Index 
 Föregående 
 Nästa 
 All text 
Förfarande : 2017/0225(COD)
Dokumentgång i plenum
Dokumentgång : A8-0264/2018

Ingivna texter :

A8-0264/2018

Debatter :

PV 11/03/2019 - 19
CRE 11/03/2019 - 19

Omröstningar :

PV 12/03/2019 - 9.17
Röstförklaringar

Antagna texter :

P8_TA(2019)0151

Antagna texter
PDF 429kWORD 139k
Tisdagen den 12 mars 2019 - Strasbourg Preliminär utgåva
EU:s cybersäkerhetsakt ***I
P8_TA-PROV(2019)0151A8-0264/2018
Resolution
 Konsoliderad text

Europaparlamentets lagstiftningsresolution av den 12 mars 2019 om förslaget till Europaparlamentets och rådets förordning om Enisa, ”EU:s cybersäkerhetsbyrå”, och om upphävande av förordning (EU) nr 526/2013, och om cybersäkerhetscertifiering av informations- och kommunikationsteknik (”cybersäkerhetsakten”) (COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

(Ordinarie lagstiftningsförfarande: första behandlingen)

Europaparlamentet utfärdar denna resolution

–  med beaktande av kommissionens förslag till Europaparlamentet och rådet (COM(2017)0477),

–  med beaktande av artiklarna 294.2 och 114 i fördraget om Europeiska unionens funktionssätt, i enlighet med vilka kommissionen har lagt fram sitt förslag för parlamentet (C8-0310/2017),

–  med beaktande av artikel 294.3 i fördraget om Europeiska unionens funktionssätt,

–  med beaktande av det motiverade yttrande från den franska senaten som lagts fram i enlighet med protokoll nr 2 om tillämpning av subsidiaritets- och proportionalitetsprinciperna, och enligt vilket utkastet till lagstiftningsakt inte är förenligt med subsidiaritetsprincipen,

–  med beaktande av yttrandet från Europeiska ekonomiska och sociala kommittén av den 14 februari 2018(1),

–  med beaktande av Regionkommitténs yttrande av den 31 januari 2018(2),

–  med beaktande av den preliminära överenskommelse som godkänts av det ansvariga utskottet enligt artikel 69f.4 i arbetsordningen och det skriftliga åtagandet från rådets företrädare av den 19 december 2018 att godkänna parlamentets ståndpunkt i enlighet med artikel 294.4 i fördraget om Europeiska unionens funktionssätt,

–  med beaktande av artikel 59 i arbetsordningen,

–  med beaktande av betänkandet från utskottet för industrifrågor, forskning och energi och yttrandena från utskottet för den inre marknaden och konsumentskydd, budgetutskottet och utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (A8-0264/2018).

1.  Europaparlamentet antar nedanstående ståndpunkt vid första behandlingen.

2.  Europaparlamentet uppmanar kommissionen att på nytt lägga fram ärendet för parlamentet om den ersätter, väsentligt ändrar eller har för avsikt att väsentligt ändra sitt förslag.

3.  Europaparlamentet uppdrar åt talmannen att översända parlamentets ståndpunkt till rådet, kommissionen och de nationella parlamenten.

(1) EUT L 227, 28.6.2018, s. 86.
(2) EUT C 176, 23.5.2018, s. 29.


Europaparlamentets ståndpunkt fastställd vid första behandlingen den 12 mars 2019 inför antagandet av Europaparlamentets och rådets förordning (EU) 2019/… om Enisa (Europeiska unionens cybersäkerhetsbyrå▌) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten)
P8_TC1-COD(2017)0225

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 114,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande(1),

med beaktande av Regionkommitténs yttrande(2),

i enlighet med det ordinarie lagstiftningsförfarandet(3), och

av följande skäl:

(1)  Nätverks- och informationssystem samt elektroniska kommunikationsnät och kommunikationstjänster har en avgörande betydelse för samhället och har blivit själva ryggraden för ekonomisk tillväxt. Informations- och kommunikationsteknik (IKT) är grunden för komplexa system som stöder dagliga samhälleliga verksamheter, håller våra ekonomier igång inom viktiga sektorer som hälso- och sjukvård, energi, finans och transporter, och framför allt bidrar till den inre marknadens funktion.

(2)  Användningen av nätverks- och informationssystem bland privatpersoner, organisationer och företag i hela unionen genomsyrar nu hela samhället. Digitalisering och konnektivitet är på väg att bli centrala inslag i ett allt större antal produkter och tjänster, och med tillkomsten av sakernas internet väntas ett extremt högt antal uppkopplade digitala enheter tas i bruk inom unionen under det kommande årtiondet. Trots att allt fler enheter är uppkopplade till internet, är säkerhet och resiliens inte tillräckligt integrerade i konstruktionen, vilket leder till otillräcklig cybersäkerhet. I detta sammanhang leder den begränsade användningen av certifiering till att enskilda användare, organisationsanvändare och företagsanvändare har otillräcklig information om cybersäkerheten hos IKT-produkter, IKT-tjänster och IKT-processer, vilket undergräver förtroendet för digitala lösningar. Nätverks- och informationssystem kan stödja alla aspekter av våra liv och bli en drivkraft för unionens ekonomiska tillväxt. De utgör grunden för uppnåendet av en digital inre marknad.

(3)  Ökad digitalisering och konnektivitet leder till ökade cybersäkerhetsrisker, vilket gör samhället som helhet mer sårbart för cyberhot och ökar farorna för enskilda individer, inbegripet sårbara grupper som barn. För att minska dessa risker måste alla nödvändiga åtgärder vidtas för att stärka cybersäkerheten i unionen så att nätverks- och informationssystem, kommunikationsnät, digitala produkter, tjänster och enheter som används av privatpersoner, organisationer och företag – från små och medelstora företag enligt definitionen i kommissionens rekommendation 2003/361/EG(4), till operatörer av kritisk infrastruktur – skyddas bättre mot cyberhot.

(4)  Genom att tillgängliggöra relevant information för allmänheten bidrar Europeiska unionens byrå för nät- och informationssäkerhet (Enisa), som inrättats genom Europaparlamentets och rådets förordning (EU) nr 526/2013(5), till utvecklingen av cybersäkerhetsbranschen i unionen, särskilt små och medelstora företag och nystartade företag. Enisa bör sträva efter ett närmare samarbete med universitet och forskningsenheter för att bidra till en minskning av beroendet av cybersäkerhetsprodukter och -tjänster från länder utanför unionen och att förstärka distributionskedjor inom unionen.

(5)  Cyberangreppen ökar och en uppkopplad ekonomi och ett uppkopplat samhälle som är mer utsatta för cyberhot och -angrepp kräver starkare skydd. Även om cyberangrepp ofta är gränsöverskridande, är dock behörigheten för, och de politiska insatserna från, cybersäkerhetsmyndigheter och brottsbekämpande organ till övervägande del nationella. Storskaliga incidenter kan störa tillhandahållandet av grundläggande tjänster i hela unionen. Detta kräver en effektiv och samordnad respons och krishantering på unionsnivå som bygger på särskilt utformade strategier och bredare instrument för europeisk solidaritet och ömsesidigt stöd. För beslutsfattare, näringsliv och användare är det också viktigt att det görs regelbundna bedömningar av situationen när det gäller cybersäkerhet och resiliens i unionen, på grundval av tillförlitliga unionsdata, samt systematiska prognoser för framtida utveckling, utmaningar och hot på unionsnivå och global nivå.

(6)  Mot bakgrund av de allt större cybersäkerhetsutmaningar som unionen står inför behövs en omfattande uppsättning åtgärder som bygger vidare på tidigare unionsåtgärder och främjar mål som stärker varandra inbördes. Dessa mål innefattar att ytterligare öka medlemsstaternas och företagens kapacitet och beredskap samt att förbättra samarbete, informationsutbyte, och samordning mellan medlemsstaterna och unionens institutioner, organ och byråer. Med tanke på cyberhotens gränsöverskridande karaktär finns det dessutom ett behov av att öka kapaciteten på unionsnivå som ett komplement till medlemsstaternas insatser, särskilt när det gäller storskaliga gränsöverskridande incidenter och -kriser, samtidigt som man beaktar vikten av att underhålla och ytterligare stärka den nationella kapaciteten att bemöta cyberhot av alla storlekar.

(7)  Ytterligare insatser behövs också för att öka privatpersoners, organisationers och företagens medvetenhet om cybersäkerhetsfrågor. Dessutom bör, med tanke på att incidenter skadar förtroendet för leverantörerna av digitala tjänster och den digitala marknaden i sig, inte minst bland konsumenter, förtroendet stärkas ytterligare genom att information tillhandahålls på ett transparent sätt om säkerhetsnivån för IKT-produkter, IKT-tjänster och IKT-processer, samtidigt som det understryks att inte ens en hög nivå av cybersäkerhetscertifiering kan garantera att en IKT-produkt, IKT-tjänst eller IKT-process är helt säker. Ett ökat förtroende kan underlättas genom unionsomfattande certifiering som erbjuder gemensamma cybersäkerhetskrav och utvärderingskriterier för olika nationella marknader och sektorer.

(8)  Cybersäkerhet är inte bara en fråga om teknik, utan en fråga där mänskligt beteende är lika viktigt. Därför bör it-hygien, det vill säga enkla rutinåtgärder som, när de genomförs och utförs regelbundet av medborgare, organisationer och företag, minimerar deras exponering för risker från cyberhot, starkt främjas.

(9)  I syfte att stärka unionens cyberförsvarsstrukturer är det viktigt att underhålla och utveckla medlemsstaternas förmåga att bemöta cyberhot, inbegripet gränsöverskridande incidenter, på ett övergripande sätt.

(10)  Företag och enskilda konsumenter bör få korrekt information om säkerhetscertifieringsnivån för deras IKT-produkter, IKT-tjänster och IKT-processer. Samtidigt är ingen produkt helt cybersäker och grundläggande regler för it-hygien måste främjas och prioriteras. Med tanke på den ökande tillgången till uppkopplade apparater finns det en rad frivilliga åtgärder som den privata sektorn kan vidta för att stärka förtroendet för IKT-produkters, IKT-tjänsters och IKT-processers säkerhet.

(11)  I moderna IKT-produkter och IKT-system ingår ofta en eller flera komponenter liksom teknik från tredje part, som är nödvändiga för produkten eller tjänsten, t.ex. programmoduler, bibliotek eller programmeringsgränssnitt. Detta beroende skulle kunna innebära extra cybersäkerhetsrisker eftersom sårbarheter i sådana tredjepartskomponenter även kan påverka IKT-produkternas, IKT-tjänsternas och IKT-processernas säkerhet. Om sådana beroendeförhållanden identifieras och dokumenteras kan användare av IKT-produkter, IKT-tjänster och IKT-processer ofta förbättra sin cybersäkerhetsriskhantering genom att exempelvis förbättra sina förfaranden för att hantera och avhjälpa sårbarheter.

(12)  Organisationer, tillverkare och leverantörer som är inblandade i utformningen och utvecklingen av IKT-produkter, IKT-tjänster och IKT-processer bör uppmuntras att, i ett tidigt skede av utformningen och utvecklingen, genomföra åtgärder på ett sätt så att säkerheten för dessa produkter, tjänster och processer skyddas i högsta möjliga grad, så att förekomsten av cyberattacker tas med i beräkningen och att de eventuella konsekvenserna av dem förutses och minimeras (nedan kallad inbyggd säkerhet). Säkerhetsaspekten bör säkerställas under IKT-produktens, IKT-tjänstens och IKT-processens hela livstid genom att man kontinuerligt utvecklar utformnings- och utvecklingsprocesserna för att minska risken för skada från skadlig användning.

(13)  Företag, organisationer och den offentliga sektorn bör konfigurera IKT-produkter, IKT-tjänster och IKT-processer som de utformar på ett sätt som säkerställer en högre grad av säkerhet, som gör att den första användaren kan få den förvalda konfigurationen med de säkraste inställningarna (nedan kallad säkerhet som standard) och därmed minska användarnas börda av att behöva konfigurera en IKT-produkt, IKT-tjänst eller IKT-process på lämpligt vis. Säkerhet som standard bör inte kräva omfattande konfigurering eller specifika tekniska kunskaper eller icke-intuitivt handlande från användarens sida som inte känns naturliga, och bör fungera enkelt och tillförlitligt när den tillämpas. Om en riskanalys och en användbarhetsanalys från fall till fall leder till slutsatsen att det inte är möjligt att göra en sådan förvald inställning, bör användarna uppmanas att välja den säkraste inställningen.

(14)  Europaparlamentet och rådets förordning (EG) nr 460/2004(6) inrättande Enisa med syftet att bidra till målet att säkerställa en hög och effektiv nivå på nätverks- och informationssäkerheten i unionen och utveckla en kultur av nätverks- och informationssäkerhet till förmån för medborgarna, konsumenterna, företagen och den offentliga administrationen. Europaparlamentet och rådets förordning (EG) nr 1007/2008(7) som förlängde Enisas mandat till mars 2012. Genom Europaparlamentets och rådets förordning (EU) nr 580/2011(8) förlängdes Enisas mandat ytterligare till den 13 september 2013. Förordning (EU) nr 526/2013 förlängde Enisas mandat till den 19 juni 2020.

(15)  Unionen har redan vidtagit viktiga åtgärder för att säkerställa cybersäkerhet och öka förtroendet för digital teknik. År 2013 antogs EU:s strategi för cybersäkerhet för att vägleda EU:s politiska åtgärder för cyberhot och -risker. I en satsning för att bättre skydda invånarna på nätet antogs unionens första rättsakt på cybersäkerhetsområdet 2016 i form av Europaparlamentets och rådets direktiv (EU) 2016/1148(9). Direktiv (EU) 2016/1148 införde krav om nationell kapacitet på cybersäkerhetsområdet, inrättade de första mekanismerna för att stärka det strategiska och operativa samarbetet mellan medlemsstaterna och införde skyldigheter avseende säkerhetsåtgärder och incidentrapportering inom sektorer som är centrala för ekonomin och samhället, såsom energi, transporter, leverans och distribution av dricksvatten, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, digital infrastruktur samt leverantörer av viktiga digitala tjänster (sökmotorer, molntjänster och elektroniska marknadsplatser). Enisa fick en viktig roll när det gällde att stödja genomförandet av det direktivet. Dessutom är en effektiv kamp mot it-brottslighet en viktig prioritering i den europeiska säkerhetsagendan, som bidrar till det övergripande målet att uppnå en hög nivå av cybersäkerhet. Andra rättsakter såsom Europaparlamentets och rådets förordning (EU) 2016/679(10) och Europaparlamentets och rådets direktiv 2002/58/EG(11) och (EU) 2018/1972(12) kan också bidra till en hög cybersäkerhetsnivå på den digitala inre marknaden.

(16)  Sedan antagandet av EU:s strategi för cybersäkerhet 2013 och den senaste översynen av Enisas uppdrag, har den övergripande politiska ramen förändrats avsevärt eftersom den globala miljön har blivit mer oviss och mindre säker. Mot denna bakgrund och mot bakgrund av den positiva utvecklingen av Enisas roll till en referenspunkt för rådgivning och expertis, som en kontaktpunkt för samarbete och kapacitetsuppbyggnad, samt inom ramen för unionens nya cybersäkerhetsstrategi är det nödvändigt att se över Enisas mandat för att definiera dess roll i det förändrade cybersäkerhetsekosystemet och säkerställa att Enisa bidrar effektivt till unionens reaktion på cybersäkerhetsutmaningar som härrör från den radikalt förändrade hotbilden inom cyberområdet, för vilket det nuvarande mandatet är inte tillräckligt, vilket också medges i utvärderingen av Enisa.

(17)  Enisa som inrättas genom denna förordning bör efterträda Enisa, som inrättades genom förordning (EG) nr 526/2013. Enisa bör utföra de uppgifter som den tilldelas genom denna förordning och andra unionsrättsakter på cybersäkerhetsområdet genom att bland annat tillhandahålla rådgivning och expertis och fungera som unionens informations- och kunskapscentrum. Kommissionen bör främja utbyte av bästa praxis mellan medlemsstaterna och privata aktörer, lägga fram strategiförslag för kommissionen och medlemsstaterna som kan användas som utgångspunkt för unionens sektorsvisa politiska initiativ när det gäller cybersäkerhet och för att främja praktiskt samarbete både medlemsstaterna emellan och mellan medlemsstaterna och unionens institutioner, organ och byråer.

(18)  Inom ramen för beslut (2004/97/EG, Euratom) antaget i samförstånd mellan medlemsstaternas företrädare, församlade på stats- eller regeringschefsnivå(13), beslutade medlemsstaternas företrädare att Enisa skulle ha sitt säte i en stad i Grekland som skulle fastställas av den grekiska regeringen. Enisas värdmedlemsstat bör säkerställa bästa möjliga förutsättningar för en smidig och effektiv drift av Enisa. Det är mycket viktigt att Enisa är förlagd till en lämplig plats, där det bland annat finns lämpliga transportförbindelser och faciliteter för makar och barn som medföljer Enisas personal, för att Enisa ska kunna utföra sina uppgifter väl och effektivt samt för möjligheterna att rekrytera och behålla personal och för en effektivare nätverksverksamhet. De nödvändiga arrangemangen bör efter godkännande av Enisas styrelse fastställas i ett avtal mellan Enisa och värdmedlemsstaten.

(19)  Med tanke på de ökande cybersäkerhetsrisker och cybersäkerhetsutmaningar som unionen står inför bör de ekonomiska och personella resurser som anslagits för Enisa ökas för att återspegla dess förstärkta roll och arbetsuppgifter och dess centrala position i ekosystemet av organisationer som försvarar unionens digitala ekosystem, så att Enisa effektivt kan utföra de uppgifter som Enisa tilldelas genom denna förordning.

(20)  Enisa bör utveckla och underhålla en hög nivå av expertis och fungera som en referenspunkt och skapa förtroende och tillit för den inre marknaden genom sin opartiskhet, kvaliteten på de råd och den information den tillhandahåller, öppenheten i dess förfaranden och arbetssätt samt genom ett kompetent utförande av sina uppgifter. Enisa bör aktivt stödja nationella ansträngningar ▌och bör ▌aktivt bidra till unionsinsatser och utföra sina uppgifter i fullt samarbete med unionens institutioner, ▌organ och byråer samt med medlemsstaterna, och därigenom undvika dubbelarbete och främja synergier. Enisa bör också stödja sig på synpunkter från och samarbete med den privata sektorn och andra berörda aktörer. Genom en uppsättning uppgifter bör det fastställas hur Enisa ska uppnå sina mål samtidigt som flexibilitet i verksamheten möjliggörs.

(21)  För att kunna ge lämpligt stöd till det operativa samarbetet mellan medlemsstaterna bör Enisa ytterligare stärka sin tekniska och mänskliga kapacitet och kompetens. Enisa bör öka sitt kunnande och sin kapacitet. Enisa och medlemsstaterna kan (på frivillig basis) ta fram program för utstationering av nationella experter till Enisa, skapande av expertpooler och utbytesprogram för de anställda.

(22)  Enisa bör bistå kommissionen med råd, yttranden och analyser i alla unionsfrågor som rör utveckling, uppdatering och översyn av politik och lagstiftning på cybersäkerhetsområdet och dess sektorsspecifika aspekter för att öka relevansen av unionens politik och lagstiftning med en cybersäkerhetsdimension och möjliggöra konsekvens i genomförandet av denna politik och lagstiftning på nationell nivå. Enisa bör fungera som en referenspunkt för rådgivning och expertis för unionens sektorsspecifika politik och lagstiftningsinitiativ i frågor som rör cybersäkerhet. Enisa bör regelbundet informera Europaparlamentet om sin verksamhet till.

(23)  Den offentliga kärnan av ett öppet internet, nämligen dess huvudsakliga protokoll och infrastruktur utgör globala allmänna nyttigheter, ger internet dess viktiga funktioner som en helhet och underbygger dess normala funktion. Enisa bör stödja säkerheten för den offentliga kärnan av ett öppet internet och stabiliteten för dess funktionssätt och bland annat, men inte begränsat till, nyckelprotokollen (framför allt DNS, BGP och IPv6), driften av domännamnssystemet (till exempel driften av alla toppdomäner) och driften av rotzonen.

(24)  Den underliggande uppgiften för Enisa är att främja ett konsekvent genomförande av den gällande rättsliga ramen, i synnerhet ett effektivt genomförande av direktiv (EU) 2016/1148 och andra relevanta rättsliga instrument som avser cybersäkerhetsaspekter, vilket är viktigt för att öka cyberresiliensen. Mot bakgrund av den snabbt föränderliga hotbilden inom cyberområdet på cyberområdet är det uppenbart att medlemsstaterna måste stödjas genom en mer omfattande tvärpolitisk strategi för att bygga upp cyberresiliens.

(25)  Enisa bör bistå medlemsstaterna och unionens institutioner, ▌organ och byråer i deras arbete för att bygga upp och förbättra kapacitet och beredskap för att förebygga, upptäcka och reagera på cyberhot ▌och cyberincidenter samt i fråga om säkerhet i nätverks- och informationssystem. Enisa bör särskilt stödja utvecklingen och stärkandet av nationella ▌och unionens enheter för hantering av it-säkerhetsincidenter (Computer Security Incident Response Teams, nedan kallade CSIRT-enheter) enligt direktiv (EU) 2016/1148, i syfte att uppnå en hög gemensam mognadsnivå för dem i unionen. Den verksamhet som bedrivs av Enisa avseende medlemsstaternas operativa kapacitet bör aktivt stödja medlemsstaternas åtgärder för att fullgöra sina skyldigheter enligt direktiv (EU) 2016/1148 och bör därför inte ersätta dem.

(26)  Enisa bör också bistå med utveckling och uppdatering av strategier för säkerhet i nätverks- och informationssystem på unionsnivå och, på begäran, på medlemsstatsnivå, särskilt för cybersäkerhet, och bör främja spridningen av sådana strategier och följa upp framstegen med deras genomförande. Enisa bör också bidra till uppfyllandet av behoven av utbildning och utbildningsmaterial, däribland offentliga organs behov, och i lämpliga fall huvudsakligen "utbilda utbildarna” baserat på den europeiska ramen för utveckling av digital kompetens bland medborgarna, för att bistå medlemsstaterna och unionens institutioner, organ och byråer när de utvecklar sin egen utbildningskapacitet.

(27)  Enisa bör stödja medlemsstaterna på området medvetenhet och utbildning om cybersäkerhet genom att främja närmare samarbete och utbyte av bästa praxis bland medlemsstaterna. Sådant stöd skulle bland annat kunna bestå i utveckling av ett nätverk av nationella utbildningskontaktpunkter och utvecklingen av en utbildningsplattform för cybersäkerhet. Nätverket av nationella utbildningskontaktpunkter skulle kunna verka inom ramen för nätverket för nationella kontaktpersoner och vara en startpunkt för framtida samordning inom medlemsstaterna.

(28)  Enisa bör bistå den samarbetsgrupp som inrättats genom direktiv (EU) 2016/1148 vid utförandet av dess uppgifter, särskilt genom att tillhandahålla expertis och rådgivning och underlätta utbytet av bästa praxis, bland annat vad gäller medlemsstaternas identifiering av leverantörer av samhällsviktiga tjänster, även i samband med gränsöverskridande beroenden, vad gäller risker och incidenter.

(29)  I syfte att stimulera samarbete mellan offentlig och privat sektor samt inom den privata sektorn, särskilt för att stödja skyddet av kritisk infrastruktur, bör Enisa stödja informationsutbyte inom och mellan sektorer, i synnerhet de sektorer som förtecknas i bilaga II till direktiv (EU) 2016/1148, genom att tillhandahålla bästa praxis och vägledning i fråga om tillgängliga verktyg och förfaranden samt om hur regleringsfrågor som rör informationsutbyte ska hanteras, exempelvis genom att underlätta inrättandet av sektorsvisa centrum för informationsutbyte och analys.

(30)  De potentiella negativa effekterna av sårbarheter hos IKT-produkter, IKT-tjänster och IKT-processer ökar ständigt och det är viktigt att upptäcka och åtgärda sådana sårbarheter för att minska den samlade cybersäkerhetsrisken. Det har visat sig att samarbete mellan organisationer, tillverkare eller leverantörer av sårbara IKT-produkter, IKT-tjänster och IKT-processer, personer som sysslar med cybersäkerhetsforskning och regeringar som upptäcker sårbarheter avsevärt ökar både upptäckterna och åtgärdandet av sårbarheter hos IKT-produkter, IKT-tjänster och IKT-processer. Samordnad information om sårbarheter utgör en strukturerad samarbetsprocess där sårbarheter rapporteras till ägaren av ett informationssystem vilket möjliggör för organisationen att diagnostisera och åtgärda sårbarheten innan detaljer om sårbarheten blir kända för tredje parter eller allmänheten. Processen möjliggör också samordning mellan den som upptäckt sådana sårbarheter och organisationen vad gäller offentliggörande av dessa sårbarheter. Samordnade riktlinjer för att offentliggöra sårbarheter skulle kunna spela en viktig roll i medlemsstaternas insatser för att stärka cybersäkerheten.

(31)  Enisa bör sammanställa och analysera nationella rapporter som delats på frivillig grund från CSIRT-enheter och den interinstitutionella incidenthanteringsorganisationen för unionens institutioner och byråer (nedan kallad CERT-EU) som inrättats genom avtalet mellan Europaparlamentet, Europeiska rådet, Europeiska unionens råd, Europeiska kommissionen, Europeiska unionens domstol, Europeiska centralbanken, Europeiska revisionsrätten, Europeiska utrikestjänsten, Europeiska ekonomiska och sociala kommittén, Europeiska regionkommittén och Europeiska investeringsbanken om organiseringen och driften av incidenthanteringsorganisationen för unionens institutioner och byråer (CERT-EU)(14) för att bidra till upprättandet av gemensamma förfaranden, gemensamt språk och gemensam terminologi för utbyte av information. Enisa bör även i detta sammanhang engagera den privata sektorn, inom ramen för direktiv (EU) 2016/1148 som lade grunden för frivilligt utbyte av teknisk information på operativ nivå, i nätverket för enheter för hantering av it-säkerhetsincidenter (nedan kallat CSIRT-nätverket) som inrättats genom det direktivet.

(32)  Enisa bör bidra till insatser på unionsnivå i samband med storskaliga gränsöverskridande incidenter och -kriser avseende cybersäkerhet. Denna uppgift bör utföras i enlighet med Enisas mandat enligt denna förordning och en metod som medlemsstaterna enats om inom ramen för kommissionens rekommendation (EU) 2017/1584(15) och rådets slutsatser av den 26 juni 2018 om EU:s samordnade insatser vid storskaliga cyberincidenter och cyberkriser. Den uppgiften skulle kunna omfatta insamling av relevant information och att fungera som kontaktpunkt mellan CSIRT-nätverket och såväl tekniska aktörer som beslutsfattare med ansvar för krishantering. Vidare bör Enisa stödja det operativa samarbetet mellan medlemsstater, på begäran av en eller flera medlemsstater, i hanteringen av incidenter ur ett tekniskt perspektiv ▌och underlätta utbyte av relevanta tekniska lösningar mellan medlemsstaterna och genom att ge input till kommunikation med allmänheten. Enisa bör stödja det operativa samarbetet genom att granska formerna för sådant samarbete genom regelbundna cybersäkerhetsövningar.

(33)  Till stöd för det operativa samarbetet bör Enisa använda tillgänglig teknisk och operativ expertis från CERT-EU genom ett strukturerat samarbete ▌. Det strukturerade samarbetet skulle kunna förstärka Enisas expertis. Vid behov bör särskilda arrangemang mellan de båda enheterna inrättas för att definiera det praktiska genomförandet av detta samarbete och undvika dubbelarbete.

(34)  I fullgörandet av sina uppgifter till stöd för det operativa samarbetet inom CSIRT-nätverket bör Enisa kunna tillhandahålla stöd till medlemsstaterna om de begär det, till exempel genom att ge råd om hur de ska förbättra sin förmåga att förebygga, upptäcka och reagera på incidenter, genom att underlätta den tekniska hanteringen av incidenter som har en betydande eller avsevärd inverkan, eller genom att säkerställa att hot och incidenter analyseras. Enisa bör underlätta den tekniska hanteringen av incidenter som har en betydande eller avsevärd inverkan framför allt genom att stödja frivilligt utbyte av tekniska lösningar mellan medlemsstater eller genom att ta fram kombinerad teknisk information (t.ex. tekniska lösningar som medlemsstaterna delar på frivillig grund). I rekommendation (EU) 2017/1584 rekommenderas medlemsstaterna att samarbeta i god tro och utbyta information sinsemellan och med Enisa om storskaliga incidenter och kriser avseende cybersäkerhet utan onödigt dröjsmål. Sådan information skulle kunna hjälpa Enisa att utföra sin uppgift att stödja det operativa samarbetet.

(35)  Som en del av det löpande samarbetet på teknisk nivå för att stödja en gemensam situationsmedvetenhet i unionen bör Enisa, i nära samarbete med medlemsstaterna, ta fram en regelbunden och fördjupad teknisk EU-lägesrapport om cyberincidenter och cyberhot, baserad på allmänt tillgänglig information, sin egen analys och rapporter som den får från medlemsstaternas CSIRT-enheter ▌eller de nationella gemensamma kontaktpunkterna för säkerhet i nätverks- och informationssystem enligt direktiv (EU) 2016/1148, båda på frivillig grund, Europeiska it-brottscentrumet (EC3) vid Europol, CERT-EU och, i tillämpliga fall, Europeiska unionens underrättelseanalyscentrum (EU Intcen) vid Europeiska utrikestjänsten. Rapporten bör göras tillgänglig för rådet, kommissionen, unionens höga representant för utrikes frågor och säkerhetspolitik samt CSIRT-nätverket.

(36)  Enisas stöd till tekniska efterhandsundersökningar av incidenter med betydande eller avsevärda konsekvenser ▌som inletts ▌på begäran av ▌de berörda medlemsstaterna bör inriktas på att förhindra framtida incidenter ▌. De berörda medlemsstaterna bör tillhandahålla den information och assistans som behövs för att göra det möjligt för Enisa att effektivt stödja den tekniska efterhandsundersökningen.

(37)  Medlemsstaterna får uppmana företag som berörs av incidenten att samarbeta genom att tillhandahålla nödvändig information och assistans till Enisa utan att det påverkar deras rätt att skydda kommersiellt känslig information och information som är relevant för allmän säkerhet.

(38)  För att bättre förstå utmaningarna inom cybersäkerhetsområdet, och i syfte att tillhandahålla strategisk långsiktig rådgivning till medlemsstaterna och unionens institutioner, organ och byråer, behöver Enisa analysera nuvarande och framväxande cybersäkerhetsrisker. För detta ändamål bör Enisa i samarbete med medlemsstaterna och, om lämpligt, med statistikorgan och andra organ samla in relevant information som är offentligt tillgänglig eller som delats på frivillig grund och utföra analyser av framväxande teknik och tillhandahålla ämnesspecifika bedömningar om förväntade samhälleliga, rättsliga, ekonomiska och regleringsmässiga konsekvenser av tekniska innovationer inom området nätverks- och informationssäkerhet, i synnerhet cybersäkerhet. Enisa bör också hjälpa medlemsstaterna och unionens institutioner, organ och byråer att identifiera framväxande cybersäkerhetsrisker och förebygga ▌incidenter, genom att utföra analyser av cyberhot, sårbarheter och incidenter.

(39)  För att stärka unionens resiliens bör Enisa utveckla expertis på området cybersäkerhet i infrastrukturer, särskilt inom de sektorer som anges i bilaga II till direktiv (EU) 2016/1148 och de som används av de leverantörer av digitala tjänster som förtecknas i bilaga III till det direktivet genom att tillhandahålla rådgivning, vägledning och bästa praxis. För att säkerställa enklare tillgång till bättre strukturerad information om cybersäkerhetsrisker och möjliga motåtgärder bör Enisa utarbeta och underhålla unionens ”informationsnav”, en gemensam webbportal som förser allmänheten med information om cybersäkerhet från unionens och medlemsstaternas institutioner, organ och byråer. Att underlätta tillgången till bättre strukturerad information om cybersäkerhetsrisker och möjliga motåtgärder skulle också kunna hjälpa medlemsstaterna att stärka sin kapacitet och anpassa sin praxis, och därmed att bättre stå emot cyberattacker i allmänhet.

(40)  Enisa bör bidra till att öka allmänhetens medvetenhet om cybersäkerhetsrisker, bland annat genom en EU-omfattande informationskampanj, genom att främja utbildning och ge vägledning om god praxis för enskilda användare riktad till privatpersoner ▌, organisationer och företag. Enisa bör även bidra till att främja bästa praxis och lösningar, bland annat it-hygien och it-kompetens, för privatpersoner ▌, organisationer och företag genom att samla in och analysera offentligt tillgänglig information om betydande incidenter och genom att sammanställa och offentliggöra rapporter och handböcker i syfte att ge vägledning till privatpersoner, organisationer och företag och att höja den allmänna beredskaps- och resiliensnivån. Enisa bör även sträva efter att förse konsumenter med relevant information om gällande certifieringsordning, t.ex. genom att tillhandahålla riktlinjer och rekommendationer. Enisa bör vidare, i enlighet med handlingsplanen för digital utbildning som fastställdes i kommissionens meddelande av den 17 januari 2018 och i samarbete med medlemsstaterna och unionens institutioner, ▌ organ och byråer, organisera regelbundna informations- och folkbildningskampanjer riktade till slutanvändare, i syfte att främja ett säkrare beteende bland enskilda internetanvändare och digital kompetens, för att höja medvetenheten om de potentiella hoten i cyberrymden, bland annat it-brottslighet såsom phishingattacker, botnät, ekonomiska bedrägerier och bankbedrägerier, incidenter rörande databedrägeri, samt att främja grundläggande rådgivning om flerfaktorautentisering, programkorrigeringar, kryptering, anonymisering och dataskydd.

(41)  Enisa bör spela en central roll när det gäller att höja slutanvändarnas medvetenhet om enheters säkerhet och säker användning av tjänster, och bör främja inbyggd säkerhet och inbyggt integritetsskydd på unionsnivå. För att uppnå detta mål bör Enisa på lämpligaste sätt använda tillgänglig bästa praxis och erfarenhet, framför allt bästa praxis och erfarenhet från akademiska institutioner och it-säkerhetsforskare.

(42)  För att stödja både de företag som verkar inom den europeiska cybersäkerhetssektorn och användarna av cybersäkerhetslösningar bör Enisa utveckla och underhålla ett ”marknadsobservatorium” genom att utföra regelbundna analyser och spridning av information om de viktigaste trenderna på cybersäkerhetsmarknaden, både på tillgångs- och efterfrågesidan.

(43)  Enisa bör bidra till unionens insatser för samarbete med internationella organisationer och inom ramarna för relevant internationellt samarbete på cybersäkerhetsområdet. Enisa bör framför allt, där så är lämpligt, bidra till samarbetet med organisationer som OECD, OSSE och Nato. Sådant samarbete kan omfatta gemensamma cybersäkerhetsövningar och gemensam samordning av insatser vid incidenter. Denna verksamhet ska utövas med full respekt för principerna om delaktighet, ömsesidighet och unionens beslutsautonomi, utan att det påverkar den särskilda karaktären hos någon medlemsstats säkerhets- och försvarspolitik.

(44)  För att se till att Enisa fullt ut uppnår sina mål bör den samarbeta med berörda EU-tillsynsmyndigheter och andra behöriga myndigheter i unionen, EU-institutioner, -byråer och -organ, däribland CERT-EU, EC3, Europeiska försvarsbyrån (EDA), Europeiska byrån för GNSS (GSA), Organet för europeiska regleringsmyndigheter för elektronisk kommunikation (Berec), Europeiska byrån för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (eu-LISA), Europeiska centralbanken (ECB), Europeiska bankmyndigheten (EBA), Europeiska dataskyddsstyrelsen, Byrån för samarbete mellan energitillsynsmyndigheter (Acer), Europeiska unionens byrå för luftfartssäkerhet (Easa) och andra unionsorgan som arbetar med cybersäkerhet. Enisa bör också samverka med myndigheter som hanterar dataskydd för att utbyta sakkunskap och bästa praxis samt ge råd om cybersäkerhetsaspekter som kan påverka deras arbete. Företrädare för medlemsstaternas och unionens rättsvårdande myndigheter och dataskyddsmyndigheter bör ha rätt att företrädas i Enisas rådgivande grupp. I samarbetet med rättsvårdande myndigheter om nätverks- och informationssäkerhetsaspekter som kan påverka deras arbete bör Enisa använda existerande informationskanaler och etablerade nätverk.

(45)  Samarbete kan upprättas med akademiska institutioner med forskningsinitiativ inom berörda områden och det bör finnas lämpliga kanaler för konsumentorganisationer och andra organisationer att framföra sina synpunkter, vilka bör beaktas.

(46)  Enisa bör i sin funktion som sekretariat åt CSIRT-nätverket ▌stödja medlemsstaternas CSIRT-enheter och CERT-EU i det operativa samarbetet avseende alla relevanta uppgifter för CSIRT-nätverket som avses i direktiv (EU) 2016/1148. Enisa bör dessutom främja och stödja samarbete mellan de berörda CSIRT-enheterna i händelse av incidenter, attacker mot eller störningar i de nät eller den infrastruktur som förvaltas eller skyddas av dem och som berör eller kan beröra minst två CSIRT-enheter, och därvid beakta CSIRT-nätverkets operationella standardförfaranden.

(47)  För att öka unionens beredskap att hantera incidenter bör Enisa regelbundet organisera cybersäkerhetsövningar på unionsnivå och, på deras begäran, bistå medlemsstaterna och unionens institutioner, organ och byråer med att organisera sådana övningar. En gång vartannat år bör en storskalig heltäckande övning med tekniska, operativa och strategiska inslag organiseras. Enisa bör därutöver regelbundet kunna organisera mindre omfattande övningar med samma mål, att öka unionens beredskap att hantera incidenter.

(48)  Enisa bör vidareutveckla och underhålla sina kunskaper om cybersäkerhetscertifiering för att stödja unionens politik på detta område. Enisa bör bygga vidare på befintlig bästa praxis och främja spridningen av cybersäkerhetscertifiering i unionen, bland annat genom att bidra till inrättandet och underhållandet av ett ramverk för cybersäkerhetscertifiering på unionsnivå (europeiskt ramverk för cybersäkerhetscertifiering), i syfte att öka öppenheten i fråga om assuransnivån för cybersäkerhet hos IKT-produkter, IKT-tjänster IKT-processer genom att stärka förtroendet för den digitala inre marknaden och dess konkurrenskraft.

(49)  Effektiva cybersäkerhetsstrategier bör bygga på välutvecklade metoder för riskbedömning, både inom den offentliga och den privata sektorn. Riskbedömningsmetoder används på olika nivåer, men det saknas gemensam praxis för hur de ska tillämpas på ett effektivt sätt. Främjande och utveckling av bästa praxis för riskbedömning och för interoperabla lösningar för riskhantering inom organisationer i den offentliga och privata sektorn kommer att höja cybersäkerhetsnivån i unionen. Därför bör Enisa stödja samarbete mellan intressenter på unionsnivå och främja deras insatser för upprättande och tillämpning av europeiska och internationella standarder för riskhantering och mätbar säkerhet för elektroniska produkter, system, nät och tjänster som tillsammans med programvara utgör nätverks- och informationssystemen.

(50)  Enisa bör uppmuntra medlemsstaterna, tillverkare eller leverantörer av IKT-produkter, IKT-tjänster eller IKT-processer att höja sina allmänna säkerhetsstandarder så att alla internetanvändare kan vidta de åtgärder som krävs för att trygga sin egen cybersäkerhet och bör ha incitament att göra detta. I synnerhet bör tillverkare eller leverantörer av IKT-produkter, IKT-tjänster eller IKT-processer tillhandahålla nödvändiga uppdateringar och bör återkalla, dra tillbaka eller återvinna IKT-produkter, IKT-tjänster eller IKT-processer som inte uppfyller cybersäkerhetsstandarderna, medan importörer och distributörer bör säkerställa att IKT-produkter, IKT-tjänster och IKT-processer som de släpper ut på unionsmarknaden uppfyller gällande krav och inte utgör en risk för unionens konsumenter.

(51)  I samarbete med de behöriga myndigheterna bör Enisa kunna sprida uppgifter om cybersäkerhetsnivån för de IKT-produkter, IKT-tjänster och IKT-processer som erbjuds på den inre marknaden, och utfärda varningar riktade till tillverkare eller leverantörer av IKT-produkter, IKT-tjänster eller IKT-processer och ålägga dem att förbättra sina IKT-produkters, IKT-tjänsters och IKT-processers säkerhet, inbegripet cybersäkerhet ▌.

(52)  Enisa bör i sitt arbete fullt ut beakta pågående forskning, utveckling och tekniska bedömningar, i synnerhet sådan verksamhet som bedrivs inom unionens olika forskningsinitiativ för att ge råd till unionens institutioner, ▌ organ och byråer och, i tillämpliga fall, till medlemsstaterna på deras begäran om forskningsbehoven och prioriteringarna på området ▌cybersäkerhet. För att identifiera behov och prioriteringar för forskningen bör Enisa även rådfråga berörda användargrupper. Mer specifikt skulle ett samarbete kunna upprättas med Europeiska forskningsrådet, Europeiska institutet för innovation och teknik och Europeiska unionens institut för säkerhetsstudier.

(53)  Vid utarbetandet av de europeiska ordningarna för cybersäkerhetscertifiering bör Enisa regelbundet samråda med standardiseringsorganisationerna, i synnerhet de europeiska standardiseringsorganisationerna.

(54)  Cyberhot är en global fråga. Det behövs ett tätare internationellt samarbete för att förbättra cybersäkerhetsstandarder, bland annat genom att fastställa gemensamma beteendenormer och anta uppförandekoder, användning av internationella standarder, och informationsutbyte, och på så vis främja snabbare internationellt samarbete som svar på nätverks- och informationssäkerhetsproblem och främja en gemensam global syn på sådana problem. Därför bör Enisa stödja ett starkare unionsdeltagande och samarbete med tredjeländer och internationella organisationer genom att, när så är lämpligt, tillhandahålla nödvändig expertis och nödvändiga analyser till berörda unionsinstitutioner, ▌ organ och byråer.

(55)  Enisa bör kunna besvara ad hoc-förfrågningar om råd och bistånd från medlemsstaterna och unionens institutioner, organ och byråer som omfattas av Enisas uppdrag.

(56)  Det är klokt och tillrådligt att genomföra vissa principer för Enisas förvaltning i syfte att följa det gemensamma uttalande och den gemensamma ansats som den interinstitutionella arbetsgruppen för EU:s decentraliserade byråer enades om i juli 2012 och vars syfte är att effektivisera de decentraliserade byråernas verksamhet och förbättra deras resultat. Rekommendationerna i det gemensamma uttalandet och den gemensamma ansatsen ▌bör också återspeglas, allt efter vad som är lämpligt, i Enisas arbetsprogram, utvärderingar av Enisa och Enisas rapportering och administration.

(57)  Styrelsen, som består av företrädare för medlemsstaternas och kommissionens företrädare, bör fastställa den allmänna inriktningen för Enisas verksamhet och se till att den utför sina uppgifter i enlighet med denna förordning. Styrelsen bör ha de nödvändiga befogenheterna för att fastställa budgeten och kontrollera att den genomförs, anta lämpliga finansiella bestämmelser, utarbeta klara och tydliga förfaranden för Enisas beslutsfattande, anta Enisas samlade programdokument, anta sin egen arbetsordning, utse den verkställande direktören, besluta om förlängning och avslutande av hans eller hennes mandat.

(58)  För att Enisa ska fungera väl och effektivt bör kommissionen och medlemsstaterna säkerställa att personer som utses till styrelseledamöter har lämplig yrkesmässig expertis och erfarenhet. Medlemsstaterna och kommissionen bör även eftersträva att begränsa omsättningen av deras respektive företrädare i styrelsen i syfte att skapa kontinuitet i dess arbete.

(59)  För att Enisa ska fungera väl bör den verkställande direktören utses på grundval av meriter, dokumenterad skicklighet i förvaltning och ledarskap samt kompetens och erfarenheter som rör cybersäkerhet. Den verkställande direktörens uppgifter bör utföras med fullständigt oberoende. Den verkställande direktören bör utarbeta ett förslag till årligt arbetsprogram för Enisa, efter samråd med kommissionen, och bör vidta alla åtgärder som är nödvändiga för att säkerställa att arbetsprogrammet genomförs på rätt sätt. Den verkställande direktören bör utarbeta en årsrapport som ska föreläggas styrelsen, som omfattar genomförandet av Enisas årliga arbetsprogram, upprätta en preliminär beräkning av Enisas inkomster och utgifter samt genomföra budgeten. Den verkställande direktören bör också ha möjlighet att inrätta tillfälliga arbetsgrupper som i synnerhet ska behandla vetenskapliga, tekniska, rättsliga eller socioekonomiska frågor. Inrättandet av en tillfällig arbetsgrupp anses i synnerhet nödvändigt i samband med att ett särskilt förslag till europeisk ordning för cybersäkerhetscertifiering (nedan kallat förslag till certifieringsordning) ska utarbetas. Den verkställande direktören bör se till att de tillfälliga arbetsgruppernas medlemmar väljs med utgångspunkt i högsta möjliga standard när det gäller expertkunskaper, med målsättningen att det bör finnas en balans mellan könen och, utifrån de specifika frågor som berörs, en lämplig balans mellan medlemsstaternas förvaltningar, unionens institutioner, organ och byråer och den privata sektorn, inklusive branschen, användare och akademiska experter på nätverks- och informationssäkerhet.

(60)  Direktionen bör bidra till att styrelsen fungerar på ett effektivt sätt. Som ett led i det förberedande arbetet i samband med styrelsens beslut bör styrelsen i detalj granska relevant information och utforska tillgängliga alternativ och ge råd och lösningar för att utarbeta beslut av styrelsen.

(61)  Enisa bör ha Enisas rådgivande grupp som rådgivande organ, för att säkerställa en regelbunden dialog med den privata sektorn, konsumentorganisationer och andra berörda intressenter. Enisas rådgivande grupp, som inrättats av styrelsen på förslag av den verkställande direktören, bör koncentrera sig på frågor som är relevanta för intressenter och uppmärksamma Enisa på dem. Enisas rådgivande grupp bör särskilt rådfrågas om utkastet till Enisas årliga arbetsprogram. Sammansättning av Enisas rådgivande grupp och de uppgifter som anförtrotts den, bör säkerställa en tillräcklig representation av intressenter i Enisas arbete.

(62)  Intressentgruppen för cybersäkerhetscertifiering bör inrättas för att hjälpa Enisa och kommissionen genom att underlätta samråd med berörda intressenter. Intressentgruppen för cybersäkerhetscertifiering bör vara sammansatt av medlemmar som i jämn proportion representerar branschen, såväl på efterfrågesidan som på utbudssidan när det gäller IKT-produkter och IKT-tjänster och särskilt innefattande små och medelstora företag, leverantörer av digitala tjänster, europeiska och internationella standardiseringsorgan, nationella ackrediteringsorgan, tillsynsmyndigheter med ansvar för dataskydd och organ för bedömning av överensstämmelse i enlighet med Europaparlamentets och rådets förordning (EG) nr 765/2008(16), den akademiska världen och konsumentorganisationer.

(63)  Enisa bör ha regler för förebyggande och hantering av intressekonflikter. Enisa bör också tillämpa relevanta unionsbestämmelser om allmänhetens tillgång till handlingar enligt Europaparlamentets och rådets förordning (EG) nr 1049/2001(17). Enisas behandling av personuppgifter bör ske i enlighet med Europaparlamentets och rådets förordning (EU) 2018/1725(18). Enisa bör efterleva de bestämmelser som gäller för unionens institutioner, organ och byråer och den nationella lagstiftning som rör hantering av information, i synnerhet känsliga icke-säkerhetsskyddsklassificerade uppgifter och säkerhetsskyddsklassificerade EU-uppgifter.

(64)  För att garantera Enisas autonomi och oberoende och ge den möjlighet att utföra kompletterande uppgifter, också oförutsedda uppgifter i en krissituation, bör Enisa ges en tillräcklig egen budget där intäkterna främst bör bestå av ett bidrag från unionen och bidrag från tredjeländer som deltar i Enisas arbete. En adekvat budget är av största vikt för att säkerställa att Enisa har tillräcklig kapacitet att fullgöra alla sina växande uppgifter och uppnå sina mål. Huvuddelen av Enisas personal bör vara direkt delaktig i det operativa genomförandet av Enisas mandat. Värdmedlemsstaten, eller varje annan medlemsstat, bör ha rätt att lämna frivilliga bidrag till Enisas budget. Unionens budgetförfarande bör även i fortsättningen tillämpas på de bidrag som belastar unionens allmänna budget. Dessutom bör revisionsrätten granska Enisas räkenskaper för att säkerställa insyn och ansvarighet.

(65)  Cybersäkerhetscertifiering har stor betydelse för att öka förtroendet för och säkerheten hos IKT-produkter ▌, IKT-tjänster och IKT-processer. Den digitala inre marknaden, och särskilt den datadrivna ekonomin och sakernas internet, kan utvecklas framgångsrikt endast om allmänheten litar på att sådana produkter ▌, tjänster och processer har en viss nivå i fråga om cybersäkerhet. Uppkopplade och automatiserade bilar, elektroniska medicintekniska produkter, styrsystem för industriell automation och smarta elnät är bara några exempel på sektorer inom vilka certifiering redan används eller kan komma att användas i en nära framtid. De sektorer som regleras av direktiv (EU) 2016/1148 är också sektorer där cybersäkerhetscertifiering är av yttersta vikt.

(66)  I sitt meddelande från 2016 Stärka Europas system för cyberresiliens och främja en konkurrenskraftig och innovativ cybersäkerhetsbransch tog kommissionen upp behovet av billiga och interoperabla cybersäkerhetsprodukter och cybersäkerhetslösningar av hög kvalitet. Utbudet av IKT-produkter ▌, IKT-tjänster och IKT-processer på den inre marknaden är fortfarande i hög grad geografiskt fragmenterat. Cybersäkerhetsbranschen i Europa har till stor del utvecklats med stöd av nationell statlig efterfrågan. Bristen på interoperabla lösningar (tekniska standarder), förfaranden och EU-mekanismer för certifiering är några av de andra faktorer som påverkar den inre marknaden för cybersäkerhet. Detta gör det svårt för europeiska företag att konkurrera på nationell nivå, unionsnivå och global nivå. Det minskar också utbudet av livskraftig och användbar cybersäkerhetsteknik som enskilda och företag har tillgång till. Även i meddelandet från 2017 om halvtidsöversynen av genomförandet av strategin för den digitala inre marknaden – En ansluten digital inre marknad för alla underströk kommissionen behovet av säkra uppkopplade produkter och system, och framhöll att skapandet av en europeisk IKT-säkerhetsram med regler om hur IKT-säkerhetscertifiering ska organiseras i unionen kan bevara förtroendet för internet och samtidigt motverka den nuvarande fragmenteringen av den inre marknaden.

(67)  För närvarande används cybersäkerhetscertifiering för IKT-produkter ▌, IKT-tjänster och IKT-processer endast i begränsad omfattning. I de fall det förekommer är det oftast på medlemsstatsnivå eller inom ramen för industridrivna system. Ett certifikat utfärdat av en nationell myndighet för cybersäkerhetscertifiering i ett sådant sammanhang erkänns i princip inte av andra medlemsstater. Företag kan därför behöva certifiera sina IKT-produkter ▌, IKT-tjänster och IKT-processer i flera medlemsstater där de bedriver verksamhet, exempelvis för att kunna delta i nationella upphandlingsförfaranden, varvid de ökar sina omkostnader. Även om nya system utvecklas, tycks det inte finnas någon samlad helhetssyn på övergripande cybersäkerhetsfrågor, exempelvis inom området sakernas internet. Befintliga system uppvisar allvarliga brister och skillnader i fråga om produkttäckning, assuransnivå, grundläggande kriterier och faktisk användning, vilket utgör ett hinder för mekanismer för ömsesidigt erkännande inom unionen.

(68)  Vissa ansträngningar har gjorts för att få till stånd ett ömsesidigt erkännande av certifikat inom unionen. De har dock endast delvis varit framgångsrika. Det främsta exemplet är det avtal om ömsesidigt erkännande (MRA) som ingåtts inom gruppen av höga tjänstemän på informationssäkerhetsområdet (SOG-IS). Även om det är den viktigaste modellen för samarbete och ömsesidigt erkännande av säkerhetscertifiering omfattar SOG-IS ▌endast vissa av medlemsstaterna. Detta har begränsat SOG-IS-avtalets effektivitet för den inre marknaden.

(69)  Det är därför nödvändigt att anta en gemensam ansats och att inrätta ett europeiskt ramverk för cybersäkerhetscertifiering som fastställer de viktigaste övergripande kraven för europeiska ordningar för cybersäkerhetscertifiering som ska utvecklas, och som gör att europeiska cybersäkerhetscertifikat och en EU-försäkran om överensstämmelse för IKT-produkter och IKT-tjänster kan erkännas och användas i samtliga medlemsstater. I detta sammanhang är det viktigt att bygga vidare på befintliga nationella och internationella system och på system för ömsesidigt erkännande, i synnerhet SOG-IS, och att möjliggöra en smidig övergång från befintliga ordningar inom ramen för sådana system till system inom ramen för den nya europeiska ramen för cybersäkerhetscertifiering. Den europeiska ramen för cybersäkerhetscertifiering bör ha ett dubbelt syfte. Å ena sidan bör den bidra till att öka förtroendet för IKT-produkter ▌, IKT-tjänster och IKT-processer som har certifierats enligt europeiska ordningar för cybersäkerhetscertifiering. Å andra sidan bör den undvika att det uppstår flera olika motstridiga eller överlappande nationella ordningar för cybersäkerhetscertifieringar och därmed minska kostnaderna för företag som är verksamma på den digitala inre marknaden. De europeiska ordningarna för cybersäkerhetscertifiering bör vara icke-diskriminerande och grundas på europeiska eller internationella standarder såvida inte dessa standarder är ineffektiva eller olämpliga för att förverkliga unionens legitima mål i detta avseende.

(70)  Den europeiska ramen för cybersäkerhetscertifiering bör inrättas på ett enhetligt sätt i alla medlemsstater i syfte att förhindra ”certifieringsshopping” utifrån skillnader i kravnivå i olika medlemsstater.

(71)  De europeiska ordningarna för cybersäkerhetscertifiering bör bygga på vad som redan existerar på internationell och nationell nivå och, om så krävs, på tekniska specifikationer från forum och konsortier, varvid man bör lära av nuvarande styrkor och utvärdera och rätta till svagheter.

(72)  Flexibla cybersäkerhetslösningar är nödvändiga för att branschen ska kunna föregripa cyberhot, och därför bör alla certifieringsordningar utformas så att de inte riskerar att snabbt bli föråldrade.

(73)  Kommissionen bör ges befogenhet att anta europeiska ordningar för cybersäkerhetscertifiering för särskilda grupper av IKT-produkter ▌, IKT-tjänster och IKT-processer. Dessa ordningar bör genomföras och övervakas av nationella ▌myndigheter för cybersäkerhetscertifiering, och certifikat utfärdade enligt dessa ordningar bör vara giltiga och erkännas i hela unionen. Certifieringsordningar som drivs av industrin eller andra privata organisationer bör inte ingå i denna förordnings tillämpningsområde. De organ som handhar sådana ordningar kan dock föreslå kommissionen att överväga sådana ordningar som en grund för att godkänna dem som en europeisk ordning för cybersäkerhetscertifiering.

(74)  Bestämmelserna i denna förordning bör inte påverka tillämpningen av unionsrätt som innehåller särskilda bestämmelser om certifiering av IKT-produkter ▌, IKT-tjänster och IKT-processer. Särskilt förordning (EU) 2016/679 innehåller bestämmelser för införandet av certifieringsmekanismer samt sigill och märkningar för dataskydd för att visa att personuppgiftsansvarigas eller personuppgiftsbiträdens uppgiftsbehandling är förenlig med den förordningen. Dessa certifieringsmekanismer samt sigill och märkningar för dataskydd bör göra det möjligt för de registrerade att snabbt bedöma dataskyddsnivån för relevanta IKT-produkter, IKT-tjänster och IKT-processer. Den här förordningen påverkar inte certifieringen av uppgiftsbehandling enligt förordning (EU) 2016/679, inte heller om denna verksamhet ingår i IKT-produkter, IKT-tjänster och IKT-processer.

(75)  Syftet med europeiska ordningar för cybersäkerhetscertifiering bör vara att säkerställa att IKT-produkter ▌, IKT-tjänster och IKT-processer som certifierats enligt en sådan ordning uppfyller de angivna kraven i syfte att skydda tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade eller överförda eller behandlade uppgifter eller de därmed sammanhängande funktioner eller tjänster som tillhandahålls av eller är tillgängliga via dessa produkter, tjänster och processer under hela livscykeln i den mening som avses i denna förordning. Det är inte möjligt att i detalj fastställa cybersäkerhetskraven för alla IKT-produkter ▌, IKT-tjänster och IKT-processer i denna förordning. IKT-produkter ▌, IKT-tjänster och IKT-processer och cybersäkerhetsbehov relaterade till dessa produkter, tjänster och processer är så olikartade att det är mycket svårt att ta fram allmänna cybersäkerhetskrav som är giltiga under alla omständigheter. Det är därför nödvändigt att anta ett brett och allmänt cybersäkerhetsbegrepp när det gäller certifieringsändamål, som bör kompletteras med en uppsättning specifika cybersäkerhetmål som måste beaktas vid utformningen av europeiska ordningar för cybersäkerhetscertifiering. Formerna för att uppnå dessa mål i specifika IKT-produkter ▌, IKT-tjänster och IKT-processer bör sedan fastställas i detalj för den enskilda certifieringsordningen som antas av kommissionen, till exempel genom hänvisningar till standarder eller tekniska specifikationer om inga lämpliga standarder finns tillgängliga.

(76)  De tekniska specifikationer som ska användas i europeiska ordningar för cybersäkerhetscertifiering bör iaktta principerna i bilaga II till Europaparlamentets och rådets förordning (EU) nr 1025/2012(19). Vissa avvikelser från dessa krav kan dock anses nödvändiga i vederbörligen motiverade fall där dessa tekniska specifikationer ska användas i en europeisk ordning för cybersäkerhetscertifiering med hänvisning till assuransnivån hög. Skälen för dessa avvikelser bör offentliggöras.

(77)  En bedömning av överensstämmelse avser det förfarande genom vilket man utvärderar om fastställda krav för en IKT-produkt, IKT-tjänst eller IKT-process har uppfyllts. Detta förfarande utförs av en oberoende tredje part som inte är tillverkaren eller leverantören av de IKT-produkter, IKT-tjänster eller IKT-processer som bedöms. Ett europeiskt cybersäkerhetscertifikat bör utfärdas efter framgångsrik utvärdering av en IKT-produkt, IKT-tjänst eller IKT-process. Ett europeiskt cybersäkerhetscertifikat bör betraktas som en bekräftelse på att en utvärdering har genomförts på ett korrekt sätt. Beroende på assuransnivå bör den europeiska ordningen för cybersäkerhetscertifiering ange om det europeiska cybersäkerhetscertifikatet ska utfärdas av ett privat eller offentligt organ. Bedömning av överensstämmelse och certifiering utgör inte i sig någon garanti för att certifierade IKT-produkter och IKT-tjänster är cybersäkra. De är snarare förfaranden och tekniska metoder för att intyga att IKT-produkter, IKT-tjänster och IKT-processer har testats och att de uppfyller vissa cybersäkerhetskrav som fastställs på annan plats, till exempel i tekniska standarder.

(78)  Valet av lämplig certifiering och därtill knutna säkerhetskrav av användarna av europeiska cybersäkerhetscertifikat bör grundas på en riskanalys som avser risker med användningen av IKT-produkten, IKT-tjänsten eller IKT-processen. Assuransnivån bör därför stå i proportion till nivån på den risk som är förenad med den avsedda användningen av en IKT-produkt, IKT-tjänst eller IKT-process.

(79)  Europeiska ordningar för cybersäkerhetscertifiering skulle kunna ge tillverkaren eller leverantören av IKT-produkter, IKT-tjänster och IKT-processer möjlighet att på eget ansvar göra en bedömning av överensstämmelse (nedan kallad självbedömning av överensstämmelse). I sådana fall bör det vara tillräckligt att tillverkaren eller leverantören av IKT-produkter, IKT-tjänster och IKT-processer själv genomför alla kontroller för att säkerställa att IKT-produkten, IKT-tjänsten eller IKT-processen överensstämmer med den europeiska ordningen för cybersäkerhetscertifiering. Denna typ av bedömning av överensstämmelse bör anses lämplig för IKT-produkter och IKT-tjänster med lägre komplexitet (exempelvis enkel utformning och tillverkningsmetod) som inte utgör en stor risk för det allmänna samhällsintresset. Dessutom bör självbedömning av överensstämmelse endast tillåtas för IKT-produkter, IKT-tjänster eller IKT-processer när de motsvarar assuransnivån ”grundläggande”.

(80)  Europeiska ordningar för cybersäkerhetscertifiering kan möjliggöra både självbedömning av överensstämmelse och certifiering för IKT-produkter, IKT-tjänster eller IKT-processer. I detta fall bör ordningen föreskriva tydliga och begripliga möjligheter för konsumenter och andra användare att skilja mellan IKT-produkter, IKT-tjänster eller IKT-processer med avseende på vilken tillverkare eller leverantör av IKT-produkter, IKT-tjänster eller IKT-processer som har ansvar för bedömningen, och IKT-produkter, IKT-tjänster eller IKT-processer som har certifierats av en tredje part.

(81)  Tillverkare eller leverantörer av IKT-produkter, IKT-tjänster eller IKT-processer som utför en självbedömning av överensstämmelse bör kunna upprätta och underteckna en EU-försäkran om överensstämmelse som ett led i förfarandet för bedömning av överensstämmelse. En EU-försäkran om överensstämmelse är ett dokument som anger att en särskild IKT-produkt, IKT-tjänst eller IKT-process uppfyller kraven i den europeiska ordningen för cybersäkerhetscertifiering. Genom att upprätta och underteckna EU-försäkran om överensstämmelse tar tillverkaren eller leverantören av IKT-produkter, IKT-tjänster eller IKT-processer på sig ansvaret för att IKT-produkten, IKT-tjänsten eller IKT-processen uppfyller de rättsliga kraven i den europeiska ordningen för cybersäkerhetscertifiering. En kopia av EU-försäkran om överensstämmelse bör lämnas in till den nationella myndigheten för cybersäkerhetscertifiering och till Enisa.

(82)  Tillverkaren eller leverantören av IKT-produkter, IKT-tjänster eller IKT-processer bör under en period som fastställs i den berörda europeiska ordningen för cybersäkerhetscertifiering ge den behöriga nationella myndigheten för cybersäkerhetscertifiering tillgång till EU-försäkran om överensstämmelse, teknisk dokumentation och all annan relevant information avseende IKT-produkternas, IKT-tjänsternas eller IKT-processernas överensstämmelse med den relevanta europeiska ordningen för cybersäkerhetscertifiering. Den tekniska dokumentationen bör specificera de krav som är tillämpliga enligt ordningen och bör, i den mån det krävs för självbedömningen av överensstämmelse, även innehålla en beskrivning av IKT-produktens, IKT-tjänstens eller IKT-processens konstruktion, tillverkning och funktion. Den tekniska dokumentationen bör utarbetas på ett sätt som möjliggör bedömning av en IKT-produkts eller en IKT-tjänsts överensstämmelse med de krav som är tillämpliga enligt ordningen.

(83)  I styrningen av den europeiska ramen för cybersäkerhetscertifiering beaktas medlemsstaternas deltagande och lämpligt deltagande av intressenter, dessutom definieras kommissionens roll under hela processen för planering samt förslag till, begäran om, utarbetande, antagande och översyn av europeiska ordningar för cybersäkerhetscertifiering.

(84)  ▌Kommissionen bör med stöd av europeiska gruppen för cybersäkerhetscertifiering och intressegruppen för cybersäkerhetscertifiering och efter öppna och omfattande samråd utarbeta ett löpande arbetsprogram på unionsnivå för de europeiska ordningarna för cybersäkerhetscertifiering och bör offentliggöra detta i form av ett instrument som inte är bindande. Unionens löpande arbetsprogram bör vara ett strategidokument som gör det möjligt för framför allt branschen, nationella myndigheter och standardiseringsorgan att förbereda sig inför framtida europeiska ordningar för cybersäkerhetscertifiering. Unionens löpande arbetsprogram bör inbegripa en flerårig översikt över de förslag till certifieringsordning som kommissionen har för avsikt att uppmana Enisa att utarbeta på specificerade grunder. Kommissionen bör beakta unionens löpande arbetsprogram vid utarbetandet av sin löpande plan för IKT-standardisering och standardiseringsförfrågningar till Europeiska standardiseringsorganisationer. Med tanke på den snabba utvecklingen och spridningen av ny teknik, uppkomsten av nya, tidigare okända cybersäkerhetsrisker samt lagstiftnings- och marknadsutvecklingar bör kommissionen eller europeiska gruppen för cybersäkerhetscertifiering ha rätt att begära att Enisa ska utarbeta förslag till certifieringsordning som inte finns med i unionens löpande arbetsprogram. Kommissionen och europeiska gruppen för cybersäkerhetscertifiering bör i sådana fall också göra en behovsbedömning av en sådan begäran genom att beakta denna förordnings övergripande syften och mål och behovet av att säkerställa kontinuiteten i Enisas planering och resursanvändning.

Efter mottagandet av en sådan begäran bör Enisa utan onödigt dröjsmål utarbeta förslag till certifieringsordning för särskilda IKT-produkter, IKT-tjänster eller IKT-processer. Kommissionen bör utvärdera de positiva och negativa konsekvenserna av begäran på den specifika marknad som berörs, särskilt för små och medelstora företag, innovation, hinder för tillträde till den marknaden och kostnader för slutanvändare. Kommissionen bör, på grundval av Enisas förslag till certifieringsordning, ges befogenhet att anta den europeiska ordningen för cybersäkerhetscertifiering genom genomförandeakter. Med beaktande av det allmänna syfte och de säkerhetsmålsättningar som fastställs i denna förordning bör den i europeiska ordningar för cybersäkerhetscertifiering som antas av kommissionen specificeras en minimiuppsättning komponenter avseende den enskilda ordningens föremål, tillämpningsområde och funktionssätt. Dessa delar bör bland annat omfatta cybersäkerhetscertifieringens tillämpningsområde och föremål, inklusive de kategorier av IKT-produkter ▌, IKT-tjänster och IKT-processer som omfattas, den detaljerade specifikationen av cybersäkerhetskraven, exempelvis genom hänvisning till standarder eller tekniska specifikationer, de särskilda utvärderingskriterierna och utvärderingsmetoderna samt den avsedda assuransnivån: grundläggande, betydande eller hög och i förekommande fall utvärderingsnivåerna. Enisa bör kunna avvisa en begäran från europeiska gruppen för cybersäkerhetscertifiering. Sådana beslut bör fattas av styrelsen och bör vederbörligen motiveras.

(85)  Enisa bör upprätthålla en webbplats med information om och offentliggörande av europeiska ordningar för cybersäkerhetscertifiering som bör omfatta bland annat begäran om utarbetande av ett förslag till certifieringsordning samt den återkoppling som mottagits i den samrådsprocess som genomförs av Enisa i förberedelsefasen. Denna webbplats bör också tillhandahålla information om de europeiska cybersäkerhetscertifikaten och EU-försäkringar om överensstämmelse som utfärdas enligt denna förordning samt information om återkallande och utgång av sådana europeiska cybersäkerhetscertifikat och EU-försäkringar. På webbplatsen bör det också anges vilka nationella ordningar för cybersäkerhetscertifiering som har ersatts av en europeisk ordning för cybersäkerhetscertifiering.

(86)  Assuransnivån för en europeisk certifieringsordning utgör förtroendegrunden för att en IKT-produkt, IKT-tjänst eller IKT-process, uppfyller säkerhetskraven i en särskild europeisk ordning för cybersäkerhetscertifiering. I syfte att säkerställa konsekvens i den europeiska ramen för cybersäkerhetscertifiering bör en europeisk ordning för cybersäkerhetscertifiering kunna specificera assuransnivån för europeiska cybersäkerhetscertifikat och EU-försäkringar om överensstämmelse som utfärdats inom ramen för den ordningen. Varje europeiskt cybersäkerhetscertifikat kan avse någon av assuransnivåerna ”grundläggande”, ”betydande” eller ”hög”, medan EU-försäkran om överensstämmelse endast kan avse assuransnivån ”grundläggande”. Assuransnivåerna avspeglar motsvarande stringens och djup i fråga om utvärdering av IKT-produkten, IKT-tjänsten och IKT-processen och fastställs genom hänvisning till tekniska specifikationer, standarder och förfaranden med koppling till detta, inbegripet tekniska kontroller, som ska mildra eller förhindra incidenter. Varje assuransnivå bör vara konsekvent inom de olika sektoriella områden där certifiering tillämpas.

(87)  En europeisk ordning för cybersäkerhetscertifiering kan ha flera utvärderingsnivåer beroende på hur stringent och djupgående utvärderingsmetoden är. Utvärderingsnivåer bör motsvara en av assuransnivåerna och vara kopplad till en lämplig kombination av assuranskomponenter. För samtliga assuransnivåer bör IKT-produkten, IKT-tjänsten eller IKT-processen omfatta en rad säkra funktioner som fastställs i ordningen, exempelvis följande: säker nyskapande konfiguration, signerad kod, säker uppdatering och mekanismer för begränsad exploatering samt fullt stack- eller minnesskydd. Dessa funktioner bör utarbetas och underhållas med säkerhetsinriktade utvecklingsstrategier och tillhörande verktyg för att säkerställa att effektiva mekanismer för maskin- och programvara är inbyggda på ett tillförlitligt sätt.

(88)  För assuransnivån ”grundläggande” bör utvärderingen omfatta minst följande assuranskomponenter: I utvärderingen bör det åtminstone ingå en översyn av IKT-produktens, IKT-tjänstens eller IKT-processens tekniska dokumentation som utförs av organet för bedömning av överensstämmelse. Om certifieringen omfattar IKT-processer bör den process som använts för att utforma, utveckla och underhålla en IKT-produkt eller IKT-tjänst även omfattas av den tekniska översynen. Om en europeisk ordning för cybersäkerhetscertifiering ger möjlighet till självbedömning av överensstämmelse bör det vara tillräckligt att tillverkaren eller leverantören av IKT-produkter, IKT-tjänster eller IKT-processer har gjort en självbedömning av IKT-produktens, IKT-tjänstens eller IKT-processens överensstämmelse med certifieringsordningen.

(89)  För assuransnivån ”betydande” bör utvärderingen, utöver kraven för assuransnivån grundläggande, åtminstone omfatta en kontroll av överensstämmelsen mellan IKT-produktens, IKT-tjänstens eller IKT-processens säkerhetsfunktioner och den tekniska dokumentationen.

(90)  För assuransnivån ”hög” bör utvärderingen, utöver kraven för assuransnivån ”betydande”, åtminstone omfatta ett effektivitetstest som bedömer resistensen hos IKT-produktens, IKT-tjänstens eller IKT-processens säkerhetsfunktioner gentemot genomtänkta cyberangrepp som utförs av personer med betydande kompetens och resurser.

(91)  Användningen av europeisk cybersäkerhetscertifiering och EU-försäkran om överensstämmelse bör vara frivillig, om inte annat föreskrivs i unionsrätten eller medlemsstaternas nationella rätt som antagits i enlighet med unionsrätten. I avsaknad av harmoniserad unionsrätt får medlemsstaterna införa nationella tekniska föreskrifter som föreskriver obligatorisk certifiering inom ramen för en europeisk ordning för cybersäkerhetscertifiering i enlighet med Europaparlamentets och rådets direktiv (EU) 2015/1535(20). Medlemsstaterna kan även använda europeisk cybersäkerhetscertifiering i samband med offentlig upphandling och Europaparlamentets och rådets direktiv 2014/24/EU(21).

(92)  På vissa områden kan det bli nödvändigt att i framtiden införa särskilda krav på cybersäkerhet och göra cybersäkerhetscertifiering obligatorisk för vissa IKT-produkter, IKT-tjänster och IKT-processer för att förbättra cybersäkerheten i unionen. Kommissionen bör med jämna mellanrum följa upp vilka effekter antagna europeiska ordningar för cybersäkerhetscertifiering har på tillgången till säkra IKT-produkter, IKT-tjänster och IKT-processer på den inre marknaden och bör regelbundet bedöma i hur hög utsträckning tillverkare och leverantörer av IKT-produkter, IKT-tjänster och IKT-processer i unionen använder certifieringsordningarna. Effektiviteten hos de europeiska ordningarna för cybersäkerhetscertifiering, och huruvida bestämda ordningar borde göras obligatoriska, bör bedömas mot bakgrund av unionens lagstiftning med koppling till cybersäkerhet, särskilt direktiv (EU) 2016/1148, med beaktande av säkerheten i nätverks- och informationssystem som används av leverantörer av samhällsviktiga tjänster.

(93)  Europeiska cybersäkerhetscertifikat och EU-försäkringar om överensstämmelse bör hjälpa slutanvändarna att göra välinformerade val. IKT-produkter, IKT-tjänster och IKT-processer som certifierats eller varit föremål för en EU-försäkring om överensstämmelse bör därför åtföljas av information som anpassats till den avsedda slutanvändarens förväntade tekniska nivå. All sådan information bör finnas tillgänglig online och, om lämpligt, i fysisk form. Slutanvändaren bör ha tillgång till information om referensnumret för certifieringsordningen, assuransnivån, beskrivningen av de risker som är förenade med IKT-produkten, IKT-tjänsten och IKT-processen, och den utfärdande myndigheten eller det utfärdande organet, eller bör kunna få en kopia av det europeiska cybersäkerhetscertifikatet. Dessutom bör slutanvändaren informeras om supportpolicy för cybersäkerhet, dvs. hur länge slutanvändaren kan förvänta sig att motta cybersäkerhetsuppdateringar eller programkorrigeringar från tillverkarens eller leverantörens IKT-produkter, IKT-tjänster och IKT-processer. I tillämpliga fall bör slutanvändaren få vägledning om åtgärder och inställningar som denne kan genomföra för att underhålla eller öka cybersäkerheten för IKT-produkten eller IKT-tjänsten och kontaktinformation avseende den enda kontaktpunkten för rapportering av och support vid cyberattacker (utöver den automatiska rapporteringen). Informationen bör uppdateras regelbundet och göras tillgänglig på en med information om europeiska ordningar för cybersäkerhetscertifiering.

(94)  I syfte att uppnå målen för denna förordning och undvika en fragmentering av den inre marknaden, bör nationella ordningar eller förfaranden för cybersäkerhetscertifiering av IKT-produkter, IKT-tjänster eller IKT-processer som omfattas av en europeisk ordning för cybersäkerhetscertifiering upphöra att ha verkan från och med en dag som fastställs av kommissionen genom genomförandeakter. Vidare bör medlemsstaterna inte införa nya nationella ordningar för cybersäkerhetscertifiering av IKT-produkter, IKT-tjänster eller IKT-processer som redan omfattas av en befintligt europeiskt ordning för cybersäkerhetscertifiering. Medlemsstaterna bör dock inte vara förhindrade att anta eller behålla nationella ordningar för cybersäkerhetscertifiering för att skydda den nationella säkerheten. Medlemsstaterna bör informera kommissionen och europeiska gruppen för cybersäkerhetscertifiering om alla eventuella avsikter att upprätta nya nationella ordningar för cybersäkerhetscertifiering. Kommissionen och europeiska gruppen för cybersäkerhetscertifiering bör utvärdera vilka effekter nya nationella ordningar för cybersäkerhetscertifiering har på den inre marknadens funktion och mot bakgrund av det strategiska intresset av att i stället begära en europeisk ordning för cybersäkerhetscertifiering.

(95)  Europeiska ordningar för cybersäkerhetscertifiering kommer att bidra till att harmonisera cybersäkerhetsrutinerna inom unionen. De måste bidra till ökad cybersäkerhet inom unionen. Utformningen av europeiska ordningar för cybersäkerhetscertifiering bör även beakta och möjliggöra utveckling av innovationer på området cybersäkerhet.

(96)  Europeiska ordningar för cybersäkerhetscertifiering bör även beakta olika befintliga metoder för program- och maskinvaruutveckling och framför allt vilken inverkan frekventa uppdateringar av programvara och fast programvara har på enskilda europeiska cybersäkerhetscertifikat. I de europeiska ordningarna för cybersäkerhetscertifiering bör det fastställas under vilka förhållanden en uppdatering kan kräva att en IKT-produkt, IKT-tjänst eller IKT-processer ska återcertifieras eller att ett specifikt europeiskt cybersäkerhetscertifikats tillämpningsområde ska begränsas med beaktande av eventuella negativa effekter av uppdateringen på överensstämmelsen med säkerhetskraven för det certifikatet.

(97)  När en europeisk ordning för cybersäkerhetscertifiering har antagits bör tillverkarna eller leverantörerna av IKT-produkter, IKT-tjänster eller IKT-processer kunna lämna in en ansökan om certifiering av sina IKT-produkter eller IKT-tjänster till valfritt organ för bedömning av överensstämmelse var som helst i unionen. Organen för bedömning av överensstämmelse bör ackrediteras av ett nationellt ackrediteringsorgan, om de uppfyller vissa krav som fastställs i denna förordning. Ackrediteringen bör utfärdas för en period på högst fem år och bör kunna förnyas på samma villkor under förutsättning att organet för bedömning av överensstämmelse fortfarande uppfyller kraven. Nationella ackrediteringsorgan bör begränsa, tillfälligt upphäva eller återkalla ackrediteringen av ett organ för bedömning av överensstämmelse om villkoren för ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av organet för bedömning av överensstämmelse strider mot denna förordning.

(98)  Hänvisningar i nationell lagstiftning till nationella standarder som har upphört att ha verkan i och med att en europeisk ordning för cybersäkerhetscertifiering har trätt i kraft kan orsaka förvirring. Medlemsstaterna bör därför se till att antagandet av en europeisk ordning för cybersäkerhetscertifiering avspeglas i deras nationella lagstiftning.

(99)  För att uppnå likvärdiga standarder över hela unionen, underlätta ömsesidigt erkännande och främja godtagandet av europeiska cybersäkerhetscertifikat och EU-försäkringar om överensstämmelse måste en ordning inrättas för inbördes granskning mellan nationella myndigheter för cybersäkerhetscertifiering. Inbördes granskning bör innefatta förfaranden för att övervaka IKT-produkters, IKT-tjänsters och IKT-processers överensstämmelse med europeiska cybersäkerhetscertifikat, övervaka skyldigheterna för tillverkare och leverantörer av IKT-produkter, IKT-tjänster och IKT-processer som utför självbedömningar av överensstämmelse, och för att övervaka organ för bedömning av överensstämmelse samt att personalen vid organ som utfärdar certifikat för ”höga” assuransnivåer har lämplig sakkunskap. Kommissionen bör genom genomförandeakter kunna upprätta minst en femårsplan för den inbördes granskningen samt fastställa kriterier och metoder för hur denna ordning ska fungera.

(100)  Utan att det påverkar den ordning för inbördes granskning som ska inrättas vid alla nationella myndigheter för cybersäkerhetscertifiering som omfattas av den europeiska ramen för cybersäkerhetscertifiering kan vissa europeiska ordningar för cybersäkerhetscertifiering innefatta en mekanism för inbördes bedömning för de organ som utfärdar europeiska cybersäkerhetscertifikat för IKT-produkter, IKT-tjänster och IKT-processer med assuransnivån ”hög” inom ramen för sådana ordningar. Den europeiska gruppen för cybersäkerhetscertifiering bör stödja tillämpningen av sådana mekanismer för inbördes bedömning. Den inbördes bedömningen bör framför allt bedöma huruvida organen i fråga utför sina uppgifter på ett harmoniserat sätt och de kan innefatta mekanismer för att överklaga. Resultaten av de inbördes granskningarna bör göras allmänt tillgängliga. De berörda organen får vidta lämpliga åtgärder för att anpassa sin praxis och expertis därefter.

(101)  ▌ Medlemsstaterna bör utse en eller flera nationella myndigheter för cybersäkerhetscertifiering som ska övervaka fullgörandet av skyldigheterna enligt denna förordning. En nationell myndighet för cybersäkerhetscertifiering kan vara en redan befintlig myndighet eller en ny myndighet. En medlemsstat bör också kunna fatta beslut, efter överenskommelse med en annan medlemsstat, om att utse en eller flera myndigheter för nationell cybersäkerhetscertifiering på den andra medlemsstatens territorium.

(102)  Nationella myndigheter för cybersäkerhetscertifiering bör särskilt övervaka och verkställa de skyldigheter som åligger en tillverkare eller en leverantör av IKT-produkter, IKT-tjänster eller IKT-processer som är etablerad på deras respektive territorier med avseende på EU-försäkran om överensstämmelse, bör bistå de nationella ackrediteringsorganen med övervakning och kontroll av verksamhet som bedrivs av organen för bedömning av överensstämmelse genom att förse dem med sakkunskap och relevant information, bör tillåta organ för bedömning av överensstämmelse att utföra sina uppgifter om dessa organ uppfyller de ytterligare krav som finns fastställda i en europeisk ordning för cybersäkerhetscertifiering och bör övervaka relevant utveckling på området för cybersäkerhetscertifiering ▌. De nationella myndigheterna ▌för cybersäkerhetscertifiering bör också behandla klagomål som lämnas in av fysiska eller juridiska personer avseende europeiska cybersäkerhetscertifikat som utfärdats av de myndigheterna eller avseende europeiska cybersäkerhetscertifikat som utfärdats av organ för bedömning av överensstämmelse, om sådana certifikat anger assuransnivå hög, bör i lämplig utsträckning undersöka det ärende som klagomålet gäller och bör underrätta den klagande om utvecklingen och resultatet av utredningen inom rimlig tid. De nationella myndigheterna för cybersäkerhetscertifiering bör dessutom samarbeta med andra nationella myndigheter ▌för cybersäkerhetscertifiering eller någon annan offentlig myndighet, bland annat genom att utbyta information om IKT-produkter, IKT-tjänster och IKT-processer som eventuellt avviker från kraven i denna förordning eller särskilda europeiska ordningar för cybersäkerhetscertifiering. Kommissionen bör underlätta sådant utbyte av information genom att erbjuda tillgång till ett allmänt stödsystem för elektronisk information, till exempel informations- och kommunikationssystemet för marknadskontroll (ICSMS) och systemet för snabb varning för farliga konsumentprodukter (Rapex) som redan används av marknadsövervakningsmyndigheterna i enlighet med förordning (EG) nr 765/2008.

(103)  För att säkerställa en konsekvent tillämpning av den europeiska ramen för cybersäkerhetscertifiering bör det inrättas en europeisk grupp för cybersäkerhetscertifiering, bestående av företrädare för nationella myndigheter för cybersäkerhetscertifiering eller andra berörda nationella myndigheter. Den europeiska gruppen för cybersäkerhetscertifierings främsta uppgifter bör vara att ge kommissionen råd och bistånd i dess arbete för att säkerställa konsekvent genomförande och tillämpning av den europeiska ramen för cybersäkerhetscertifiering, att bistå och ha ett nära samarbete med Enisa i utarbetandet av förslag till ordningar för cybersäkerhetscertifiering, att, i vederbörligen motiverade fall begära att Enisa utarbetar ett förslag till certifieringsordning samt att anta yttranden till Enisa om förslag till certifieringsordning och att anta yttranden riktade till kommissionen om underhåll och översyn av befintliga europeiska ordningar för cybersäkerhetscertifiering. Den europeiska gruppen för cybersäkerhetscertifiering bör underlätta utbytet av god praxis och expertis mellan de olika nationella myndigheterna för cybersäkerhetscertifiering som är ansvariga för bemyndigande av organ för bedömning av överensstämmelse och utfärdande av europeiska cybersäkerhetscertifikat.

(104)  För att öka medvetenheten och underlätta acceptansen för framtida europeiska ordningar för cybersäkerhetscertifiering kan kommissionen utfärda allmänna eller sektorsspecifika cybersäkerhetsriktlinjer, t.ex. vad gäller god praxis för cybersäkerhet eller ansvarsfullt cybersäkerhetsbeteende som belyser de positiva konsekvenserna av att använda certifierade IKT-produkter ▌, IKT-tjänster och IKT-processer.

(105)  För att ytterligare underlätta handeln och erkänna att IKT-leveranskedjorna är globala får avtal om ömsesidigt erkännande av europeiska cybersäkerhetscertifikat ingås av unionen i enlighet med artikel 218 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). Kommissionen får med beaktande av rådgivningen från Enisa och den europeiska gruppen för cybersäkerhetscertifiering rekommendera att relevanta förhandlingar inleds. Varje europeisk ordning för cybersäkerhetscertifiering bör föreskriva särskilda villkor för sådana avtal om ömsesidigt erkännande med tredjeländer.

(106)  För att säkerställa enhetliga villkor för tillämpningen av denna förordning bör kommissionen ges genomförandebefogenheter. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011(22).

(107)  Granskningsförfarandet bör användas för antagande av genomförandeakter om europeiska ordningar för cybersäkerhetscertifiering av IKT-produkter, IKT-tjänster och IKT-processer, om formerna för Enisas utförande av utredningar, om en plan för inbördes granskning av nationella myndigheter för cybersäkerhetscertifiering samt för antagande av genomförandeakter om förhållanden, format och förfaranden för anmälningar av ackrediterade organ för bedömning av överensstämmelse från de nationella myndigheterna för cybersäkerhetscertifiering ▌ till kommissionen.

(108)  Enisas verksamhet bör utvärderas regelbundet och på ett oberoende sätt. Utvärderingen bör beakta Enisas måluppfyllelse, dess arbetsmetoder och relevansen i dess uppgifter, särskilt dess uppgifter rörande operativt samarbete på unionsnivå. Utvärderingen bör även bedöma konsekvenserna, ändamålsenligheten och effektiviteten i fråga om den europeiska ramen för cybersäkerhetscertifiering. Vid en granskning ska kommissionen utvärdera hur Enisas roll som referenspunkt för råd och expertis kan stärkas och bör även utvärdera hur Enisa möjligen skulle kunna stödja bedömningen av IKT-produkter, IKT-tjänster och IKT-processer från tredjeländer som kommer in på unionsmarknaden och som inte är förenliga med unionsreglerna, om sådana IKT-produkter, IKT-tjänster och IKT-processer förs in i unionen

(109)  Eftersom målen för denna förordning inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen (EU‑fördraget). I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå detta mål.

(110)  Förordning (EU) nr 526/2013 bör upphävas.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

AVDELNING I

ALLMÄNNA BESTÄMMELSER

Artikel 1

Syfte och tillämpningsområde

1.   I syfte att säkerställa en väl fungerande inre marknad och samtidigt sträva efter att uppnå en hög nivå i fråga om cybersäkerhet, cyberresiliens och förtroende inom unionen, fastställer denna förordning

a)  mål, uppgifter och organisatoriska frågor som rör Enisa, ”Europeiska unionens cybersäkerhetsbyrå"▌, och

b)  ett ramverk för inrättandet av europeiska ordningar för cybersäkerhetscertifiering i syfte att säkerställa en tillfredsställande nivå i fråga om cybersäkerhet för IKT-produkter, IKT-tjänster och IKT-processer i unionen samt i syfte att undvika en fragmentering av den inre marknaden när det gäller certifieringsordningar i unionen.

Den ram som avses i första stycket led b ska användas utan att det påverkar tillämpningen av särskilda bestämmelser om frivillig eller obligatorisk certifiering i andra unionsrättsakter .

2.  Denna förordning påverkar inte medlemsstaternas befogenheter i fråga om verksamhet som berör allmän säkerhet, försvar, nationell säkerhet och statens verksamhet på straffrättens område.

Artikel 2

Definitioner

I denna förordning gäller följande definitioner:

1.  cybersäkerhet: all verksamhet som är nödvändig för att skydda nätverks- och informationssystem, användare av dessa system och andra berörda personer mot cyberhot.

2.  nätverks- och informationssystem: ett nätverks- och informationssystem enligt definitionen i artikel 4.1 i direktiv (EU) 2016/1148.

3.  nationell strategi för säkerheten i nätverks- och informationssystem: en nationell strategi för säkerheten i nätverks- och informationssystem enligt definitionen i artikel 4.3 i direktiv (EU) 2016/1148.

4.  leverantör av samhällsviktiga tjänster: en leverantör av samhällsviktiga tjänster enligt definitionen i artikel 4.4 i direktiv (EU) 2016/1148.

5.  leverantör av digitala tjänster: ▌en leverantör av digitala tjänster enligt definitionen i artikel 4.6 i direktiv (EU) 2016/1148.

6.  incident: en incident enligt definitionen i artikel 4.7 i direktiv (EU) 2016/1148.

7.  incidenthantering: incidenthantering enligt definitionen i artikel 4.8 i direktiv (EU) 2016/1148.

8.  cyberhot: en potentiell omständighet ▌, händelse eller handling som kan skada, störa eller på annat negativt sätt påverka nätverks- och informationssystem, användare dessa system och andra personer.

9.  europeisk ordning för cybersäkerhetscertifiering: en vittomfattande uppsättning regler, tekniska krav, standarder och förfaranden som fastställs på unionsnivå och som tillämpas på certifiering eller bedömning av överensstämmelse av särskilda IKT-produkter▌, IKT-tjänster och IKT-processer.

10.  nationell ordning för cybersäkerhetscertifiering: en komplett uppsättning regler, tekniska krav, standarder och förfaranden som utvecklas och antas av en nationell offentlig myndighet och som tillämpas vid certifiering eller vid bedömning av överensstämmelse av IKT-produkter, IKT-tjänster och IKT-processer som omfattas av tillämpningsområdet för den ordningen.

11.  europeiskt cybersäkerhetscertifikat: ett dokument, utfärdat av behörigt organ, som intygar att en viss IKT-produkt ▌, IKT-tjänst eller IKT-process, har utvärderats för kontroll av överensstämmelse med specifika säkerhetskrav som fastställs i en europeisk ordning för cybersäkerhetscertifiering.

12.  IKT-produkt ▌: en del, eller en grupp av delar, i nätverks- och informationssystem.

13.  IKT-tjänst: en tjänst som helt eller huvudsakligen består i överföring, lagring, hämtning eller behandling av information via nätverks- och informationssystem.

14.  IKT-process: verksamhet som utförs för att utforma, utveckla, tillhandahålla eller underhålla en IKT-produkt eller IKT-tjänst.

15.  ackreditering: ackreditering enligt definitionen i artikel 2.10 i förordning (EG) nr 765/2008.

16.  nationellt ackrediteringsorgan: ett nationellt ackrediteringsorgan enligt definitionen i artikel 2.11 i förordning (EG) nr 765/2008.

17.  bedömning av överensstämmelse: bedömning av överensstämmelse enligt definitionen i artikel 2.12 i förordning (EG) nr 765/2008.

18.  organ för bedömning av överensstämmelse: organ för bedömning av överensstämmelse enligt definitionen i artikel 2.13 i förordning (EG) nr 765/2008.

19.  standard: en standard enligt definitionen i artikel 2.1 i förordning (EU) nr 1025/2012.

20.  teknisk specifikation: ett dokument som anger de tekniska krav som ska uppfyllas av, eller vilka förfaranden för bedömning av överensstämmelse som gäller för en IKT-produkt, IKT-tjänst eller IKT-process.

21.  assuransnivå: förtroendegrund för att en IKT-produkt, IKT-tjänst eller IKT-process uppfyller säkerhetskraven i en särskild europeisk ordning för cybersäkerhetscertifiering och anger på vilken nivå en IKT-produkt, IKT-tjänst eller IKT-process har utvärderats, men som i sig inte mäter säkerheten i den berörda IKT-produkten, IKT-tjänsten eller IKT-processen.

22.  egenkontroll av överensstämmelse: en åtgärd som genomförs av en tillverkare eller en leverantör av IKT-produkter, IKT-tjänster eller IKT-processer, som utvärderar om dessa IKT-produkter, IKT-tjänster eller IKT-processer uppfyller kraven i n särskild europeisk ordning för cybersäkerhetscertifiering.

AVDELNING II

Enisa – Europeiska unionens cybersäkerhetsbyrå▌

KAPITEL I

MANDAT OCH MÅL▌

Artikel 3

Mandat

1.  Enisa ska utföra de uppgifter som den tilldelas genom denna förordning i syfte att uppnå en hög gemensam nivå i fråga om cybersäkerhet i hela unionen, bland annat genom att aktivt stödja medlemsstaterna, unionens institutioner, organ och byråer i arbetet med att förbättra cybersäkerheten. Enisa ska fungera som en referenspunkt för rådgivning och expertis i fråga om cybersäkerhet för unionens institutioner, organ och byråer samt för andra berörda unionsaktörer.

Genom att utföra de uppgifter den anförtrotts enligt denna förordning ska Enisa bidra till att minska fragmenteringen på den inre marknaden.

2.  Enisa ska utföra de uppgifter som den tilldelas genom unionsrättsakter som fastställer åtgärder för tillnärmning av de bestämmelser i medlemsstaternas lagar och andra författningar som rör cybersäkerhet.

3.  Vid utförandet av sina uppgifter ska Enisa agera självständigt och samtidigt undvika dubbelarbete i förhållande till medlemsstaternas verksamhet och ta hänsyn till medlemsstaternas befintliga expertis.

4.  Enisa ska ta fram sina egna nödvändiga resurser, däribland teknisk och mänsklig kapacitet och kompetens, för att utföra de uppgifter som den tilldelas enligt denna förordning.

Artikel 4

Mål

1.  Enisa ska vara ett expertcentrum inom området cybersäkerhet genom sitt oberoende, den vetenskapliga och tekniska kvaliteten på de råd, den assistans och den information den tillhandahåller, öppenheten i dess operativa förfaranden och arbetssätt samt genom ett kompetent utförande av sina uppgifter.

2.  Enisa ska bistå unionens institutioner, organ och byråer, samt medlemsstaterna, med utarbetande och genomförande av unionens politiska åtgärder som rör cybersäkerhet, inbegripet sektorspolitik på cybersäkerhetsområdet.

3.  Enisa ska stödja kapacitetsuppbyggnad och beredskap i hela unionen genom att bistå unionens institutioner, organ och byråer, liksom medlemsstaterna och offentliga och privata intressenter i syfte att öka skyddet av deras nätverks- och informationssystem, utveckla och förbättra cyberresiliens och insatskapacitet samt utveckla färdigheter och kompetens inom området cybersäkerhet ▌.

4.  Enisa ska främja samarbete, däribland informationsutbyte, och samordning på unionsnivå mellan medlemsstater, unionens institutioner, organ och byråer samt berörda privata och offentliga intressenter ▌i frågor som rör cybersäkerhet.

5.  Enisa ska bidra till att öka cybersäkerhetskapaciteten på unionsnivå i syfte att stödja medlemsstaternas åtgärder för att förebygga och vidta åtgärder mot cyberhot, särskilt vid gränsöverskridande incidenter.

6.  Enisa ska främja användningen av europeisk cybersäkerhetscertifiering, i syfte att undvika en fragmentering av den inre marknaden. Enisa ska bidra till inrättandet och underhållandet av ett europeiskt ramverk för cybersäkerhetscertifiering i enlighet med avdelning III i denna förordning, i syfte att öka transparensen i fråga om cybersäkerhet hos IKT-produkter, IKT-tjänster och IKT-processer och därigenom stärka förtroendet för den digitala inre marknaden och dess konkurrenskraft.

7.  Enisa ska främja en hög nivå av medvetenhet om cybersäkerhet, inklusive it-hygien och it-kompetens hos privatpersoner, organisationer och företag.

KAPITEL II

UPPGIFTER

Artikel 5

Utarbetande och genomförande av unionens politik och lagstiftning

Enisa ska bidra till utarbetandet och genomförandet av unionens politik och lagstiftning genom att

1.  bistå och ge råd i fråga om utarbetande och översyn av unionens politik och lagstiftning inom området cybersäkerhet och i fråga om sektorsspecifika strategier och lagförslag där frågor som rör cybersäkerhet ingår, särskilt genom att tillhandahålla oberoende yttranden och analyser samt förberedande arbete.

2.  hjälpa medlemsstaterna att på ett konsekvent sätt genomföra unionens politik och lagstiftning som rör cybersäkerhet, i synnerhet vad gäller direktiv (EU) 2016/1148, bland annat genom yttranden, riktlinjer, råd och bästa praxis i frågor såsom riskhantering, incidentrapportering och informationsutbyte, samt genom att underlätta utbytet av bästa praxis mellan behöriga myndigheter i detta avseende,

3.  hjälpa medlemsstater och unionens institutioner, organ och byråer med att utveckla och främja politik på cybersäkerhetsområdet som rör underhållandet av den allmänna tillgängligheten till eller integriteten för den offentliga kärnan av ett öppet internet,

4.  bidra till arbetet i samarbetsgruppen enligt artikel 11 i direktiv (EU) 2016/1148 genom att tillhandahålla expertis och bistånd,

5.  stödja

a)  utarbetandet och genomförandet av unionens politik inom området elektronisk identitet och betrodda tjänster, i synnerhet genom att tillhandahålla råd och utfärda tekniska riktlinjer, samt genom att underlätta utbytet av bästa praxis mellan behöriga myndigheter,

b)  främjandet av en högre säkerhetsnivå för elektronisk kommunikation, bland annat genom att tillhandahålla råd och expertis, samt genom att underlätta utbytet av bästa praxis mellan behöriga myndigheter,

c)  medlemsstater vid genomförandet av specifika cybersäkerhetsaspekter av unionspolitik och lagstiftning som rör integritets- och personuppgiftsskydd, inbegripet genom att, på begäran, tillhandahålla rådgivning till Europeiska dataskyddsstyrelsen,

6.  stödja den regelbundna översynen av unionens politiska verksamhet genom att utarbeta en årlig rapport om hur genomförandet av respektive rättsliga ramar framskrider avseende

a)  information om medlemsstaternas incidentrapporter som överlämnas av de gemensamma kontaktpunkterna till samarbetsgruppen enligt artikel 10.3 i direktiv (EU) 2016/1148,

b)  sammanfattningar av anmälningar om säkerhetsöverträdelser eller integritetsförlust som erhållits från leverantörerna av betrodda tjänster, som överlämnas av tillsynsorganen till Enisa, enligt artikel 19.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014(23),

c)  anmälningar om ▌säkerhetsincidenter som överlämnats av tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster, som överlämnas av de behöriga myndigheterna till Enisa, enligt artikel 40 i direktiv (EU) 2018/1972.

Artikel 6

Kapacitetsuppbyggnad

1.  Enisa ska bistå

a)  medlemsstaterna i deras ansträngningar för att förbättra förebyggandet, upptäckten och analysen av, samt kapaciteten att reagera på, cyberhot och cyberincidenter genom att förse dem med kunskaper och nödvändig expertis,

b)  medlemsstaterna och unionens institutioner, organ och byråer med att fastställa och genomföra frivilliga riktlinjer för offentliggörande av sårbarheter,

c)  unionens institutioner, ▌ organ och byråer, i deras ansträngningar för att förbättra förebyggandet, upptäckten och analysen av cyberhot och cyberincidenter, samt förbättra kapaciteten att reagera på sådana cyberhot och cyberincidenter, särskilt genom lämpligt stöd för CERT-EU,

d)  medlemsstaterna, på deras begäran, med inrättandet av nationella CSIRT-enheter enligt artikel 9.5 i direktiv (EU) 2016/1148,

e)  medlemsstaterna, på deras begäran, med utarbetandet av nationella strategier för säkerhet i nätverks- och informationssystem, enligt artikel 7.2 i direktiv (EU) 2016/1148; och främja spridning av dessa strategier och notera framstegen med genomförandet av dessa i hela unionen i syfte att främja bästa praxis,

f)  unionens institutioner med utarbetandet och översynen av unionens strategier avseende cybersäkerhet och därvid främja deras spridning och övervaka framstegen i genomförandet av dem,

g)  nationella CSIRT-enheter och CSIRT-enheter på unionsnivå i deras arbete för att öka sin kapacitet, bland annat genom att främja dialog och informationsutbyte, för att säkerställa att alla CSIRT-enheter när det gäller den tekniska nivån har gemensamma minimikrav för kapaciteten och att deras verksamhet följer bästa praxis,

h)  medlemsstaterna genom att organisera regelbundna cybersäkerhetsövningar på unionsnivå enligt artikel 7.5 i vart fall vartannat år och genom att avge policyrekommendationer som grundar sig på utvärderingar av övningarna och på lärdomar som dragits av dem,

i)  behöriga offentliga organ genom att erbjuda utbildning om cybersäkerhet, om lämpligt i samarbete med intressenter,

j)  samarbetsgruppen, med att utbyta ▌ bästa praxis, i synnerhet för medlemsstaternas identifiering av leverantörer av samhällsviktiga tjänster, enligt artikel 11.3 l i direktiv (EU) 2016/1148, inklusive vid gränsöverskridande beroenden, vad gäller risker och incidenter.

2.  Enisa ska stödja informationsutbyte inom och mellan sektorer, i synnerhet i de sektorer som förtecknas i bilaga II till direktiv (EU) 2016/1148, genom att tillhandahålla bästa praxis och vägledning i fråga om tillgängliga verktyg, om förfaranden samt om hur regleringsfrågor som rör informationsutbyte ska hanteras.

Artikel 7

Operativt samarbete på unionsnivå

1.  Enisa ska stödja operativt samarbete mellan medlemsstaterna, unionens institutioner, organ och byråer och mellan intressenter.

2.  Enisa ska samarbeta på operativ nivå och skapa synergier med unionens institutioner, ▌ organ och byråer, inbegripet CERT-EU, med de enheter som arbetar med it-brottslighet och med tillsynsmyndigheter som arbetar med integritets- och personuppgiftsskydd, i syfte att ta itu med frågor av gemensamt intresse, inbegripet genom

a)  utbyte av sakkunskap och bästa praxis,

b)  tillhandahållande av råd och utfärdande av riktlinjer om relevanta frågor som rör cybersäkerhet,

c)  inrättande av praktiska arrangemang för utförande av särskilda uppgifter, efter samråd med kommissionen.

3.  Enisa ska tillhandahålla sekretariatet för CSIRT-nätverket enligt artikel 12.2 i direktiv (EU) 2016/1148 och ska i denna egenskap aktivt stödja informationsutbytet och samarbetet mellan nätverkets medlemmar.

4.  Enisa ska stödja medlemsstaterna i det operativa samarbetet inom CSIRT-nätverket ▌genom att

a)  ge råd om hur de kan förbättra sin kapacitet att förebygga, upptäcka och reagera på incidenter, och på begäran från en eller flera medlemsstater, tillhandahålla rådgivning avseende ett specifikt cyberhot,

b)  ▌ begäran från en eller flera medlemsstater bistå vid bedömningen av incidenter som har en betydande eller avsevärd inverkan genom att tillhandahålla expertis och underlätta den tekniska hanteringen av sådana incidenter, bland annat särskilt genom att stödja frivilligt utbyte av relevant information och tekniska lösningar mellan medlemsstaterna,

c)  analysera sårbarheter ▌och incidenter på grundval av allmänt tillgänglig information eller information som medlemsstaterna på frivillig basis tillhandahållit för det ändamålet, och

d)  på begäran från en eller flera medlemsstater, ge stöd till tekniska efterhandsundersökningar av incidenter som har en betydande eller avsevärd inverkan i den mening som avses i direktiv (EU) 2016/1148.

Vid fullgörandet av dessa uppgifter ska Enisa och CERT-EU samarbeta på ett strukturerat sätt för att dra nytta av synergier och undvika dubbelarbete.

5.  Enisa ska organisera regelbundna cybersäkerhetsövningar på unionsnivå och bistå medlemsstater och unionens institutioner, organ och byråer med att organisera cybersäkerhetsövningar på deras begäran. Sådana cybersäkerhetsövningar på unionsnivå får innehålla tekniska, operativa och strategiska element. En gång vartannat år ska Enisa organisera en storskalig heltäckande övning.

När det är lämpligt ska Enisa också bidra till och hjälpa till att organisera sektorsvisa cybersäkerhetsövningar tillsammans med berörda organisationer som även deltar i cybersäkerhetsövningar på unionsnivå.

6.  Enisa ska, i nära samarbete med medlemsstaterna, regelbundet utarbeta en djupgående teknisk lägesrapport om cybersäkerheten i EU om incidenter och cyberhot på grundval av offentligt tillgänglig information, egna analyser och rapporter som den får från bland andra medlemsstaternas CSIRT-enheter ▌eller de gemensamma kontaktpunkterna som inrättats genom direktiv (EU) 2016/1148, båda på frivillig grund, EC3 och CERT-EU.

7.  Enisa ska bidra till att utveckla en samarbetsinriktad respons, på unions- och medlemsstatsnivå, för att hantera storskaliga gränsöverskridande incidenter eller kriser som rör cybersäkerhet, främst genom att

a)  sammanställa och analysera rapporter från nationella källor som är allmänt tillgängliga eller har delats på frivillig grund i syfte att bidra till att skapa en gemensam situationsmedvetenhet,

b)  säkerställa ett effektivt informationsflöde och tillhandahålla mekanismer för eskalering mellan CSIRT-nätverket och de tekniska och politiska beslutsfattarna på unionsnivå,

c)  på begäran underlätta den tekniska hanteringen av sådana incidenter eller kriser, däribland särskilt genom att stödja frivilligt utbyte av tekniska lösningar mellan medlemsstaterna,

d)  stödja unionens institutioner, organ och byråer och, på deras begäran, medlemsstater i den offentliga kommunikationen om sådana incidenter eller kriser,

e)  testa samarbetsplanerna för hantering av sådana incidenter eller kriser på unionsnivå och på deras begäran stödja medlemsstaterna med att testa sådana planer på nationell nivå.

Artikel 8

Marknad, cybersäkerhetscertifiering och standardisering

1.  Enisa ska stödja och främja utvecklingen och genomförandet av unionens politik för cybersäkerhetscertifiering av IKT-produkter ▌, IKT-tjänster och IKT-processer, enligt avdelning III i denna förordning, genom att

a)  fortlöpande övervaka utvecklingen i fråga om standardisering inom anknutna områden och rekommendera lämpliga tekniska specifikationer för användning vid utveckling av de europeiska ordningarna för cybersäkerhetscertifiering enligt artikel 54.1 c där standarder inte finns tillgängliga,

b)  utarbeta förslag till europeiska ordningar för cybersäkerhetscertifiering (nedan kallade förslag till certifieringsordning) för IKT-produkter och IKT-tjänster och IKT-processer, i samarbete med branschen och i enlighet med artikel 49,

c)  utvärdera antagna europeiska ordningar för cybersäkerhetscertifiering i enlighet med artikel 49.8,

d)  delta i sakkunnigbedömningar enligt artikel 59.4,

e)  bistå kommissionen med att tillhandahålla sekretariatet för europeiska gruppen för cybersäkerhetscertifiering i enlighet med artikel 65.5,

2.  Enisa ska tillhandahålla sekretariatet för europeiska gruppen för cybersäkerhetscertifiering i enlighet med artikel 22.4.

3.  Enisa ska sammanställa och offentliggöra riktlinjer och utveckla god praxis, däribland om principer om it-hygien när det gäller cybersäkerhetskraven för IKT-produkter, IKT-tjänster och IKT-processer, i samarbete med nationella myndigheter för cybersäkerhetscertifiering och branschen på ett formellt, standardiserat och transparent sätt.

4.   Enisa ska bidra till kapacitetsuppbyggnad i samband med utvärderings- och certifieringsprocesser genom att sammanställa och utfärda riktlinjer samt ge stöd till medlemsstaterna på deras begäran.

5.  Enisa ska underlätta upprättandet och tillämpningen av europeiska och internationella standarder för riskhantering och för säkerheten hos IKT-produkter, IKT-tjänster och IKT-processer ▌.

6.   Enisa ska, i samarbete med medlemsstaterna och branschen, utarbeta råd och riktlinjer avseende de tekniska områden som har en koppling till säkerhetskraven för leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster, samt avseende redan befintliga standarder, inbegripet medlemsstaternas nationella standarder, i enlighet med artikel 19.2 i direktiv (EU) 2016/1148.

7.  Enisa ska genomföra och sprida regelbundna analyser av de viktigaste trenderna på marknaden för cybersäkerhet på både efterfråge- och utbudssidan, i syfte att främja marknaden för cybersäkerhet i unionen.

Artikel 9

Kunskap och information

Enisa ska

a)  genomföra analyser av framväxande teknik och tillhandahålla ämnesspecifika bedömningar om tekniska innovationers förväntade samhälleliga, rättsliga, ekonomiska och regleringsrelaterade konsekvenser för cybersäkerhet,

b)  genomföra långsiktiga strategiska analyser av cyberhot och cybersäkerhetsincidenter i syfte att identifiera framväxande trender och bidra till att förebygga ▌incidenter,

c)  i samarbete med experter från medlemsstaternas myndigheter och berörda intressenter tillhandahålla råd, vägledning och bästa praxis avseende säkerheten i nätverks- och informationssystem, i synnerhet avseende säkerheten hos ▌de infrastrukturer som understödjer de sektorer som förtecknas i bilaga II till direktiv (EU) 2016/1148 och de som används av de leverantörer av digitala tjänster som förtecknas i bilaga III i det direktivet,

d)  via en särskild portal samla, organisera och för allmänheten tillgängliggöra information om cybersäkerhet som tillhandahålls av unionens institutioner, byråer och organ och information om cybersäkerhet som tillhandahålls på frivillig grund av medlemsstaterna samt privata och offentliga intressenter,

e)  samla in och analysera allmänt tillgänglig information om betydande incidenter och sammanställa rapporter i syfte att ge vägledning till privatpersoner, organisationer och företag i hela unionen.

Artikel 10

Medvetandehöjande åtgärder och utbildning

Enisa ska

a)  öka allmänhetens medvetenhet om cybersäkerhetsrisker och ge vägledning om god praxis för enskilda användare, som är inriktad på privatpersoner, organisationer och företag, inklusive it-hygien och it-kompetens,

b)  i samarbete med medlemsstaterna ▌, unionens institutioner, organ, ▌byråer och branschen organisera regelbundna informationskampanjer för att öka cybersäkerheten och dess synlighet i unionen och främja en bred offentlig debatt,

c)  bistå medlemsstaterna i deras insatser för att öka medvetenheten om cybersäkerhet och främja utbildning i cybersäkerhet,

d)  främja närmare samordning och utbyte av bästa praxis mellan medlemsstaterna vad gäller cybersäkerhetsutbildning och cybersäkerhetsmedvetenhet.

Artikel 11

Forskning och innovation

När det gäller forskning och innovation ska Enisa

a)  ge råd till unionens institutioner, organ och byråer och medlemsstaterna om forskningsbehov och forskningsprioriteringar inom området cybersäkerhet, för att möjliggöra ett effektivt svar på befintliga och nya risker och cyberhot, bland annat när det gäller ny och framväxande informations- och kommunikationsteknik, och för att säkerställa en effektiv användning av riskförebyggande teknik,

b)  delta, om kommissionen har delegerat relevanta befogenheter till den, i genomförandefasen av finansieringsprogram för forskning och innovation, eller som stödmottagare.

c)  bidra till en strategisk forsknings- och innovationsagenda på unionsnivå inom området cybersäkerhet.

Artikel 12

Internationellt samarbete

Enisa ska bidra till unionens insatser för att samarbeta med tredjeländer och internationella organisationer samt inom ramarna för relevant internationellt samarbete för att främja internationellt samarbete i frågor som rör cybersäkerhet, genom att

a)  om lämpligt delta som observatör i anordnandet av internationella övningar samt analysera och rapportera till styrelsen om resultaten av sådana övningar,

b)  på begäran från kommissionen underlätta utbyte av bästa praxis ▌,

c)  på begäran från kommissionen tillhandahålla den expertis,

d)  tillhandahålla rådgivning och stöd till kommissionen i frågor som rör avtal om ömsesidigt erkännande av cybersäkerhetscertifikat med tredjeländer i samarbete med medlemsstaternas grupp för cybersäkerhetscertifiering som inrättats enligt artikel 62.

KAPITEL III

ENISAS ORGANISATION

Artikel 13

Enisas struktur

Enisas förvaltnings- och ledningsstruktur ska bestå av

a)  en styrelse,

b)  en direktion,

c)  en verkställande direktör, ▌

d)  Enisas rådgivande grupp,

e)  ett nätverk för nationella kontaktpersoner.

AVSNITT 1

STYRELSE

Artikel 14

Styrelsens sammansättning

1.  Styrelsen ska bestå av en ledamot som utses av varje medlemsstat och två ledamöter som utses av kommissionen. Samtliga ledamöter ska ha rösträtt.

2.  Varje ledamot av styrelsen ska ha en suppleant. Den suppleanten ska företräda ledamoten i ledamotens frånvaro.

3.  Styrelseledamöterna och deras suppleanter ska utses mot bakgrund av deras kunskaper inom området cybersäkerhet, med hänsyn till relevanta färdigheter i fråga om ledarskap, administration och budget. Kommissionen och medlemsstaterna ska bemöda sig om att begränsa omsättningen av sina företrädare i styrelsen för att säkerställa kontinuitet i styrelsens arbete. Kommissionen och medlemsstaterna ska sträva efter att uppnå en jämn könsfördelning i styrelsen.

4.  Mandatperioden för styrelsens ledamöter och deras suppleanter ska vara fyra år. Mandatperioden får förnyas.

Artikel 15

Styrelsens uppgifter

1.  Styrelsen ska göra följande:

a)  Fastställa de allmänna riktlinjerna för Enisas arbete och även se till att Enisa agerar i enlighet med de regler och principer som fastställs i denna förordning; den ska även se till att Enisas arbete överensstämmer med det arbete som utförs av medlemsstaterna och på unionsnivå.

b)  Anta Enisas utkast till samlat programdokument som avses i artikel 24 innan det överlämnas till kommissionen för yttrande.

c)  Anta Enisas samlade programdokument, med beaktande av kommissionens yttrande

d)  Övervaka genomförandet av den fleråriga och årliga programplaneringen som ingår i det samlade programdokumentet.

e)  Anta Enisas årsbudget och utföra andra uppgifter rörande Enisas budget i enlighet med kapitel IV.

f)  Bedöma och anta den konsoliderade årliga rapporten om Enisas verksamhet, inklusive räkenskaperna och en beskrivning av hur Enisa har uppnått sina resultatindikatorer, senast den 1 juli följande år sända både den årliga rapporten och bedömningen av denna till Europaparlamentet, rådet, kommissionen och revisionsrätten samt offentliggöra den årliga rapporten.

g)  Anta de finansiella regler som ska tillämpas på Enisa i enlighet med artikel 32.

h)  Anta en bedrägeribekämpningsstrategi som står i proportion till bedrägeririskerna med beaktande av en kostnads–nyttoanalys av de åtgärder som ska genomföras.

i)  Anta regler för att förebygga och hantera intressekonflikter bland ledamöterna.

j)  Säkerställa lämplig uppföljning av slutsatserna och rekommendationerna från utredningar som genomförs av Europeiska byrån för bedrägeribekämpning (Olaf) och från olika interna eller externa revisionsrapporter och utvärderingar.

k)  Anta sin arbetsordning, inbegripet regler för interimistiska beslut om delegeringen av särskilda uppgifter enligt artikel 19.7.

l)  I enlighet med punkt 2, med avseende på Enisas personal, utöva de befogenheter som i tjänsteföreskrifterna för tjänstemän (nedan kallade tjänsteföreskrifterna) och i anställningsvillkoren för övriga anställda i Europeiska unionen (nedan kallade anställningsvillkoren), som fastställs i rådets förordning (EEC, Euratom, EKSG) nr 259/68(24) tilldelas tillsättningsmyndigheten och den myndighet som har befogenhet att sluta anställningsavtal (nedan kallade befogenheter som tillsättningsmyndighet) i enlighet med punkt 2.

m)  Anta genomförandebestämmelser till tjänsteföreskrifterna och anställningsvillkoren i enlighet med förfarandet i artikel 110 i tjänsteföreskrifterna.

n)  Utse den verkställande direktören och i förekommande fall förlänga dennes mandatperiod eller avsätta honom eller henne i enlighet med artikel 36.

o)  Utse en räkenskapsförare, som kan vara kommissionens räkenskapsförare, som ska vara helt oberoende i sin tjänsteutövning.

p)  Fatta alla beslut som rör inrättandet av Enisas interna strukturer och, vid behov, ändringar av dessa interna strukturer, med beaktande av Enisas verksamhetsbehov och en sund budgetförvaltning.

q)  Godkänna fastställandet av samarbetsavtal med avseende på artikel 7.

r)  Godkänna fastställandet eller ingåendet av samarbetsavtal i enlighet med artikel 42.

2.  Styrelsen ska, i enlighet med artikel 110 i tjänsteföreskrifterna, anta ett beslut grundat på artikel 2.1 i tjänsteföreskrifterna och artikel 6 i anställningsvillkoren för övriga anställda om att delegera relevanta befogenheter som tillsättningsmyndighet till den verkställande direktören och fastställa på vilka villkor denna delegering av befogenheter kan dras in. Den verkställande direktören får vidaredelegera dessa befogenheter.

3.  Vid exceptionella omständigheter får styrelsen anta ett beslut om att tillfälligt dra in delegeringen till den verkställande direktören av befogenheterna som tillsättningsmyndighet samt de befogenheter som tillsättningsmyndighet som den verkställande direktören vidaredelegerat, och i stället utöva dem själv eller delegera dem till en av sina ledamöter eller till någon annan anställd än den verkställande direktören.

Artikel 16

Styrelsens ordförande

Styrelsen ska välja en ordförande och en vice ordförande bland sina ledamöter, med två tredjedelars majoritet av ledamöterna. Deras mandatperiod ska vara fyra år, som får förnyas en gång. Om deras uppdrag som styrelseledamot upphör någon gång under deras mandatperiod upphör deras mandatperiod automatiskt vid denna tidpunkt. Vice ordföranden ska inträda i ordförandens ställe om ordföranden inte kan fullgöra sina plikter.

Artikel 17

Styrelsens sammanträden

1.  Styrelsens sammanträden ska sammankallas av dess ordförande.

2.  Styrelsen ska hålla minst två ordinarie sammanträden per år. Den ska också hålla extra sammanträden på ordförandens begäran, på kommissionens begäran eller på begäran av minst en tredjedel av ledamöterna.

3.  Den verkställande direktören ska delta i styrelsesammanträdena, men ska inte ha rösträtt.

4.  Ledamöterna i Enisas rådgivande grupp får på inbjudan av ordföranden delta i styrelsens sammanträden, men ska inte ha rösträtt.

5.  Styrelseledamöterna och deras suppleanter får, med förbehåll för styrelsens arbetsordning, låta sig biträdas av rådgivare eller experter vid styrelsens sammanträden.

6.  Enisa ska tillhandahålla sekretariatet för styrelsen.

Artikel 18

Omröstningsbestämmelser för styrelsen

1.  Styrelsen ska fatta beslut med en majoritet av sina ledamöter.

2.  Två tredjedelars majoritet av styrelseledamöterna ska krävas för att anta det samlade programdokumentet och den årliga budgeten samt för utnämning av, förlängning av mandatet för eller avsättning av den verkställande direktören.

3.  Varje ledamot ska ha en röst. I en ledamots frånvaro ska suppleanten ha rätt att utöva ledamotens rösträtt.

4.  Styrelsens ordförande ska delta i omröstningen.

5.  Den verkställande direktören ska inte delta i omröstningen.

6.  Närmare bestämmelser om röstningsförfarandena, i synnerhet på vilka villkor en ledamot får agera på en annan ledamots vägnar, ska fastställas i styrelsens arbetsordning.

AVSNITT 2

DIREKTION

Artikel 19

Direktion

1.  Styrelsen ska bistås av en direktion.

2.  Direktionen ska

a)  förbereda beslut som ska antas av styrelsen,

b)  tillsammans med styrelsen säkerställa lämplig uppföljning av slutsatserna och rekommendationerna från utredningar som utförts av Europeiska byrån för bedrägeribekämpning (Olaf) och från olika interna eller externa revisionsrapporter och utvärderingar,

c)  utan att det påverkar den verkställande direktörens ansvar enligt artikel 20 bistå och ge råd till den verkställande direktören vid genomförandet av styrelsens beslut i frågor som rör administration och budget enligt artikel 20.

3.  Direktionen ska bestå av fem ledamöter. Ledamöterna i direktionen ska utses bland styrelseledamöterna. En av ledamöterna ska vara styrelsens ordförande, som även kan vara direktionens ordförande, och en annan ska vara en av kommissionens företrädare. Utnämningarna av ledamöter i direktionen ska syfta till att uppnå en jämn könsfördelning i direktionen. Den verkställande direktören ska delta i direktionens sammanträden, men ska inte ha rösträtt.

4.  Mandatperioden för ledamöterna i direktionen ska vara fyra år. Mandatperioden får förnyas.

5.  Direktionen ska sammanträda minst var tredje månad. Direktionens ordförande ska sammankalla extra sammanträden på begäran av direktionens ledamöter.

6.  Direktionens arbetsordning ska fastställas av styrelsen.

7.  Vid behov får direktionen, i brådskande fall, fatta vissa interimistiska beslut på styrelsens vägnar, särskilt i frågor som rör den administrativa ledningen, inklusive om indragning av delegeringen av befogenheterna som tillsättningsmyndighet och budgetfrågor. Sådana interimistiska beslut ska utan onödigt dröjsmål meddelas styrelsen. Styrelsen ska besluta huruvida det interimistiska beslutet ska godkännas eller avslås senast tre månader efter att beslutet fattades. Direktionen ska inte fatta beslut för styrelsens räkning som kräver godkännande av två tredjedelars majoritet av styrelsens ledamöter.

AVSNITT 3

VERKSTÄLLANDE DIREKTÖR

Artikel 20

Den verkställande direktörens ansvarsområden

1.  Enisa ska ledas av den verkställande direktören, som ska vara oberoende i sin tjänsteutövning. Den verkställande direktören ska vara ansvarig inför styrelsen.

2.  Den verkställande direktören ska på begäran rapportera till Europaparlamentet om resultatet av sitt arbete. Rådet får uppmana den verkställande direktören att rapportera om resultatet av sitt arbete.

3.  Den verkställande direktören ska ha ansvar för följande:

a)  Sköta Enisas dagliga förvaltning.

b)  Genomföra de beslut som antas av styrelsen.

c)  Utarbeta utkastet till det samlade programdokumentet och lämna det till styrelsen för godkännande innan det lämnas till kommissionen.

d)  Genomföra det samlade programdokumentet och rapportera till styrelsen om detta.

e)  Utarbeta den konsoliderade årliga rapporten om Enisas verksamhet, inbegripet genomförandet av det årliga arbetsprogrammet, och framlägga den för styrelsen för bedömning och antagande.

f)  Utarbeta en handlingsplan för uppföljning av slutsatserna från efterhandsutvärderingarna samt rapportera vartannat år till kommissionen om de framsteg som gjorts.

g)  Utarbeta en handlingsplan för uppföljning av slutsatserna från interna eller externa revisionsrapporter, liksom utredningar utförda av Olaf, samt rapportera om läget vartannat år till kommissionen och regelbundet till styrelsen.

h)  Utarbeta ett utkast till finansiella regler som ska tillämpas på Enisa som avses i artikel 32.

i)  Upprätta Enisas preliminära beräkning av inkomster och utgifter och genomföra dess budget.

j)  Skydda unionens finansiella intressen genom förebyggande åtgärder mot bedrägeri, korruption och annan olaglig verksamhet, genom effektiva kontroller och, om oriktigheter upptäcks, genom återkrav av felaktigt utbetalda belopp samt vid behov genom effektiva, proportionella och avskräckande administrativa och ekonomiska sanktioner.

k)  Utarbeta en strategi för bedrägeribekämpning för Enisa och lägga fram den för styrelsen för godkännande.

l)  Utveckla och underhålla kontakter med näringslivet och konsumentorganisationer för att säkerställa en regelbunden dialog med berörda intressenter.

m)  Regelbundet utbyta synpunkter och information med unionens institutioner, organ och byråer om deras cybersäkerhetsverksamhet för att säkerställa att unionens policy utvecklas och genomförs på ett enhetligt sätt.

n)  Utföra andra uppgifter som den verkställande direktören tilldelas genom denna förordning.

4.  När så är nödvändigt och inom ramen för Enisas mål och uppgifter, får den verkställande direktören inrätta arbetsgrupper bestående av experter, inbegripet experter från medlemsstaternas behöriga myndigheter. Den verkställande direktören ska underrätta styrelsen om detta i förväg. Förfarandena avseende i synnerhet sammansättningen av arbetsgrupperna, den verkställande direktörens tillsättning av arbetsgruppernas experter och arbetsgruppernas arbete ska anges i Enisas interna verksamhetsregler.

5.  Där så är nödvändigt för att Enisa ska kunna utföra sina uppgifter på ett effektivt och ändamålsenligt sätt och grundat på en ändamålsenlig kostnads–nyttoanalys, får den verkställande direktören besluta att inrätta ett eller flera lokala kontor i en eller flera medlemsstater. Innan den verkställande direktören beslutar att inrätta ett lokalt kontor ska han eller hon inhämta ett yttrande från den eller de berörda medlemsstaterna, däribland den medlemsstat där Enisa har sitt säte, och ett förhandsgodkännande från kommissionen och styrelsen. Om oenighet råder under samrådsprocessen mellan den verkställande direktören och de berörda medlemsstaterna ska frågan överlämnas till rådet för diskussion. Det sammanlagda antalet anställda vid alla lokala kontor ska begränsas till ett minimum och inte uppgå till över 40 % av antalet anställda vid Enisa i den medlemsstat där Enisa har sitt säte. Antalet anställda vid varje lokalt kontor ska inte uppgå till över 10 % av antalet anställda vid Enisa i den medlemsstat där Enisa har sitt säte.

I beslutet om att inrätta ett lokalt kontor ska man ange omfattningen av den verksamhet som ska bedrivas vid det lokala kontoret på ett sätt som undviker onödiga kostnader och överlappning av Enisas administrativa uppgifter. ▌

AVSNITT 4

ENISAS RÅDGIVANDE GRUPP, INTRESSENTGRUPPEN FÖR CYBERSÄKERHETSCERTIFIERING OCH NÄTVERK FÖR NATIONELLA KONTAKTPERSONER

Artikel 21

Enisas rådgivande grupp

1.  Styrelsen ska på förslag av den verkställande direktören på ett transparent sätt inrätta Enisas rådgivande grupp, som ska bestå av erkända experter som företräder berörda intressenter, exempelvis IKT-branschen, leverantörer av allmänt tillgängliga elektroniska kommunikationsnät eller kommunikationstjänster, små och medelstora företag, leverantörer av samhällsviktiga tjänster, konsumentgrupper, experter på cybersäkerhetsområdet från den akademiska världen och företrädare för behöriga myndigheter som anmälts i enlighet med ▌direktiv (EU) 2018/1972, europeiska standardiseringsorganisationer samt rättsvårdande myndigheter och tillsynsmyndigheter med ansvar för dataskydd. Styrelsen ska sträva efter att säkerställa lämplig könsfördelning, geografisk fördelning samt fördelning mellan olika intressentgrupper.

2.  Förfaranden för Enisas rådgivande grupp, i synnerhet avseende gruppens sammansättning, förslaget från den verkställande direktören som avses i punkt 1, medlemsantal och samt utnämning av gruppens medlemmar, och den rådgivande gruppens arbete, ska anges i Enisas interna verksamhetsregler och ska offentliggöras.

3.  Den verkställande direktören eller en person som han eller hon utser från fall till fall ska vara ordförande för ▌Enisas rådgivande grupp.

4.  Mandatperioden för medlemmar i Enisas rådgivande grupp ska vara två och ett halvt år. Styrelseledamöter får inte vara medlemmar i Enisas rådgivande grupp. Experter från kommissionen och medlemsstaterna får närvara vid mötena i Enisas rådgivande grupp och delta i dess arbete. Företrädare för andra organ som av den verkställande direktören anses som relevanta, men som inte är medlemmar av Enisas rådgivande grupp, får bjudas in att närvara vid den rådgivande gruppens möten och delta i dess arbete.

5.  Enisas rådgivande grupp ska ge Enisa råd med avseende på genomförandet av Enisas verksamhet, med undantag av tillämpningen av avdelning III i denna förordning. Den ska i synnerhet ge den verkställande direktören råd om utarbetandet av förslaget till Enisas årliga arbetsprogram och om kommunikationen med berörda intressenter om ▌frågor kopplade till det årliga arbetsprogrammet.

6.  Enisas rådgivande grupp ska regelbundet informera styrelsen om sin verksamhet.

Artikel 22

Intressentgruppen för cybersäkerhetscertifiering

1.  Intressentgruppen för cybersäkerhetscertifiering ska inrättas.

2.  Intressentgruppen för cybersäkerhetscertifiering ska bestå av medlemmar som ska väljas bland erkända experter som företräder berörda intressenter. Kommissionen ska, genom en öppen och transparent inbjudan på förslag från Enisa, välja ut medlemmarna i intressentgruppen för cybersäkerhetscertifiering, och säkerställa lämplig fördelning mellan de olika intressentgrupperna samt en lämplig könsfördelning och geografisk fördelning.

3.  Intressentgruppen för cybersäkerhetscertifiering ska

a)  ge kommissionen råd i strategiska frågor om den europeiska ramen för cybersäkerhetscertifiering,

b)  på begäran ge Enisa råd om allmänna och strategiska frågor om Enisas uppgifter när det gäller marknaden, cybersäkerhetscertifiering och standardisering,

c)  bistå kommissionen vid utarbetandet av unionens löpande arbetsprogram som avses i artikel 47,

d)  yttra sig över unionens löpande arbetsprogram i enlighet med artikel 47.4, och

e)  i brådskande ärenden ge kommissionen och europeiska gruppen för cybersäkerhetscertifiering råd om behovet av ytterligare certifieringsordningar som inte ingår i unionens löpande arbetsprogram i enlighet med vad som beskrivs i artiklarna 47 och 48.

4.  Ordförandeskapet i intressentgruppen för cybersäkerhetscertifiering ska innehas gemensamt av företrädare för kommissionen och Enisa, och Enisa ska tillhandahålla sekretariatet.

Artikel 23

Nätverk för nationella kontaktpersoner

1.  Styrelsen ska, på förslag av den verkställande direktören, inrätta ett nätverk för nationella kontaktpersoner som består av företrädare för alla medlemsstater. Varje medlemsstat ska utse en företrädare till nätverket för nationella kontaktpersoner. Nätverket för nationella kontaktpersoners möten kan hållas i olika expertkonstellationer.

2.  Nätverket för nationella kontaktpersoner ska särskilt underlätta informationsutbytet mellan Enisa och medlemsstaterna och stödja Enisa i dess arbete med att informera relevanta intressenter runtom i unionen om Enisas verksamhet, slutsatser och rekommendationer.

3.  De nationella kontaktpersonerna ska fungera som en kontaktpunkt på nationell nivå för att underlätta samarbetet mellan Enisa och nationella experter inom ramen för genomförandet av Enisas årliga arbetsprogram.

4.  De nationella kontaktpersonerna ska ha ett nära samarbete med styrelseledamöterna från deras respektive medlemsstater, men själva nätverket för nationella kontaktpersoner ska inte utföra samma arbete som styrelsen eller andra unionsforum.

5.  Uppgifter och förfaranden avseende nätverket för nationella kontaktpersoner ska fastställas i Enisas interna verksamhetsregler och ska offentliggöras.

AVSNITT 5

VERKSAMHET

Artikel 24

Samlat programdokument

1.  Enisa ska genomföra sin verksamhet i enlighet med ett samlat programdokument som innehåller Enisas årliga och fleråriga programplanering, vilket ska inbegripa all planerad verksamhet för Enisa.

2.  Den verkställande direktören ska varje år utarbeta ett utkast till samlat programdokument som ska innehålla årlig och flerårig programplanering med motsvarande planering av ekonomiska resurser och personalresurser i överensstämmelse med artikel 32 i kommissionens delegerade förordning (EU) nr 1271/2013(25), med hänsyn till kommissionens riktlinjer.

3.  Senast den 30 november varje år ska styrelsen anta det samlade programdokument som avses i punkt 1 och ska senast den 31 januari följande år översända det, liksom eventuella senare uppdaterade versioner, till Europaparlamentet, rådet och kommissionen.

4.  Det samlade programdokumentet ska anses vara slutgiltigt efter det att unionens allmänna budget slutligen har antagits och ska vid behov anpassas i enlighet därmed.

5.  Det årliga arbetsprogrammet ska innehålla detaljerade mål och förväntade resultat, inklusive resultatindikatorer. Det ska också innehålla en beskrivning av de åtgärder som ska finansieras och uppgifter om vilka ekonomiska resurser och personalresurser som anslås till varje åtgärd, i enlighet med principerna om verksamhetsbaserad budgetering och förvaltning. Det årliga arbetsprogrammet ska överensstämma med det fleråriga arbetsprogram som avses i punkt 7. I programmet ska det klart anges vilka uppgifter som lagts till, ändrats eller strukits jämfört med föregående räkenskapsår.

6.  Styrelsen ska ändra det antagna årliga arbetsprogrammet om Enisa tilldelas en ny uppgift. Varje betydande ändring av det årliga arbetsprogrammet ska antas enligt samma förfarande som det ursprungliga årliga arbetsprogrammet. Styrelsen får delegera befogenheten att göra icke-väsentliga ändringar i det årliga arbetsprogrammet till den verkställande direktören.

7.  I det fleråriga arbetsprogrammet ska den övergripande strategiska programplaneringen, inbegripet mål, förväntade resultat och resultatindikatorer, fastställas. Även resursplanering, inklusive flerårig budget och personal, ska fastställas.

8.  Resursplaneringen ska uppdateras årligen. Den strategiska programplaneringen ska uppdateras när det är lämpligt, och i synnerhet när det är nödvändigt för att beakta resultatet av den utvärdering som avses i artikel 67.

Artikel 25

Intresseförklaring

1.  Styrelsens ledamöter, den verkställande direktören och tjänstemän som är tillfälligt utstationerade av medlemsstaterna ska var och en avge en åtagandeförklaring och en förklaring som anger om det föreligger eller inte föreligger några direkta eller indirekta intressen som skulle kunna anses inverka negativt på deras oberoende. Förklaringarna ska vara tillförlitliga och fullständiga, och de ska avges skriftligen varje år och uppdateras vid behov.

2.  Styrelsens ledamöter, den verkställande direktören och externa experter som deltar i tillfälliga arbetsgrupper ska var och en senast i inledningen av varje möte exakt och fullständigt redovisa eventuella intressen som kan påverka deras oberoende i förhållande till frågorna på dagordningen samt avhålla sig från att delta i diskussioner och omröstningar om sådana frågor.

3.  Enisa ska i sina interna verksamhetsregler fastställa hur de regler om intresseförklaringar som avses i punkterna 1 och 2 ska tillämpas praktiskt.

Artikel 26

Öppenhet

1.  Enisa ska utföra sitt arbete med en hög grad av öppenhet och i enlighet med artikel 28.

2.  Enisa ska säkerställa att allmänheten och eventuella berörda parter får lämplig, objektiv, tillförlitlig och lättillgänglig information, framför allt om resultaten av dess arbete. Den ska också offentliggöra de intresseförklaringar som avges i enlighet med artikel 25.

3.  Styrelsen får, på förslag av den verkställande direktören, ge berörda parter tillstånd att observera delar av Enisas verksamhet.

4.  Enisa ska i sina interna verksamhetsregler fastställa hur de regler om öppenhet som avses i punkterna 1 och 2 ska tillämpas praktiskt.

Artikel 27

Konfidentialitet

1.  Enisa ska inte för tredje part röja uppgifter som den behandlar eller mottar, om det i en motiverad ansökan har begärts att uppgifterna helt eller delvis ska behandlas konfidentiellt, dock utan att detta påverkar tillämpningen av artikel 28.

2.  Ledamöterna i styrelsen, den verkställande direktören, medlemmarna i Enisas rådgivande grupp, de externa experter som deltar i olika tillfälliga arbetsgrupper och Enisas personal, inbegripet tjänstemän som är tillfälligt utstationerade av medlemsstaterna, ska omfattas av tystnadsplikt enligt artikel 339 i EUF-fördraget, även efter det att deras uppdrag har upphört.

3.  Enisa ska i sina interna verksamhetsregler fastställa hur de regler om konfidentialitet som avses i punkterna 1 och 2 ska tillämpas praktiskt.

4.  Styrelsen ska besluta om att tillåta Enisa att hantera säkerhetsskyddsklassificerade uppgifter, om så krävs för att Enisa ska kunna utföra sina uppgifter. I sådana fall ska Enisa efter överenskommelse med kommissionens avdelningar anta säkerhetsbestämmelser som tillämpar säkerhetsprinciperna i kommissionens beslut (EU, Euratom) 2015/443(26) och 2015/444(27). Dessa säkerhetsbestämmelser ska omfatta bestämmelser om utbyte, behandling och lagring av säkerhetsskyddsklassificerade uppgifter.

Artikel 28

Tillgång till handlingar

1.  Förordning (EG) nr 1049/2001 ska tillämpas på de handlingar som finns hos Enisa.

2.  Styrelsen ska vidta åtgärder för att genomföra förordning (EG) nr 1049/2001 senast den ... [sex månader efter ikraftträdandet av den här förordningen].

3.  Beslut som fattas av Enisa i enlighet med artikel 8 i förordning (EG) nr 1049/2001 får bli föremål för ett klagomål till europeiska ombudsmannen enligt artikel 228 i EUF-fördraget eller väckande av talan vid Europeiska unionens domstol i enlighet med artikel 263 i EUF-fördraget.

KAPITEL IV

UPPRÄTTANDE AV ENISAS BUDGET OCH BUDGETENS STRUKTUR

Artikel 29

Upprättande av Enisas budget

1.  Varje år ska den verkställande direktören upprätta en preliminär beräkning av Enisas inkomster och utgifter för det därpå följande räkenskapsåret, och ska översända den till styrelsen tillsammans med ett utkast till tjänsteförteckning. Inkomster och utgifter ska vara i balans.

2.  Varje år ska styrelsen, på grundval av den preliminära beräkningen, lägga fram en beräkning av Enisas inkomster och utgifter för det därpå följande räkenskapsåret.

3.  Styrelsen ska senast den 31 januari varje år överlämna beräkningen, som ska vara en del av utkastet till det samlade programdokumentet, till kommissionen och de tredjeländer med vilka unionen har slutit avtal i enlighet med artikel 42.2.

4.  På grundval av den beräkningen ska kommissionen ta upp de medel som den anser vara nödvändiga för tjänsteförteckningen och storleken på det anslag som ska belasta den unionens allmänna budget i förslaget till unionens allmänna budget, som den ska förelägga Europaparlamentet och rådet i enlighet med artikel 314 i EUF-fördraget.

5.  Europaparlamentet och rådet ska bevilja anslagen för bidraget från unionen till Enisa.

6.  Europaparlamentet och rådet ska anta Enisas tjänsteförteckning.

7.  Styrelsen ska anta Enisas budget tillsammans med det samlade programdokumentet. Enisas budget ska bli slutlig när unionens allmänna budget slutgiltigt har antagits. Styrelsen ska vid behov anpassa Enisas budget och det samlade programdokumentet till unionens allmänna budget.

Artikel 30

Enisas budgets struktur

1.  Utan att det påverkar andra medel ska Enisas inkomster bestå av

a)  ett bidrag från unionens allmänna budget,

b)  inkomster avsatta för särskilda ändamål i enlighet med Enisas finansiella regler som avses i artikel 32,

c)  unionsfinansiering via delegeringsavtal eller bidrag som beviljas från fall till fall, i enlighet med de finansiella regler som avses i artikel 32 och gällande bestämmelser för de instrument som inrättats till stöd för unionens politik,

d)  bidrag från tredjeländer som deltar i Enisas arbete i enlighet med artikel 42,

e)  eventuella frivilliga bidrag från medlemsstater i pengar eller in natura.

Medlemsstater som ger frivilliga bidrag enligt första stycket led e får inte göra anspråk på några särskilda rättigheter eller tjänster som en följd av bidragen.

2.  Enisas utgifter ska täcka kostnaderna för personal, administrativt och tekniskt stöd, infrastruktur och drift samt utgifter till följd av avtal med tredje part.

Artikel 31

Genomförande av Enisas budget

1.  Den verkställande direktören ska ansvara för att Enisas budget genomförs.

2.  Kommissionens internrevisor ska ha samma befogenheter gentemot Enisa som gentemot kommissionens avdelningar.

3.  Enisas räkenskapsförare översända de preliminära räkenskaperna för räkenskapsåret (år n) till kommissionens räkenskapsförare och till revisionsrätten senast den 1 mars följande räkenskapsår (år n + 1).

4.  Efter mottagandet av revisionsrättens iakttagelser om Enisas preliminära räkenskaper enligt artikel 246 i Europaparlamentets och rådets förordning (EU, Euratom) 2018/1046(28), ska Enisas räkenskapsförare upprätta Enisas slutliga räkenskaper på eget ansvar och överlämna dem till styrelsen för ett yttrande.

5.  Styrelsen ska avge ett yttrande om Enisas slutliga räkenskaper.

6.  Senast den 31 mars år n + 1 ska den verkställande direktören översända rapporten om budgetförvaltningen och den ekonomiska förvaltningen till Europaparlamentet, rådet, kommissionen och revisionsrätten.

7.  Senast den 1 juli år n + 1 ska Enisas räkenskapsförare överlämna Enisas slutliga räkenskaper, tillsammans med styrelsens yttrande, till Europaparlamentet, rådet, kommissionens räkenskapsförare och revisionsrätten.

8.  Enisas räkenskapsföraren ska, samma dag som hans eller hennes slutliga räkenskaper överlämnas, också till revisionsrätten översända en bekräftelse som omfattar dessa slutliga räkenskaper, med en kopia till kommissionens räkenskapsförare.

9.  Senast den 15 november år n + 1 ska den verkställande direktören offentliggöra Enisas slutliga räkenskaper i Europeiska unionens officiella tidning.

10.  Senast den 30 september år n + 1 ska den verkställande direktören till revisionsrätten översända ett svar på dess synpunkter och även sända en kopia av detta svar till styrelsen och till kommissionen.

11.  Den verkställande direktören ska på Europaparlamentets begäran, i enlighet med artikel 261.3 i förordning (EU, Euratom) 2018/1046, för Europaparlamentet lägga fram alla uppgifter som är nödvändiga för att förfarandet för beviljande av ansvarsfrihet för det berörda räkenskapsåret ska kunna tillämpas på ett smidigt sätt.

12.  På rekommendation av rådet ska Europaparlamentet före den 15 maj år n + 2 bevilja den verkställande direktören ansvarsfrihet beträffande budgetens genomförande år n.

Artikel 32

Finansiella regler

De finansiella regler som ska tillämpas på Enisa ska antas av styrelsen efter samråd med kommissionen. De får inte avvika från delegerad förordning (EU) nr 1271/2013 såvida inte en sådan avvikelse är specifikt nödvändig för Enisas verksamhet och kommissionen har lämnat sitt samtycke i förväg.

Artikel 33

Bedrägeribekämpning

1.  För att underlätta bekämpning av bedrägeri, korruption och andra olagliga handlingar enligt Europaparlamentets och rådets förordning (EU, Euratom) nr 883/2013(29) ska Enisa senast den ... [inom sex månader efter ikraftträdandet av den här förordningen], ansluta sig till det interinstitutionella avtalet av den 25 maj 1999 mellan Europaparlamentet, Europeiska unionens råd och Europeiska gemenskapernas kommission om interna utredningar som utförs av Europeiska byrån för bedrägeribekämpning (Olaf)(30). Enisa ska anta lämpliga bestämmelser som ska vara tillämpliga på alla anställda vid Enisa genom att använda den mall som anges i bilagan till det avtalet.

2.  Revisionsrätten ska ha befogenhet att utföra revision, på grundval av handlingar och inspektioner på plats, hos alla stödmottagare, uppdragstagare och underleverantörer som erhållit unionsfinansiering från Enisa.

3.  Olaf får göra utredningar, inbegripet kontroller och inspektioner på plats – i enlighet med bestämmelserna och förfarandena i förordning (EU, Euratom) nr 883/2013 och rådets förordning (Euratom, EG) nr 2185/96(31), i syfte att fastställa om det har förekommit bedrägeri, korruption eller annan olaglig verksamhet som påverkar unionens ekonomiska intressen i samband med bidrag eller kontrakt som finansierats av Enisa.

4.  Utan att det påverkar tillämpningen av punkterna 1, 2 och 3 ska samarbetsavtal med tredjeländer eller internationella organisationer, kontrakt, bidragsavtal och bidragsbeslut från Enisa innehålla bestämmelser som uttryckligen tillerkänner revisionsrätten och Olaf rätten att utföra sådan revision och genomföra sådana utredningar inom ramen för sina respektive befogenheter.

KAPITEL V

PERSONAL

Artikel 34

Allmänna bestämmelser

Tjänsteföreskrifterna för tjänstemän och anställningsvillkoren för övriga anställda samt de bestämmelser som har antagits gemensamt av unionens institutioner för tillämpningen av tjänsteföreskrifterna för tjänstemän och anställningsvillkoren för övriga anställda ska gälla för Enisas personal.

Artikel 35

Immunitet och privilegier

Enisa och dess personal ska omfattas av protokoll nr 7 om Europeiska unionens immunitet och privilegier, EU-fördraget och EUF-fördraget.

Artikel 36

Verkställande direktör

1.  Den verkställande direktören ska vara tillfälligt anställd vid Enisa i enlighet med artikel 2 a i anställningsvillkoren för övriga anställda.

2.  Den verkställande direktören ska utses av styrelsen från en förteckning över kandidater som föreslagits av kommissionen efter ett öppet och transparent urvalsförfarande.

3.  I det anställningsavtal som sluts med den verkställande direktören ska Enisa företrädas av styrelsens ordförande.

4.  Den kandidat som styrelsen väljer ska före utnämningen ombes att göra ett uttalande inför behörigt utskott i Europaparlamentet och besvara frågor från ledamöterna.

5.  Den verkställande direktörens mandatperiod ska vara fem år. I slutet av denna period ska kommissionen genomföra en utvärdering av den verkställande direktörens arbetsinsats och Enisas framtida uppgifter och utmaningar.

6.  Styrelsen ska fatta beslut om att utse, förlänga mandatperioden för eller avsätta den verkställande direktören i enlighet med artikel 18.2.

7.  Styrelsen får på förslag av kommissionen, med beaktande av den utvärdering som avses i punkt 5, förlänga den verkställande direktörens mandatperiod en gång med ▌ fem år.

8.  Styrelsen ska underrätta Europaparlamentet om sin avsikt att förlänga den verkställande direktörens mandatperiod. Inom tre månader före en sådan förlängning ska den verkställande direktören på anmodan göra ett uttalande inför behörigt utskott i Europaparlamentet och besvara frågor från ledamöterna.

9.  En verkställande direktör vars mandat förlängts får inte delta i något ytterligare urvalsförfarande för samma befattning.

10.  Den verkställande direktören får avsättas endast efter ett beslut av styrelsen ▌på förslag av kommissionen.

Artikel 37

Utstationerade nationella experter och annan personal

1.  Enisa får använda sig av utstationerade nationella experter och annan personal som inte är anställd av Enisa. Tjänsteföreskrifterna för tjänstemän och anställningsvillkoren för övriga anställda ska inte gälla för sådan personal.

2.  Styrelsen ska anta ett beslut om regler för utstationering av nationella experter till Enisa.

KAPITEL VI

ALLMÄNNA BESTÄMMELSER FÖR ENISA

Artikel 38

Enisas rättsliga ställning

1.  Enisa ska vara ett unionsorgan och ska vara en juridisk person.

2.  Enisa ska i varje medlemsstat ha den mest vittgående rättskapacitet som tillerkänns juridiska personer enligt nationell rätt. Den får särskilt förvärva eller avyttra lös och fast egendom och föra talan inför domstolar och andra myndigheter.

3.  Enisa ska företrädas av den verkställande direktören.

Artikel 39

Enisas ansvar

1.  Enisas avtalsrättsliga ansvar ska regleras av den lagstiftning som är tillämplig på avtalet i fråga.

2.  Europeiska unionens domstol ska vara behörig att träffa avgöranden med stöd av en skiljedomsklausul i ett avtal som Enisa ingått.

3.  Vad beträffar utomobligatoriskt ansvar ska Enisa enligt de allmänna principer som är gemensamma för medlemsstaternas rättsordningar ersätta skada som vållats av Enisa själv eller dess personal under tjänsteutövning.

4.  Europeiska unionens domstol ska vara behörig att avgöra tvister som rör ersättning för skador som avses i punkt 3.

5.  Enisas anställdas personliga ansvar gentemot Enisa ska regleras av de relevanta bestämmelser som är tillämpliga på Enisas personal.

Artikel 40

Språkordning

1.  Rådets förordning nr 1(32) ska gälla för Enisa. Medlemsstaterna och övriga organ som utsetts av medlemsstaterna kan vända sig till Enisa och har rätt att få svar på det officiella språk vid unionens institutioner som de själva väljer.

2.  De översättningar som krävs för Enisas verksamhet ska tillhandahållas av Översättningscentrum för Europeiska unionens organ.

Artikel 41

Skydd av personuppgifter

1.  Enisa ska behandla personuppgifter i enlighet med förordning (EU) 2018/1725.

2.  Styrelsen ska anta de genomföranderegler som avses i artikel 45.3 i förordning (EU) 2018/1725. Styrelsen får anta ytterligare åtgärder som behövs för Enisas tillämpning av förordning (EU) 2018/1725.

Artikel 42

Samarbete med tredjeländer och internationella organisationer

1.  I den mån det är nödvändigt för att uppnå målen i denna förordning får Enisa samarbeta med de behöriga myndigheterna i tredjeländer eller med internationella organisationer, eller båda. För detta ändamål får Enisa, efter förhandsgodkännande från kommissionen, upprätta samarbetsavtal med myndigheterna i tredjeländer och med internationella organisationer. Dessa samarbetsavtal får inte medföra några juridiska förpliktelser för unionen och dess medlemsstater.

2.  Enisa ska vara öppen för deltagande av tredjeländer som har ingått avtal med unionen i detta syfte. I enlighet med de relevanta bestämmelserna i dessa avtal ska det fastställas samarbetsavtal som särskilt anger karaktären hos, omfattningen av och utformningen av dessa tredjeländers deltagande i Enisas arbete, inklusive bestämmelser om deltagande i Enisas initiativ, finansiella bidrag och personal. När det gäller personalfrågor ska dessa samarbetsavtal under alla förhållanden vara förenliga med tjänsteföreskrifterna för tjänstemän och anställningsvillkoren för övriga anställda.

3.  Styrelsen ska anta en strategi för förbindelserna med tredjeländer och internationella organisationer i de frågor som Enisa har behörighet för. Kommissionen ska säkerställa att Enisa arbetar inom ramen för sitt mandat och den befintliga institutionella ramen genom att ingå lämpliga samarbetsavtal med Enisas verkställande direktör.

Artikel 43

Säkerhetsbestämmelser om skydd av känsliga icke-säkerhetsskyddsklassificerade uppgifter och säkerhetsskyddsklassificerade uppgifter

Efter samråd med kommissionen ska Enisa anta sina säkerhetsbestämmelser som tillämpar säkerhetsprinciperna i kommissionens säkerhetsbestämmelser för skydd av känsliga icke-säkerhetsskyddsklassificerade uppgifter och säkerhetsskyddsklassificerade EU-uppgifter och, i enlighet med beslut (EU, Euratom) 2015/443 och 2015/444. Enisas säkerhetsbestämmelser ska bland annat omfatta bestämmelser om utbyte, behandling och lagring av sådana uppgifter.

Artikel 44

Överenskommelse om säte och villkor för verksamheten

1.  De nödvändiga bestämmelserna om de lokaler som ska tillhandahållas för Enisa i värdmedlemsstaten och de anläggningar som ska ställas till Enisas förfogande av den medlemsstaten, tillsammans med de särskilda regler i värdmedlemsstaten som ska tillämpas på den verkställande direktören, styrelseledamöterna, Enisas personal och deras familjemedlemmar, ska fastställas i en överenskommelse om säte mellan Enisa och värdmedlemsstaten, vilken ingås efter att ha godkänts av styrelsen ▌.

2.  Enisas värdmedlemsstat ska tillhandahålla bästa möjliga förutsättningar för att säkerställa en väl fungerande byrå, med beaktande av platsens tillgänglighet, adekvata utbildningsmöjligheter för personalens barn, lämplig tillgång till arbetsmarknad, social trygghet och sjukvård för personalens barn och makar.

Artikel 45

Administrativ kontroll

Enisas verksamhet ska övervakas av europeiska ombudsmannen i enlighet med artikel 228 i EUF-fördraget.

AVDELNING III

RAMVERK FÖR CYBERSÄKERHETSCERTIFIERING

Artikel 46

Ett europeiskt ramverk för cybersäkerhetscertifiering

1.  Ett europeiskt ramverk för cybersäkerhetscertifiering ska inrättas för att förbättra förutsättningarna för den inre marknadens funktion genom att höja cybersäkerhetsnivån i unionen och möjliggöra en harmoniserad strategi på unionsnivå för europeiska ordningar för cybersäkerhetscertifiering i syfte att skapa en digital inre marknad för IKT-produkter, IKT-tjänster och IKT-processer.

2.  Genom det europeiska ramverket för cybersäkerhetscertifiering ska en mekanism fastställas för inrättandet av europeiska ordningar för cybersäkerhetscertifiering och för att intyga att de IKT-produkter, IKT-tjänster och IKT-processer som har utvärderats i enlighet med sådana ordningar uppfyller de angivna säkerhetskraven i syfte att skydda tillgänglighet, autenticitet, integritet och konfidentialitet hos lagrade, överförda eller behandlade data eller de funktioner eller tjänster som tillhandahålls av eller är tillgängliga via dessa produkter, tjänster och processer under hela dess livscykel.

Artikel 47

Unionens löpande arbetsprogram för europeisk cybersäkerhetscertifiering

1.  Kommissionen ska offentliggöra unionens löpande arbetsprogram för europeisk cybersäkerhetscertifiering (nedan kallat unionens löpande arbetsprogram) i vilket strategiska prioriteringar ska fastställas för framtida europeiska ordningar för cybersäkerhetscertifiering.

2.  I unionens löpande arbetsprogram ska det särskilt ingå en förteckning över IKT-produkter, IKT-tjänster och IKT-processer eller kategorier av sådana som kan gagnas av att omfattas av en europeisk ordning för cybersäkerhetscertifiering.

3.  Inkludering av specifika IKT-produkter, IKT-tjänster och IKT-processer eller kategorier av sådana i unionens löpande arbetsprogram ska motiveras av ett eller flera av följande skäl:

a)  Tillgänglighet och utveckling av nationella ordningar för cybersäkerhetscertifiering omfattande en specifik kategori av IKT-produkter, IKT-tjänster eller IKT-processer, i synnerhet med hänsyn till risken för fragmentering.

b)  Relevant unionsrätt eller unionspolitik, eller relevant nationell rätt eller nationell politik.

c)  Efterfrågan på marknaden.

d)  Utvecklingen av hotbilden inom cyberområdet.

e)  Begäran om utarbetande av ett specifikt förslag till certifieringsordning av Europeiska gruppen för cybersäkerhetscertifiering.

4.  Kommissionen ska vederbörligen beakta de yttranden om utkastet till unionens löpande arbetsprogram som utfärdas av Europeiska gruppen för cybersäkerhetscertifiering och intressentgruppen för certifiering som avses i artikel 22.

5.  Det första av unionens löpande arbetsprogram ska offentliggöras senast den ... [tolv månader efter denna förordnings ikraftträdande]. Unionens löpande arbetsprogram ska uppdateras minst en gång vart tredje år och oftare om det är nödvändigt.

Artikel 48

Begäran om en europeisk ordning för cybersäkerhetscertifiering

1.  Kommissionen kan begära att Enisa utarbetar ett förslag till certifieringsordning eller ser över en befintlig europeisk ordning för cybersäkerhetscertifiering på grundval av unionens löpande arbetsprogram.

2.  I vederbörligen motiverade fall kan kommissionen eller Europeiska gruppen för cybersäkerhetscertifiering begära att Enisa utarbetar ett förslag till certifieringsordning eller ser över en befintlig europeisk ordning för cybersäkerhetscertifiering som inte ingår i unionens löpande arbetsprogram. Unionens löpande arbetsprogram ska uppdateras i enlighet därmed.

Artikel 49

Utarbetande ▌, antagande och översyn av en europeisk ordning för cybersäkerhetscertifiering

1.  Efter en begäran från kommissionen i enlighet med artikel 48 ska Enisa utarbeta ett förslag till certifieringsordning som uppfyller de krav som anges i artiklarna 51, 52 och 54.

2.  Efter en begäran från Europeiska gruppen för cybersäkerhetscertifiering i enlighet med artikel 48.2 får Enisa utarbeta ett förslag till certifieringsordning som uppfyller de krav som anges i artiklarna 51, 52 och 54. ▌Om Enisa avvisar en sådan begäran ska den lämna en motivering för detta. Beslut om att avvisa en sådan begäran ska fattas av styrelsen.

3.  Vid utarbetandet av ett förslag till certifieringsordning ska Enisa samråda med alla berörda intressenter genom en formell, öppen, transparent och inkluderande samrådsprocess.

4.  För varje förslag till certifieringsordning ska Enisa inrätta en för ändamålet särskilt tillsatt arbetsgrupp i enlighet med artikel 20.4 i syfte att tillhandahålla Enisa särskild rådgivning och sakkunskap.

5.  Enisa ska ha ett nära samarbete med Europeiska gruppen för cybersäkerhetscertifiering. Europeiska gruppen för cybersäkerhetscertifiering ska ge Enisa ▌bistånd och expertråd ▌vid utarbetandet av förslaget till certifieringsordning och ska anta ett yttrande om förslaget till certifieringsordning.

6.  Enisa ska ta största möjliga hänsyn till Europeiska gruppen för cybersäkerhetscertifierings yttrande innan Enisa översänder till kommissionen det förslag till ▌ordning som utarbetats i enlighet med punkterna 3, 4 och 5. Yttrandet från Europeiska gruppen för cybersäkerhetscertifiering är inte bindande för Enisa, och frånvaron av ett sådant yttrande hindrar inte Enisa från att översända förslaget till certifieringsordning till kommissionen.

7.  Med utgångspunkt i förslaget till certifieringsordning som Enisa lagt fram, får kommissionen anta genomförandeakter för europeiska ordningar för cybersäkerhetscertifiering av IKT-produkter, IKT-tjänster och IKT-processer som uppfyller kraven i artiklarna 51, 52 och 54. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 66.2.

8.  Enisa ska åtminstone vart femte år utvärdera varje antagen europeisk ordning för cybersäkerhetscertifiering och därvid beakta synpunkter från berörda intressenter. Kommissionen eller Europeiska gruppen för cybersäkerhetscertifiering får, om det anses nödvändigt, begära att Enisa inleder processen med att utarbeta ett reviderat förslag till certifieringsordning i enlighet med artikel 48 och den här artikeln.

Artikel 50

Webbplats om europeiska ordningar för cybersäkerhetscertifiering

1.  Enisa ska underhålla en särskild webbplats med information om och offentliggörande av europeiska ordningar för cybersäkerhetscertifiering, europeiska cybersäkerhetscertifikat och EU-intyg om överensstämmelse, även information med avseende på europeiska ordningar för cybersäkerhetscertifiering som inte längre är giltiga, på indragna och utgångna europeiska cybersäkerhetscertifikat och EU-försäkringar om överensstämmelse, och på förteckningen över länkar till cybersäkerhetsinformation som tillhandahålls i enlighet med artikel 55.

2.  I tillämpliga fall ska det på webbplatsen som avses i punkt 1 också anges vilka nationella ordningar för cybercertifiering som har ersatts av en europeisk ordning för cybersäkerhetscertifiering.

Artikel 51

Säkerhetsmålsättningarna för europeiska ordningar för cybersäkerhetscertifiering

En europeisk ordning för cybersäkerhetscertifiering ska vara utformat för att, i tillämpliga fall, uppnå åtminstone följande säkerhetsmålsättningar:

a)  Att skydda data som lagras, överförs eller på andra sätt behandlas, mot oavsiktlig eller otillåten lagring, behandling eller åtkomst eller oavsiktligt eller otillåtet offentliggörande under hela IKT-produktens, IKT-tjänstens eller IKT-processens livscykel.

b)  Att skydda data som lagras, överförs eller på andra sätt behandlas, mot oavsiktlig eller otillåten förstöring eller ▌förlust, oavsiktliga eller otillåtna ändringar eller bristande tillgänglighet under hela IKT-produktens, IKT-tjänstens eller IKT-processens livscykel.

c)  ▌ Att behöriga personer, program eller maskiner kan få åtkomst endast till de data, tjänster eller funktioner som omfattas av deras åtkomsträttigheter.

d)  Att identifiera och dokumentera kända beroenden och sårbarheter.

e)  Att registrera vilka data, tjänster och funktioner som någon haft åtkomst till, som använts eller på andra sätt behandlats, vid vilken tidpunkt och av vem.

f)  Att det är möjligt att kontrollera vilka data, tjänster eller funktioner som någon haft åtkomst till, eller som använts eller på andra sätt behandlats, vid vilken tidpunkt och av vem.

g)  Kontrollera att IKT-produkter, IKT-tjänster och IKT-processer inte innehåller några kända sårbarheter.

h)  Att återställa tillgängligheten och tillgången avseende data, tjänster och funktioner i rätt tid vid en fysisk eller teknisk incident.

i)  Att IKT-produkter, IKT-tjänster och IKT-processer är säkra i sitt grundutförande och är säkra genom sin konstruktion.

j)  ▌ Att IKT-produkter, IKT-tjänster och IKT-processer tillhandahålls med uppdaterad programvara och maskinvara som inte innehåller publikt kända sårbarheter, och med funktioner för säkra ▌ uppdateringar.

Artikel 52

Assuransnivåer för europeiska ordningar för cybersäkerhetscertifiering

1.  En europeisk ordning för cybersäkerhetscertifiering får innehålla en eller flera av följande assuransnivåer för IKT-produkter, IKT-tjänster och IKT-processer: "grundläggande", "betydande" eller "hög". Assuransnivån ska stå i proportion till nivån på den risk som är förenad med den avsedda användningen av en IKT-produkt, IKT-tjänst eller IKT-process, i form av sannolikhet för och inverkan av en eventuell incident.

2.  Ett europeiskt cybersäkerhetscertifikat och en EU-försäkran om överensstämmelse ska hänvisa till alla assuransnivåer som anges i den europeiska ordningen för cybersäkerhetscertifiering enligt vilket det europeiska cybersäkerhetscertifikatet och EU-försäkran om överensstämmelse utfärdades.

3.  De säkerhetskrav som motsvarar varje assuransnivå ska anges i den relevanta europeiska ordningen för cybersäkerhetscertifiering, inbegripet motsvarande säkerhetsfunktioner och motsvarande stringens och djup i fråga om den utvärdering som IKT-produkten, IKT-tjänsten eller IKT-processen ska genomgå

4.  Certifikatet eller EU-försäkran om överensstämmelse ska hänvisa till tekniska specifikationer, standarder och förfaranden med koppling till detta, inbegripet tekniska kontroller, som syftar till att minska risken för eller förhindra cybersäkerhetsincidenter.

5.  Ett europeiskt cybersäkerhetscertifikat eller en EU-försäkran om överensstämmelse med assuransnivån ˮgrundläggandeˮ ska försäkra att IKT-produkter, IKT-tjänster och IKT-processer för vilka det certifikatet eller den EU-försäkran om överensstämmelse har utfärdats uppfyller motsvarande säkerhetskrav, inbegripet säkerhetsfunktioner, och att de har utvärderats på en nivå som avser att minimera kända grundläggande risker för incidenter och cyberattacker. Den utvärdering som ska göras ska innefatta åtminstone en granskning av den tekniska dokumentationen. Om en sådan granskning inte är lämplig ska alternativa utvärderingsinsatser med likvärdig effekt utföras.

6.  Ett europeiskt cybersäkerhetscertifikat med assuransnivån ˮbetydandeˮ ska försäkra att IKT-produkter, IKT-tjänster och IKT-processer för vilka det certifikatet har utfärdats uppfyller motsvarande säkerhetskrav, inbegripet säkerhetsfunktioner, och att de har utvärderats på en nivå som avser att minimera kända cyberrisker, och risken för incidenter och cyberattacker som genomförs av aktörer med begränsade kunskaper och resurser. Den utvärdering som ska göras ska innefatta åtminstone följande en granskning för att visa att allmänt kända sårbarheter inte föreligger och testning för att visa att IKT-produkter, IKT-tjänster och IKT-processer på ett korrekt sätt genomför nödvändiga säkerhetsfunktioner. Om sådana utvärderingar inte är lämpliga ska alternativa utvärderingsinsatser med likvärdig effekt utföras.

7.  ▌Ett europeiskt cybersäkerhetscertifikat med assuransnivån "hög" ska försäkra att IKT-produkter, IKT-tjänster och IKT-processer för vilka det certifikatet har utfärdats uppfyller motsvarande säkerhetskrav, inbegripet säkerhetsfunktioner, och att de har utvärderats på en nivå som avser att minimera risken för avancerade cyberattacker som genomförs av aktörer med omfattande kunskaper och resurser. Den utvärdering som ska göras ska innefatta åtminstone följande: en granskning för att visa att allmänt kända sårbarheter inte föreligger, testning för att visa att IKT-produkter, IKT-IKT-tjänster eller IKT-processer på ett korrekt sätt genomför nödvändiga säkerhetsfunktioner, med den senaste tekniken, och en bedömning av motståndskraften mot kunniga angripare genom penetrationsprovning. Om sådana utvärderingar inte är lämpliga får alternativa insatser utföras.

8.  En europeisk ordning för cybersäkerhetscertifiering kan ha flera olika utvärderingsnivåer beroende på hur stringent och djupgående den aktuella utvärderingsmetoden är. Var och en av utvärderingsnivåerna ska motsvara en av assuransnivåerna och definieras genom en lämplig kombination av assuranskomponenter.

Artikel 53

Självbedömning av överensstämmelse

1.  En europeisk ordning för cybersäkerhetscertifiering kan ge tillverkaren eller leverantören av IKT-produkter, IKT-tjänster eller IKT-processer möjlighet att göra en självbedömning av överensstämmelse. En självbedömning av överensstämmelse ska endast tillåtas i förhållande till IKT-produkter, IKT-tjänster och IKT-processer med låg risk som motsvarar assuransnivån ˮgrundläggandeˮ.

2.  Tillverkaren eller leverantören av IKT-produkter, IKT-tjänster eller IKT-processer får utfärda en EU-försäkran om överensstämmelse med angivande av att det har visats att kraven i ordningen är uppfyllda. Genom att upprätta en sådan försäkran tar tillverkaren eller leverantören av IKT-produkter, IKT-tjänster eller IKT-processer ansvar för att IKT-produkten, IKT-tjänsten eller IKT-processen överensstämmer med de krav som anges i den ordningen.

3.  Tillverkaren eller leverantören av IKT-produkter, IKT-tjänster eller IKT-processer ska, under en period som fastställs i den motsvarande europeiska ordningen för cybersäkerhetscertifiering, ge den nationella myndighet för cybersäkerhetscertifiering som avses i artikel 58.1 tillgång till EU-försäkran om överensstämmelse, teknisk dokumentation och all annan relevant information avseende IKT-produkternas eller IKT-tjänsternas överensstämmelse med ordningen. En kopia av EU-försäkran om överensstämmelse ska lämnas in till den nationella myndigheten för cybersäkerhetscertifiering och till Enisa.

4.  Det är frivilligt att utfärda EU-försäkran om överensstämmelse om inte annat anges i unionsrätten eller i medlemsstaternas nationella rätt.

5.  En EU-försäkran om överensstämmelse ska erkännas i alla medlemsstater.

Artikel 54

Komponenter i europeiska ordningar för cybersäkerhetscertifiering

1.  En europeisk ordning för cybersäkerhetscertifiering ska innehålla åtminstone följande komponenter:

a)  Föremålet och tillämpningsområdet för certifieringsordningen, inbegripet typen eller kategorierna av de IKT-produkter, IKT-tjänster och IKT-processer som omfattas av certifieringsordningen.

b)  En tydlig beskrivning av syftet med ordningen och hur de valda standarderna, utvärderingsmetoderna och assuransnivåerna överensstämmer med behoven hos ordningens avsedda användare.

c)  ▌ En hänvisning till de internationella, europeiska eller nationella standarder som följts vid utvärderingen eller, om sådana standarder inte finns tillgängliga eller de inte är lämpliga, till tekniska specifikationer som uppfyller kraven i bilaga II till förordning (EU) nr 1025/2012 eller, om sådana specifikationer inte finns tillgängliga, till tekniska specifikationer eller andra cybersäkerhetskrav som fastställs i den europeiska ordningen för cybersäkerhetscertifiering.

d)  I tillämpliga fall, en eller flera assuransnivåer.

e)  Angivelse av huruvida självbedömning av överensstämmelse är tillåtet inom ramen för ordningen.

f)  I tillämpliga fall, särskilda eller ytterligare krav som gäller för organ för bedömning av överensstämmelse för att garantera deras tekniska kompetens att utvärdera cybersäkerhetskraven.

g)  Särskilda bedömningskriterier och -metoder som använts, inklusive utvärderingstyper, i syfte att visa att de säkerhets mål som anges i artikel 51 uppnås.

h)  I tillämpliga fall, uppgifter som är nödvändiga för certifieringen och som en sökande ska lämna till eller på annat sätt göra tillgängliga för organ för bedömning av överensstämmelse.

i)  Om ordningen fastställer användning av märken eller etiketter, villkoren för deras användning.

j)  ▌ Reglerna för övervakning av efterlevnaden av IKT-produkter, IKT-tjänster och IKT-processer vad gäller kraven i europeiska cybersäkerhetscertifikat eller EU-försäkran om överensstämmelse, inklusive mekanismer för att visa fortsatt överensstämmelse med de angivna cybersäkerhetskraven.

k)  I tillämpliga fall, villkor för utfärdande, bibehållande, fortsättande ▌och förnyelse av europeiska cybersäkerhetscertifikat samt villkor för utvidgning ▌eller inskränkning av tillämpningsområdet för certifiering.

l)  Bestämmelser om följderna för IKT-produkter ▌, IKT-tjänster och IKT-processer som har certifierats eller för vilka en EU-försäkran om överensstämmelse har utfärdats, men som inte överensstämmer med ▌kraven i ordningen.

m)  Bestämmelser om hur tidigare oupptäckta sårbarheter i fråga om cybersäkerhet hos KT-produkter, IKT-tjänster och IKT-processer ska rapporteras och hanteras.

n)  I tillämpliga fall, bestämmelser om hur organ för bedömning av överensstämmelse ska bevara sina uppgifter.

o)  Identifiering av nationella eller internationella ordningar för cybersäkerhetscertifiering som omfattar samma typ eller kategorier av IKT-produkter, IKT-tjänster och IKT-processer, säkerhetskrav, utvärderingskriterier och utvärderingsmetoder samt assuransnivåer.

p)  Innehållet i och formatet på det utfärdade europeiska cybersäkerhetscertifikatet och EU-försäkran om överensstämmelse.

q)  Den period under vilken tillverkaren eller leverantören av IKT-produkter, IKT-tjänster och IKT-processer ska hålla tillgänglig EU-försäkran om överensstämmelse, den tekniska dokumentationen och all annan relevant information som ska göras tillgänglig.

r)  Längsta giltighetstid för europeiska cybersäkerhetscertifikat som utfärdats enligt ordningen.

s)  Offentlighetspolicy för europeiska cybersäkerhetscertifikat som utfärdats, ändrats eller återkallats enligt ordningen.

t)  Villkor för ömsesidigt erkännande av certifieringsordningar med tredjeländer.

u)  I tillämpliga fall, bestämmelser om eventuell mekanism för inbördes bedömning som i ordningen inrättats för de myndigheter eller organ som utfärdar europeiska cybersäkerhetscertifikat med assuransnivån "hög" enligt artikel 56.6. Sådana mekanismer ska inte påverka den inbördes granskning som föreskrivs i artikel 59.

v)  Format och förfaranden som ska följas av tillverkare eller leverantörer av IKT-produkter, IKT-tjänster och IKT-processer när de lämnar och uppdaterar den kompletterande cybersäkerhetsinformationen i enlighet med artikel 55.

2.  De angivna kraven för den europeiska ordningen för cybersäkerhetscertifiering ska vara förenliga med tillämpligt lagstadgat krav, i synnerhet inte krav som härrör från harmoniserad unionsrätt.

3.  Om det föreskrivs i en viss unionsrättsakt får ett certifikat eller en EU-försäkran om överensstämmelse som utfärdats enligt en europeisk ordning för cybersäkerhetscertifiering användas för att påvisa presumtion om överensstämmelse med kraven i den rättsakten.

4.  I avsaknad av harmoniserad unionsrätt får en medlemsstats nationella rätt också föreskriva att en europeisk ordning för cybersäkerhetscertifiering får användas för fastställande av presumtionen om överensstämmelse med de rättsliga kraven.

Artikel 55

Kompletterande cybersäkerhetsinformation för certifierade IKT-produkter, IKT-tjänster och IKT-processer

1.  Tillverkaren eller leverantören av IKT-produkter, IKT-tjänster eller IKT-processer som är certifierade eller för vilka en EU-försäkran om överensstämmelse har utfärdats ska lämna följande kompletterande cybersäkerhetsinformation:

a)  Vägledning och rekommendationer för att hjälpa slutanvändare med säker konfiguration, installation, ibruktagande, användning och underhåll av IKT-produkterna eller IKT-tjänsterna.

b)  Uppgift om tidsperiod under vilken säkerhetsstöd kommer att erbjudas slutanvändare, särskilt vad gäller tillgång till cybersäkerhetsrelaterade uppdateringar.

c)  Kontaktuppgifter för tillverkaren eller leverantören och uppgift om metoder som accepteras för mottagande av sårbarhetsinformation från slutanvändare och säkerhetsforskare.

d)  Hänvisning till förteckningar online över offentliggjorda sårbarheter kopplade till IKT-produkten, IKT-tjänsten eller IKT-processen samt relevant cybersäkerhetsrådgivning.

2.  Den information som avses i punkt 1 ska tillgängliggöras i elektroniskt format och finnas tillgänglig och vid behov uppdateras åtminstone fram till dess att motsvarande europeiska cybersäkerhetscertifikat eller EU-försäkran om överensstämmelse löper ut.

Artikel 56

Cybersäkerhetscertifiering

1.  IKT-produkter, IKT-tjänster och IKT-processer som har certifierats enligt en europeisk ordning för cybersäkerhetscertifiering som antagits enligt artikel 49 ska förutsättas överensstämma med kraven i en sådan ordning.

2.  Cybersäkerhetscertifieringen ska vara frivillig, om inte annat anges i unionsrätten eller i medlemsstaternas nationella rätt.

3.  Kommissionen ska regelbundet bedöma effektiviteten hos och användningen av de antagna europeiska ordningarna för cybersäkerhetscertifiering och huruvida en specifik europeisk ordning för cybersäkerhetscertifiering ska göras obligatoriskt genom unionsrätten i syfte att säkerställa en adekvat cybersäkerhetsnivå för IKT-produkter, IKT-tjänster och IKT-processer i unionen och förbättra den inre marknadens funktion. Den första bedömningen ska göras senast den 31 december 2023, och efterföljande bedömningar ska göras minst en gång vartannat år därefter. Kommissionen ska, på grundval av resultatet av bedömningen, fastställa vilka IKT-produkter, IKT-tjänster och IKT-processer som ska omfattas av en existerande certifieringsordning som bör täckas av en obligatorisk certifieringsordning.

Kommissionen ska fokusera på de sektorer som förtecknas i bilaga II till direktiv (EU) 2016/1148, vilka ska bedömas senast två år efter antagandet av den första europeiska ordningen för cybersäkerhetscertifiering.

Vid utarbetandet av bedömningen ska kommissionen

a)  beakta åtgärdernas konsekvenser i kostnadsavseende för tillverkarna och leverantörerna av de berörda IKT-produkterna, IKT-tjänsterna eller IKT-processerna och för användarna samt de samhälleliga och/eller ekonomiska vinsterna med den förväntade höjningen av säkerhetsnivån för de berörda IKT-produkterna, IKT-tjänsterna eller IKT-processerna,

b)  ta i beaktande existensen och införlivandet av relevant nationell rätt i medlemsstaterna och i tredjeländer,

c)  genomföra en öppen, transparent och inkluderande samrådsprocess med alla berörda intressenter och medlemsstater,

d)  beakta eventuella genomförandefrister och övergångsåtgärder och övergångsperioder, i synnerhet åtgärdens tänkbara inverkan på tillverkare eller leverantörer av IKT-produkter, IKT-tjänster eller IKT-processer, däribland små och medelstora företag,

e)  föreslå hur man snabbast och mest effektivt ska genomföra övergången från ett frivilligt till en obligatorisk certifieringsordning.

4.  De organ för bedömning av överensstämmelse som avses i artikel 60 ska utfärda europeiska cybersäkerhetscertifikat i enlighet med denna artikel som avser assuransnivå "grundläggande" eller "betydande" på grundval av de kriterier som ingår i den europeiska ordningen för cybersäkerhetscertifiering, som antagits av kommissionen i enlighet med artikel 49.

5.  Genom ▌undantag från punkt 4, och i vederbörligen motiverade fall, får en europeisk ordning för cybersäkerhetscertifiering föreskriva att ett europeiskt cybersäkerhetscertifikat som är ett resultat av den ordningen kan utfärdas endast av ett offentligt organ. Ett sådant ▌organ ska vara ett av följande:

a)  En nationell ▌myndighet för cybersäkerhetscertifiering som avses i artikel 58.1.

b)  Ett offentligt organ som är ackrediterat som organ för bedömning av överensstämmelse i enlighet med artikel 60.1 ▌.

6.  Om en europeisk ordning för cybersäkerhetscertifiering som antagits enligt artikel 49 kräver assuransnivå ˮhögˮ ska det europeiska cybersäkerhetscertifikatet enligt den ordningen endast utfärdas av en nationell myndighet för cybersäkerhetscertifiering eller, i följande fall, av ett organ för bedömning av överensstämmelse:

a)  Efter förhandsgodkännande av den nationella myndigheten för cybersäkerhetscertifiering för varje enskilt europeiskt cybersäkerhetscertifikat som utfärdats av ett organ för bedömning av överensstämmelse, eller

b)  efter allmän delegering på förhand av uppgiften att utfärda ett sådant europeiskt cybersäkerhetscertifikat till ett organ för bedömning av överensstämmelse från den nationella myndigheten för cybersäkerhetscertifiering.

7.  Den fysiska eller juridiska person som lämnar in sina IKT-produkter, IKT-tjänster eller IKT-processer för certifiering ska göra all information som krävs för att genomföra certifieringen tillgänglig för den nationella myndighet för cybersäkerhetscertifiering som avses i artikel 58, om denna myndighet är det organ som utfärdar det europeiska cybersäkerhetscertifikatet, eller för det organ för bedömning av överensstämmelse som avses i artikel 60.

8.  Innehavaren av ett europeiskt cybersäkerhetscertifikat ska informera den myndighet eller det organ som avses i punkt 7 om alla sårbarheter eller oriktigheter som upptäcks senare och som rör säkerheten för den certifierade IKT-produkten, IKT-tjänsten eller IKT-processen som kan påverka överensstämmelsen med de krav som sammanhänger med certifieringen. Den myndigheten eller det organet ska utan onödigt dröjsmål vidarebefordra denna information till den berörda nationella myndigheten för cybersäkerhetscertifiering.

9.  Ett europeiskt cybersäkerhetscertifikat ska utfärdas för den period som fastställs i den europeiska ordningen för cybersäkerhetscertifiering och får förnyas ▌under förutsättning att de relevanta kraven alltjämt uppfylls.

10.  Ett europeiskt cybersäkerhetscertifikat som utfärdats i enlighet med denna artikel ska erkännas i alla medlemsstater.

Artikel 57

Nationella ordningar och certifikat för cybersäkerhetscertifiering

1.  Utan att det påverkar tillämpningen av punkt 3 i denna artikel ska de nationella ordningarna för cybersäkerhetscertifiering och därtill hörande förfaranden, för IKT-produkter, IKT-tjänster och IKT-processer som omfattas av en europeisk ordning för cybersäkerhetscertifiering, upphöra att ha verkan från och med den dag som anges i den genomförandeakt som antagits i enlighet med artikel 49.7. Nationella ordningar för cybersäkerhetscertifiering och därtill hörande förfaranden för IKT-produkter, IKT-tjänster och IKT-processer som inte omfattas av en europeisk ordning för cybersäkerhetscertifiering ska kvarstå.

2.  Medlemsstaterna ska inte införa nya nationella ordningar för cybersäkerhetscertifiering av de IKT-produkter, IKT-tjänster och IKT-processer som omfattas av en befintlig europeisk ordning för cybersäkerhetscertifiering.

3.  Befintliga certifikat som utfärdats enligt nationella ordningar för cybersäkerhetscertifiering och som omfattas av en europeisk ordning för cybersäkerhetscertifiering ska förbli giltiga tills de löper ut.

4.  I syfte att undvika en fragmentering av den inre marknaden ska medlemsstaterna underrätta kommissionen och Europeiska gruppen för cybersäkerhetscertifiering om alla avsikter att utarbeta nya nationella ordningar för cybersäkerhetscertifiering.

Artikel 58

Nationella myndigheter för cybersäkerhetscertifiering

1.  Varje medlemsstat ska utse en eller flera nationella myndigheter för cybersäkerhetscertifiering på sitt territorium eller, efter överenskommelse med en annan medlemsstat, utse en eller flera nationella myndigheter för cybersäkerhetscertifiering som är etablerade i denna andra medlemsstat som ansvariga för tillsynsuppgifterna i den utseende medlemsstaten.

2.  Varje medlemsstat ska underrätta kommissionen om vilka ▌ nationella myndigheter för cybersäkerhetscertifiering som utsetts. Om en medlemsstat utser mer än en myndighet ska den också informera kommissionen om vilka uppgifter som var och en av dessa myndigheter tilldelats.

3.  Utan att det påverkar tillämpningen av artikel 56.5 a och 56.6 ska varje nationell myndighet för cybersäkerhetscertifiering vara oberoende av de enheter som den utövar tillsyn över vad gäller dess organisation, beslut om finansiering, rättsliga struktur och beslutsfattande.

4.  Medlemsstaterna ska säkerställa att den verksamhet som bedrivs av den nationella myndigheten för cybersäkerhetscertifiering i samband med utfärdande av europeiska cybersäkerhetscertifikat som avses i artikel 56.5 a och 56.6 är strikt avskilda från deras uppgifter och ansvarsområden i förhållande till tillsynsverksamheten enligt denna artikel och att dessa verksamheter utförs oberoende av varandra.

5.  Medlemsstaterna ska säkerställa att de nationella myndigheterna för cybersäkerhetscertifiering har tillräckliga resurser för att kunna utöva sina befogenheter och kunna utföra sina uppgifter på ett effektivt och ändamålsenligt sätt.

6.  För en effektiv tillämpning av denna förordning är det lämpligt att nationella myndigheterna för cybersäkerhetscertifiering deltar i den europeiska gruppen för cybersäkerhetscertifiering på ett aktivt, effektivt, ändamålsenligt och säkert sätt.

7.  Nationella ▌ myndigheter för cybersäkerhetscertifiering ska

a)  övervaka och kontrollera efterlevnaden av bestämmelserna i europeiska ordningar för cybersäkerhetscertifiering enligt artikel 54.1 j för övervakning av IKT-produkters, IKT-tjänsters och IKT-processers överensstämmelse med kraven i de europeiska cybersäkerhetscertifikat som utfärdats inom deras respektive territorier, i samarbete med andra berörda marknadsövervakningsmyndigheter,

b)  kontrollera att tillverkare eller leverantörer av IKT-produkter, IKT-tjänster eller IKT-processer som är etablerade inom deras respektive territorier fullgör och verkställer sina skyldigheter och att de genomför självbedömning av överensstämmelse, särskilt fullgörandet och verkställandet av dessa tillverkares och leverantörers skyldigheter enligt artikel 53.2 och 53.3 och i motsvarande europeisk ordning för cybersäkerhetscertifiering.

c)  utan att det påverkar tillämpningen av artikel 60.3 aktivt bistå och stödja de nationella ackrediteringsorganen med övervakning och kontroll av verksamhet som bedrivs av organen för bedömning av överensstämmelse i enlighet med denna förordning, ▌

d)  övervaka och kontrollera den verksamhet som bedrivs av de offentliga organ som avses i artikel 56.5,

e)  i tillämpliga fall utfärda bemyndiganden för organ för bedömning av överensstämmelse i enlighet med artikel 60.3 och begränsa, tillfälligt upphäva eller återkalla befintliga bemyndiganden om organen för bedömning av överensstämmelse inte uppfyller kraven i denna förordning,

f)  behandla klagomål från fysiska eller juridiska personer avseende europeiska cybersäkerhetscertifikat som utfärdats av nationella myndigheter för cybersäkerhetscertifiering eller europeiska cybersäkerhetscertifikat som utfärdats av organ för bedömning av överensstämmelse i enlighet med artikel 56.6, eller avseende en EU-försäkran av överensstämmelse som utfärdats enligt artikel 53, och ska i lämplig utsträckning undersöka det ärende som klagomålet gäller och inom rimlig tid underrätta anmälaren om utvecklingen och resultatet av utredningen,

g)  lämna en årlig sammanfattande rapport om den verksamhet som bedrivits enligt leden b, c och d i denna punkt eller enligt punkt 8 till Enisa och Europeiska gruppen för cybersäkerhetscertifiering,

h)  samarbeta med andra nationella ▌ myndigheter för cybersäkerhetscertifiering eller andra myndigheter, bland annat genom att utbyta information om IKT-produkter, IKT-tjänster och IKT-processer som eventuellt avviker från kraven i denna förordning eller från kraven i särskilda europeiska ordningar för cybersäkerhetscertifiering, och

i)  övervaka relevant utveckling på området cybersäkerhetscertifiering.

8.  Varje nationell ▌ myndighet för cybersäkerhetscertifiering ska åtminstone ha befogenheter att

a)  begära att organ för bedömning av överensstämmelse ▌, innehavare av ett europeiskt cybersäkerhetscertifikat och utfärdare en EU-försäkran om överensstämmelse ska lägga fram alla uppgifter som myndigheten behöver för att kunna fullgöra sin uppgift,

b)  genomföra undersökningar, i form av kontroller, av organ för bedömning av överensstämmelse ▌, innehavare av ett europeiskt cybersäkerhetscertifikat och utfärdare av en EU-försäkran om överensstämmelse, för att kunna verifiera överensstämmelse med denna avdelning,

c)  vidta lämpliga åtgärder, i enlighet med nationell rätt, för att säkerställa att organ för bedömning av överensstämmelse ▌, innehavare av europeiska cybersäkerhetscertifikat och utfärdare av en EU-försäkran om överensstämmelse uppfyller kraven i denna förordning eller en europeisk ordning för cybersäkerhetscertifiering,

d)  få tillgång till alla lokaler hos organ för bedömning av överensstämmelse eller innehavare av ett europeiskt cybersäkerhetscertifikat i syfte att genomföra utredningar i enlighet med unionsrätten eller medlemsstaternas processrätt,

e)  i enlighet med nationell rätt, återkalla europeiska cybersäkerhetscertifikat som utfärdats av den nationella myndigheten för cybersäkerhetscertifiering eller europeiska cybersäkerhetscertifikat som utfärdats av organ för bedömning av överensstämmelse i enlighet med artikel 56.6, om sådana certifikat inte uppfyller kraven i denna förordning eller en europeisk ordning för cybersäkerhetscertifiering,

f)  utdöma sanktioner i enlighet med nationell rätt, enligt artikel 65, och kräva att överträdelser av skyldigheterna i denna förordning omedelbart upphör.

9.  Nationella ▌ myndigheter för cybersäkerhetscertifiering ska samarbeta med varandra och med kommissionen, i synnerhet, genom att utbyta information, erfarenheter och god praxis när det gäller cybersäkerhetscertifiering och tekniska frågor som rör cybersäkerhet hos IKT-produkter IKT-tjänster och IKT-processer.

Artikel 59

Inbördes granskning

1.  I syfte att uppnå likvärdiga standarder i hela unionen för europeiska cybersäkerhetscertifikat och EU-försäkringar om överensstämmelse ska de nationella myndigheterna för cybersäkerhetscertifiering omfattas av inbördes granskning.

2.  Den inbördes granskningen ska företas utifrån gedigna och transparenta kriterier och förfaranden för utvärdering, särskilt när det gäller strukturella krav samt krav gällande personal och förfaranden och med hänsyn till konfidentialitet och klagomål.

3.  Den inbördes granskningen ska omfatta en bedömning

a)  i tillämpliga fall av om den verksamhet som bedrivs av nationella myndigheter för cybersäkerhetscertifiering i samband med utfärdande av europeiska cybersäkerhetscertifikat som avses i artikel 56.5 a och 56.6 är strikt åtskilda från deras tillsynsverksamhet enligt artikel 58 och om dessa verksamheter utförs oberoende av varandra,

b)  av förfarandena för övervakning och kontroll av efterlevnaden av bestämmelserna om IKT-produkters, IKT-tjänsters och IKT-processers överensstämmelse med europeiska cybersäkerhetscertifikat enligt artikel 58.7 a,

c)  av förfarandena för övervakning och verkställande av de skyldigheter som tillverkare eller tillhandahållare av IKT-produkter, IKT tjänster eller IKT-processer har i enlighet med artikel 58.7 b,

d)  av förfarandena för övervakning, bemyndigande och kontroll av verksamhet som bedrivs av organen för bedömning av överensstämmelse,

e)  i tillämpliga fall av om personalen vid de myndigheter eller organ som utfärdar certifikat med assuransnivån ˮhögˮ i enlighet med artikel 56.6 har lämplig sakkunskap.

4.  Den inbördes granskningen ska utföras av minst två nationella myndigheter för cybersäkerhetscertifiering från andra medlemsstater och kommissionen och ska utföras minst vart femte år. Enisa får delta i den inbördes granskningen.

5.  Kommissionen får anta genomförandeakter, som inrättar en plan för den inbördes granskningen som ska omfatta en period på minst fem år, med kriterier för sammansättningen av gruppen som ska utföra den inbördes granskningen, den metod som ska användas, tidsplanen, frekvensen och andra uppgifter som rör den inbördes granskningen. När kommissionen antar dessa genomförandeakter ska den ta vederbörlig hänsyn till synpunkterna från den europeiska gruppen för cybersäkerhetscertifiering. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 66.2.

6.  Europeiska gruppen för cybersäkerhetscertifiering ska behandla resultaten av den inbördes granskningen och göra en sammanfattning som får offentliggöras samt vid behov utfärda riktlinjer eller rekommendationer om åtgärder som ska vidtas av de berörda enheterna.

Artikel 60

Organ för bedömning av överensstämmelse

1.  Organen för bedömning av överensstämmelse ska ackrediteras av det nationella ackrediteringsorgan som utsetts i enlighet med förordning (EG) nr 765/2008. Sådan ackreditering ska endast utfärdas under förutsättning att organet för bedömning av överensstämmelse uppfyller kraven i bilagan till denna förordning.

2.  Om ett europeiskt cybersäkerhetscertifikat utfärdas av en nationell myndighet för cybersäkerhetscertifiering enligt artikel 56.5 a och 56.6 ska certifieringsorganet hos den nationella myndigheten för cybersäkerhetscertifiering ackrediteras som ett organ för bedömning av överensstämmelse enligt punkt 1 i denna artikel.

3.  Om de europeiska ordningarna för cybersäkerhetscertifiering innehåller särskilda eller ytterligare krav enligt artikel 54.1 f ska endast organ för bedömning av överensstämmelse som uppfyller dessa krav bemyndigas av den nationella myndigheten för cybersäkerhetscertifiering att utföra uppgifter inom ramen för sådana ordningar.

4.  Ackrediteringen som avses i punkt 1 ska utfärdas till organen för bedömning av överensstämmelse för en period på högst fem år och får förnyas på samma villkor under förutsättning att organet för bedömning av överensstämmelse fortfarande uppfyller kraven i denna artikel. Nationella ackrediteringsorgan ska vidta alla lämpliga åtgärder inom en rimlig tidsram för att begränsa, tillfälligt upphäva eller återkalla ackrediteringen av ett organ för bedömning av överensstämmelse som utfärdats i enlighet med punkt 1 om villkoren för ackrediteringen inte har uppfyllts, eller inte längre uppfylls eller om åtgärder som vidtagits av organet för bedömning av överensstämmelse strider mot denna förordning.

Artikel 61

Anmälan

1.  För varje europeisk ordning för cybersäkerhetscertifiering ska de nationella ▌myndigheterna för cybersäkerhetscertifiering till kommissionen anmäla de ▌organ för bedömning av överensstämmelse som har ackrediterats och, i tillämpliga fall, bemyndigade i enlighet med artikel 60.3 att utfärda europeiska cybersäkerhetscertifikat på angivna assuransnivåer enligt artikel 52. De nationella myndigheterna för cybersäkerhetscertifiering ska, utan onödigt dröjsmål, till kommissionen anmäla eventuella senare ändringar av dessa.

2.  Ett år efter ikraftträdandet av en europeisk ordning för cybersäkerhetscertifiering ska kommissionen offentliggöra en förteckning över de organ för bedömning av överensstämmelse som har anmälts enligt den ordningen i Europeiska unionens officiella tidning.

3.  Om kommissionen mottar en anmälan efter utgången av den period som avses i punkt 2 ska den offentliggöra ändringarna av förteckningen över anmälda organ för bedömning av överensstämmelse i Europeiska unionens officiella tidning inom två månader från dagen för mottagandet av den anmälan.

4.  En nationell ▌myndighet för cybersäkerhetscertifiering får lämna in en begäran till kommissionen om att stryka ett organ för bedömning av överensstämmelse, som anmälts av den myndigheten, från den förteckning som avses i punkt 2. Kommissionen ska offentliggöra motsvarande ändringar av förteckningen i Europeiska unionens officiella tidning inom en månad från och med dagen för mottagandet av begäran från den nationella ▌myndigheten för cybersäkerhetscertifiering.

5.  Kommissionen får anta genomförandeakter för att fastställa förutsättningar, format och förfaranden för de anmälningar som avses i punkt 1 i denna artikel. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 66.2.

Artikel 62

Europeiska gruppen för cybersäkerhetscertifiering

1.  Europeiska gruppen för cybersäkerhetscertifiering (nedan kallad gruppen) ska inrättas.

2.  Gruppen ska bestå av företrädare för nationella ▌myndigheter för ▌cybersäkerhetscertifiering eller företrädare för andra berörda nationella ▌myndigheter. En gruppmedlem får inte företräda mer än två medlemsstater.

3.  Intressenter och berörda tredje parter får bjudas in att delta i gruppens möten och delta i dess arbete.

4.  Gruppen ska ha i uppgift att

a)  ge råd till och bistå kommissionen i dess arbete för att säkerställa ett konsekvent genomförande och en konsekvent tillämpning av denna avdelning, särskilt när det gäller frågor som rör unionens löpande arbetsprogram, cybersäkerhetscertifiering, strategisamordning och utarbetandet av de europeiska ordningarna för cybersäkerhetscertifiering,

b)  ge råd till, bistå och samarbeta med Enisa när det gäller utarbetande av förslag till certifieringsordning enligt artikel 49,

c)  anta ett yttrande om förslagtill certifieringsordning som utarbetats av Enisa enligt artikel 49,

d)  uppmana Enisa att utarbeta förslag till certifieringsordning enligt artikel 48.2,

e)  anta yttranden riktade till kommissionen rörande underhåll och översyn av befintliga europeiska ordningar för cybersäkerhetscertifiering,

f)  undersöka den relevanta utvecklingen på området cybersäkerhetscertifiering och utbyta information och god praxis om ordningar för cybersäkerhetscertifiering,

g)  underlätta samarbetet mellan nationella ▌myndigheter för cybersäkerhetscertifiering enligt denna avdelning genom kapacitetsuppbyggnad och utbyte av information, särskilt genom att fastställa metoder för ett effektivt informationsutbyte om frågor som rör cybersäkerhetscertifiering,

h)  tillhandahålla stöd för genomförandet av mekanismerna för inbördes bedömning i enlighet med de regler som fastställts i en europeisk ordning för cybersäkerhetscertifiering enligt artikel 54.1 u.

i)  underlätta anpassningen av europeiska ordningar för cybersäkerhetscertifiering med internationellt erkända standarder, också genom att se över befintliga europeiska ordningar för cybersäkerhetscertifiering och, där så är lämpligt, lämna rekommendationer till Enisa om att samarbeta med relevanta internationella standardiseringsorganisationer för att åtgärda brister eller luckor i de befintliga internationellt erkända standarderna.

5.  Med stöd från Enisa ska kommissionen vara ordförande i gruppen och kommissionen ska tillhandahålla gruppen ett sekretariat, i enlighet med artikel 8.1 e.

Artikel 63

Rätt att lämna in klagomål

1.  Fysiska och juridiska personer ska ha rätt att lämna in klagomål till utfärdaren av ett europeiskt cybersäkerhetscertifikat eller, när klagomålet rör ett europeiskt cybersäkerhetscertifikat som utfärdats av ett organ för bedömning av överensstämmelse som handlar i enlighet med artikel 56.6, till den berörda nationella myndigheten för cybersäkerhetscertifiering.

2.  Myndigheten eller organet till vilket klagomålet har lämnats in ska underrätta den klagande om hur förfarandet fortskrider och vilket beslut som fattats, och ska informera den klagande om rätten till effektiva rättsmedel enligt artikel 64.

Artikel 64

Rätt till ett effektivt rättsmedel

1.  Utan att det påverkar administrativa rättsmedel eller andra prövningsförfaranden utanför domstol ska fysiska och juridiska personer ha rätt till effektiva rättsmedel avseende

a)  beslut fattade av den myndighet eller det organ som avses i artikel 63.1, i tillämpliga fall, även om felaktigt utfärdande, icke-utfärdande eller erkännande av ett europeiskt cybersäkerhetscertifikat som innehas av dessa fysiska och juridiska personer,

b)  underlåtenhet att vidta åtgärder med anledning av ett klagomål som lämnats in till den myndighet eller det organ som avses i artikel 63.1.

2.  Förfaranden enligt denna artikel ska inledas vid domstolarna i den medlemsstat där myndigheten eller organet som det rättsmedlen avser är beläget.

Artikel 65

Sanktioner

Medlemsstaterna ska fastställa regler om sanktioner vid överträdelse av denna avdelning och överträdelser av europeiska ordningar för cybersäkerhetscertifiering, och ska vidta alla nödvändiga åtgärder för att se till att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande. Medlemsstaterna ska till kommissionen anmäla dessa regler och åtgärder utan dröjsmål samt eventuella ändringar som berör dem.

AVDELNING IV

SLUTBESTÄMMELSER

Artikel 66

Kommittéförfarande

1.  Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.

2.  När det hänvisas till denna punkt ska artikel 5.4 b i förordning (EU) nr 182/2011 tillämpas.

Artikel 67

Utvärdering och granskning

1.  Senast den … [fem år efter ikraftträdandet a denna förordning ], och därefter vart femte år, ska kommissionen utvärdera effekterna av och ändamålsenligheten och effektiviteten hos Enisas arbete samt dess arbetsmetoder, det eventuella behovet av att ändra Enisas mandat samt de finansiella följderna av sådana ändringar. Utvärderingen ska beakta alla synpunkter som Enisa mottagit beträffande sin verksamhet. Om kommissionen anser att Enisas fortsatta drift inte längre är motiverad mot bakgrund av de mål, mandat och uppgifter som den tilldelats, kan kommissionen föreslå att de bestämmelser i denna förordning som rör Enisa ändras.

2.  Utvärderingen ska även bedöma effekterna av och ändamålsenligheten och effektiviteten hos bestämmelserna i avdelning III i denna förordning i fråga om målen att säkerställa en tillräcklig nivå avseende cybersäkerhet hos IKT-produkter, IKT-tjänster och IKT-processer i unionen och förbättra den inre marknadens funktion.

3.  I utvärderingen ska det bedömas om tillträde till den inre marknaden ska förutsätta att väsentliga cybersäkerhetskrav uppfyllts, för att förhindra att IKT-produkter, IKT-tjänster och IKT-processer som inte uppfyller de grundläggande cybersäkerhetskraven kommer in på unionsmarknaden.

4.  Senast den ... [fem år efter denna förordnings ikraftträdande] och vart femte år därefter ska kommissionen översända rapporten om utvärderingen tillsammans med dess slutsatser till Europaparlamentet, rådet och styrelsen. Rapportens resultat ska offentliggöras.

Artikel 68

Upphävande och succession

1.  Förordning (EU) nr 526/2013 upphör att gälla med verkan från och med den … [den dag då denna förordning träder i kraft].

2.  Hänvisningar till förordning (EU) nr 526/2013 och till Enisa som inrättats genom den förordningen, ska anses som hänvisningar till den här förordningen och till Enisa som inrättats genom den här förordningen.

3.  Enisa som inrättats genom den här förordningen efterträder Enisa som inrättades genom förordning (EU.) nr 526/2013 när det gäller all äganderätt samt alla avtal, rättsliga skyldigheter, anställningskontrakt, finansiella åtaganden och ansvarsskyldigheter. Alla beslut som styrelsen och direktionen har fattat i enlighet med förordning (EU) nr 526/2013 ska fortsätta att gälla, förutsatt att de överensstämmer med den här förordningen.

4.  Enisa ska inrättas på obestämd tid från den … [den dag då denna förordning träder i kraft].

5.  Den verkställande direktör som har utsetts i enlighet med artikel 24.4 i förordning (EU) nr 526/2013 ska kvarstå i tjänst och utöva de uppgifter för Enisas verkställande direktör som avses i artikel 20 i denna förordning under den återstående delen av den verkställande direktörens mandatperiod. Övriga villkor i den verkställande direktörens avtal ska förbli oförändrade.

6.  Styrelseledamöterna och deras suppleanter som utsetts i enlighet med artikel 6 i förordning (EU) nr 526/2013 ska kvarstå i tjänst och utöva de styrelsefunktioner som avses i artikel 15 i denna förordning under den återstående delen av sina mandatperioder.

Artikel 69

Ikraftträdande

1.  Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

2.  Artiklarna 58, 60, 61, 63, 64 och 65 ska tillämpas från och med den … [24 månader efter ikraftträdandet av denna förordning].

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i

På Europaparlamentets vägnar På rådets vägnar

Ordförande Ordförande

BILAGA

KRAV SOM ORGANEN FÖR BEDÖMNING AV ÖVERENSSTÄMMELSE SKA UPPFYLLA

De organ för bedömning av överensstämmelse som önskar bli ackrediterade ska uppfylla följande krav:

1.  Ett organ för bedömning av överensstämmelse ska inrättas i enlighet med nationell rätt och vara en juridisk person.

2.  Ett organ för bedömning av överensstämmelse ska vara ett tredjepartsorgan som är oberoende av den organisation eller de IKT-produkter, IKT-tjänster eller IKT-processer som det bedömer.

3.  Ett organ som hör till en näringslivsorganisation eller branschorganisation som företräder företag som är involverade i konstruktion, tillverkning, leverans, installation, användning eller underhåll av de IKT-produkter, IKT-tjänster eller IKT-processer som det bedömer, får anses vara ett organ för bedömning av överensstämmelse, förutsatt att det kan styrkas att det är oberoende och att inga intressekonflikter föreligger.

4.  Organen för bedömning av överensstämmelse, deras högsta ledning och den personal som ansvarar för att utföra bedömningen av överensstämmelse, får inte utgöras av den som konstruerar, tillverkar, levererar, installerar, köper, äger, använder eller underhåller den IKT-produkt, IKT-tjänst eller IKT-process som bedöms, eller de som företräder någon av dessa parter. Det förbudet ska inte hindra att bedömda IKT-produkter som är nödvändiga för verksamheten inom organet för bedömning av överensstämmelse används eller att IKT-produkterna används för personligt bruk.

5.  Organen för bedömning av överensstämmelse, deras högsta ledning och den personal som ansvarar för genomförandet av bedömningen av överensstämmelse får varken delta direkt i konstruktionen, tillverkningen, marknadsföringen, installationen, användningen eller underhållet av dessa IKT-produkter, IKT-tjänster eller IKT-processer som bedöms, eller företräda de parter som bedriver denna verksamhet. Organen för bedömning av överensstämmelse, deras högsta ledning och den personal som ansvarar för genomförandet av bedömningen av överensstämmelse får inte delta i någon verksamhet som kan påverka deras objektivitet eller integritet i samband med den bedömningen av överensstämmelse. Det förbudet ska framför allt gälla konsulttjänster.

6.  Om ett organ för bedömning av överensstämmelse ägs eller drivs av en offentlig myndighet eller institution ska det säkerställas och dokumenteras att organet har en oberoende ställning och att inga intressekonflikter föreligger mellan den nationella myndigheten för cybersäkerhetscertifiering och, organet för bedömning av överensstämmelse.

7.  Organ för bedömning av överensstämmelse ska säkerställa att deras dotterbolags eller underentreprenörers verksamhet inte påverkar sekretessen, objektiviteten eller opartiskheten i organens bedömningar av överensstämmelse.

8.  Organ för bedömning av överensstämmelse och deras personal ska utföra bedömningen av överensstämmelse med största möjliga yrkesintegritet, ha erforderlig teknisk kompetens på det specifika området och vara fria från alla påtryckningar och incitament, som kan påverka deras omdöme eller resultaten av deras bedömning av överensstämmelse, inklusive påtryckningar och incitament av ekonomisk natur, särskilt när det gäller personer eller grupper av personer som berörs av denna verksamhet.

9.  Ett organ för bedömning av överensstämmelse ska vara i stånd att utföra alla de uppgifter för bedömning av överensstämmelse som det utsetts att utföra enligt denna förordning, oavsett om uppgifterna utförs av organet för bedömning av överensstämmelse självt eller av annan part för dess räkning och på dess ansvar. Om underleverantörer eller utomstående konsulter anlitas ska detta vara väl dokumenterat, inte inbegripa mellanhänder och det ska finnas ett skriftligt avtal som bland annat ska innehålla bestämmelser om sekretess och intressekonflikter. Det aktuella organet för bedömning av överensstämmelse ska åta sig fullt ansvar för de uppgifter som utförs.

10.  Vid alla tidpunkter och vid varje bedömning av överensstämmelse och för varje typ, kategori eller underkategori av IKT-produkter, IKT-tjänster eller IKT-processer, ska ett organ för bedömning av överensstämmelse ha till sitt förfogande

a)  personal med teknisk kunskap och tillräcklig och lämplig erfarenhet för att utföra de uppgifter som ingår i bedömningen av överensstämmelse,

b)  erforderliga beskrivningar av förfarandena i enlighet med vilka bedömningar av överensstämmelse utförs, som säkerställer insyn i dessa förfaranden och möjligheten att reproducera dem; organet ska förfoga över lämpliga riktlinjer och förfaranden för att skilja mellan de uppgifter som det utför i sin egenskap av anmält organ enligt artikel 61 och all annan verksamhet,

c)  förfaranden som gör det möjligt för organet att utöva sin verksamhet med vederbörlig hänsyn tagen till ett företags storlek, bransch och struktur, den berörda IKT-produktteknikens, IKT-tjänsteteknikens eller IKT-processteknikens komplexitet och om det rör sig om massproduktion eller serietillverkning.

11.  Ett organ för bedömning av överensstämmelse ska ha de nödvändiga medlen för att korrekt kunna utföra de tekniska och administrativa uppgifterna i samband med bedömningen av överensstämmelse och ska ha tillgång till den utrustning och de hjälpmedel som är nödvändiga.

12.  Den personal som ansvarar för att utföra bedömningen av överensstämmelse ska ha

a)  en grundlig teknisk utbildning och yrkesutbildning som omfattar all verksamhet i samband med bedömning av överensstämmelse,

b)  tillfredsställande kunskap om kraven för de bedömningar av överensstämmelse som de utför och fullgod befogenhet att utföra dessa bedömningar,

c)  lämpliga kunskaper och förståelse om de tillämpliga kraven och provningsstandarderna,

d)  förmåga att upprätta intyg, protokoll och rapporter som visar att bedömningarna av överensstämmelse har utförts.

13.  Det ska garanteras att organ för bedömning av överensstämmelse, deras högsta ledning, personal som är ansvarig för att utföra bedömningar av överensstämmelse och alla underleverantörer är opartiska.

14.  Ersättningen till den högsta ledningen för och av personalen som ansvarar för bedömningen av överensstämmelse får inte vara beroende av antalet bedömningar av överensstämmelse som görs eller resultaten av bedömningarna.

15.  Organ för bedömning av överensstämmelse ska vara ansvarsförsäkrade, såvida inte ansvaret åligger medlemsstaten enligt dess nationella rätt eller medlemsstaten själv tar direkt ansvar för bedömningen av överensstämmelse.

16.  Organet för bedömning av överensstämmelse och dess personal, kommittéer, dotterbolag, underleverantörer och eventuella anslutna organ eller personal vid externa organ som ett organ för bedömning av överensstämmelse anlitar ska underhålla konfidentialitet och iaktta tystnadsplikt beträffande all information som de erhåller vid utförandet av sina uppgifter avseende bedömning av överensstämmelse i enlighet med denna förordning eller de nationella bestämmelser som genomför den, utom i de fall då uppgifter måste lämnas enligt unionsrätten eller medlemsstaternas nationella rätt som är tillämplig på personen i fråga och utom gentemot de behöriga myndigheterna i de medlemsstater där verksamheten utförs. Immateriella rättigheter ska skyddas. Organet för bedömning av överensstämmelse ska ha infört dokumenterade förfaranden rörande kraven i denna punkt.

17.  Förutom kraven i punkt 16 hindrar inget i denna bilaga utbyte av teknisk information och vägledning om gällande regler mellan organet för bedömning av överensstämmelse och en person som ansöker om certifiering, eller som överväger att ansöka, om certifiering.

18.  Organen för bedömning av överensstämmelse ska fungera enligt konsekventa, rättvisa och rimliga villkor och bestämmelser och när det gäller avgifter beakta intressena hos små och medelstora företag.

19.  Organen för bedömning av överensstämmelse ska uppfylla de krav som anges i relevant standard som harmoniserats enligt förordning (EG) nr 765/2008 för ackreditering av organ för bedömning av överensstämmelse som utför certifiering av IKT-produkter, IKT-tjänster eller IKT-processer.

20.  Organen för bedömning av överensstämmelse ska säkerställa att de provningslaboratorier som används för att prova överensstämmelsen uppfyller de krav som anges i relevant standard som harmoniserats enligt förordning (EG) nr 765/2008 för ackreditering av laboratorier som utför provningar.

(1)EUT C 227, 28.6.2018, s. 86.
(2)EUT C 176, 23.5.2018, s. 29.
(3)Europaparlamentets ståndpunkt av den 12 mars 2019.
(4) Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (EUT L 124, 20.5.2003, s. 36).
(5)Europaparlamentets och rådets förordning (EU) nr 526/2013 av den 21 maj 2013 om Europeiska unionens byrå för nät- och informationssäkerhet (Enisa) och om upphävande av förordning (EG) nr 460/2004 (EUT L 165, 18.6.2013, s. 41).
(6)Europaparlamentets och rådets förordning (EG) nr 460/2004 av den 10 mars 2004 om inrättandet av den europeiska byrån för nät- och informationssäkerhet (EUT L 77, 13.3.2004, s. 1).
(7)Europaparlamentets och rådets förordning (EG) nr 1007/2008 av den 24 september 2008 om ändring av förordning (EG) nr 460/2004 om inrättandet av den europeiska byrån för nät- och informationssäkerhet i fråga om dess mandatperiod (EUT L 293, 31.10.2008, s. 1).
(8)Europaparlamentets och rådets förordning (EU) nr 580/2011 av den 8 juni 2011 om ändring av förordning (EG) nr 460/2004 om inrättandet av den europeiska byrån för nät- och informationssäkerhet vad gäller dess varaktighet (EUT L 165, 24.6.2011, s. 3).
(9)Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (EUT L 194, 19.7.2016, s. 1).
(10)Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).
(11)Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).
(12)Europaparlamentets och rådets direktiv (EU) 2018/1972 av den 11 december 2018 om inrättande av en europeisk kodex för elektronisk kommunikation (EUT L 321, 17.12.2018, s. 36).
(13)Beslut (2004/97/EG, Euratom) antaget i samförstånd mellan medlemsstaternas företrädare, församlade på stats- eller regeringschefsnivå av den 13 december 2003 om lokaliseringen av sätena för vissa av Europeiska unionens myndigheter och byråer (EUT L 29, 3.2.2004, s. 15).
(14)EUT C 12, 13.1.2018, s. 1.
(15)Kommissionens rekommendation (EU) 2017/1584 av den 13 september 2017 om samordnade insatser vid storskaliga cyberincidenter och cyberkriser (EUT L 239, 19.9.2017, s. 36).
(16)Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 (EUT L 218, 13.8.2008, s. 30).
(17)Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43).
(18)Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).
(19)Europaparlamentets och rådets förordning (EU) nr 1025/2012 av den 25 oktober 2012 om europeisk standardisering och om ändring av rådets direktiv 89/686/EEG och 93/15/EEG samt av Europaparlamentets och rådets direktiv 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG och 2009/105/EG samt om upphävande av rådets beslut 87/95/EEG och Europaparlamentets och rådets beslut 1673/2006/EG (EUT L 316, 14.11.2012, s. 12).
(20)Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster (EUT L 241, 17.9.2015, s. 1).
(21)Europaparlamentets och rådets direktiv 2014/24/EU av den 26 februari 2014 om offentlig upphandling och om upphävande av direktiv 2004/18/EG (EUT L 94, 28.3.2014, s. 65).
(22)Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).
(23)Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (EUT L 257, 28.8.2014, s. 73).
(24) EGT L 56, 4.3.1968, s. 1.
(25)Kommissionens delegerade förordning (EU) nr 1271/2013 av den 30 september 2013 med rambudgetförordning för de organ som avses i artikel 208 i Europaparlamentets och rådets förordning (EU, Euratom) nr 966/2012 (EUT L 328, 7.12.2013, s. 42).
(26)Kommissionens beslut (EU, Euratom) 2015/443 av den 13 mars 2015 om säkerhet inom kommissionen (EUT L 72, 17.3.2015, s. 41).
(27)Kommissionens beslut (EU, Euratom) 2015/444 av den 13 mars 2015 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (EUT L 72, 17.3.2015, s. 53).
(28)Europaparlamentets och rådets förordning (EU, Euratom) 2018/1046 av den 18 juli 2018 om finansiella regler för unionens allmänna budget, om ändring av förordningarna (EU) nr 1296/2013, (EU) nr 1301/2013, (EU) nr 1303/2013, (EU) nr 1304/2013, (EU) nr 1309/2013, (EU) nr 1316/2013, (EU) nr 223/2014, (EU) nr 283/2014 och beslut nr 541/2014/EU samt om upphävande av förordning (EU, Euratom) nr 966/2012 (EUT L 193, 30.7.2018, s. 1).
(29)Europaparlamentets och rådets förordning (EU, Euratom) nr 883/2013 av den 11 september 2013 om utredningar som utförs av Europeiska byrån för bedrägeribekämpning (Olaf) och om upphävande av Europaparlamentets och rådets förordning (EG) nr 1073/1999 och rådets förordning (Euratom) nr 1074/1999 (EUT L 248, 18.9.2013, s. 1).
(30)EGT L 136, 31.5.1999, s. 15.
(31)Rådets förordning (Euratom, EG) nr 2185/96 av den 11 november 1996 om de kontroller och inspektioner på platsen som kommissionen utför för att skydda Europeiska gemenskapernas finansiella intressen mot bedrägerier och andra oegentligheter (EGT L 292, 15.11.1996, s. 2).
(32)Rådets förordning nr 1 om vilka språk som skall användas i Europeiska ekonomiska gemenskapen (EGT 17, 6.10.1958, s. 385).

Senaste uppdatering: 18 mars 2019Rättsligt meddelande