie przyszłych zmian, wyzwań i zagrożeń na poziomie unijnym i ogólnoświatowym mają duże znaczenie dla decydentów politycznych, przemysłu oraz użytkowników.

(6) Wobec narastających wyzwań w zakresie cyberbezpieczeństwa, w obliczu których stoi Unia, potrzebny jest kompleksowy zestaw środków, które byłyby oparte na wcześniejszych działaniach unijnych i sprzyjały osiąganiu wzajemnie wspierających się celów. Cele te obejmują dodatkowe zwiększenie potencjału i gotowości do reagowania państw członkowskich i przedsiębiorstw oraz poprawę współpracy, wymiany informacji i koordynacji pomiędzy państwami członkowskimi oraz instytucjami, organami i jednostkami organizacyjnymi Unii. Ponadto z uwagi na ponadgraniczny charakter cyberzagrożeń konieczne jest zwiększenie na poziomie Unii tych zdolności, które mogłyby uzupełniać działania państw członkowskich, zwłaszcza w przypadkach transgranicznych incydentów i kryzysów na dużą skalę, biorąc pod uwagę znaczenie utrzymania i dalszego ulepszania krajowych zdolności do reagowania na cyberzagrożenia niezależnie od ich skali.

(7) Potrzebne są również dodatkowe wysiłki na rzecz podnoszenia wiedzy obywateli, organizacji i przedsiębiorstw na temat cyberbezpieczeństwa. Ponadto, z uwagi na fakt, że incydenty osłabiają zaufanie do dostawców usług cyfrowych i do samego jednolitego rynku cyfrowego, zwłaszcza wśród konsumentów, zaufanie to należy zwiększać przez oferowanie w sposób przejrzysty informacji o poziomie bezpieczeństwa produktów ICT, usług ICT i procesów ICT, podkreślają że nawet wysoki poziom certyfikacji cyberbezpieczeństwa nie może zagwarantować, że produkt ICT, usługa ICT lub proces ICT jest całkowicie bezpieczny. Wzrost zaufania może ułatwiać certyfikacja na poziomie unijnym, ustanawiająca wspólne wymogi cyberbezpieczeństwa i kryteria oceny na wszystkich krajowych rynkach i we wszystkich sektorach krajowych.

(8) Cyberbezpieczeństwo to nie tylko kwestia związana z technologią, ale kwestia, w przypadku której równie ważne są ludzkie zachowania. Dlatego też należy usilnie propagować "cyberhigienę", czyli proste, rutynowe czynności, których wdrożenie i regularne wykonywanie przez obywateli, organizacje i przedsiębiorstwa minimalizuje ich narażenie na ryzyka związane z cyberzagrożeniami.

(9) W celu wzmocnienia unijnych struktur cyberbezpieczeństwa, ważne jest by utrzymywać i rozwijać zdolności państw członkowskich do kompleksowego reagowania na cyberzagrożenia, w tym na incydenty transgraniczne.

(10) Przedsiębiorstwa oraz indywidualni konsumenci powinni posiadać dokładne informacje dotyczące poziomu uzasadnienia zaufania, na jakim certyfikowane zostało bezpieczeństwo ich produktów ICT, usług ICT i procesów ICT. Jednocześnie żaden produkt ICT ani usługa ICT nie jest całkowicie bezpieczny, a podstawowe zasady cyberhigieny muszą być propagowane i traktowane priorytetowo. Mając na uwadze rosnącą dostępność urządzeń z kategorii internetu rzeczy, istnieje szereg dobrowolnych środków, które sektor prywatny może podejmować, by wzmacniać zaufanie do bezpieczeństwa produktów ICT, usług ICT i procesów ICT.

(11) Współczesne produkty i systemy ICT często korzystają ze stworzonych przez strony trzecie technologii i komponentów lub funkcjonują w oparciu o nie; są to na przykład moduły oprogramowania, biblioteki lub interfejsy programowania aplikacji. Wykorzystywanie tych elementów, określane mianem "zależności", może stwarzać dodatkowe ryzyka w cyberprzestrzeni, ponieważ podatności zidentyfikowane w komponentach pochodzących od stron trzecich mogą również wpływać na bezpieczeństwo produktów ICT, usług ICT i procesów ICT. W wielu przypadkach identyfikowanie i dokumentowanie tych zależności pozwala użytkownikom końcowym produktów ICT, usług ICT i procesów ICT usprawnić ich działania w zakresie zarządzania ryzykiem w cyberprzestrzeni, na przykład poprzez poprawę stosowanych przez użytkowników procedur zarządzania i procedur zaradczych w przypadku podatności wpływających na cyberbezpieczeństwo.

(12) Organizacje, wytwórców lub dostawców uczestniczących w projektowaniu i rozwijaniu produktów ICT, usług ICT lub procesów ICT należy zachęcać do stosowania środków na najwcześniejszych etapach projektowania i rozwijania w celu ochrony bezpieczeństwa tych produktów, usług i procesów w możliwie najwyższym stopniu, zakładając wystąpienie cyberataków, przygotowując się na ich skutki i minimalizując je ("uwzględnianie bezpieczeństwa na etapie projektowania"). Bezpieczeństwo powinno być zapewnione w całym cyklu życia produktu ICT, usługi ICT lub procesu ICT poprzez takie procesy projektowania i rozwijania, które nieustannie ewoluują, by ograniczać ryzyko szkody w przypadku ich złośliwego wykorzystywania.

(13) Przedsiębiorstwa, organizacje i sektor publiczny powinny tak konfigurować projektowane przez siebie produkty ICT, usługi ICT i procesy ICT, by zapewniać wyższy poziom bezpieczeństwa, który powinien umożliwić pierwszemu użytkownikowi otrzymanie domyślnej konfiguracji o najwyższym możliwym poziomie ustawień bezpieczeństwa ("bezpieczeństwo domyślne"), zmniejszającej tym samym obciążenie użytkowników w zakresie konieczności odpowiedniej konfiguracji produktu ICT, usługi ICT lub procesu ICT. Bezpieczeństwo domyślne nie powinno wymagać od użytkownika dokonywania zaawansowanej konfiguracji, ani specjalistycznej wiedzy technicznej czy nieintuicyjnego postępowania; powinno działać prosto i poprawnie, tam gdzie zostało wdrożone. Jeżeli, w poszczególnych przypadkach, analiza ryzyka i użyteczności wykaże, że domyślne wprowadzenie tego typu ustawień nie jest możliwe, użytkownikom należy sugerować wybór najbezpieczniejszych ustawień.

(14) Rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 460/2004 6  ustanowiono ENISA, aby przyczynić się do realizacji celów w zakresie zapewnienia wysokiego i efektywnego poziomu bezpieczeństwa sieci i informacji w Unii oraz rozwijania kultury bezpieczeństwa sieci i informacji na rzecz obywateli, konsumentów, przedsiębiorstw oraz administracji publicznej. Rozporządzeniem (WE) nr 1007/2008 Parlamentu Europejskiego i Rady 7  przedłużono mandat ENISA do marca 2012 r. Rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 580/2011 8  dodatkowo przedłużono mandat ENISA do dnia 13 września 2013 r. Rozporządzeniem (UE) nr 526/2013 przedłużono mandat ENISA do dnia 19 czerwca 2020 r.

(15) Unia podjęła już istotne kroki w celu zapewnienia cyberbezpieczeństwa i zwiększenia zaufania do technologii cyfrowych. W roku 2013 przyjęto strategię Unii Europejskiej w zakresie cyberbezpieczeństwa, która wskazuje reakcję polityczną Unii na cyberzagrożenia i ryzyka w cyberprzestrzeni. W ramach starań, aby lepiej chronić obywateli w internecie, w 2016 r. przyjęty został pierwszy akt ustawodawczy Unii w dziedzinie cyberbezpieczeństwa w formie dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 9 .W dyrektywie (UE) 2016/1148 wprowadzono wymogi dotyczące zdolności krajowych w dziedzinie cyberbezpieczeństwa, ustanowiono pierwsze mechanizmy zacieśniania strategicznej i operacyjnej współpracy państw członkowskich oraz wprowadzono obowiązki dotyczące środków bezpieczeństwa i zgłaszania incydentów w istotnych dla gospodarki i społeczeństwa sektorach, takich jak energetyka, transport, zaopatrzenie w wodę pitną i jej dystrybucja, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, infrastruktura cyfrowa, jak też w odniesieniu do dostawców kluczowych usług cyfrowych (wyszukiwarek, usług przetwarzania w chmurze i targu internetowego).

Kluczową rolę we wspieraniu wdrażania tej dyrektywy wyznaczono agencji ENISA. Skuteczna walka z cyberprzestępczością stanowi ponadto jeden z ważnych priorytetów Europejskiej agendy bezpieczeństwa, przyczyniając się tym samym do realizacji ogólnego celu, jakim jest osiągnięcie wysokiego poziomu cyberbezpieczeństwa. Inne akty prawne, takie jak rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 10  i dyrektywy Parlamentu Europejskiego i Rady 2002/58/WE 11  i (UE) 2018/1972 12 , również przyczyniają się do wysokiego poziomu cyberbezpieczeństwa na jednolitym rynku cyfrowym.

(16) Od czasu przyjęcia strategii Unii Europejskiej w zakresie cyberbezpieczeństwa w 2013 r. oraz ostatniej zmiany mandatu ENISA znacznie zmienił się ogólny kontekst polityczny, ponieważ otoczenie globalne stało się bardziej niepewne i mniej bezpieczne. W tych warunkach i w kontekście pozytywnego rozwoju roli ENISA jako punktu odniesienia w zakresie doradztwa i wiedzy fachowej oraz jako podmiotu ułatwiającego współpracę i budowane zdolności, a także w ramach nowej unijnej polityki w zakresie cyberbezpieczeństwa konieczne jest dokonanie przeglądu mandatu ENISA, aby określić jej rolę w zmienionym ekosystemie cyberbezpieczeństwa i zapewnić jej skuteczny wkład w reakcję Unii na wyzwania w dziedzinie cyberbezpieczeństwa wynikające z radykalnie zmienionego profilu cyberzagrożeń, w odniesieniu do którego, jak uznano w ocenie, której poddano ENISA, obecny mandat nie jest wystarczający.

(17) ENISA ustanowiona niniejszym rozporządzeniem powinna być następcą ENISA ustanowionej rozporządzeniem (UE) nr 526/2013. ENISA powinna wykonywać zadania powierzone jej na mocy niniejszego rozporządzenia oraz innych aktów prawnych Unii w dziedzinie cyberbezpieczeństwa poprzez, między innymi, zapewnianie wiedzy fachowej i doradztwa oraz działanie w charakterze unijnego centrum informacji i wiedzy. Powinna ona propagować wymianę najlepszych praktyk pomiędzy państwami członkowskimi i interesariuszami z sektora prywatnego, przedstawiać Komisji i państwom członkowskim sugestie dotyczące polityki, działać jako punkt odniesienia dla unijnych sektorowych inicjatyw odnoszących się do kwestii cyberbezpieczeństwa oraz wspierać współpracę operacyjną zarówno pomiędzy państwami członkowskimi, jak i pomiędzy państwami członkowskimi a instytucjami, organami i jednostkami organizacyjnymi Unii.

(18) W decyzji 2004/97/WE, Euratom przyjętej za wspólnym porozumieniem między przedstawicielami państw członkowskich podczas spotkania na szczeblu szefów państw lub rządów 13  przedstawiciele państw członkowskich zdecydowali, że ENISA będzie miała siedzibę w Grecji, w mieście, które wskaże rząd grecki. Państwo członkowskie przyjmujące ENISA powinno zapewnić możliwie najlepsze warunki dla sprawnego i skutecznego działania ENISA. Właściwa lokalizacja ENISA ma zasadnicze znaczenie dla prawidłowego i skutecznego wykonywania przez ENISA zadań, a także naboru i zatrzymania członków personelu oraz zwiększenia efektywności sieci współpracy, zapewniając między innymi odpowiednie połączenia transportowe i infrastrukturę dla małżonków i dzieci towarzyszących pracownikom ENISA. Umowa pomiędzy ENISA a przyjmującym państwem członkowskim, zawarta po uzyskaniu zgody Zarządu ENISA, powinna zawierać niezbędne uzgodnienia w tym zakresie.

(19) Ze względu na narastające ryzyka w cyberprzestrzeni i wyzwania w zakresie cyberbezpieczeństwa, z jakimi boryka się Unia, należy zwiększyć przydzielone ENISA zasoby finansowe i ludzkie, aby odzwierciedlić jej rozszerzoną rolę i zadania oraz jej kluczową pozycję w ekosystemie organizacji chroniących unijny ekosystem cyfrowy, pozwalając ENISA na skuteczne wykonywanie zadań powierzonych jej w niniejszym rozporządzeniu.

(20) ENISA powinna rozwijać i utrzymywać wysoki poziom wiedzy fachowej oraz pełnić rolę punktu odniesienia służącego budowie zaufania i wiarygodności na jednolitym rynku z racji swojej niezależności, jakości oferowanego doradztwa, jakości rozpowszechnianych informacji, przejrzystości jej procedur, przejrzystości jej metod działania, a także staranności w realizacji swoich zadań. ENISA powinna aktywnie wspierać działania krajowe i powinna proaktywnie włączać się w działania unijne, a jednocześnie wykonywać swoje zadania w pełnej współpracy z instytucjami, organami i jednostkami organizacyjnymi Unii oraz z państwami członkowskimi, unikając powielania działań i propagując synergie. Ponadto ENISA powinna bazować na wkładzie i współpracy ze strony sektora prywatnego, jak również innych odpowiednich interesariuszy. Zakres zadań powinien określać sposób, w jaki ENISA ma osiągnąć swoje cele, pozwalając jej jednocześnie na elastyczne działanie.

(21) Aby móc zapewnić odpowiednie wsparcie na rzecz współpracy operacyjnej pomiędzy państwami członkowskimi, ENISA powinna dodatkowo wzmocnić swoje zdolności techniczne i zdolności w zakresie zasobów ludzkich oraz umiejętności. Agencja powinna zwiększać swoje know-how i zdolności. ENISA i państwa członkowskie mogłyby na zasadzie dobrowolności tworzyć programy oddelegowywania ekspertów krajowych do ENISA, tworzenia baz ekspertów i wymiany członków personelu.

(22) ENISA powinna wspomagać Komisję poprzez doradztwo, opinie i analizy w odniesieniu do wszystkich kwestii unijnych związanych z opracowywaniem, aktualizacjami i przeglądami polityki i prawa w dziedzinie cyberbezpieczeństwa, a także kwestii sektorowych w celu zwiększenia roli unijnych polityk i przepisów dotyczących cyberbezpieczeństwa i umożliwienia spójności we wdrażaniu tych polityk i przepisów na poziomie krajowym. ENISA powinna pełnić rolę punktu odniesienia w zakresie doradztwa i wiedzy fachowej na rzecz unijnych sektorowych inicjatyw w dziedzinie polityki i prawa, dotyczących kwestii związanych z cyberbezpieczeństwem. ENISA powinna regularnie informować Parlament Europejski o swoich działaniach.

(23) Publiczny rdzeń otwartego internetu, a mianowicie jego główne protokoły i infrastruktura będące dobrem publicznym, zapewniają zasadniczą funkcjonalność internetu jako całości i stanowią podstawę jego normalnego funkcjonowania. ENISA powinna wspierać bezpieczeństwo publicznego rdzenia otwartego internetu i stabilność jego funkcjonowania, w tym m.in. kluczowe protokoły (zwłaszcza DNS, BGP i IPv6), funkcjonowanie systemu nazw domen (jak funkcjonowanie wszystkich domen najwyższego poziomu) i funkcjonowanie strefy rdzennej.

(24) Podstawowym zadaniem ENISA jest wspieranie spójnego wprowadzania odpowiednich ram prawnych, a w szczególności skutecznego wdrożenia dyrektywy (UE) 2016/1148 i innych stosownych instrumentów prawnych zawierających aspekty dotyczące cyberbezpieczeństwa, co ma kluczowe znaczenie dla zwiększenia cyberodporności. W obliczu szybko ewoluującego profilu cyberzagrożeń jasne jest, że państwa członkowskie muszą mieć wsparcie w postaci bardziej kompleksowego, przekrojowego pod względem politycznym podejścia do budowania cyberodporności.

(25) ENISA powinna wspierać państwa członkowskie oraz instytucje organy i jednostki organizacyjne Unii w ich staraniach na rzecz budowy i umocnienia zdolności i gotowości do zapobiegania cyberzagrożeniom i incydentom, wykrywania ich i reagowania na nie oraz w odniesieniu do bezpieczeństwa sieci i systemów informatycznych. ENISA powinna w szczególności wspierać rozwój i wzmocnienie krajowych i unijnych zespołów reagowania na incydenty bezpieczeństwa komputerowego (zwanych dalej "zespołami CSIRT") przewidzianych w dyrektywie (UE) 2016/1148 z myślą o osiągnięciu wysokiego wspólnego poziomu ich zaawansowania w Unii. Prowadzone przez ENISA działania związane ze zdolnościami operacyjnymi państw członkowskich powinny aktywnie wspierać działania podejmowane przez państwa członkowskie w celu wypełniania ich obowiązków wynikających z dyrektywy (UE) 2016/1148, a zatem nie powinny takich działań zastępować.

(26) ENISA powinna również pomagać w opracowaniu i aktualizacji strategii w zakresie bezpieczeństwa sieci i systemów informatycznych na poziomie Unii i - na wniosek - na poziomie państw członkowskich, w szczególności w odniesieniu do cyberbezpieczeństwa, oraz powinna propagować upowszechnianie takich strategii i monitorować postępy w ich realizacji. ENISA powinna również przyczyniać się do zaspokajania potrzeb w zakresie szkoleń i materiałów szkoleniowych, w tym potrzeb organów publicznych, oraz, w stosownych przypadkach, zaspokajać w znacznym stopniu potrzeby szkoleniowe instruktorów, w oparciu o ramy kompetencji cyfrowych dla obywateli, mając na celu pomaganie państwom członkowskim oraz instytucjom, organom i jednostkom organizacyjnym Unii w rozwoju ich własnych zdolności szkoleniowych.

(27) ENISA powinna wspierać państwa członkowskie w dziedzinie podnoszenia wiedzy na temat cyberbezpieczeństwa i edukacji w tym zakresie poprzez ułatwianie ściślejszej koordynacji i wymiany najlepszych praktyk pomiędzy państwami członkowskimi. Takie wsparcie mogłoby polegać na rozwoju sieci krajowych punktów kontaktowych ds. edukacji i na rozwoju platformy szkoleniowej w zakresie cyberbezpieczeństwa. Sieć krajowych punktów kontaktowych ds. edukacji mogłaby funkcjonować w ramach Sieci Krajowych Urzędników Łącznikowych i stanowić punkt wyjścia do przyszłej koordynacji działań pomiędzy państwami członkowskimi.

(28) ENISA powinna wspierać grupę współpracy utworzoną dyrektywą (UE) 2016/1148 w wykonywaniu jej zadań, w szczególności poprzez zapewnianie wiedzy fachowej i doradztwa oraz ułatwianie wymiany najlepszych praktyk, między innymi w odniesieniu do identyfikowania przez państwa członkowskie operatorów usług kluczowych, a także w odniesieniu do transgranicznych zależności, pod względem ryzyk i incydentów.

(29) Z myślą o pobudzaniu współpracy pomiędzy sektorem publicznym a prywatnym oraz w ramach sektora prywatnego, szczególnie w celu wspierania ochrony infrastruktury krytycznej, ENISA powinna wspierać wymianę informacji w ramach samych sektorów i pomiędzy sektorami, szczególnie w przypadku sektorów wymienionych w załączniku II do dyrektywy (UE) 2016/1148, poprzez zapewnianie najlepszych praktyk i porad w zakresie dostępnych narzędzi i procedur oraz porad na temat rozwiązywania kwestii regulacyjnych związanych z wymianą informacji, na przykład dzięki ułatwianiu ustanawiania sektorowych ośrodków wymiany i analizy informacji.

(30) Zważywszy na fakt, że stale rośnie potencjalny negatywny wpływ podatności w produktach ICT, usługach ICT i procesach ICT, identyfikowanie i eliminowanie tych podatności odgrywa ważną rolę w zmniejszaniu ogólnego ryzyka w cyberprzestrzeni. Dowiedziono, że współpraca pomiędzy organizacjami, wytwórcami lub dostawcami produktów ICT, usług ICT i procesów ICT, w których mogą występować podatności, a członkami społeczności badawczej w obszarze cyberbezpieczeństwa i rządami identyfikującymi podatności w istotny sposób zwiększa wskaźniki wykrywania i eliminowania podatności produktów ICT, usług ICT i procesów ICT. Skoordynowane ujawnianie podatności oznacza ustrukturyzowany proces współpracy, w ramach którego podatności zgłaszane są właścicielowi systemu informacyjnego, co pozwala organizacji na zdiagnozowanie i wyeliminowanie podatności zanim szczegółowe informacje dotyczące podatności zostaną ujawnione stronom trzecim lub podane do wiadomości publicznej. Proces ten przewiduje również koordynację działań pomiędzy identyfikującym podatności a daną organizacją w zakresie podania do wiadomości publicznej informacji o tych podatnościach. Polityki skoordynowanego ujawniania podatności mogą odgrywać ważną rolę w wysiłkach państw członkowskich na rzecz zwiększania cyberbezpieczeństwa.

(31) ENISA powinna gromadzić i analizować dobrowolnie udostępniane raporty krajowe przekazywane przez zespoły CSIRT i międzyinstytucjonalny zespół reagowania na incydenty komputerowe w instytucjach, organach i agencjach Unii ustanowiony porozumieniem między Parlamentem Europejskim, Radą Europejską, Radą Unii Europejskiej, Komisją Europejską, Trybunałem Sprawiedliwości Unii Europejskiej, Europejskim Bankiem Centralnym, Europejskim Trybunałem Obrachunkowym, Europejską Służbą Działań Zewnętrznych, Europejskim Komitetem Ekonomiczno-Społecznym, Europejskim Komitetem Regionów i Europejskim Bankiem Inwestycyjnym w sprawie organizacji i funkcjonowania zespołu reagowania na incydenty komputerowe w instytucjach, organach i agencjach UE (CERT-UE) 14 , by przyczyniać się do ustanawiania wspólnych procedur, języka i terminologii do celów wymiany informacji. W tym kontekście ENISA powinna angażować sektor prywatny w ramach dyrektywy (UE) 2016/1148, w której określono podstawy dobrowolnej wymiany informacji technicznych na poziomie operacyjnym w ramach utworzonej tą dyrektywą sieci zespołów reagowania na incydenty bezpieczeństwa komputerowego (zwanej dalej "siecią CSIRT").

(32) ENISA powinna wnosić wkład w reagowanie na poziomie Unii w przypadku transgranicznych incydentów i kryzysów na dużą skalę związanych z cyberbezpieczeństwem. Zadanie to powinno być wykonywane zgodnie z mandatem ENISA na podstawie niniejszego rozporządzenia i podejściem uzgodnionym przez państwa członkowskie w kontekście zalecenia Komisji (UE) 2017/1584 15  i konkluzji Rady z dnia 26 czerwca 2018 r. w sprawie skoordynowanego reagowania na szczeblu unijnym na cyberincydenty i cyberkryzysy na dużą skalę. Zadanie to mogłoby obejmować gromadzenie odpowiednich informacji i działanie w charakterze pośrednika ułatwiającego współpracę sieci CSIRT i środowiska technicznego, jak również pomiędzy decydentami odpowiedzialnymi za zarządzanie kryzysowe. ENISA powinna ponadto wspierać współpracę operacyjną pomiędzy państwami członkowskimi, jeżeli zwróci się o to jedno państwo członkowskie lub większa ich liczba - w ramach postępowania - od strony technicznej - w przypadku incydentów, ułatwianie odpowiedniej wymiany rozwiązań technicznych pomiędzy państwami członkowskimi oraz oferowanie wkładu w komunikację społeczną. ENISA powinna wspierać współpracę operacyjną testując ustalenia dotyczące takiej współpracy poprzez przeprowadzanie regularnych ćwiczeń w dziedzinie cyberbezpieczeństwa.

(33) Wspierając współpracę operacyjną, ENISA powinna korzystać z dostępnej technicznej i operacyjnej wiedzy fachowej CERT-UE w ramach współpracy strukturalnej. Taka współpraca strukturalna mogłaby bazować na wiedzy fachowej ENISA. W stosownych przypadkach należy poczynić specjalne ustalenia pomiędzy oboma podmiotami, aby określić sposób praktycznej realizacji takiej współpracy i uniknąć powielania działań.

(34) Wykonując swoje zadania polegające na wspieraniu współpracy operacyjnej w ramach sieci CSIRT ENISA powinna być w stanie zapewniać wsparcie na wniosek państw członkowskich, na przykład oferując doradztwo dotyczące sposobów zwiększenia ich zdolności w zakresie zapobiegania incydentom, ich wykrywania oraz reagowania na nie, ułatwiając techniczne postępowanie w przypadku incydentów mających istotny wpływ lub zapewniając analizę cyberzagrożeń i incydentów. ENISA powinna ułatwiać techniczne postępowanie w przypadku incydentów mających istotny wpływ, szczególnie poprzez wspieranie dobrowolnego dzielenia się rozwiązaniami technicznymi pomiędzy państwami członkowskimi lub opracowywanie zbiorczych informacji technicznych, na przykład na temat rozwiązań technicznych udostępnionych dobrowolnie przez państwa członkowskie. W zaleceniu (UE) 2017/1584 zaleca się, aby państwa członkowskie współpracowały w dobrej wierze i bez zbędnej zwłoki wymieniały pomiędzy sobą i z ENISA informacje o incydentach i kryzysach na dużą skalę związanych z cyberbezpieczeństwem. Takie informacje pomogłyby dodatkowo ENISA w wykonywaniu jej zadań polegających na wspieraniu współpracy operacyjnej.

(35) Jako element regularnej współpracy na poziomie technicznym służącej wzmocnieniu unijnej orientacji sytuacyjnej ENISA, w ścisłej współpracy z państwami członkowskimi, powinna przygotowywać regularny pogłębiony raport techniczny o stanie cyberbezpieczeństwa w UE dotyczący incydentów i cyberzagrożeń, oparty o publicznie dostępne informacje, własną analizę oraz sprawozdania przekazane przez zespoły CSIRT państw członkowskich lub krajowe pojedyncze punkty kontaktowe ds. bezpieczeństwa sieci i systemów informatycznych (zwane dalej "pojedynczymi punktami kontaktowymi") przewidziane w dyrektywie (UE) 2016/1148, w obu przypadkach przekazywane na zasadzie dobrowolności, przez Europejskie Centrum ds. Walki z Cyberprzestępczością (EC3) przy Europolu, CERT-UE oraz - w stosownych przypadkach - Centrum Analiz Wywiadowczych Unii Europejskiej (EU INTCEN) Europejskiej Służby Działań Zewnętrznych. Raport ten należy udostępniać Radzie, Komisji, Wysokiemu Przedstawicielowi Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa oraz sieci CSIRT.

(36) Wsparcie ENISA udzielane - na wniosek zainteresowanych państw członkowskich - w przypadku technicznych postępowań wyjaśniających ex post dotyczących incydentów mających istotny wpływ powinno koncentrować się na zapobieganiu przyszłym incydentom. Zainteresowane państwa członkowskie powinny dostarczyć niezbędnych informacji i pomocy, by umożliwić ENISA skuteczne wsparcie technicznego postępowania wyjaśniającego ex post.

(37) Państwa członkowskie mogą zachęcać przedsiębiorstwa, których dotyczy dany incydent, do współpracy, polegającej na dostarczeniu ENISA niezbędnych informacji i pomocy, bez uszczerbku dla ich prawa do ochrony szczególnie chronionych informacji handlowych oraz informacji istotnych dla bezpieczeństwa publicznego.

(38) Aby lepiej rozumieć wyzwania w dziedzinie cyberbezpieczeństwa i z myślą o zapewnianiu strategicznego długoterminowego doradztwa państwom członkowskim oraz instytucjom, organom i jednostkom organizacyjnym Unii, konieczne jest, aby ENISA analizowała bieżące i pojawiające się ryzyka w cyberprzestrzeni. W tym celu ENISA powinna, we współpracy z państwami członkowskimi oraz - w stosownych przypadkach - z urzędami statystycznymi i innymi podmiotami, gromadzić odpowiednie dostępne publicznie lub dobrowolnie udostępniane informacje, przeprowadzać analizy powstających technologii oraz zapewniać oceny tematyczne dotyczące spodziewanego wpływu społecznego, prawnego, gospodarczego i regulacyjnego wywieranego przez innowacje technologiczne na bezpieczeństwo sieci i informacji, a w szczególności na cyberbezpieczeństwo. ENISA powinna ponadto - poprzez przeprowadzanie analiz cyberzagrożeń, podatności i incydentów - wspierać państwa członkowskie oraz instytucje, organy i jednostki organizacyjne Unii w identyfikowaniu pojawiających się ryzyk w cyberprzestrzeni i zapobieganiu incydentom.

(39) W celu wzmocnienia odporności Unii ENISA powinna rozwinąć wiedzę specjalistyczną w dziedzinie cyberbezpieczeństwa infrastruktur, w szczególności w celu wsparcia sektorów wymienionych w załączniku II do dyrektywy (UE) 2016/1148 oraz infrastruktur wykorzystywanych przez dostawców usług cyfrowych wymienionych w załączniku III do tej dyrektywy, zapewniając doradztwo, wydając wytyczne i wymieniając najlepsze praktyki. Z myślą o zapewnieniu łatwiejszego dostępu do bardziej usystematyzowanych informacji na temat ryzyk w cyberprzestrzeni i ewentualnych środków zaradczych ENISA powinna stworzyć i utrzymywać unijny "węzeł informacyjny" - portal stanowiący punkt kompleksowej obsługi zapewniający ogółowi społeczeństwa informacje na temat cyberbezpieczeństwa pochodzące od unijnych i krajowych instytucji, organów i jednostek organizacyjnych. Łatwiejszy dostęp do lepiej uporządkowanych informacji na temat ryzyk w cyberprzestrzeni i ewentualnych środków zaradczych mógłby również pomóc państwom członkowskim wzmocnić ich zdolności i dostosować ich praktyki, a zatem poprawić ich ogólną odporność na cyberataki.

(40) ENISA powinna działać na rzecz podnoszenia wiedzy ogółu społeczeństwa na temat ryzyk w cyberprzestrzeni - włączając w to ogólnounijną kampanię informacyjną poprzez propagowanie edukacji i zapewniać obywatelom, organizacjom i przedsiębiorstwom porady w zakresie dobrych praktyk dla użytkowników indywidualnych. ENISA powinna również przyczyniać się do propagowania najlepszych praktyk i rozwiązań, w tym w zakresie cyberhigieny i umiejętności cyfrowych, na poziomie i obywateli, organizacji i przedsiębiorstw poprzez gromadzenie i analizowanie publicznie dostępnych informacji dotyczących istotnych incydentów oraz poprzez sporządzanie i publikowanie raportów i porad dla obywateli, organizacji i przedsiębiorstw oraz poprawy ogólnego poziomu ich gotowości i odporności. ENISA powinna również dążyć do zapewnienia konsumentom odpowiednich informacji na temat obowiązujących programów certyfikacji, na przykład poprzez zapewnianie wytycznych i zaleceń. ENISA powinna ponadto organizować, zgodnie z Planem działania w dziedzinie edukacji cyfrowej ustanowionym w komunikacie Komisji z dnia 17 stycznia 2018 r. i we współpracy z państwami członkowskimi oraz instytucjami, organami i jednostkami organizacyjnymi Unii, regularne działania informacyjne i publiczne kampanie edukacyjne skierowane do użytkowników końcowych w celu propagowania bezpieczniejszych zachowań osób w internecie i umiejętności cyfrowych, podnoszenia wiedzy o potencjalnych cyberzagrożeniach, w tym o działalności przestępczej w internecie, takiej jak ataki phishingowe, botnety oraz oszustwa finansowe i bankowe, incydenty fałszerstwa danych, oraz w celu propagowania podstawowego doradztwa w kwestii wielopoziomowego uwierzytelniania, poprawek, szyfrowania, anonimizacji oraz ochrony danych.

(41) ENISA powinna odgrywać centralną rolę w podnoszeniu wiedzy użytkowników końcowych na temat bezpieczeństwa urządzeń i bezpiecznego korzystania z usług oraz powinna propagować uwzględnianie bezpieczeństwa i ochrony prywatności już na etapie projektowania na poziomie Unii. W tym celu ENISA powinna wykorzystać dostępne najlepsze praktyki i doświadczenie, szczególnie najlepsze praktyki i doświadczenie instytucji akademickich i ekspertów w obszarze bezpieczeństwa informatycznego.

(42) W celu wspierania przedsiębiorstw działających w sektorze cyberbezpieczeństwa, jak również użytkowników rozwiązań w zakresie cyberbezpieczeństwa, ENISA powinna stworzyć i utrzymywać "centrum monitorowania rynku" poprzez przeprowadzanie regularnych analiz i upowszechnianie informacji o głównych tendencjach na rynku cyberbezpieczeństwa, zarówno po stronie popytu, jak i podaży.

(43) ENISA powinna przyczyniać się do wysiłków Unii na rzecz współpracy z organizacjami międzynarodowymi oraz w ramach odpowiednich ram współpracy międzynarodowej w dziedzinie cyberbezpieczeństwa. ENISA powinna w szczególności przyczyniać się, w stosownych przypadkach, do współpracy z takimi organizacjami jak OECD, OBWE i NATO. Współpraca taka mogłaby obejmować wspólne ćwiczenia w dziedzinie cyberbezpieczeństwa i wspólną koordynację reagowania na incydenty. Te działania odbywają się przy pełnym poszanowaniu zasad pluralizmu, wzajemności i autonomii decyzyjnej Unii, bez uszczerbku dla szczególnego charakteru polityki bezpieczeństwa i obrony poszczególnych państw członkowskich.

(44) Dla zapewnienia pełnej realizacji jej celów ENISA powinna współpracować z odpowiednimi organami nadzorczymi Unii i z innymi właściwymi organami w Unii, instytucjami, organami i jednostkami organizacyjnymi Unii, w tym z CERT-UE, EC3, Europejską Agencją Obrony (EDA), Europejskim Organem Nadzoru Globalnego Systemu Nawigacji Satelitarnej (Agencją Europejskiego GNSS), Organem Europejskich Regulatorów Łączności Elektronicznej (BEREC), Europejską Agencją ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w przestrzeni wolności, bezpieczeństwa i sprawiedliwości (eu-LISA), Europejskim Bankiem Centralnym (EBC), Europejskim Urzędem Nadzoru Bankowego (EUNB), Europejską Radą Ochrony Danych, Agencją Unii Europejskiej ds. Współpracy Organów Regulacji Energetyki (ACER), Europejską Agencją Bezpieczeństwa Lotniczego (EASA) i każdą inną agencją Unii zaangażowaną w kwestie cyberbezpieczeństwa. ENISA powinna również współpracować z organami zajmującymi się ochroną danych, aby wymieniać know-how i najlepsze praktyki oraz powinna zapewniać doradztwo dotyczące tych kwestii cyberbezpieczeństwa, które mogą mieć wpływ na ich pracę. Przedstawiciele krajowych i unijnych organów ścigania oraz ochrony danych powinni być uprawnieni do udziału w Grupie Doradczej ENISA. Współpracując z organami ścigania w kwestiach z zakresu bezpieczeństwa sieci i informacji, które mogłyby mieć wpływ na ich pracę, ENISA powinna respektować istniejące kanały informacji i ustanowione sieci.

(45) Partnerstwo może być nawiązane z instytucjami akademickimi podejmującymi inicjatywy badawcze w odpowiednich dziedzinach, a także powinny istnieć odpowiednie kanały, dzięki którym informacje będą mogły przekazywać organizacje konsumenckie i inne organizacje, które powinny być uwzględniane.

(46) ENISA, w roli sekretariatu sieci CSIRT, powinna wspierać zespoły CSIRT państw członkowskich i CERT-UE we współpracy operacyjnej w związku ze wszystkimi odpowiednimi zadaniami sieci CSIRT, o których mowa w dyrektywie (UE) 2016/1148. ENISA powinna ponadto propagować i wspierać współpracę pomiędzy odpowiednimi zespołami CSIRT w przypadku incydentów, ataków lub zakłóceń dotyczących sieci lub infrastruktury zarządzanej lub chronionej przez zespoły CSIRT i angażujących lub mających możliwość angażowania co najmniej dwóch zespołów CSIRT, z należytym uwzględnieniem standardowych procedur operacyjnych sieci CSIRT.

(47) W celu zwiększenia gotowości Unii do reagowania na incydenty ENISA powinna organizować regularnie ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie unijnym oraz, na wniosek, wspierać państwa członkowskie oraz instytucje, organy i jednostki organizacyjne Unii przy organizacji takich ćwiczeń. Kompleksowe ćwiczenia na dużą skalę, obejmujące elementy techniczne, operacyjne lub strategiczne, powinny być organizowane raz na dwa lata. Ponadto ENISA powinna móc organizować regularnie ćwiczenia o mniej kompleksowym charakterze z myślą o realizacji tego samego celu, zwiększenia gotowości Unii do reagowania na incydenty.

(48) ENISA powinna dalej rozwijać i utrzymywać swoją wiedzę fachową w dziedzinie certyfikacji cyberbezpieczeństwa w celu wspierania polityki Unii w tej dziedzinie. ENISA powinna korzystać z istniejących najlepszych praktyk i powinna propagować wprowadzenie w Unii certyfikacji cyberbezpieczeństwa, w tym poprzez przyczynianie się do utworzenia i utrzymywania ram certyfikacji cyberbezpieczeństwa na poziomie unijnym (europejskich ram certyfikacji cyberbezpieczeństwa), z myślą o zwiększeniu przejrzystości w zakresie zaufania do cyberbezpieczeństwa produktów ICT, usług ICT i procesów ICT, zwiększając w ten sposób zaufanie do wewnętrznego rynku cyfrowego i jego konkurencyjność.

(49) Skuteczna polityka cyberbezpieczeństwa powinna opierać się na dobrze opracowanych metodach szacowania ryzyka, zarówno w sektorze publicznym, jak i prywatnym. Metody szacowania ryzyka są używane na różnych poziomach, bez wspólnej praktyki dotyczącej sposobu ich skutecznego stosowania. Propagowanie i rozwój najlepszych praktyk w zakresie szacowania ryzyka oraz interoperacyjnych rozwiązań w zakresie zarządzania ryzykiem w organizacjach sektora publicznego i sektora prywatnego zwiększy poziom cyberbezpieczeństwa w Unii. W tym celu ENISA powinna wspierać współpracę pomiędzy interesariuszami na poziomie Unii oraz ułatwiać im tworzenie i wprowadzanie europejskich i międzynarodowych norm dotyczących zarządzania ryzykiem oraz norm dotyczących mierzalnego bezpieczeństwa produktów, systemów, sieci i usług elektronicznych, które wraz z oprogramowaniem współtworzą sieci i systemy informatyczne.

(50) ENISA powinna zachęcać państwa członkowskie, wytwórców lub dostawców produktów ICT, usług ICT lub procesów ICT do podnoszenia ich ogólnych norm bezpieczeństwa, tak aby wszyscy użytkownicy internetu mogli podejmować kroki niezbędne do zapewnienia sobie własnego cyberbezpieczeństwa oraz powinna do tego zachęcać. Wytwórcy i dostawcy produktów ICT, usług ICT lub procesów ICT powinni w szczególności dostarczać wszelkie niezbędne aktualizacje i powinni wzywać do przekazania, wycofywać z obrotu lub przebudowywać produkty ICT, usługi ICT lub procesy ICT niespełniające norm cyberbezpieczeństwa, natomiast importerzy i dystrybutorzy powinni upewnić się, czy produkty ICT, usługi ICT i procesy ICT, które wprowadzają do obrotu w Unii, są zgodne z mającymi zastosowanie wymogami oraz czy nie stanowią ryzyka dla unijnych konsumentów.

(51) We współpracy z właściwymi organami ENISA powinna móc rozpowszechniać informacje dotyczące poziomu cyberbezpieczeństwa produktów ICT, usług ICT i procesów ICT oferowanych na rynku wewnętrznym oraz powinna wydawać ostrzeżenia skierowane do wytwórców i dostawców produktów ICT, usług ICT lub procesów ICT, żądając od nich poprawy bezpieczeństwa ich produktów ICT, usług ICT i procesów ICT, w tym cyberbezpieczeństwa.

(52) ENISA powinna w pełni uwzględniać bieżącą działalność w zakresie badań naukowych, rozwoju i oceny technologii, w szczególności działalność prowadzoną w ramach różnych unijnych inicjatyw badawczych, w celu doradzania instytucjom, organom i jednostkom organizacyjnym Unii, a także - w stosownych przypadkach i na ich wniosek - państwom członkowskim w kwestii potrzeb i priorytetów badawczych w dziedzinie cyberbezpieczeństwa. W celu określenia potrzeb i priorytetów badawczych ENISA powinna również prowadzić konsultacje z odpowiednimi grupami użytkowników. Konkretniej, mogłaby zostać nawiązana współpraca z Europejską Radą ds. Badań Naukowych, Europejskim Instytutem Innowacji i Technologii i z Instytutem Unii Europejskiej Studiów nad Bezpieczeństwem.

(53) W toku przygotowywania europejskich programów certyfikacji cyberbezpieczeństwa ENISA powinna przeprowadzać regularne konsultacje z organizacjami normalizacyjnymi, w szczególności z europejskimi organizacjami normalizacyjnymi.

(54) Cyberzagrożenia mają charakter globalny. Istnieje potrzeba zacieśnienia współpracy międzynarodowej w celu poprawy norm cyberbezpieczeństwa, w tym potrzeba zdefiniowania wspólnych norm zachowania, przyjęcia kodeksu postępowania, stosowania norm międzynarodowych i wymiany informacji, w celu propagowania sprawniejszej współpracy międzynarodowej w odpowiedzi na kwestie bezpieczeństwa sieci i informacji oraz propagowania wspólnego globalnego podejścia do tych kwestii. W tym celu ENISA powinna wspierać dalsze zaangażowanie Unii oraz współpracę z państwami trzecimi i organizacjami międzynarodowymi, udostępniając, w stosownych przypadkach, właściwym instytucjom, organom i jednostkom organizacyjnym Unii niezbędną wiedzę fachową i analizy.

(55) ENISA powinna być w stanie odpowiadać na wnioski ad hoc o doradztwo i pomoc ze strony państw członkowskich oraz instytucji, organów i jednostek organizacyjnych Unii w kwestiach wchodzących w zakres mandatu ENISA.

(56) Uznaje się za rozsądne i zalecane, by wdrożyć określone zasady dotyczące zarządzania ENISA, aby spełnić wymogi Wspólnego oświadczenia i Wspólnego podejścia, które zostały uzgodnione w ramach międzyinstytucjonalnej grupy roboczej ds. agencji zdecentralizowanych UE w lipcu 2012 r., a których celem jest usprawnienie działań agencji zdecentralizowanych i zwiększenie ich skuteczności. Zalecenia zawarte we Wspólnym oświadczeniu i Wspólnym podejściu powinny zostać również uwzględnione, odpowiednio, w programach prac ENISA, ocenach ENISA, a także w sprawozdawczości prowadzonej przez ENISA i jej praktyce administracyjnej.

(57) Zarząd składający się z przedstawicieli państw członkowskich i Komisji powinien ustalić ogólny kierunek działalności ENISA oraz zapewniać, aby wykonywała ona swoje zadania zgodnie z niniejszym rozporządzeniem. Zarząd powinien posiadać uprawnienia niezbędne do uchwalania budżetu, kontroli wykonania budżetu, przyjmowania stosownych przepisów finansowych, ustalania przejrzystych procedur pracy w zakresie podejmowania decyzji przez ENISA, przyjmowania jednolitego dokumentu programowego ENISA, uchwalania jej regulaminu wewnętrznego, powoływania Dyrektora Wykonawczego oraz podejmowania decyzji o przedłużeniu kadencji Dyrektora Wykonawczego lub jej zakończeniu.

(58) Aby ENISA mogła prawidłowo i skutecznie funkcjonować, Komisja i państwa członkowskie powinny zapewnić, aby osoby powoływane na członków Zarządu posiadały odpowiednią zawodową wiedzę fachową i doświadczenie. Komisja i państwa członkowskie powinny również dołożyć starań, aby ograniczyć rotację swoich przedstawicieli w Zarządzie, tak aby zapewnić ciągłość jego pracy.

(59) Sprawne funkcjonowanie ENISA wymaga, aby Dyrektor Wykonawczy był powoływany w oparciu o względy merytoryczne oraz udokumentowane umiejętności administracyjne i zarządcze, a także kompetencje i doświadczenie w zakresie cyberbezpieczeństwa. Obowiązki Dyrektora Wykonawczego powinny być wykonywane w sposób całkowicie niezależny. Dyrektor Wykonawczy powinien opracowywać propozycję rocznego programu prac ENISA, po uprzednim zasięgnięciu opinii Komisji, oraz powinien podejmować wszelkie czynności niezbędne do zapewnienia prawidłowego wykonania tego programu prac. Dyrektor Wykonawczy powinien przygotowywać przedkładane Zarządowi sprawozdanie roczne, obejmujące informacje na temat wykonania rocznego programu prac ENISA, sporządzać projekt preliminarza dochodów i wydatków ENISA oraz wykonywać budżet. Dyrektor Wykonawczy powinien mieć ponadto możliwość ustanawiania grup roboczych ad hoc w celu zajęcia się określonymi kwestiami, w szczególności kwestiami o charakterze naukowym, technicznym, prawnym lub społeczno-gospodarczym. Ustanowienie grupy roboczej ad hoc uznaje się za niezbędne zwłaszcza w przypadku przygotowań dotyczących konkretnej propozycji dotyczącej europejskiego programu certyfikacji cyberbezpieczeństwa (zwanej dalej "propozycją programu"). Dyrektor Wykonawczy powinien zapewnić, aby członkowie grup roboczych ad hoc byli wybierani według najbardziej rygorystycznych kryteriów dotyczących wiedzy fachowej mając na celu zapewnienie równowagi płci i zrównoważonej reprezentacji - w zależności od specyfiki rozpatrywanych kwestii -przedstawicieli administracji publicznej państw członkowskich, instytucji, organów i jednostek organizacyjnych Unii oraz sektora prywatnego, w tym przemysłu, użytkowników oraz ekspertów akademickich w dziedzinie bezpieczeństwa sieci i informacji.

(60) Rada Wykonawcza powinna przyczyniać się do skutecznego funkcjonowania Zarządu. W ramach swoich prac przygotowawczych dotyczących decyzji Zarządu Rada Wykonawcza powinna szczegółowo badać odpowiednie informacje, analizować dostępne warianty oraz oferować doradztwo i rozwiązania w celu przygotowania decyzji Zarządu.

(61) ENISA powinna posiadać organ doradczy w postaci Grupy Doradczej ENISA w celu zapewnienia ciągłego dialogu z sektorem prywatnym, organizacjami konsumenckimi i innymi odpowiednimi interesariuszami. Grupa Doradcza ENISA, ustanowiona przez Zarząd na wniosek Dyrektora Wykonawczego, powinna skupiać się na kwestiach istotnych dla interesariuszy i powinna zwracać na nie uwagę ENISA. Grupa Doradcza ENISA powinna być konsultowana zwłaszcza w odniesieniu do projektu rocznego programu prac ENISA. Skład Grupy Doradczej ENISA oraz powierzone jej zadania powinny zapewniać wystarczającą reprezentację interesariuszy w pracach ENISA.

(62) W celu wsparcia ENISA i Komisji w ułatwianiu konsultacji z odpowiednimi interesariuszami należy ustanowić Grupę Interesariuszy ds. Certyfikacji Cyberbezpieczeństwa. Grupa Interesariuszy ds. Certyfikacji Cyberbezpieczeństwa powinna składać się z członków reprezentujących w zrównoważony sposób przemysł, zarówno po stronie popytu, jak i podaży produktów ICT i usług ICT, w tym szczególnie przedstawicieli MŚP, dostawców usług cyfrowych, europejskich i międzynarodowych organów normalizacyjnych, krajowych jednostek akredytujących, organów nadzorczych ds. ochrony danych i jednostek oceniających zgodność zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 765/2008 16  oraz przedstawicieli środowiska akademickiego, a także organizacji konsumenckich.

(63) ENISA powinna posiadać przepisy dotyczące zapobiegania konfliktom interesów i zarządzania nimi. ENISA powinna również stosować odpowiednie przepisy unijne dotyczące publicznego dostępu do dokumentów zawarte w rozporządzeniu (WE) nr 1049/2001 Parlamentu Europejskiego i Rady 17 . Przetwarzanie danych osobowych przez ENISA powinno podlegać rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2018/1725 18 . ENISA powinna przestrzegać przepisów mających zastosowanie do instytucji, organów i jednostek organizacyjnych Unii oraz przepisów krajowych dotyczących postępowania z informacjami, zwłaszcza ze szczególnie chronionymi informacjami jawnymi i informacjami niejawnymi Unii Europejskiej (EUCI).

(64) W celu zagwarantowania pełnej autonomii i niezależności ENISA oraz umożliwienia jej wykonywania dodatkowych zadań, w tym również nieprzewidzianych zadań w sytuacjach nadzwyczajnych, należy przyznać ENISA wystarczający i niezależny budżet, którego dochody pochodziłyby przede wszystkim z wkładu Unii oraz z wkładów państw trzecich uczestniczących w pracach ENISA. Właściwy budżet ma zasadnicze znaczenie dla zapewnienia ENISA wystarczających zdolności do realizacji swoich wszystkich coraz liczniejszych zadań i do osiągnięcia swoich celów. Większość personelu ENISA powinna pracować bezpośrednio przy operacyjnym wykonywaniu mandatu ENISA. Przyjmujące państwo członkowskie oraz każde inne państwo członkowskie powinno mieć możliwość dobrowolnego wnoszenia wkładu na rzecz budżetu ENISA. Procedura budżetowa Unii powinna nadal mieć zastosowanie do wszelkich dotacji pochodzących z budżetu ogólnego Unii. Ponadto Trybunał Obrachunkowy powinien przeprowadzać kontrolę sprawozdań finansowych ENISA w celu zapewnienia przejrzystości i odpowiedzialności.

(65) Certyfikacja cyberbezpieczeństwa odgrywa ważną rolę, jeżeli chodzi o zwiększanie zaufania do produktów ICT, usług ICT i procesów ICT oraz ich bezpieczeństwa. Jednolity rynek cyfrowy, a w szczególności gospodarka oparta na danych i internet rzeczy, mogą się prawidłowo rozwijać jedynie w atmosferze ogólnego publicznego zaufania, że takie produkty, usługi i procesy zapewniają konkretny poziom cyberbezpieczeństwa. Połączone z siecią i zautomatyzowane pojazdy, elektroniczne wyroby medyczne, systemy sterowania automatyki przemysłowej oraz inteligentne sieci stanowią tylko niektóre przykłady sektorów, w których certyfikacja jest już szeroko stosowana lub najprawdopodobniej będzie stosowana w najbliższej przyszłości. Sektory regulowane dyrektywą (UE) 2016/1148 są również sektorami, w których certyfikacja cyberbezpieczeństwa ma decydujące znaczenie.

(66) W komunikacie z roku 2016 "Wzmacnianie europejskiego systemu odporności cybernetycznej oraz wspieranie konkurencyjnego i innowacyjnego sektora bezpieczeństwa cybernetycznego" Komisja przedstawiła potrzebę wysokojakościowych, dostępnych cenowo i interoperacyjnych produktów i rozwiązań w dziedzinie cyberbezpieczeństwa. Podaż produktów ICT, usług ICT i procesów ICT na jednolitym rynku nadal charakteryzuje się dużym rozdrobnieniem pod względem geograficznym. Jest to spowodowane tym, że branża cyberbezpieczeństwa w Europie rozwijała się głównie w oparciu o krajowe zamówienia rządowe. Do luk mających wpływ na jednolity rynek w dziedzinie cyberbezpieczeństwa należy ponadto między innymi brak interoperacyjnych rozwiązań (norm technicznych), praktyk i ogólnounijnych mechanizmów certyfikacji. Sprawia to, że przedsiębiorstwa europejskie mają trudności w konkurowaniu na poziomie krajowym, unijnym i globalnym. Sytuacja ta ogranicza również wybór opłacalnych i nadających się do użytku technologii z dziedziny cyberbezpieczeństwa, do których mają dostęp jednostki i przedsiębiorstwa. Podobnie w komunikacie z roku 2017 w sprawie śródokresowego przeglądu realizacji strategii jednolitego rynku cyfrowego "Połączony jednolity rynek cyfrowy dla wszystkich" Komisja podkreśliła zapotrzebowanie na bezpieczne podłączone do sieci produkty i systemy oraz wskazała, że ustanowienie europejskich ram bezpieczeństwa ICT określających zasady certyfikacji bezpieczeństwa ICT w Unii mogłoby zarówno podtrzymać zaufanie do internetu, jak i przeciwdziałać obecnemu rozdrobnieniu rynku wewnętrznego.

(67) Obecnie certyfikacja cyberbezpieczeństwa produktów ICT, usług ICT i procesów ICT jest stosowana jedynie w ograniczonym stopniu. Tam, gdzie się ją stosuje, istnieje ona głównie na poziomie państw członkowskich lub w ramach programów inicjowanych przez przemysł. W związku z powyższym certyfikat wydany przez dany krajowy organ ds. certyfikacji cyberbezpieczeństwa nie jest zasadniczo uznawany w innych państwach członkowskich. Przedsiębiorstwa muszą zatem certyfikować swoje produkty ICT, usługi ICT i procesy ICT w poszczególnych państwach członkowskich, w których działają, na przykład z myślą o uczestniczeniu w krajowych postępowaniach o udzielenie zamówień publicznych, co tym samym powoduje zwiększenie kosztów dla tych przedsiębiorstw. Ponadto w sytuacji gdy powstają nowe programy, najwyraźniej brak jest spójnego i całościowego podejścia do horyzontalnych kwestii cyberbezpieczeństwa, na przykład w dziedzinie internetu rzeczy. Istniejące programy mają istotne niedociągnięcia i różnią się pod względem zakresu objętych nimi produktów, poziomów uzasadnienia zaufania, kryteriów merytorycznych i faktycznego stosowania, utrudniając działanie mechanizmów wzajemnego uznawania w Unii.

(68) Poczyniono pewne starania w celu zapewnienia wzajemnego uznawania certyfikatów w Unii. Działania te były jednak tylko częściowo skuteczne. Najważniejszym przykładem w tym zakresie jest Umowa o wzajemnym uznawaniu przyjęta przez Grupę Wyższych Urzędników ds. Bezpieczeństwa Systemów Informatycznych (SOG-IS). Mimo że stanowi ona najważniejszy wzór współpracy i wzajemnego uznawania w dziedzinie certyfikacji bezpieczeństwa, do SOG-IS należą jedynie niektóre państwa członkowskie. Ogranicza to skuteczność przyjętej przez SOG-IS umowy o wzajemnym uznawaniu z punktu widzenia rynku wewnętrznego.

(69) Konieczne jest zatem przyjęcie wspólnego podejścia i ustanowienie europejskich ram certyfikacji cyberbezpieczeństwa, określających główne wymogi horyzontalne dotyczące europejskich programów certyfikacji cyberbezpieczeństwa, które mają zostać opracowane, oraz umożliwiających uznawanie i posługiwanie się we wszystkich państwach członkowskich europejskimi certyfikatami cyberbezpieczeństwa i unijnymi deklaracjami zgodności odnoszącymi się do produktów ICT, usług ICT lub procesów ICT. Należy przy tym wykorzystać istniejące programy krajowe i międzynarodowe, a także systemy wzajemnego uznawania, w szczególności SOG-IS, oraz umożliwić płynne przejście od programów istniejących w obecnych ramach do programów podlegających nowym europejskim ramom certyfikacji cyberbezpieczeństwa. Te europejskie ramy certyfikacji cyberbezpieczeństwa powinny mieć dwojaki cel. Po pierwsze powinny one pomóc w zwiększeniu zaufania do produktów ICT, usług ICT i procesów ICT, które uzyskały certyfikację na podstawie europejskich programów certyfikacji cyberbezpieczeństwa. Po drugie powinny one pomagać uniknąć mnożenia się sprzecznych lub nakładających się wzajemnie krajowych programów certyfikacji cyberbezpieczeństwa i ograniczać dzięki temu koszty ponoszone przez przedsiębiorstwa działające na jednolitym rynku cyfrowym. Europejskie programy certyfikacji cyberbezpieczeństwa powinny mieć charakter niedyskryminujący i opierać się na normach europejskich lub międzynarodowych, o ile normy te nie są nieskuteczne lub nieodpowiednie do realizacji uzasadnionych celów Unii w tym zakresie.

(70) Europejskie ramy certyfikacji cyberbezpieczeństwa należy ustanowić w sposób ujednolicony we wszystkich państwach członkowskich, aby zapobiec praktykom poszukiwania krajów, w których najłatwiej uzyskać certyfikat, z uwagi na różnice w poziomach wymagań w różnych państwach członkowskich.

(71) Europejskie programy certyfikacji cyberbezpieczeństwa powinny opierać się o istniejące już na poziomie międzynarodowym i krajowym elementy oraz, w razie potrzeby, na specyfikacjach technicznych tworzonych przez fora i konsorcja, z uwzględnieniem wniosków w zakresie istniejących mocnych stron oraz oceniając i korygując słabości.

(72) Elastyczne rozwiązania w zakresie cyberbezpieczeństwa są konieczne, aby przemysł był w stanie przewidywać cyberzagrożenia, dlatego też każdy program certyfikacji powinien być tworzony w taki sposób, aby unikać ryzyka jego szybkiej dezaktualizacji.

(73) Komisja powinna być uprawniona do przyjmowania europejskich programów certyfikacji cyberbezpieczeństwa dla określonych grup produktów ICT, usług ICT i procesów ICT. Programy te powinny być wprowadzane i nadzorowane przez krajowe organy ds. certyfikacji cyberbezpieczeństwa, a certyfikaty wydawane w ramach tych programów powinny być ważne i uznawane w całej Unii. Programy certyfikacji prowadzone przez przemysł lub inne organizacje prywatne nie powinny być objęte zakresem stosowania niniejszego rozporządzenia. Organy zarządzające takimi programami powinny jednak mieć możliwość wystąpienia do Komisji z wnioskiem o rozważenie zatwierdzenie takich programów jako europejskiego programu certyfikacji cyberbezpieczeństwa.

(74) Przepisy niniejszego rozporządzenia powinny pozostawać bez uszczerbku dla prawa Unii ustanawiającego szczegółowe zasady certyfikacji produktów ICT, usług ICT i procesów ICT. W szczególności w rozporządzeniu (UE) 2016/679 wprowadzono przepisy dotyczące ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych mających świadczyć o zgodności operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające z tym rozporządzeniem. Takie mechanizmy certyfikacji oraz znaki jakości i oznaczenia w zakresie ochrony danych powinny umożliwiać osobom, których dane dotyczą, szybką ocenę poziomu ochrony danych zapewnianego przez odnośne produkty ICT, usługi ICT i procesy ICT. Niniejsze rozporządzenie pozostaje bez uszczerbku dla certyfikacji operacji przetwarzania danych zgodnie z rozporządzeniem (UE) 2016/679, także wówczas, gdy takie operacje są elementami produktów ICT, usług ICT i procesów ICT.

(75) Celem europejskich programów certyfikacji cyberbezpieczeństwa powinno być zapewnienie, by produkty ICT, usługi ICT i procesy ICT certyfikowane zgodnie z takimi programami spełniały określone wymogi w celu ochrony dostępności, autentyczności, integralności i poufności przechowywanych, przekazywanych lub przetwarzanych danych lub powiązanych funkcji bądź usług oferowanych lub dostępnych za pośrednictwem tych produktów, usług i procesów w trakcie ich całego cyklu życia. Nie jest możliwe szczegółowe określenie wymogów cyberbezpieczeństwa odnoszących się do wszystkich produktów ICT, usług ICT i procesów ICT w niniejszym rozporządzeniu. Produkty ICT, usługi ICT i procesy ICT oraz potrzeby w zakresie cyberbezpieczeństwa powiązane z tymi produktami, usługami i procesami są tak zróżnicowane, że opracowanie ogólnych wymogów cyberbezpieczeństwa obowiązujących dla wszystkich przypadków jest bardzo trudne. Konieczne jest zatem przyjęcie szerokiego i ogólnego pojęcia cyberbezpieczeństwa do celów certyfikacji, który powinien zostać uzupełniony zestawem szczegółowych celów cyberbezpieczeństwa, uwzględnianych przy projektowaniu europejskich programów certyfikacji cyberbezpieczeństwa. Metody osiągania tych celów w przypadku określonych produktów ICT, usług ICT i procesów ICT należy następnie doprecyzować na poziomie poszczególnych programów certyfikacji przyjmowanych przez Komisję, na przykład poprzez odesłanie do norm lub specyfikacji technicznych, w przypadku gdy nie istnieją odpowiednie normy.

(76) Specyfikacje techniczne wykorzystywane w europejskich programach certyfikacji cyberbezpieczeństwa powinny respektować wymogi ustanowione w załączniku II do rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1025/2012 19 . W należycie uzasadnionych przypadkach pewne odstępstwa od tych wymogów mogą jednak zostać uznane za konieczne, w przypadku gdy te specyfikacje techniczne mają zostać wykorzystane w europejskim programie certyfikacji cyberbezpieczeństwa o poziomie uzasadnienia zaufania "wysoki". Uzasadnienie takich odstępstw powinno być podane od wiadomości publicznej.

(77) Ocena zgodności to procedura, w której ocenia się, czy zostały spełnione konkretne wymogi dotyczące produktu ICT, usługi ICT lub procesu ICT. Procedurę tę przeprowadza niezależna strona trzecia, która nie jest wytwórcą ani dostawcą poddawanych ocenie produktów ICT, usług ICT lub procesów ICT. Europejski certyfikat cyberbezpieczeństwa powinien być wydany po tym, jak produkt ICT, usługa ICT lub proces ICT przejdzie pomyślną ocenę. Europejski certyfikat cyberbezpieczeństwa należy uznać za potwierdzenie, że dana ocena została przeprowadzona prawidłowo. W zależności od poziomu uzasadnienia zaufania europejski program certyfikacji cyberbezpieczeństwa powinien określać, czy europejski certyfikat cyberbezpieczeństwa wydaje podmiot prywatny czy publiczny. Ocena zgodności i certyfikacja same w sobie nie stanowią gwarancji cyberbezpieczeństwa certyfikowanych produkty ICT, usług ICT i procesów ICT. Stanowią one raczej procedury i metodykę techniczną w celu potwierdzenia, że produkty ICT, usługi ICT i procesy ICT zostały przetestowane i że spełniają one określone wymogi cyberbezpieczeństwa ustanowione gdzie indziej, na przykład w normach technicznych.

(78) Dokonywany przez użytkowników europejskich certyfikatów cyberbezpieczeństwa wybór odpowiedniej certyfikacji i powiązanych wymogów bezpieczeństwa powinien być oparty na analizie ryzyk związanych ze stosowaniem danego produktu ICT, usługi ICT lub procesu ICT. Poziom uzasadnienia zaufania powinien zatem być proporcjonalny do poziomu ryzyka związanego z przewidzianym stosowaniem produktu ICT, usługi ICT lub procesu ICT.

(79) Europejskie programy certyfikacji cyberbezpieczeństwa mogą przewidywać, że ocenę zgodności przeprowadza się na wyłączną odpowiedzialność wytwórcy lub dostawcy produktów ICT, usług ICT lub procesów ICT (zwaną dalej "oceną zgodności przez stronę pierwszą"). W takich przypadkach powinno wystarczyć, by wytwórca lub dostawca produktów ICT, usług ICT lub procesów ICT przeprowadził we własnym zakresie wszystkie kontrole w celu zapewnienia że produkty ICT, usługi ICT lub procesy ICT są zgodne z europejskim programem certyfikacji cyberbezpieczeństwa. Ocena zgodności przez stronę pierwszą powinna być uznawana za odpowiednią dla produktów ICT, usług ICT lub procesów ICT o niewielkiej złożoności, które stwarzają niewielkie ryzyko dla użytkowników, jak np. proste projekty i mechanizmy produkcji. Ponadto ocena zgodności przez stronę pierwszą powinna być dozwolona w odniesieniu do produktów ICT, usług ICT lub procesów ICT, wyłącznie w przypadku gdy odpowiadają one poziomowi uzasadnienia zaufania "podstawowy".

(80) Europejskie programy certyfikacji cyberbezpieczeństwa mogłyby zezwalać zarówno na ocenę zgodności przez stronę pierwszą, jak i certyfikację produktów ICT, usług ICT lub procesów ICT. W takim przypadku program powinien przewidywać jasne i zrozumiałe dla konsumentów lub innych użytkowników środki rozróżniania pomiędzy produktami ICT, usługami ICT lub procesami ICT, w odniesieniu do których wytwórca lub dostawca produktów ICT, usług ICT lub procesów ICT ponosi odpowiedzialność za ocenę, a produktami ICT, usługami ICT lub procesami ICT, które certyfikuje strona trzecia.

(81) Wytwórca lub dostawca produktów ICT, usług ICT lub procesów ICT, który przeprowadza ocenę zgodności przez stronę pierwszą powinien móc wydać i podpisać unijną deklarację zgodności jako element procedury oceny zgodności. Unijna deklaracja zgodności to dokument, w którym stwierdza się, że określony produkt ICT, usługa ICT lub proces ICT są zgodne z wymogami europejskiego programu certyfikacji cyberbezpieczeństwa. Wydając i podpisując unijną deklarację zgodności, wytwórca lub dostawca produktów ICT, usług ICT lub procesów ICT przyjmują odpowiedzialność za zgodność produktu ICT, usługi ICT lub procesu ICT z prawnymi wymogami europejskiego programu certyfikacji cyberbezpieczeństwa. Kopia unijnej deklaracji zgodności powinna być przedkładana krajowemu organowi ds. certyfikacji cyberbezpieczeństwa i ENISA.

(82) Wytwórcy lub dostawcy produktów ICT, usług ICT lub procesów ICT powinni - przez okres przewidziany w odpowiednim europejskim programie certyfikacji cyberbezpieczeństwa - udostępniać właściwemu krajowemu organowi ds. certyfikacji cyberbezpieczeństwa unijną deklarację zgodności, dokumentację techniczną oraz wszelkie inne istotne informacje związane ze zgodnością produktów ICT, usług ICT lub procesów ICT z europejskim programem certyfikacji cyberbezpieczeństwa. Dokumentacja techniczna powinna określać wymogi mające zastosowanie w ramach programu i powinna ona obejmować - w stopniu, w jakim ma to znaczenie dla oceny zgodności przez stronę pierwszą - projekt, wytwarzanie i działanie produktu ICT, usługi ICT lub procesu ICT. Dokumentacja techniczna powinna być opracowana tak, by umożliwiała ocenę tego, czy produkt ICT lub usługa ICT są zgodne z wymogami mającymi zastosowanie w ramach tego programu.

(83) W zarządzaniu europejskimi ramami certyfikacji cyberbezpieczeństwa uwzględnia się udział państw członkowskich, a także odpowiedni udział interesariuszy oraz określa się rolę Komisji w trakcie planowania, proponowania, przedkładania wniosków, przygotowywania, przyjmowania i przeglądu europejskich programów certyfikacji cyberbezpieczeństwa.

(84) Komisja powinna przygotować - przy wsparciu Europejskiej Grupy ds. Certyfikacji Cyberbezpieczeństwa (ECCG) i Grupy Interesariuszy ds. Certyfikacji Cyberbezpieczeństwa i po przeprowadzeniu otwartych i szeroko zakrojonych konsultacji - unijny kroczący program prac na rzecz europejskich programów certyfikacji cyberbezpieczeństwa i powinna opublikować go w formie niewiążącego instrumentu. Unijny kroczący program prac powinien być dokumentem strategicznym pozwalającym przemysłowi, organom krajowym i organom normalizacyjnym na, w szczególności, przygotowanie się z wyprzedzeniem do przyszłych europejskich programów certyfikacji cyberbezpieczeństwa. Unijny kroczący program prac powinien zawierać wieloletnie zestawienie wniosków dotyczących propozycji programów, które Komisja zamierza przedłożyć ENISA w celu przygotowania na podstawie określonych przesłanek. Komisja powinna uwzględnić ten unijny kroczący program prac, przygotowując swój kroczący plan działań na rzecz normalizacji ICT oraz wnioski dotyczące normalizacji kierowane do europejskich organizacji normalizacyjnych. Z uwagi na szybkie wprowadzanie i rozpowszechnianie nowych technologii, pojawianie się nieznanych wcześniej ryzyk w cyberprzestrzeni oraz zmiany w otoczeniu prawnym lub rynkowym Komisja lub ECCG powinny być uprawnione do zwracania się do ENISA o przygotowanie propozycji programów, które nie zostały ujęte w unijnym kroczącym programie prac. W takich przypadkach Komisja i ECCG powinny również ocenić konieczność takiego wniosku, uwzględniając ogólne cele niniejszego rozporządzenia i potrzebę zapewnienia ciągłość w zakresie planów ENISA i wykorzystania zasobów.

Po otrzymaniu takiego wniosku ENISA powinna przygotowywać, bez zbędnej zwłoki, propozycję programu dla określonych produktów ICT, usług ICT lub procesów ICT. Komisja powinna ocenić pozytywne i negatywne skutki swojego wniosku dla danego rynku, szczególnie skutki dla MŚP, dla innowacji, dla barier wejścia na ten rynek i dla kosztów dla użytkowników końcowych. Komisja, w oparciu o propozycję programu przygotowaną przez ENISA, powinna być uprawniona do przyjęcia w drodze aktów wykonawczych europejskiego programu certyfikacji cyberbezpieczeństwa. Ze względu na cel ogólny oraz cele bezpieczeństwa określone w niniejszym rozporządzeniu europejskie programy certyfikacji cyberbezpieczeństwa przyjęte przez Komisję powinny zawierać minimalny zbiór elementów dotyczących przedmiotu, zakresu i funkcjonowania poszczególnych programów. Elementy te to, między innymi, zakres i przedmiot certyfikacji cyberbezpieczeństwa, w tym kategorie objętych nią produktów ICT, usług ICT i procesów ICT, dokładne wyszczególnienie wymogów cyberbezpieczeństwa, na przykład poprzez odesłanie do norm lub specyfikacji technicznych, szczegółowe kryteria oceny i metody oceny, jak również docelowy poziom uzasadnienia zaufania ("podstawowy", "istotny" lub "wysoki"), a w stosownych przypadkach poziomy oceny. ENISA powinna móc odrzucić wniosek złożony przez ECCG. Takie decyzje powinien podejmować Zarząd; powinny one być należycie uzasadnione.

(85) ENISA powinna prowadzić stronę internetową zawierającą informacje na temat europejskich programów certyfikacji cyberbezpieczeństwa i popularyzującą te programy, która powinna między innymi zawierać wnioski o przygotowanie propozycji programu oraz informacje zwrotne otrzymane w wyniku konsultacji przeprowadzonych przez ENISA w fazie przygotowawczej. Strona ta powinna również zawierać informacje na temat europejskich certyfikatów cyberbezpieczeństwa i unijnych deklaracji zgodności wydanych na mocy niniejszego rozporządzenia, w tym informacje dotyczące cofnięcia i wygaśnięcia takich europejskich certyfikatów cyberbezpieczeństwa i unijnych deklaracji zgodności. Strona internetowa powinna również podawać informacje o krajowych programach certyfikacji cyberbezpieczeństwa, które zostały zastąpione europejskim programem certyfikacji cyberbezpieczeństwa.

(86) Poziom uzasadnienia zaufania europejskiego programu certyfikacji stanowi podstawę dla pewności, że produkt ICT, usługa ICT lub proces ICT spełniają wymogi bezpieczeństwa danego europejskiego programu certyfikacji cyberbezpieczeństwa. By zapewnić spójność europejskich ram certyfikacji cyberbezpieczeństwa, poszczególne europejskie programy certyfikacji cyberbezpieczeństwa powinny móc wskazywać poziomy uzasadnienia zaufania dla wydawanych na ich podstawie europejskich certyfikatów cyberbezpieczeństwa i unijnych deklaracji zgodności. Każdy europejski certyfikat cyberbezpieczeństwa mógłby wskazywać jeden z poziomów uzasadnienia zaufania: "podstawowy", "istotny" lub "wysoki", natomiast unijne deklaracje zgodności mogłoby jedynie wskazywać poziom uzasadnienia zaufania "podstawowy". Poziomy uzasadnienia zaufania zapewniałyby odpowiadającą im rygorystyczność i wnikliwość oceny produktu ICT, usługi ICT lub procesu ICT oraz byłyby określane przez odesłanie do powiązanych z nimi specyfikacji technicznych, norm i procedur, w tym kontroli technicznych, których celem jest zapobieganie incydentom lub łagodzenie ich skutków. Poszczególne poziomy uzasadnienia zaufania powinny być jednolite w różnych sektorach, w których stosuje się certyfikację.

(87) Europejski program certyfikacji cyberbezpieczeństwa może przewidywać kilka poziomów oceny w zależności od tego, jak rygorystyczna i wnikliwa jest zastosowana metodyka oceny. Poziomy oceny powinny odpowiadać poziomom uzasadnienia zaufania i być powiązane z odpowiednim zestawem komponentów uzasadnienia zaufania. Dla wszystkich poziomów uzasadnienia zaufania, produkt ICT, usługa ICT lub proces ICT powinny zawierać określone funkcje zabezpieczeń określone przez dany program, które mogą obejmować: ustawienia fabryczne w konfiguracji bezpieczeństwa, podpisany kod, mechanizmy bezpiecznej aktualizacji i chroniące przed programami wykorzystującymi błędy w oprogramowaniu (exploit), pełna ochrona pamięci stosu (stack) lub sterty (heap). Funkcje te powinny zostać zaprogramowane i być utrzymywane przy wykorzystaniu metod rozwoju zorientowanych na bezpieczeństwo i odpowiednich narzędzi w celu zapewnienia, aby skuteczne mechanizmy w odniesieniu do oprogramowania, jak i sprzętu zostały wdrożone w sposób niezawodny.

(88) W przypadku poziomu uzasadnienia zaufania "podstawowy" ocena powinna być dokonywana na podstawie przynajmniej następujących komponentów uzasadnienia zaufania: ocena powinna obejmować przynajmniej przegląd dokumentacji technicznej produktu ICT, usługi ICT lub procesu ICT, przeprowadzany przez jednostkę oceniającą zgodność. W przypadku gdy certyfikacja obejmuje procesy ICT, przeglądowi technicznemu powinny również podlegać procesy wykorzystywane na etapie projektowania, tworzenia i utrzymania produktu ICT lub usługi ICT. Jeśli europejski program certyfikacji cyberbezpieczeństwa przewiduje ocenę zgodności przez stronę pierwszą, wystarczy, że wytwórca lub dostawca produktu ICT, usługi ICT lub procesu ICT przeprowadzili ocenę zgodności przez stronę pierwszą dotyczącą zgodności produktu ICT, usługi ICT lub procesu ICT z danym programem certyfikacji.

(89) W przypadku poziomu uzasadnienia zaufania "istotny" ocena - oprócz wymogów dotyczących poziomu uzasadnienia zaufania "podstawowy" - powinna obejmować przynajmniej weryfikację zgodności funkcjonalności bezpieczeństwa produktu ICT, usługi ICT lub procesu ICT z ich dokumentacją techniczną.

(90) W przypadku poziomu uzasadnienia zaufania "wysoki" ocena - oprócz wymogów dotyczących poziomu uzasadnienia zaufania "istotny" - powinna obejmować przynajmniej testy skuteczności, w których ocenia się odporność funkcjonalności bezpieczeństwa produktu ICT, usługi ICT lub procesu ICT na zaawansowane cyberataki dokonywane przez osoby o wysokich umiejętnościach i dysponujące znacznymi zasobami.

(91) Korzystanie z europejskiej certyfikacji cyberbezpieczeństwa i unijnych deklaracji zgodności powinno pozostać dobrowolne, chyba że prawo Unii lub prawo państwa członkowskiego przyjęte zgodnie z prawem Unii stanowią inaczej. W przypadku braku zharmonizowanego prawa Unii państwa członkowskie mogą zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2015/1535 20  przyjąć krajowe przepisy techniczne przewidujące obowiązkową certyfikację w ramach europejskiego programu certyfikacji cyberbezpieczeństwa. Państwa członkowskie korzystają również z europejskiej certyfikacji cyberbezpieczeństwa w kontekście zamówień publicznych oraz dyrektywy Dyrektywa Parlamentu Europejskiego i Rady 2014/24/UE 21 .

(92) W niektórych obszarach, by zwiększyć poziom cyberbezpieczeństwa w Unii, może być w przyszłości konieczne - w odniesieniu do określonych produktów ICT, usług ICT procesów ICT- nałożenie określonych wymogów cyberbezpieczeństwa i uczynienie ich certyfikacji obowiązkową. Komisja powinna monitorować na bieżąco wpływ przyjętych europejskich programów certyfikacji cyberbezpieczeństwa na dostępność bezpiecznych produktów ICT, usług ICT lub procesów ICT na rynku wewnętrznym oraz powinna na bieżąco oceniać skalę wykorzystania programów certyfikacji przez wytwórców lub dostawców produktów ICT, usług ICT lub procesów ICT w Unii. Skuteczność europejskich programów certyfikacji cyberbezpieczeństwa i decyzja o uczynieniu określonych programów obowiązkowymi powinny być rozważane w świetle przepisów Unii dotyczących cyberbezpieczeństwa, w szczególności dyrektywy (UE) 2016/1148, z uwzględnieniem bezpieczeństwa sieci i systemów informacyjnych wykorzystywanych przez operatorów usług kluczowych.

(93) Europejskie certyfikaty cyberbezpieczeństwa i unijne deklaracje zgodności powinny pomóc użytkownikom końcowym w dokonywaniu świadomego wyboru. Dlatego też produktom ICT, usługom ICT i procesom ICT, które uzyskały certyfikację lub w przypadku których wydana została unijne deklaracja zgodności, powinny towarzyszyć ustrukturyzowane informacje dostosowane do zakładanego poziomu wiedzy technicznej przewidywanych użytkowników końcowych. Wszystkie takie informacje powinny być dostępne online, a w stosownych przypadkach - w postaci fizycznej. Użytkownik końcowy powinien mieć dostęp do informacji dotyczących numeru referencyjnego programu certyfikacji, poziomu uzasadnienia zaufania, opisu ryzyk w cyberprzestrzeni powiązanych z produktem ICT, usługą ICT lub procesem ICT oraz organu lub podmiotu wydającego lub powinien mieć możliwość uzyskania kopii europejskiego certyfikatu cyberbezpieczeństwa. Ponadto użytkownik końcowy powinien zostać poinformowany o polityce wytwórcy lub dostawcy produktów ICT, usług ICT lub procesów ICT dotyczącej zapewniania wsparcia z zakresu cyberbezpieczeństwa, a mianowicie o tym, jak długo użytkownik końcowy może liczyć na otrzymywanie aktualizacji lub łat w zakresie cyberbezpieczeństwa. W stosownych przypadkach należy zapewnić: porady w zakresie działań lub ustawień, które użytkownik końcowy może zastosować, by utrzymać lub zwiększyć poziom cyberbezpieczeństwa produktu ICT lub usługi ICT oraz dane kontaktowe pojedynczego punktu kontaktowego, do którego można zgłaszać przypadki cyberataków i otrzymywać od niego wsparcie (oprócz automatycznego zgłaszania). Informacje te powinny być regularnie aktualizowane i udostępnione na stronie internetowej zawierającej informacje na temat europejskich programów certyfikacji cyberbezpieczeństwa.

(94) Z myślą o osiągnięciu celów niniejszego rozporządzenia i uniknięciu rozdrobnienia rynku wewnętrznego krajowe programy lub procedury certyfikacji cyberbezpieczeństwa dotyczące produktów ICT, usług ICT lub procesów ICT objętych europejskim programem certyfikacji cyberbezpieczeństwa powinny utracić skuteczność z dniem ustalonym przez Komisję w drodze aktów wykonawczych. Państwa członkowskie nie powinny ponadto wprowadzać nowych krajowych programów certyfikacji cyberbezpieczeństwa dotyczących produktów ICT, usług ICT lub procesów ICT objętych już istniejącym europejskim programem certyfikacji cyberbezpieczeństwa. Niemniej państwa członkowskie powinny mieć możliwość przyjmowania lub utrzymywania krajowych programów certyfikacji cyberbezpieczeństwa do celów bezpieczeństwa narodowego. Państwa członkowskie powinny informować Komisję oraz ECCG o wszelkich zamiarach dotyczących ustanowienia nowych krajowych programów certyfikacji cyberbezpieczeństwa. Komisja i ECCG powinny ocenić wpływ nowych krajowych programów certyfikacji cyberbezpieczeństwa na prawidłowe funkcjonowanie rynku wewnętrznego, mając na uwadze interes strategiczny, by zamiast krajowego programu certyfikacji wnioskować o wprowadzenie europejskiego programu certyfikacji cyberbezpieczeństwa.

(95) Celem europejskich programów certyfikacji cyberbezpieczeństwa jest pomoc w harmonizacji praktyk w zakresie cyberbezpieczeństwa w Unii. Konieczne jest, aby przyczyniały się one do zwiększenia poziomu cyberbezpieczeństwa w Unii. Przy opracowywaniu europejskich programów cyberbezpieczeństwa należy uwzględnić i umożliwić rozwój innowacji w dziedzinie cyberbezpieczeństwa.

(96) Europejskie programy certyfikacji cyberbezpieczeństwa powinny uwzględniać aktualne metody rozwoju oprogramowania i sprzętu, a w szczególności wpływ częstych aktualizacji oprogramowania lub oprogramowania układowego na poszczególne europejskie certyfikaty cyberbezpieczeństwa. Europejskie programy certyfikacji cyberbezpieczeństwa powinny określać warunki, w przypadku których aktualizacja może powodować potrzebę ponownej certyfikacji produktu ICT, usługi ICT lub procesu ICT lub potrzebę ograniczenia zakresu danego europejskiego certyfikatu cyberbezpieczeństwa, uwzględniając wszelkie ewentualne negatywne skutki aktualizacji dla zgodności z wymogami bezpieczeństwa tego certyfikatu.

(97) Po przyjęciu europejskiego programu certyfikacji cyberbezpieczeństwa wytwórcy lub dostawcy produktów ICT, usług ICT lub procesów ICT powinni móc składać wnioski o certyfikację swoich produktów ICT lub usług ICT do wybranej jednostki oceniającej zgodność na terytorium całej Unii. Jednostki oceniające zgodność powinny być akredytowane przez krajową jednostkę akredytującą, jeśli spełniają określone szczegółowe wymogi ustanowione w niniejszym rozporządzeniu. Akredytacji powinno się udzielać na maksymalny okres pięciu lat; powinna być ona odnawialna na tych samych warunkach, o ile jednostka oceniająca zgodność nadal spełnia wymogi. Krajowe jednostki akredytujące powinny ograniczyć, zawiesić lub cofnąć akredytację danej jednostki oceniającej zgodność, jeżeli warunki akredytacji nie są lub przestały być spełniane, lub też w przypadku gdy jednostka oceniająca zgodność narusza niniejsze rozporządzenie.

(98) Obecność w przepisach krajowych odesłań do norm krajowych, które przestały być skuteczne ze względu na wejście w życie europejskiego programu certyfikacji cyberbezpieczeństwa, może powodować dezorientację. Dlatego też państwa członkowskie powinny uwzględnić przyjęcie danego europejskiego programu certyfikacji cyberbezpieczeństwa w swoich przepisach krajowych.

(99) W celu wypracowania równoważnych norm w całej Unii, ułatwienia wzajemnego uznawania i propagowania powszechnej akceptacji europejskich certyfikatów cyberbezpieczeństwa i unijnych deklaracji zgodności konieczne jest ustanowienie systemu wzajemnego przeglądu pomiędzy krajowymi organami ds. certyfikacji cyberbezpieczeństwa. Wzajemny przegląd powinien obejmować procedury nadzoru w odniesieniu do zgodności produktów ICT, usług ICT i procesów ICT z europejskimi certyfikatami cyberbezpieczeństwa, procedury monitorowania przestrzegania obowiązków przez wytwórców lub dostawców produktów ICT, usług ICT i procesów ICT, którzy dokonują oceny zgodności przez stronę pierwszą, procedury monitorowania jednostek oceniających zgodność, a także adekwatność wiedzy fachowej personelu organów wydających certyfikaty o poziomie uzasadnienia zaufania "wysoki". Komisja powinna mieć możliwość ustanowienia, w drodze aktów wykonawczych, planu wzajemnego przeglądu obejmującego co najmniej 5 lat, jak również określenia kryteriów i metod funkcjonowania systemu wzajemnego przeglądu.

(100) Bez uszczerbku dla ogólnego systemu wzajemnego przeglądu, który ma zostać wprowadzony dla wszystkich krajowych organów ds. certyfikacji cyberbezpieczeństwa w ramach dotyczących europejskich ram certyfikacji cyberbezpieczeństwa, niektóre europejskie programy certyfikacji cyberbezpieczeństwa mogą obejmować mechanizm wzajemnej oceny dla organów, które w ramach tych programów wydają dla produktów ICT, usług ICT i procesów ICT europejskie certyfikaty cyberbezpieczeństwa o poziomie uzasadnienia zaufania "wysoki". ECCG powinna wspierać wdrażanie takich mechanizmów wzajemnej oceny. Wzajemna ocena powinna w szczególności oceniać, czy dane organy wykonują swoje obowiązki w zharmonizowany sposób i może zawierać mechanizmy odwoławcze. Wyniki wzajemnych ocen powinny być podawane od wiadomości publicznej. Dane organy mogą przyjmować odpowiednie środki w celu dostosowania odpowiednio swoich praktyk i wiedzy fachowej.

(101) Państwa członkowskie powinny wyznaczyć krajowy organ ds. certyfikacji cyberbezpieczeństwa lub większą liczbę takich organów, odpowiedzialne za nadzorowanie wykonywania obowiązków wynikających z niniejszego rozporządzenia. Krajowy organ ds. certyfikacji cyberbezpieczeństwa może być organem istniejącym lub nowo wyznaczonym. Państwo członkowskie powinno także mieć możliwość wyznaczenia, po uzgodnieniu z innym państwem członkowskim, krajowego organu lub krajowych organów ds. certyfikacji cyberbezpieczeństwa na terytorium tego innego państwa członkowskiego.

(102) Krajowe organy cyberbezpieczeństwa powinny w szczególności: monitorować i egzekwować wypełnianie przez mających siedzibę na ich terytorium wytwórców lub dostawców produktów ICT, usług ICT lub procesów ICT obowiązków związanych z unijną deklaracją zgodności; wspierać, poprzez udostępnianie wiedzy fachowej i odpowiednich informacji, krajowe jednostki akredytujące w monitorowaniu i nadzorowaniu działalności jednostek oceniających zgodność; zezwalać jednostkom oceniającym zgodność na wykonywanie ich zadań pod warunkiem spełnienia przez nie dodatkowych wymogów przewidzianych w danym europejskim programie certyfikacji cyberbezpieczeństwa; oraz monitorować zmiany zachodzące w dziedzinie certyfikacji cyberbezpieczeństwa. Krajowe organy ds. certyfikacji cyberbezpieczeństwa powinny również rozpatrywać skargi wnoszone przez osoby fizyczne lub prawne w związku z europejskimi certyfikatami cyberbezpieczeństwa, wydanymi przez te organy lub w związku z europejskimi certyfikatami cyberbezpieczeństwa wydanymi przez jednostki oceniające zgodność, w przypadku gdy takie certyfikaty wskazuj ą poziom uzasadnienia zaufania "wysoki", powinny badać w odpowiednim zakresie przedmiot skarg oraz powinny informować skarżących w stosownym terminie o postępach i wynikach badania. Ponadto krajowe organy ds. certyfikacji cyberbezpieczeństwa powinny współpracować z innymi krajowymi organami ds. certyfikacji cyberbezpieczeństwa lub innymi organami publicznymi, również poprzez wymianę informacji na temat ewentualnej niezgodności produktów ICT, usług ICT lub procesów ICT z wymogami niniejszego rozporządzenia lub z określonymi europejskimi programami certyfikacji cyberbezpieczeństwa. Komisja powinna ułatwiać wymianę informacji przez udostępnienie ogólnego elektronicznego systemu wspierającego wymianę informacji, na przykład systemu informacyjnego i komunikacyjnego do celów nadzoru rynku (ICSMS) i wspólnotowego systemu szybkiej informacji (RAPEX) dla produktów innych niż spożywcze, które to systemy są już wykorzystywane przez organy nadzoru rynku zgodnie z rozporządzeniem (WE) nr 765/2008.

(103) Z myślą o zapewnieniu spójnego stosowania europejskich ram certyfikacji cyberbezpieczeństwa należy ustanowić ECCG, w której skład wchodzić powinni przedstawiciele krajowych organów ds. certyfikacji cyberbezpieczeństwa lub innych odpowiednich organów krajowych. Głównymi zadaniami ECCG powinny być doradzanie i pomaganie Komisji w pracach nad zapewnieniem spójnego wprowadzania i stosowania europejskich ram certyfikacji cyberbezpieczeństwa, pomoc ENISA i ścisła z nią współpraca przy przygotowywaniu propozycji programów certyfikacji cyberbezpieczeństwa, zwracanie się do ENISA, w należycie uzasadnionych przypadkach, o przygotowanie propozycji programu, wydawanie skierowanych do ENISA opinii na temat propozycji programów oraz przyjmowanie opinii skierowanych do Komisji dotyczących utrzymania i przeglądu istniejących europejskich programów certyfikacji cyberbezpieczeństwa. ECCG powinna ułatwiać wymianę dobrych praktyk i wiedzy fachowej pomiędzy różnymi krajowymi organami ds. certyfikacji cyberbezpieczeństwa, które są odpowiedzialne za udzielanie zezwoleń jednostkom oceniającym zgodność i wydawanie europejskich certyfikatów cyberbezpieczeństwa.

(104) W celu podnoszenia wiedzy na temat przyszłych europejskich programów certyfikacji cyberbezpieczeństwa oraz ułatwienia ich akceptacji Komisja może wydawać ogólne lub sektorowe wytyczne dotyczące cyberbezpieczeństwa, na przykład na temat dobrych praktyk w zakresie cyberbezpieczeństwa lub odpowiedzialnego zachowania w zakresie cyberbezpieczeństwa, podkreślające pozytywne skutki stosowania certyfikowanych produktów ICT, usług ICT i procesów ICT.

(105) W celu dalszego ułatwiania handlu, dostrzegając, że łańcuchy dostaw w dziedzinie ICT mają charakter globalny, Unia może zgodnie z art. 218 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) zawierać umowy o wzajemnym uznawaniu dotyczące europejskich certyfikatów cyberbezpieczeństwa. Komisja, uwzględniając opinię agencji ENISA i Europejskiej Grupy ds. Certyfikacji Cyberbezpieczeństwa, może zalecić rozpoczęcie stosownych negocjacji. Każdy europejski program certyfikacji cyberbezpieczeństwa powinien przewidywać szczegółowe warunki dotyczące takich umów o wzajemnym uznawaniu z państwami trzecimi.

(106) W celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia, należy powierzyć Komisji uprawnienia wykonawcze. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 22 .

(107) Należy stosować procedurę sprawdzającą w celu: przyjęcia aktów wykonawczych dotyczących europejskich programów certyfikacji cyberbezpieczeństwa dla produktów ICT, usług ICT lub procesów ICT, przyjęcia aktów wykonawczych dotyczących zasad prowadzenia przez ENISA postępowań wyjaśniających, w celu przyjęcia aktów wykonawczych dotyczących planu wzajemnego przeglądu krajowych organów ds. certyfikacji cyberbezpieczeństwa, a także przyjęcia aktów wykonawczych dotyczących okoliczności, formatów i procedur notyfikowania Komisji przez krajowe organy ds. certyfikacji cyberbezpieczeństwa akredytowanych jednostek oceniających zgodność.

(108) Działalność ENISA powinna być przedmiotem regularnej i niezależnej oceny. Ocena ta powinna dotyczyć realizacji przez ENISA jej celów, jej metod pracy i zasadności jej zadań, a zwłaszcza jej zadań w zakresie współpracy operacyjnej na poziomie Unii. Taka ocena powinna również dotyczyć wpływu, skuteczności i efektywności europejskich ram certyfikacji cyberbezpieczeństwa. W przypadku przeglądu Komisja powinna ocenić, w jaki sposób można wzmocnić pełnioną przez ENISA rolę punktu odniesienia w zakresie doradztwa i wiedzy fachowej, a także powinna ocenić możliwość pełnienia przez ENISA roli we wspieraniu oceniania pochodzących z państw trzecich produktów ICT, usług ICT i procesów ICT wchodzących na unijny rynek, które nie są zgodne z przepisami Unii.

(109) Ponieważ cele niniejszego rozporządzenia nie mogą zostać osiągnięte w sposób wystarczający przez państwa członkowskie, natomiast ze względu na jego rozmiary i skutki możliwe jest lepsze ich osiągnięcie na poziomie Unii, może ona podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej (TUE). Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tych celów.

(110) Należy uchylić rozporządzenie (UE) nr 526/2013,

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE: