ЄВРОПЕЙСЬКИЙ ПАРЛАМЕНТ І РАДА ЄВРОПЕЙСЬКОГО СОЮЗУ,

Беручи до уваги Договір про функціонування Європейського Союзу, зокрема його статтю 114,

Беручи до уваги пропозицію Європейської Комісії,

Після передачі проєкту законодавчого акта національним парламентам,

Беручи до уваги висновок Європейського економічно-соціального комітету (- 1),

Беручи до уваги висновок Комітету регіонів (- 2),

Діючи згідно зі звичайною законодавчою процедурою (- 3),

Оскільки:

(1) Мережеві та інформаційні системи й електронні комунікаційні мережі та послуги відіграють важливу роль у суспільстві та стали опорою економічного зростання. Інформаційно-комунікаційні технології (ІКТ) лежать в основі комплексних систем, які підтримують щоденну життєдіяльність суспільства, забезпечують функціонування економік у ключових сферах, серед яких охорона здоров'я, енергетика, фінанси та транспорт, і зокрема підтримують функціонування внутрішнього ринку.

(2) Використання мережевих та інформаційних систем громадянами, організаціями та підприємствами по всьому Союзу сягнуло наскрізного характеру. Діджитизація та конективність стали основними характеристиками дедалі більшої кількості продуктів і послуг, а з настанням ери інтернету речей протягом наступного десятиліття по всьому Союзу очікується подальша поява надзвичайно великої кількості цифрових пристроїв, здатних під'єднуватися до всесвітньої мережі Інтернет. Попри зростання кількості пристроїв, що під'єднуються до мережі Інтернет, недостатність вбудованих засобів забезпечення безпеки і стійкості призводить до послаблення кібербезпеки. У цьому контексті обмежене використання сертифікації призводить до того, що фізичні особи, організації та підприємства як користувачі не мають достатньої інформації про характеристики кібербезпеки продуктів ІКТ, послуг ІКТ та процесів ІКТ, що підриває їхню довіру до цифрових інструментів. Мережеві та інформаційні системи здатні забезпечувати підтримку всіх аспектів нашого життя та сприяти зростанню економіки Союзу. Вони є наріжним каменем на шляху до створення єдиного цифрового ринку.

(3) Зростання діджитизації та конективності підвищує ризики кібербезпеки, і таким чином робить суспільство в цілому більш вразливим до кіберзагроз та підвищує небезпеки, з якими можуть стикатися фізичні особи, у тому числі вразливі групи фізичних осіб, серед яких діти. Для пом’якшення згаданих ризиків потрібно вживати всіх необхідних заходів для підвищення кібербезпеки у Союзі, щоб забезпечити кращий захист від кіберзагроз мережевих та інформаційних систем, комунікаційних мереж, цифрових продуктів, послуг та пристроїв, якими користуються громадяни, організації та підприємства - від малих і середніх підприємств (МСП), як визначено в Рекомендації Комісії 2003/361/ЄС (- 4), до операторів критичної інфраструктури.

(4) Шляхом надання доступу до відповідної інформації громадськості Європейське агентство з питань мережевої та інформаційної безпеки (ENISA), створене Регламентом Європейського Парламенту і Ради (ЄС) № 526/2013 (- 5), сприятиме розвитку сфери кібербезпеки в Союзі, зокрема, МСП та стартапів. ENISA повинне прагнути до тіснішої співпраці з університетами та дослідними установами для сприяння зменшенню залежності від продуктів і послуг у сфері кібербезпеки, що походять з-поза меж Союзу, та для посилення ланцюгів постачання у межах Союзу.

(5) Кібератаки як явище стаються дедалі частіше, і зв'язана економіка й суспільство як найбільш вразливі до кіберзагроз та кібератак вимагають надійнішого захисту. І хоча кібератаки часто носять транскордонний характер, компетенції відповідних органів у сфері кібербезпеки та правозастосування та вживані ними заходи з реагування в рамках їхніх політик переважно обмежені національними рамками. Широкомасштабні інциденти можуть призводити до порушень у наданні основних послуг по всьому Союзу. Це виносить необхідність ефективного та скоординованого реагування й управління кризами на рівень Союзу на основі спеціальних політик та ширших інструментів європейської солідарності та взаємної допомоги. Крім того, для виробників політики, промисловості та користувачів важливими є регулярні оцінювання стану кібербезпеки та стійкості у Союзі на основі надійних даних Союзу, а також систематичні прогнози майбутнього розвитку, проблем та загроз як на рівні Союзу, так і в глобальному масштабі.

(6) У світлі зростання викликів кібербезпеки, що постають перед Союзом, існує потреба в комплексному наборі заходів, створених на основі минулих дій і заходів Союзу для сприяння досягненню цілей, що взаємно посилюють одна одну. Такі цілі включають подальше підвищення спроможності та готовності держав-членів і підприємств, а також покращення співпраці, обміну інформацією та координації між усіма державами-членами та установами, органами, офісами й агентствами Союзу. Крім того, зважаючи на позакордонний характер кіберзагроз, існує потреба в нарощуванні потенціалу на рівні Союзу для доповнення заходів держав-членів, зокрема, у випадках великомасштабних транскордонних інцидентів та криз, враховуючи при цьому важливість збереження та подальшого посилення національної спроможності реагувати на кіберзагрози будь-якого масштабу.

(7) Також існує потреба в додаткових зусиллях, спрямованих на підвищення обізнаності громадян, організацій та підприємств про питання, пов’язані з кібербезпекою. Крім того, оскільки інциденти підривають довіру до надавачів цифрових послуг та до єдиного цифрового ринку як такого, особливо серед споживачів, існує потреба в подальшому посиленні довіри шляхом розповсюдження у прозорий спосіб інформації про рівні безпеки продуктів ІКТ, послуг ІКТ та процесів ІКТ з акцентом на тому, що навіть сертифікація кібербезпеки високого рівня не може гарантувати, що продукт ІКТ, послуга ІКТ або процес ІКТ є повністю безпечними. Зростання довіри може бути досягнуто завдяки сертифікації Союзу, що визнаватиметься у всіх державах-членах та передбачатиме спільні вимоги до кібербезпеки і критерії оцінювання для всіх національних ринків і секторів.

(8) Кібербезпека є питанням не суто технологічним. Для неї має велике значення людська поведінка. Відповідно, необхідно всіляко просувати "кібергігієну", а саме: прості та планові заходи, які у разі їх впровадження та здійснення на регулярній основі громадянами, організаціями та підприємствами мінімізують вплив ризиків від кіберзагроз.

(9) Для цілей посилення структур кібербезпеки Союзу важливо підтримувати й розвивати потенціал держав-членів з комплексного реагування на кіберзагрози, включно з транскордонними інцидентами.

(10) Користувачі бізнесового та приватного секторів повинні володіти точною інформацією стосовно рівня надійності, стосовно якого було сертифіковано їхні продукти ІКТ, послуги ІКТ та процеси ІКТ. У той же час жоден продукт ІКТ чи послуга ІКТ не є цілком кібербезпечними, тому потрібно просувати та пріоритизувати базові правила кібергігієни. Зважаючи на дедалі більшу доступність пристроїв Інтернету речей, може бути виділено низку добровільних заходів, за допомогою яких приватний сектор може посилювати довіру до безпеки продуктів ІКТ, послуг ІКТ та процесів ІКТ

(11) Сучасні продукти ІКТ та системи часто містять інтегровані одну чи більше сторонніх технологій та компонентів або покладаються на них; серед них модулі програмного забезпечення, бібліотеки або інтерфейси прикладних застосунків. Їх використання, яке часто називають "залежністю", може становити додаткові ризики для кібербезпеки, оскільки потенційні вразливості сторонніх компонентів можуть мати негативний вплив на безпеку продуктів ІКТ, послуг ІКТ та процесів ІКТ. У багатьох випадках виявлення та документування таких залежностей дає змогу кінцевим користувачам товарів ІКТ, послуг ІКТ та процесів ІКТ вдосконалювати власні дії з управління ризиками, пов'язаними з кібербезпекою, шляхом покращення, наприклад, управління вразливостями та процедур відновлення кібербезпеки користувачів.

(12) Організації, виробників або надавачів. що здійснюють проєктування та розробку продуктів ІКТ, послуг ІКТ або процесів ІКТ, необхідно заохочувати до впровадження на якомога раніших стадіях проєктування та розробки заходів, спрямованих на якомога вищий рівень захисту безпеки таких продуктів, послуг та процесів, щоб імовірність виникнення кібератак та потенційного впливу від них була мінімальною (концепція вбудованої безпеки). Необхідно забезпечити безпеку продукту ІКТ, послуги ІКТ або процесу ІКТ протягом строку служби через процеси проєктування та розробки, які повинні постійно розвиватися для скорочення ризику завдання шкоди внаслідок зловмисного використання.

(13) Підприємства, організації та публічний сектор повинні налаштовувати конфігурацію продуктів ІКТ, послуг ІКТ або процесів ІКТ, які вони розробили, у спосіб, який дасть змогу забезпечити високий рівень безпеки шляхом надання першому користувачу типової конфігурації з найбільш безпечними налаштованнями з можливих (концепція типових параметрів безпеки), таким чином зменшивши для користувачів тягар, пов'язаний із належним налаштуванням конфігурації продукту ІКТ послуги ІКТ або процесу ІКТ. Типові параметри безпеки не повинні вимагати з боку користувача тривалого налаштування конфігурації або специфічних технічних знань чи неінтуїтивної поведінки, та після запровадження повинні працювати без ускладнень та надійно. Якщо на індивідуальній основі аналіз ризиків та практичності засвідчить, що таке типове налаштовання не є реалістичним, користувачу необхідно пропонувати можливість вибору найбільш безпечного налаштовання.

(14) Регламентом Європейського Парламенту і Ради (ЄС) № 460/2004 (- 6) було створено ENISA для цілей сприяння досягненню цілей із забезпечення високого та результативного рівня мережевої та інформаційної безпеки в межах Союзу, та з розвитку культури мережевої та інформаційної безпеки на користь громадян, споживачів, підприємств та публічних адміністрацій. Регламентом Європейського Парламенту і Ради (ЄС) № 1007/2008 (- 7) було розширено мандат ENISA до березня 2012 року. Регламентом Європейського Парламенту і Ради (ЄС) № 580/2011 (- 8) було додатково розширено мандат ENISA до 13 вересня 2013 року. Регламентом (ЄС) № 526/2013 було розширено мандат ENISA до 19 червня 2020 року.

(15) Союзом уже було вжито важливих кроків для забезпечення кібербезпеки та для підвищення довіри до цифрових технологій. У 2013 році було ухвалено Стратегію Європейського Союзу з кібербезпеки, яка мала на меті скерувати політику Союзу з реагування на загрози і ризики для кібербезпеки. З наміром забезпечити кращий захист для громадян в онлайновому середовищі у 2016 році було ухвалено перший правовий акт Союзу у сфері кібербезпеки у формі Директиви Європейського Парламенту і Ради (ЄС) 2016/1148 (- 9). Директивою (ЄС) 2016/1148 було запроваджено вимоги щодо національної спроможності у сфері кібербезпеки, встановлено перші механізми для посилення стратегічної та операційної співпраці між державами-членами, та визначено обов'язки стосовно заходів безпеки та повідомлень про інциденти по всіх секторах, які є життєво важливими для економіки й суспільства, серед яких енергетика, транспорт, постачання та розподіл питної води, інфраструктури банківського та фінансового ринків, сфера громадського здоров’я, цифрова інфраструктура та ключові надавачі цифрових послуг (пошукові системи, послуги хмарних обчислень та електронні торгові майданчики).

Ключову роль у забезпеченні виконання зазначеної Директиви було покладено на ENISA. Крім того, Порядок денний Європейського Союзу з безпеки визначає важливим пріоритетом ефективну боротьбу з кіберзлочинністю, що в цілому має сприяти досягненню вищого рівня кібербезпеки. Також досягненню вищого рівня кібербезпеки на єдиному цифровому ринку сприяють і інші правові акти, серед яких Регламент Європейського Парламенту і Ради (ЄС) 2016/679 (- 10) та директиви Європейського Парламенту і Ради 2002/58/ЄС (- 11) та (ЄС) 2018/1972 (- 12).

(16) З моменту ухвалення Стратегії Європейського Союзу з кібербезпеки у 2013 році та останнього перегляду мандату ENISA загальний політичний контекст суттєво змінився, оскільки глобальне середовище стало більш невизначеним та менш безпечним. На цьому тлі та в контексті позитивного розвитку ролі ENISA як довідкового пункту для консультацій та експертних знань, як фасилітатора співпраці та нарощування потенціалу, а також у рамках нової політики Союзу з кібербезпеки, необхідно переглянути мандат ENISA, визначити його роль у зміненій екосистемі кібербезпеки та забезпечити, щоб воно дієво сприяло реагуванню Союзу на проблеми з кібербезпекою, що виникли внаслідок радикальних трансформацій масштабу кіберзагроз, для яких поточний мандат не є достатнім, як було визнано під час оцінювання діяльності ENISA.

(17) ENISA, створене відповідно до цього Регламенту, повинне бути наступником ENISA, створеного відповідно до Регламенту (ЄС) № 526/2013. ENISA повинне виконувати завдання, покладені на нього цим Регламентом та іншими правовими актами Союзу у сфері кібербезпеки та, серед іншого, надавати консультацію й ділитися експертними знаннями, а також діяти як центр інформації та знань Союзу. Воно повинне сприяти обміну найкращими практиками між державами-членами та приватними заінтересованими сторонами, подавати пропозиції стосовно політики Комісії та державам-членам, діяти як довідковий центр для ініціатив секторальної політики Союзу стосовно кібербезпеки та сприяти операційній співпраці як між державами-членами, так і між державами-членами й установами, органами, офісами та агентствами Союзу.

(18) У рамках Рішення 2004/97/ЄС, Євратом, ухваленого за спільною згодою представників держав-членів на засіданні на рівні голів держав або урядів (- 13), представники держав-членів ухвалили рішення про те, що головний офіс ENISA повинен бути розташований у Греції в місті, визначеному урядом Греції. Держава-член ведення діяльності ENISA повинна забезпечити найкращі можливі умови для безперешкодного та ефективного функціонування ENISA. Для належного та ефективного виконання своїх завдань, для добору та утримання персоналу та для посилення ефективності роботи з побудови зв’язків украй важливо, щоб ENISA базувалося в належному місці розташування, яке поміж іншого має добре транспортне сполучення та засоби для розміщення членів подружжя та дітей, що супроводжують членів персоналу ENISA. Тому в угоді між ENISA та державою-членом ведення діяльності, після отримання згоди Правління ENISA, повинно бути визначено відповідні домовленості.

(19) Зважаючи на подальше зростання ризиків і проблем, пов'язаних із кібербезпекою, з якими стикається Союз, існує потреба у збільшенні фінансових та людських ресурсів, виділених ENISA, у відповідь на посилення його ролі та розширення його завдання, та з огляду на його критичне становище в екосистемі організацій, що захищають цифрову екосистему Союзу, та для надання ENISA змоги ефективно виконувати завдання, покладені на нього цим Регламентом.

(20) ENISA повинне нарощувати експертні знання та підтримувати їх рівень, а також функціонувати як довідковий центр, і тим самим утверджувати довіру і впевненість у єдиному ринку завдяки своїй незалежності, якості пропонованих консультацій, якості розповсюджуваної інформації, прозорості своїх процедур, прозорості своїх методів ведення діяльності та ретельності у виконанні своїх завдань. ENISA повинне активно підтримувати національні зусилля та проактивно долучатися до зусиль Союзу з одночасним виконанням своїх завдань у повній співпраці з установами, органами, офісами та агентствами Союзу та з державами-членами, з уникненням дублювання роботи та з просуванням синергії зусиль. На додаток, ENISA повинне будувати свою роботу на основі взаємодії і співпраці з приватним сектором та іншими відповідними заінтересованими сторонами. Для ENISA повинно бути визначено низку завдань, виконанням яких воно повинне досягати своїх цілей, проте з наданням достатньої гнучкості у веденні його діяльності.

(21) Щоб мати змогу надавати адекватну підтримку для операційної співпраці між державами-членами, ENISA повинне додатково посилювати свій технічний та людський потенціал, а також навички персоналу. ENISА повинне нарощувати свої ноу-хау та інші спроможності. ENISА та держави-члени на добровільній основі можуть розробляти програми відкомандирування національних експертів до ENISА, створення пулів експертів та здійснення обмінів персоналу.

(22) ENISA повинне допомагати Комісії шляхом надання консультацій, висновків та аналізів стосовно всіх питань Союзу, що стосуються розробки, оновлення та перегляду політики й законодавства у сфері кібербезпеки та з окремих її секторальних питань для посилення актуальності політик і законів Союзу в розрізі виміру кібербезпеки та для забезпечення послідовності у застосуванні таких політик і законів на національному рівні. ENISA повинне діяти як довідковий центр для консультацій та надання експертних знань для ініціатив щодо секторальної політики та законодавства, пов’язаних із питаннями кібербезпеки. ENISA повинне регулярно інформувати Європейський Парламент про свою діяльність.

(23) Публічне ядро відкритого Інтернету, зокрема його основні протоколи та інфраструктура, які є глобальним публічним благом, забезпечує основні функціональні можливості Інтернету в цілому та підтримує його нормальне функціонування. ENISA повинне підтримувати безпеку публічного ядра відкритого Інтернету та стабільність його функціонування, що включає, зокрема, ключові протоколи (серед яких DNS, BGP, та IPv6), функціонування системи доменних імен (серед іншого і функціонування всіх доменів вищого рівня) та функціонування кореневої зони.

(24) Засадничим завданням ENISA є просування послідовного застосування актуальної нормативно-правової бази, зокрема через дієву імплементацію Директиви (ЄС) 2016/1148 та інших відповідних правових інструментів, які стосуються аспектів кібербезпеки, що є важливими для підвищення кіберстійкості. У світлі швидкоплинної зміни ландшафту кіберзагроз чітко зрозуміло, що держави-члени потребують більш комплексної та крос-політичної підтримки у розбудові кіберстійкості.

(25) ENISA повинне допомагати державам-членам та установам, органам, офісам та агентствам Союзу в їхніх зусиллях із побудови та посилення спроможностей і готовності попереджати, виявляти й відбивати кіберзагрози та інциденти, пов’язані з безпекою мережевих та інформаційних систем. Зокрема, ENISA повинне підтримувати формування та посилення груп для реагування на інциденти у сфері комп’ютерної безпеки (CSIRT), передбачених у Директиві (ЄС) 2016/1148 , як на національному рівні, так і на рівні Союзу, щоб сприяти досягненню вищого загального рівня їхньої професійної компетенції в Союзі. Діяльність, яку ENISA провадить стосовно операційної спроможності держав-членів, повинна бути спрямована на активну підтримку заходів, яких держави-члени вживають на виконання ними своїх обов’язків за Директивою (ЄС) 2016/1148, а тому така діяльність не повинна стати заміною таких заходів.

(26) ENISA повинне також допомагати в розробці й оновленні стратегій з безпеки мережевих та інформаційних систем на рівні Союзу та, за запитом, на рівні держави-члена, зокрема, з питань кібербезпеки, та повинне сприяти розповсюдженню таких стратегій, а також відстежувати прогрес у їх виконанні. ENISA повинне також сприяти покриттю потреб у підготовці та в навчальних матеріалах, включно з потребами публічних органів, та у відповідних випадках також і стосовно навчання тренерів, на основі Рамки цифрових компетенцій для громадян, щоб допомагати державам-членам та установам, органам, офісам та агентствам Союзу в нарощуванні їхніх власних спроможностей з підготовки.

(27) ENISA повинне надавати підтримку державам-членам у підвищенні рівня обізнаності та освіти з питань кібербезпеки шляхом сприяння тіснішій координації та обміну найкращими практиками між державами-членами. Така підтримка може полягати в розвитку мережі національних освітніх контактних пунктів та розробці навчальної платформи з кібербезпеки. Мережа національних освітніх контактних пунктів може працювати в рамках Мережі національних зв’язкових офіцерів та може стати відправною точкою для майбутньої співпраці між державами-членами.

(28) ENISA повинне допомагати Групі співпраці, створеній згідно з Директивою (ЄС) 2016/1148 , на виконання її завдань, зокрема, шляхом надання експертних знань, консультацій та шляхом сприяння обміну найкращими практиками, між іншим, стосовно ідентифікації операторів основних послуг державами-членами, а також стосовно транскордонних залежностей у зв’язку з ризиками та інцидентами.

(29) Для стимулювання співпраці між публічним і приватним секторами та в межах приватного сектора, зокрема для підтримки захисту критичних інфраструктур, ENISA повинне підтримувати обмін інформацією між секторами, зокрема між секторами, наведеними у додатку II до Директиви (ЄС) 2016/1148 , шляхом надання найкращих практик та настанов щодо наявних інструментів та процедур, а також шляхом надання вказівок щодо того, як вирішувати регулятивні питання стосовно обміну інформацією, наприклад, через сприяння у створенні секторальних аналітично-інформаційних центрів.

(30) Через постійне зростання потенційного негативного впливу від вразливостей у продуктах ІКТ, послугах ІКТ та процесах ІКТ, пошук та реагування на такі вразливості відіграє важливу роль у загальному зменшенні ризиків кібербезпеки. Співпраця між організаціями, виробниками або надавачами вразливих продуктів ІКТ, послуг ІКТ та процесів ІКТ та членами співтовариства досліджень у сфері кібербезпеки та урядовими органами, які знаходять вразливості, показала позитивний приклад значного зростання як випадків виявлення вразливостей, так і належного реагування на вразливості у продуктах ІКТ, послугах ІКТ та процесах ІКТ. Скоординоване виявлення вразливостей повинно бути структурованим процесом співпраці, під час якого про вразливості повідомляють власнику інформаційної системи, що дає змогу організації проводити діагностику та усувати вразливості до розкриття докладної інформації про вразливості третім сторонам або громадськості. Такий процес також повинен передбачати координацію між особою, яка ідентифікувала вразливості, та організацією, якій вона про них повідомляє, стосовно публікації таких вразливостей. Скоординовані політики розкриття інформації про загрози можуть відігравати важливу роль у комплексі зусиль держав-членів з посилення кібербезпеки.

(31) ENISA повинне збирати та аналізувати інформацію з національних звітів, які надають CSIRT та міжінституційні групи з реагування на надзвичайні ситуації в комп'ютерній сфері для установ, органів та агентств Союзу, створені згідно з Угодою між Європейським Парламентом, Європейською Радою, Радою Європейського Союзу, Європейською Комісією, Судом Європейського Союзу, Європейським Центральним Банком, Європейською Рахунковою Палатою, Європейською службою зовнішніх справ, Європейським економічно-соціальним комітетом, Європейським комітетом регіонів та Європейським інвестиційним банком стосовно організації та функціонування групи з реагування на надзвичайні ситуації в комп'ютерній сфері для установ, органів та агентств Союзу (CERT-EU) (- 14), з метою сприяння запровадженню спільних процедур, мови та термінології для обміну інформацією. У цьому контексті ENISA повинне включати приватний сектор у розумінні Директиви (ЄС) 2016/1148 , якою закладено основи для добровільного обміну технічною інформацією на операційному рівні у мережі груп для реагування на інциденти в сфері комп'ютерної безпеки (CSIRT), створеної зазначеною Директивою.

(32) ENISA повинне сприяти реагуванню на рівні Союзу на випадки широкомасштабних транскордонних інцидентів та криз, пов'язаних із кібербезпекою. Зазначене завдання належить виконувати в рамках мандата ENISA згідно з цим Регламентом, і загальний підхід повинен узгоджуватися з державами-членами у контексті Рекомендації Комісії (ЄС) 2017/1584 (- 15) та висновків Ради від 26 червня 2018 року про скоординоване реагування з боку ЄС на широкомасштабні інциденти та кризи, пов'язані з кібербезпекою. Зазначене завдання може включати збір потрібної інформації та дії в ролі фасилітатора між мережею CSIRT та технічною спільнотою, а також між виробниками рішень, відповідальними за управління кризами. Крім того, ENISA повинне підтримувати операційну співпрацю між державами-членами на запит однієї чи більше держав-членів щодо технічного опрацювання інцидентів шляхом сприяння обміну технічними рішеннями між державами-членами та шляхом проведення публічних комунікаційних кампаній. ENISA повинне підтримувати операційну співпрацю шляхом відпрацювання механізмів для такої співпраці через регулярні навчально-тренувальні заходи у сфері кібербезпеки.

(33) При підтримці операційної співпраці ENISA повинне користуватися доступними технічними та операційними експертними знаннями CERT-EU шляхом застосування структурованої співпраці. Така структурована співпраця може ґрунтуватися на експертних знаннях ENISA. У відповідних випадках, між двома організаціями повинно бути укладено спеціальні угоди з визначенням практичних інструментів для такої співпраці та для уникнення дублювання роботи.

(34) При виконанні свого завдання щодо підтримки операційної співпраці у межах мережі CSIRT у ENISA повинна бути змога надавати підтримку державам-членам, за їхнім запитом, зокрема щодо надання консультацій стосовно вдосконалення їхньої спроможності запобігати інцидентам, виявляти їх та реагувати на них, шляхом сприяння у технічному опрацюванні інцидентів, що мають значний або суттєвий негативний вплив, або шляхом забезпечення аналізу кіберзагроз та інцидентів. ENISA повинне сприяти технічному опрацюванню інцидентів, що мають значний або суттєвий негативний вплив, зокрема шляхом підтримки добровільного обміну технічними рішеннями між державами-членами або шляхом підготовки зведеної технічної інформації, як-от щодо технічних рішень, обмін якими здійснили держави-члени на добровільних засадах. У Рекомендації (ЄС) 2017/1584 державам-членам рекомендовано співпрацювати добросовісно та без невиправданої затримки обмінюватися між собою та ENISA інформацією стосовно широкомасштабних інцидентів та криз, пов’язаних із кібербезпекою. Така інформація також допоможе ENISA при виконанні ним свого завдання з підтримки операційної співпраці.

(35) Як частину звичайної співпраці на технічному рівні на підтримку ситуаційної обізнаності в Союзі у тісній співпраці з державами-членами, ENISA повинне регулярно готувати детальний технічний звіт ЄС про стан кібербезпеки стосовно інцидентів та кібератак на основі доступної для громадськості інформації, власного аналізу та звітів, наданих йому командами CSIRT держав-членів або єдиними контактними пунктами з безпеки мережевих та інформаційних систем ("єдині контактні пункти"), створеними відповідно до Директиви (ЄС) 2016/1148 , в обох випадках на добровільній основі. Європейським центром кіберзлочинності (ЕС3) у Європолі, CERT-EU та, у відповідних випадках, Розвідувально-ситуаційним центром Європейського Союзу (EU INTCEN) при Європейській службі зовнішніх справ. Такий звіт повинен надаватися Раді, Комісії, Високому представнику Союзу з питань закордонних справ і політики безпеки та мережі CSIRT.

(36) Підтримку ENISA щодо технічних запитів ex-post, поданих заінтересованими державами-членами стосовно інцидентів, які мають значний вплив або суттєвий негативний вплив, повинно бути зосереджено на запобіганні майбутнім інцидентам. Заінтересовані держави-члени повинні надавати необхідну інформацію та допомогу, щоб ENISA мало змогу забезпечити ефективну підтримку щодо технічних запитів ex-post.

(37) Держави-члени можуть запрошувати підприємства, яких торкнувся інцидент, до співпраці шляхом надання необхідної інформації та допомоги ENISA без обмеження їхнього права захищати комерційно чутливу інформацію, а також надання інформації, що є важливою для громадської безпеки.

(38) Щоб краще розуміти проблеми у сфері кібербезпеки, та з наміром надання державам-членам та установам, органам, офісам та агентствам Союзу стратегічних консультацій з урахуванням майбутніх перспектив, ENISA потрібно здійснювати аналіз наявних та новітніх ризиків кібербезпеки. З цією метою ENISA повинне у співпраці з державами-членами та, у відповідних випадках, із органами статистики та іншими органами збирати відповідні доступні публічно та надані добровільно дані й інформацію та здійснювати аналіз новітніх технологій та проводити тематичні оцінювання очікуваного соціального, правового, економічного та регуляторного впливу технологічних інновацій на мережеву та інформаційну безпеку та, зокрема, на кібербезпеку. Крім того, ENISA повинне підтримувати держави-члени та установи, органи, офіси та агентства Союзу у виявленні новітніх ризиків кібербезпеки та попередженні інцидентів шляхом проведення аналізу кіберзагроз, вразливостей та інцидентів.

(39) Для підвищення стійкості Союзу, ENISA необхідно накопичити експертні знання у сфері кібербезпеки інфраструктур, зокрема, для підтримки секторів, перелічених у додатку II до Директиви (ЄС) 2016/1148 , та секторів, що використовуються надавачами цифрових послуг, переліченими в додатку III до зазначеної Директиви, шляхом надання консультацій, підготовки настанов та обміну найкращими практиками. З метою забезпечення легшого доступу до краще структурованої інформації про ризики кібербезпеки та можливі засоби їх подолання ENISA необхідно розробити та підтримувати актуальність "інформаційного хабу" Союзу, єдиного порталу, що надаватиме громадськості інформацію про питання кібербезпеки, яка надходитиме від Союзу та національних установ, органів, офісів та агентств. Сприяння доступності краще структурованої інформації про ризики кібербезпеки та можливі засоби їх подолання може також допомогти державам-членам у посиленні їхньої спроможності та узгодженні їхніх практик, і в такий спосіб сприятиме підвищенню їхньої загальної стійкості до кібератак.

(40) ENISA необхідно сприяти підвищенню обізнаності громадськості про ризики кібербезпеки, у тому числі через кампанії з підвищення обізнаності по всьому ЄС шляхом просування освіти, та забезпечити надання настанов щодо належних практик для окремих користувачів, орієнтованих на громадян, організації та підприємства. ENISA потрібно також сприяти просуванню найкращих практик та рішень, у тому числі щодо кібергігієни та кіберграмотності на рівні громадян, організацій та підприємств, шляхом збору та аналізу публічно доступної інформації про значні інциденти, та шляхом складання й публікації звітів і настанов для громадян, організацій та підприємств, щоб підвищити їхній і загальний рівень готовності та стійкості. ENISA потрібно також намагатися надавати споживачам актуальну інформацію про застосовні схеми сертифікації, наприклад, шляхом підготовки настанов та рекомендацій. Крім того, ENISA потрібно організовувати згідно з Планом заходів із цифрової просвіти, схваленим Повідомленням Комісії від 17 січня 2018 року, у співпраці з державами-членами та установами, органами, офісами та агентствами Союзу регулярні кампанії з популяризації та просвіти, спрямовані на кінцевих користувачів, з метою просування більш безпечної онлайнової поведінки фізичних осіб та їхньої цифрової грамотності, для підвищення обізнаності про потенційні кіберзагрози, у тому числі про онлайнову кримінальну діяльність, як от фішингові атаки, мережі ботів, фінансове та банківське шахрайство, інциденти шахрайства з даними, а також рекламувати важливість базової багатофакторної автентифікації, встановлення оновлень та латок, шифрування, анонімізації та порад із захисту даних.

(41) ENISA необхідно відігравати центральну роль в активізації зусиль з підвищення обізнаності кінцевих користувачів щодо питань безпеки пристроїв та безпечного використання послуг; також ENISA повинне просувати ширше застосування концепцій вбудованої безпеки та вбудованої конфіденційності на рівні Союзу. У переслідуванні цієї цілі ENISA необхідно використовувати доступні найкращі практики та досвід, особливо найкращі практики та досвід академічних установ та дослідників сфери безпеки IT.

(42) Для підтримки підприємств, що здійснюють діяльність у секторі кібербезпеки, а також користувачів кібербезпекових рішень, ENISA необхідно розробити та підтримувати актуальність "ринкової обсерваторії" шляхом регулярного аналізу та розповсюдження інформації про основні тенденції на ринку кібербезпеки, як з боку попиту, так і з боку пропозиції.

(43) ENISA необхідно допомагати в зусиллях Союзу щодо співпраці з міжнародними організаціями, а також у рамках відповідної міжнародної співпраці у сфері кібербезпеки. Зокрема, ENISA необхідно сприяти, у відповідних випадках, співпраці з такими організаціями, як ОЕСР, ОБСЄ та НАТО. Така співпраця може включати спільні навчально-тренувальні заходи з кібербезпеки та спільну координацію реагування на інциденти. Такі заходи повинні здійснюватися в повній відповідності з принципами інклюзивності, взаємності та автономності Союзу у виробленні й ухваленні рішень, без обмеження специфічного характеру безпекової та оборонної політики будь-якої держави-члена.

(44) Для забезпечення повного досягнення своїх цілей ENISA необхідно встановити та підтримувати зв’язок із відповідними наглядовими органами Союзу та з іншими компетентними органами в Союзі, установами, органами, офісами та агентствами Союзу, серед яких CERT-EU, ЕС3, Європейське оборонне агентство (EDA), Європейське агентство з питань глобальних навігаційних супутникових систем (Європейське агентство GNSS), Орган європейських регуляторів електронних комунікацій (BEREC), Європейське агентство з оперативного управління великомасштабними ІТ-системами у просторі свободи, безпеки та правосуддя (eu-LISA), Європейський Центральний Банк (ЄЦБ), Європейський орган банківського нагляду, Агентство з питань співпраці регуляторних органів у сфері енергетики (ACER), Агентство з безпеки польотів Європейського Союзу (EASA), а також із будь-якими іншими агентствами Союзу, пов’язаними з кібербезпекою. ENISA необхідно також встановити та підтримувати зв’язок з органами, які займаються захистом даних, для обміну ноу-хау та найкращими практиками, а також необхідно надавати консультації з питань кібербезпеки, що можуть мати вплив на їхню роботу. Представники органів правозастосування та захисту даних Союзу та держав-членів повинні мати змогу бути представленими в Консультативній групі ENISA. Співпрацюючи з правозастосовчими органами стосовно питань безпеки мережевих та інформаційних систем, що можуть впливати на їхню роботу, ENISA потрібно враховувати наявні канали інформації та створені мережі.

(45) Можуть встановлюватися партнерства з академічними установами, що мають дослідний потенціал у відповідних сферах, та повинні бути створені відповідні канали для отримання думок від організацій споживачів та інших організацій, які потрібно брати до уваги.

(46) ENISA, виконуючи роль секретаріату мережі CSIRT, повинне підтримувати CSIRT держав-членів та CERT-EU у здійсненні операційної співпраці стосовно відповідних завдань мережі CSIRT, як зазначено в Директиві (ЄС) 2016/1148 . Крім того, ENISA повинне просувати та підтримувати співпрацю між відповідними CSIRT у разі інцидентів, атак або порушень у мережах чи інфраструктурі, управління та захист яких здійснюється CSIRT, та залучати або бути здатним залучати принаймні два CSIRT із належним урахування стандартних операційних процедур мережі CSIRT.

(47) Для підвищення готовності Союзу реагувати на інциденти, ENISA потрібно регулярно організовувати кібербезпекові навчально-тренувальні заходи на рівні Союзу та, за запитом держав членів, надавати державам-членам та установам, органам, офісам та агентствам Союзу допомогу в організації таких навчально-тренувальних заходів. Широкомасштабні комплексні навчально-тренувальні заходи, що включають технічні, операційні або стратегічні елементи, необхідно організовувати кожні два роки. Крім того, ENISA потрібно мати змогу регулярно організовувати менш комплексні навчально-тренувальні заходи з тією самою ціллю для підвищення готовності Союзу реагувати на інциденти.

(48) ENISA необхідно продовжувати нарощувати та підтримувати рівень власних експертних знань щодо сертифікації кібербезпеки з метою підтримки політики Союзу в зазначеній сфері. ENISA повинне ґрунтувати свою діяльність на наявних найкращих практиках та повинне просувати розвиток сертифікації кібербезпеки у межах Союзу, у тому числі шляхом сприяння запровадженню та використанню рамок сертифікації кібербезпеки на рівні Союзу (європейських рамок сертифікації кібербезпеки) з метою підвищення прозорості кібербезпеки продуктів ІКТ, послуг ІКТ, процесів ІКТ, внаслідок чого відбуватиметься посилення рівня впевненості в цифровому внутрішньому ринку та його конкурентоспроможності.

(49) Необхідно, щоб дієві політики у сфері кібербезпеки ґрунтувалися на добре розроблених методах оцінювання ризиків як у публічному, так і в приватному секторах. Методи оцінювання ризиків використовуються на різних рівнях, і щодо їх ефективного застосування не існує загальної практики. Підтримка та розробка найкращих практик для оцінювання ризиків та рішень щодо взаємодійного управління ризиками в організаціях публічного та приватного секторів підвищить рівень кібербезпеки у Союзі. З цією метою ENISA необхідно підтримувати співпрацю між заінтересованими сторонами на рівні Союзу та сприяти їх зусиллям щодо запровадження та розвитку європейських та міжнародних стандартів управління ризиками та вимірюваної безпеки електронних продуктів, систем, мереж та послуг, які в сукупності з програмним забезпечення становлять собою мережеві та інформаційні системи.

(50) ENISA необхідно заохочувати держави-члени, виробників або надавачів продуктів ІКТ, послуг ІКТ або процесів ІКТ з метою підвищення їхніх загальних стандартів безпеки у такий спосіб, щоб усі користувачі інтернету могли вжити необхідних заходів для забезпечення їхньої особистої кібербезпеки, та необхідно передбачити для них відповідні стимули це робити. Зокрема, виробники та надавачі продуктів ІКТ, послуг ІКТ або процесів ІКТ повинні передбачити будь-які необхідні оновлення та повинні відкликати, вилучати або утилізовувати продукти ІКТ, послуги ІКТ або процеси ІКТ, які не відповідають стандартам кібербезпеки, тоді як імпортери та розповсюджувачі повинні забезпечити, щоб продукти ІКТ, послуги ІКТ та процеси ІКТ які вони вводять в обіг на ринку Союзу, відповідали застосовним вимогам та не становили ризику для споживачів Союзу.

(51) У співпраці з компетентними органами ENISA повинне бути здатним розповсюджувати інформацію стосовно рівня кібербезпеки продуктів ІКТ, послуг ІКТ та процесів ІКТ, що пропонуються на внутрішньому ринку, та повинне видавати попередження виробникам або надавачам продуктів ІКТ, послуг ІКТ або процесів ІКТ та вимагати від них їх підвищувати безпеку їхніх продуктів ІКТ, послуг ІКТ та процесів ІКТ, включно з кібербезпекою.

(52) ENISA необхідно брати до уваги поточні дослідження, розробки й технологічні оцінки, зокрема стосовно тих видів діяльності, що здійснюються в рамках різних дослідних ініціатив Союзу, з метою консультування установ, органів, офісів та агентств Союзу та держав-членів, у відповідних випадках на їхній запит, стосовно потреб і пріоритетів для досліджень у сфері кібербезпеки. З питань ідентифікації потреб і пріоритетів для досліджень, ENISA потрібно також консультуватися з відповідними групами користувачів. Більш конкретно, може бути встановлена співпраця з Європейською дослідницькою радою, Європейським інститутом інновацій та технологій та Інститутом досліджень з питань безпеки Європейського Союзу.

(53) Під час підготовки європейських схем сертифікації кібербезпеки ENISA необхідно регулярно консультувати організації стандартизації, зокрема європейські організації стандартизації.

(54) Кіберзагрози є проблемним питанням глобального виміру. Існує потреба у тіснішій співпраці для вдосконалення стандартів кібербезпеки, у тому числі потреба у визначенні спільних норм поведінки, ухваленні кодексів поведінки, використанні міжнародних стандартів, а також в обміні інформацією, сприянні активнішій міжнародній співпраці у відповідь на проблеми з безпеки мережевих та інформаційних систем та сприянні спільному глобальному підходу до таких питань. З цією метою ENISA необхідно підтримувати дедалі активніше залучення Союзу та співпрацю з третіми країнами та міжнародними організаціями шляхом надання необхідних експертних знань і аналізу відповідним установам, органам, офісам та агентствам Союзу, у відповідних випадках.

(55) ENISA повинне бути здатним реагувати на спеціальні запити щодо надання консультацій та підтримки державам-членам та установам, органам, офісам та агентствам Союзу з питань, що належать до сфери повноважень ENISA.

(56) Чутливим і рекомендованим питанням є впровадження певних принципів врядування ENISA, спрямованих на виконання Спільної заяви та Спільного підходу, погодженого в липні 2012 року Міжінституційною робочою групою з питань децентралізованих агентств ЄС, метою яких є активізація діяльності децентралізованих агентств та вдосконалення їхньої продуктивності. Рекомендації, наведені у Спільній заяві та у Спільному підході, повинні бути відображені, якщо доцільно, у робочих програмах ENISA, оцінках ENISA та звітності й адміністративній співпраці ENISA.

(57) Правління у складі представників держав-членів та Комісії повинне визначати загальні напрямки роботи ENISA та виконувати свої завдання відповідно до положень цього Регламенту. На Правління необхідно покласти повноваження, необхідні для визначення і схвалення бюджету, перевірки виконання бюджету, ухвалення належних фінансових правил, визначення прозорих робочих процедур для вироблення та ухвалення рішень ENISA, ухвалювати єдиний програмний документ ENISA, ухвалювати власний внутрішній регламент, призначати виконавчого директора та ухвалювати рішення про продовження або припинення строку перебування на посаді виконавчого директора.

(58) Для забезпечення належного і дієвого функціонування ENISA, Комісія та держави члени повинні призначати у Правління лише осіб із професійними експертними знаннями та досвідом. Комісія та держави-члени повинні докладати зусиль для забезпечення того, щоб їхні відповідні представники у Правлінні змінювалися якомога рідше, для забезпечення безперервності його роботи.

(59) Безперебійне функціонування ENISA вимагає призначення його виконавчого директора, виходячи з його заслуг та документально підтверджених адміністративних та управлінських навичок, а також компетенції та досвіду, пов'язаних із кібербезпекою. Виконавчий директор повинен виконувати свої обов'язки повністю незалежно. Виконавчий директор повинен готувати проєкт річної робочої програми ENISA після проведення консультацій із Комісією, та повинен вживати усіх заходів, необхідних для забезпечення належного виконання згаданої робочої програми. Виконавчий директор повинен готувати щорічний звіт для подання Правлінню, і такий звіт повинен стосуватися виконання річної робочої програми ENISA, містити проєкт кошторису доходів і видатків ENISA, а також містити інформацію про виконання бюджету. Крім того, у виконавчого директора повинна бути можливість створювати спеціалізовані експертні робочі групи для розв'язання специфічних питань, зокрема наукового, правового або соціоекономічного характеру. Серед іншого необхідно, щоб він міг створити спеціалізовану експертну робочу групу для підготовки проєкту європейської схеми сертифікації кібербезпеки ("проєкт схеми"). Виконавчий директор повинен забезпечувати, щоб членів спеціалізованих експертних робочих груп добирали відповідно до найвищих стандартів щодо рівня експертних знань, із забезпеченням гендерного балансу та належного представництва публічних адміністрацій держав-членів, установ, органів, офісів та агентств Союзу та приватного сектора, включно з промисловістю, користувачами та академічними експертами з питань безпеки мереж та інформації, щодо спеціалізованих питань до розгляду.

(60) Виконавча рада повинна сприяти ефективному функціонуванню Правління. У рамках роботи з підготовки рішень Правління Виконавча рада повинна детально досліджувати відповідну інформацію, вивчати доступні варіанти та надавати поради і пропозиції з підготовки рішень Правління.

(61) ENISA повинне використовувати Консультативну групу ENISA як дорадчий орган, щоб забезпечити підтримку постійного діалогу з приватним сектором, організаціями споживачів та іншими відповідними заінтересованими сторонами. Консультативну групу ENISA створює Правління за пропозицією виконавчого директора, і вона повинна зосередити свою увагу на питаннях, піднятих заінтересованими сторонами, та повинна доносити їх до уваги ENISA. Консультативна група ENISA повинна надавати консультації, зокрема, у рамках підготовки проєкту робочої програми ENISA. Склад Консультативної групи ENISA та покладені на неї завдання повинні бути достатніми для забезпечення представництва заінтересованих сторін у роботі ENISA.

(62) Для допомоги ENISA та Комісії у сприянні проведенню консультацій з відповідними заінтересованими сторонами повинна бути створена Група стейкхолдерів з питань сертифікації кібербезпеки. Група стейкхолдерів з питань сертифікації кібербезпеки повинна складатися з членів, що збалансовано представляють галузь з боку і попиту, і пропозиції продуктів ІКТ та послуг ІКТ, та повинна включати, зокрема, МСП, надавачів цифрових послуг, європейські та міжнародні органи стандартизації, національні органи з акредитації, наглядові органи з питань захисту даних та органи з оцінювання відповідності відповідно до Регламенту Європейського Парламенту і Ради (ЄС) № 765/2008 (- 16), а також представників академічної спільноти та організацій споживачів.

(63) В ENISA повинно бути запроваджено правила щодо управління конфліктами інтересів та запобігання таким конфліктам інтересів. ENISA також необхідно застосовувати відповідні положення Союзу стосовно публічного доступу до документів, як визначено у Регламенті Європейського Парламенту і Ради (ЄС) № 1049/2001 (- 17). Опрацювання персональних даних в ENISA необхідно здійснювати відповідно до положень Регламенту Європейського Парламенту і Ради (ЄС) 2018/1725 (- 18). ENISA необхідно забезпечити дотримання положень, що застосовуються до установ, органів, офісів та агентств Союзу, а також положень національного законодавства стосовно опрацювання інформації, зокрема чутливої незасекреченої інформації та секретної інформації Європейського Союзу (EUCI).

(64) Щоб гарантувати повну автономію та незалежність ENISA, та щоб дати змогу ENISA виконувати додаткові завдання, включно з непередбаченими невідкладними завданнями, ENISA необхідно надати достатній та автономний бюджет, надходження до якого повинні формуватися з внесків Союзу та внесків третіх країн, які беруть участь у роботі ENISA. Для забезпечення достатньої спроможності виконувати всі покладені на нього завдання та для досягнення поставлених перед ним цілей, ENISA повинне мати належний бюджет. Більшість персоналу ENISA повинна бути прямо задіяна в операційній реалізації мандату ENISA. Державі-члену ведення діяльності та будь-якій іншій державі-члену повинно бути дозволено здійснювати добровільні внески до бюджету ENISA. Необхідно застосовувати бюджетну процедуру Союзу, якщо йдеться про дотації, які надаються за рахунок загального бюджету Союзу. Крім того, для забезпечення прозорості та підзвітності звітність ENISA повинна проходити аудит з боку Рахункової палати.

(65) Сертифікація кібербезпеки відіграє важливу роль у підвищенні довіри до продуктів ІКТ, послуг ІКТ та процесів ІКТ, а також їхньої безпеки. Єдиний цифровий ринок та, зокрема, економіка даних та інтернет речей можуть процвітати лише за умови, що існуватиме довіра з боку загальної громадськості до таких продуктів, послуг та процесів, і що вони здатні забезпечити певний рівень кібербезпеки. Автомобілі, електронні медичні вироби, системи контролю промислової автоматизації та розумні електросистеми з постійним під'єднанням до мережі інтернет та з функціями автоматизованого функціонування - лише деякі з прикладів секторів, у яких сертифікація вже набула широкого використання або набуде в найближчій перспективі. Сектори, що регулюються положеннями Директиви (ЄС) 2016/1148 , також належать до секторів, у яких сертифікація кібербезпеки є критичною.

(66) У Повідомленні "Посилення кіберстійкості систем Європи та сприяння побудові конкурентної та інноваційної галузі кібербезпеки" від 2016 року Комісія відзначила потребу у високоякісних, доступних та взаємодійних продуктах і рішеннях у сфері кібербезпеки. У наданні продуктів ІКТ, послуг ІКТ та процесів ІКТ у межах єдиного ринку спостерігається значна географічна фрагментованість. Причина цього полягає в тому, що галузь кібербезпеки переважно розвивалася на основі попиту з боку національних урядів. На додаток, відсутність взаємодійних рішень (технічних стандартів), практик та загальноєвропейських механізмів сертифікації формує прогалини на єдиному ринку у сфері кібербезпеки. Це ускладнює конкурентоспроможність європейських підприємств на національному, загальноєвропейському та світовому рівнях. Це також скорочує вибір доступних для фізичних осіб та підприємств технологій кібербезпеки. Аналогічним чином, у Повідомленні 2017 року про середньостроковий огляд впровадження Стратегії розбудови Єдиного цифрового ринку "Конективний Єдиний цифровий ринок для всіх" Комісія відзначала потребу в безпечних конективних продуктах і системах, та зазначала, що створення європейських рамок безпеки ІКТ дасть змогу визначити правила організації процесу сертифікації безпеки ІКТ в Союзі, що своєю чергою посилить довіру до інтернету та подолає поточну фрагментарність внутрішнього ринку.

(67) На поточний момент, сертифікація кібербезпеки продуктів ІКТ, послуг ІКТ та процесів ІКТ носить обмежений характер. Вона існує переважно на рівні держав-членів або у рамках схем, створених самою галуззю. За такого контексту, як правило, сертифікат, виданий національним органом сертифікації кібербезпеки, не визнається в іншій державі-члені. Як наслідок, компанії мусять сертифікувати свої продукти ІКТ, послуги ІКТ та процеси ІКТ в кількох державах-членах, у яких вони здійснюють діяльність, наприклад, у рамках національних закупівельних процедур, що призводить до підвищення їхніх витрат. Крім того, з появою нових схем дедалі більше спостерігається відсутність узгодженого та комплексного підходу до горизонтальних аспектів кібербезпеки, наприклад, у сфері інтернету речей. Наявні схеми мають значні недоліки та відмінності в частині охопленні продуктів, рівнів надійності, сутнісних критеріїв та фактичного використання, що унеможливлює застосування механізмів взаємного визнання в рамках Союзу.

(68) Було докладено зусиль для забезпечення взаємного визнання сертифікатів у межах Союзу. Однак ці зусилля виявилися успішними тільки частково. Найважливішим прикладом у цьому зв’язку є Угода про взаємне визнання (MRA) Групи вищих посадових осіб з безпеки інформаційних систем (SOG-IS). Незважаючи на те, що цей документ є найважливішим зразком співпраці та взаємного визнання у сфері сертифікації безпеки, SOG-IS охоплює тільки деякі держави-члени. З цієї причини MRA SOG-IS має обмежену дієвість з точки зору внутрішнього ринку.

(69) Таким чином, необхідно утвердити спільний підхід та запровадити європейську схему сертифікації кібербезпеки, що закладе основні горизонтальні вимоги для майбутніх європейських схем сертифікації кібербезпеки та забезпечить визнання і використання в усіх державах-членах європейських сертифікатів з кібербезпеки та декларацій ЄС про відповідність для продуктів ІКТ, послуг ІКТ або процесів ІКТ. На цьому шляху важливо спиратися на наявні національні та міжнародні схеми, а також на системи взаємного визнання, серед яких SOG-IS; крім того, необхідно забезпечити плавний перехід від наявних схем у рамках таких систем до схем відповідно до нових європейських рамок сертифікації кібербезпеки. Європейські рамки сертифікації кібербезпеки повинні слугувати подвійній меті. По-перше, вони повинні сприяти підвищенню довіри до продуктів ІКТ, послуг ІКТ та процесів ІКТ, які були сертифіковані за європейськими схемами сертифікації кібербезпеки. По-друге, вони повинні сприяти зникненню численних суперечливих або дубльованих національних схем сертифікації кібербезпеки, що дасть змогу скоротити витрати підприємств, які ведуть діяльність на єдиному цифровому ринку. Європейські схеми сертифікації кібербезпеки повинні носити недискримінаційний характер та ґрунтуватися на європейських або міжнародних стандартах, крім випадків, коли такі стандарти довели свою неефективність або невідповідність у досягненні законних цілей Союзу стосовно питань сертифікації кібербезпеки.

(70) Європейські рамки сертифікації кібербезпеки повинні бути створені як єдиний інструмент для всіх держав-членів, щоб запобігти появі "торгівлі сертифікацією" внаслідок різних рівнів суворості у рівних державах-членах.

(71) Європейські схеми сертифікації кібербезпеки повинні ґрунтуватися на тому, що вже існує на міжнародному та національному рівні, та за необхідності й на технічних специфікаціях від форумів та консорціумів, шляхом вивчення поточних сильних сторін та оцінки й усунення слабин.

(72) Галузі потрібні гнучкі рішення щодо кібербезпеки, щоб випереджати кіберзагрози, тому будь-яка схема сертифікації повинна бути розроблена в такий спосіб, що дає змогу уникнути ризику її швидкого застарівання.

(73) Комісію необхідно наділити повноваженнями ухвалювати європейські схеми сертифікації кібербезпеки для конкретних груп продуктів ІКТ, послуг ІКТ та процесів ІКТ. Національні органи сертифікації кібербезпеки повинні забезпечувати впровадження таких схем та нагляд за ними, і видані згідно з такими схемами сертифікати повинні бути дійсними й визнаватися по всьому Союзу. Схеми сертифікації, які використовуються галуззю або іншими приватними організаціями, не повинні підпадати під сферу дії цього Регламенту. Однак, якщо органи використовують такі схеми, вони повинні мати змогу пропонувати, щоб Комісія брала такі схеми до уваги за основу для схвалення як європейську схему сертифікації кібербезпеки.

(74) Положення цього Регламенту не повинні обмежувати право Союзу стосовно специфічних правил для сертифікації продуктів ІКТ, послуг ІКТ та процесів ІКТ. Зокрема, Регламентом (ЄС) 2016/679 встановлено положення про запровадження механізмів сертифікації захисту даних та штампів і знаків захисту даних з метою підтвердження відповідності операцій опрацювання, які здійснюють контролери і оператори, положенням згаданого Регламенту. Такий механізм сертифікації та штампів і знаків захисту даних повинен давати змогу суб’єктам даних швидко оцінювати рівень захисту даних відповідних продуктів ІКТ, послуг ІКТ та процесів ІКТ. Цей Регламент не обмежує сертифікації операцій з опрацювання даних згідно з Регламентом (ЄС) 2016/679, у тому числі якщо такі операції вбудовані у продукти ІКТ, послуги ІКТ та процеси ІКТ.

(75) Завданням європейських схем сертифікації кібербезпеки повинно бути забезпечення того, що продукти ІКТ, послуги ІКТ та процеси ІКТ, які сертифіковано за такими схемами, відповідають визначеним вимогам, метою яких є захист доступності, автентичності, цілісності та конфіденційності даних, які зберігають, передають або опрацьовують, або пов'язаних функцій чи послуг, пропонованих такими продуктами, послугами або процесами або доступних із їхньою допомогою протягом їх життєвого циклу. У цьому Регламенті неможливо визначити детальні вимоги до кібербезпеки усіх продуктів ІКТ, послуг ІКТ та процесів ІКТ. Продукти ІКТ, послуги ІКТ та процеси ІКТ та потреби кібербезпеки, пов'язані з такими продуктами, послугами та процесами, настільки різноманітні, що дуже складно розробити загальні вимоги до кібербезпеки, які можливо застосувати за всіх обставин. Тому необхідно ухвалити широке та загальне визначення поняття "кібербезпека" для цілей сертифікації, яке згодом може бути доповнене набором специфічних цілей кібербезпеки, що їх потрібно буде брати до уваги при розробці європейських схем сертифікації кібербезпеки. Відповідні механізми, за допомогою яких буде досягнуто таких цілей у конкретних продуктах ІКТ, послугах ІКТ та процесах ІКТ, в подальшому будуть уточнюватися на рівні окремих схем сертифікації, ухвалених Комісією, наприклад, шляхом покликання на стандарти або технічні специфікації, якщо відповідні стандарти відсутні.

(76) Технічні специфікації, що будуть використовуватися у європейських схемах сертифікації кібербезпеки, повинні враховувати вимоги, визначені в додатку II до Регламенту Європейського Парламенту і Ради (ЄС) № 1025/2012 (- 19). Однак можуть бути необхідними певні відхилення від згаданих вимог у належним чином обґрунтованих випадках, коли такі технічні специфікації будуть використовуватися у європейській схемі сертифікації кібербезпеки стосовно рівня надійності "високий". Причини застосування таких відхилень повинні бути оприлюднені перед громадськістю.

(77) Оцінювання відповідності - це процедура для оцінювання міри відповідності спеціальним вимогам щодо продуктів ІКТ, послуг ІКТ або процесів ІКТ. Така процедура здійснюється незалежною третьою особою, яка не є ані виробником, ані надавачем продуктів ІКТ, послуг ІКТ або процесів ІКТ, які є предметом оцінювання. Після успішного проходження оцінювання продуктів ІКТ, послуг ІКТ або процесів ІКТ повинен видаватися європейський сертифікат з безпеки. Європейський сертифікат з кібербезпеки повинен вважатися підтвердженням того, що оцінювання було проведено належним чином. Залежно від рівня надійності, європейська схема сертифікації кібербезпеки повинна визначати, який орган повинен видати європейський сертифікат з кібербезпеки - приватний чи публічний. Оцінювання відповідності та сертифікація як такі не можуть гарантувати, що продукти ІКТ, послуги ІКТ та процеси ІКТ є кібербезпечними. Вони радше слугують як процедури та технічні методології для підтвердження того, що продукти ІКТ, послуги ІКТ та процеси ІКТ пройшли тестування та що вони відповідають певним вимогам до кібербезпеки, які викладено в інших документах, як, наприклад, у технічних стандартах.

(78) Вибір належної сертифікації та пов'язаних із нею вимог до безпеки з боку користувачів європейських сертифікатів з кібербезпеки повинен ґрунтуватися на аналізі ризиків, пов'язаних з використанням продуктів ІКТ, послуг ІКТ або процесів ІКТ. Відповідно, рівень надійності повинен відповідати рівню ризику, пов’язаному з використанням за призначенням продукту ІКТ, послуги ІКТ або процесу ІКТ.

(79) Європейська схема сертифікації кібербезпеки може передбачати проведення оцінювання відповідності під одноосібну відповідальність виробника або надавача продуктів ІКТ, послуг ІКТ або процесів ІКТ ("самооцінювання відповідності"). У таких випадках повинно бути достатньо, щоб виробник або надавач продуктів ІКТ, послуг ІКТ або процесів ІКТ самостійно проводив усі перевірки, спрямовані на забезпечення відповідності продуктів ІКТ, послуг ІКТ або процесів ІКТ вимогам європейської схеми сертифікації кібербезпеки. Самооцінювання відповідності повинно вважатися належним для продуктів ІКТ, послуг ІКТ або процесів ІКТ низької складності, що становлять низький ризик для громадськості, як-от із простим проєктом та технологією виробництва. Крім того, самооцінювання відповідності повинно дозволятися лише у разі, якщо продукти ІКТ, послуги ІКТ та процеси ІКТ відповідають рівню надійності "базовий".

(80) Європейські схеми сертифікації кібербезпеки можуть передбачати існування як самооцінювання відповідності, так і сертифікації продуктів ІКТ, послуг ІКТ або процесів ІКТ. У такому разі схема повинна передбачати чіткі та зрозумілі засоби для споживачів або інших користувачів, які б дозволяли відрізнити продукти ІКТ, послуги ІКТ та процеси ІКТ, за оцінювання яких відповідає виробник або надавач продуктів ІКТ, послуг ІКТ або процесів ІКТ, від продуктів ІКТ, послуг ІКТ або процесів ІКТ, які сертифіковані третьою особою.

(81) Виробник або надавач продуктів ІКТ, послуг ІКТ або процесів ІКТ, який здійснює самооцінювання відповідності, повинен бути здатним видавати та підписувати декларацію ЄС про відповідність як частину процедури оцінювання відповідності. Декларація ЄС про відповідність - це документ, у якому зазначається, що конкретний продукт ІКТ, послуга ІКТ або процес ІКТ відповідає вимогам європейської схеми сертифікації кібербезпеки. У разі оформлення та підписання декларації ЄС про відповідність виробник або надавач продуктів ІКТ, послуг ІКТ або процесів ІКТ повинен брати на себе відповідальність за відповідність продуктів ІКТ, послуг ІКТ або процесів ІКТ правовим вимогам європейської схеми сертифікації кібербезпеки. Копію декларації ЄС про відповідність вимогам необхідно надавати національним органам із сертифікації кібербезпеки та ENISA.

(82) Виробники або надавачі продуктів ІКТ, послуг ІКТ або процесів ІКТ повинні надавати доступ до декларації ЄС про відповідність, технічної документації та іншої відповідної інформації, що стосується відповідності продуктів ІКТ, послуг ІКТ або процесів ІКТ європейській схемі сертифікації кібербезпеки, компетентному національному органу з сертифікації кібербезпеки на період, визначений у відповідній європейській схемі сертифікації кібербезпеки. Технічна документація повинна визначати умови, що застосовуються згідно зі схемою, та повинна охоплювати проєктування, виробництво та експлуатацію продукту ІКТ, послуги ІКТ або процесу ІКТ мірою, якою це необхідно для самооцінювання відповідності. Технічна документація повинна бути складена в такий спосіб, щоб можливо було виконати оцінювання відповідності продукту ІКТ або послуги ІКТ вимогам, що застосовуються згідно з відповідною схемою.

(83) Управління європейськими рамками сертифікації кібербезпеки повинне передбачати залучення держав-членів та належне залучення заінтересованих сторін, а також визначати роль Комісії під час підготовки планів, пропозицій, запитів, проєктів та ухвалення чи перегляду європейських схем сертифікації кібербезпеки.

(84) За підтримки Європейської групи з сертифікації кібербезпеки (ECCG) та Групи стейкхолдерів з питань сертифікації кібербезпеки, а також після відкритих та широких консультацій Комісія повинна підготувати послідовну робочу програму Союзу щодо європейських схем сертифікації кібербезпеки, і опублікувати її у формі необов’язкового інструмента. Послідовна робоча програма Союзу повинна стати стратегічним документом, що дає змогу галузі, національним органам та органам зі стандартизації, зокрема, здійснювати підготовку майбутніх європейських схем сертифікації кібербезпеки заздалегідь. Послідовна робоча програма Союзу повинна включати багаторічний огляд запитів щодо проєктів схем, які комісія має намір подати до ENISA для підготовки на основі конкретних підстав. Комісія повинна враховувати послідовну робочу програму Союзу при підготовці свого Послідовного плану щодо стандартизації ІКТ та запитів на стандартизацію до європейських організацій стандартизації. У світлі швидкого запровадження та розгортання нових технологій, виникнення раніше невідомих ризиків кібербезпеки та законодавчого й ринкового розвитку Комісія або ECCG повинні мати повноваження звертатися до ENISA із запитами про підготовку проєктів схем, які не були включені до послідовної робочої програми Союзу. У таких випадках Комісія та ECCG повинні також оцінювати необхідність таких запитів, враховувати загальні цілі й мету цього Регламенту та потребу в забезпеченні безперервності планування та використання ресурсів ENISA.

Після отримання таких запитів ENISA повинне без невиправданої затримки готувати проєкти схем для конкретних продуктів ІКТ, послуг ІКТ та процесів ІКТ. Комісія повинна оцінювати позитивний та негативний вплив своїх запитів на відповідний сегмент ринку, особливо на МСП, у розрізі інновацій, перешкод для виходу на такий ринок та витрат для кінцевих користувачів. Комісію необхідно уповноважити на ухвалення європейських схем сертифікації кібербезпеки на основі проєктів схем, підготовлених ENISA, шляхом імплементаційних актів. Беручи до уваги загальну мету та безпекові цілі, передбачені в цьому Регламенті, ухвалена Комісією європейська схема сертифікації кібербезпеки повинна визначати мінімальний набір елементів, що стосуються предмету, сфери застосування та функціонування індивідуальної схеми. Серед іншого, такі елементи повинні включати сферу застосування та цілі сертифікації кібербезпеки, включно з категоріями охоплених продуктів ІКТ, послуг ІКТ та процесів ІКТ, детальну специфікацію вимог до кібербезпеки, наприклад, шляхом покликання на стандарти або технічні специфікації, специфічні критерії оцінювання та методи оцінювання, а також очікуваний рівень надійності ("базовий", "істотний" або "високий") та оцінювання рівнів, якщо доцільно. У ENISA повинна бути змога відхиляти запити від ECCG. Такі рішення ухвалює Правління; такі рішення повинні бути належним чином обґрунтовані.

(85) ENISA повинне вести вебсайт для надання інформації про європейські схеми сертифікації кібербезпеки та їх публікування, що серед іншого повинен містити запити на підготовку проєктів схем та відгуки, отримані в рамках консультацій, проведених ENISA на підготовчій фазі. Вебсайт повинен також містити інформацію про європейські сертифікати з кібербезпеки та декларації ЄС про відповідність, видані згідно з цим Регламентом, включно з інформацією стосовно відкликання й завершення дії європейських сертифікатів з кібербезпеки та декларацій ЄС про відповідність. На вебсайті повинні також вказуватися національні схеми сертифікації кібербезпеки, які замінено європейською схемою сертифікації кібербезпеки.

(86) Рівень надійності європейської схеми сертифікації кібербезпеки - це основа впевненості в тому, що продукт ІКТ, послуга ІКТ або процес ІКТ відповідає вимогам безпеки конкретної європейської схеми сертифікації кібербезпеки. Для забезпечення узгодженості європейських рамок сертифікації кібербезпеки, європейська схема сертифікації кібербезпеки повинна визначати рівні надійності європейських сертифікатів з кібербезпеки та декларацій ЄС про відповідність, виданих згідно за такою схемою. Кожен європейський сертифікат з кібербезпеки має стосуватися одного з рівнів надійності: "базового", "істотного" або "високого", а декларація ЄС про відповідність має стосуватися лише рівня надійності "базовий". Рівень надійності має бути відображенням суворості та глибини оцінювання продукту ІКТ, послуги ІКТ або процесу ІКТ, та повинен характеризуватися покликанням на технічні специфікації, стандарти та процедури стосовно нього, включно з процедурами технічного контролю, метою яких є пом’якшення або попередження інцидентів. У різних галузевих сферах, у яких застосовується сертифікація, кожен рівень надійності повинен бути послідовним.

(87) У європейській схемі сертифікації кібербезпеки може бути визначено декілька рівнів оцінювання, залежно від суворості та глибини використовуваних методів оцінювання. Рівні оцінювання повинні відповідати одному з рівнів надійності та повинні бути пов’язані з відповідною комбінацією компонентів надійності. Для всіх рівнів надійності продукти ІКТ, послуги ІКТ або процеси ІКТ повинні передбачати низку функцій безпеки, визначених конкретною схемою, що можуть включати: готову конфігурацію безпеки, підписаний код, безпечні оновлення, запобігання зловмисному використанню та захист вбудованого програмного забезпечення й динамічної пам’яті. Такі функції повинно бути розроблено, та їх повинні підтримувати з використанням орієнтованих на безпеку підходів до розробки та пов’язаних інструментів, щоб забезпечити надійне вбудування дієвих програмних та апаратних механізмів.

(88) Для рівня надійності "базовий" оцінювання повинне враховувати принаймні такі компоненти надійності: оцінювання повинне принаймні включати аналіз технічної документації продукту ІКТ, послуги ІКТ або процесу ІКТ органом з оцінювання відповідності. Якщо сертифікація охоплює процеси ІКТ, предметом технічного огляду також повинен бути процес, використаний для проєктування, розробки та обслуговування продукту ІКТ або послуги ІКТ. Якщо європейська схема сертифікації кібербезпеки передбачає самооцінювання відповідності, виробнику або надавачу продуктів ІКТ послуг ІКТ або процесів ІКТ повинно бути достатньо виконати самостійне оцінювання продукту ІКТ, послуги ІКТ або процесу ІКТ на відповідність схемі сертифікації.

(89) Для рівня надійності "істотний" оцінювання, на додаток до вимог для рівня надійності "базовий", повинне враховувати принаймні перевірку безпеки функціональних компонентів продукту ІКТ, послуги ІКТ або процесу ІКТ на відповідність технічній документації.

(90) Для рівня надійності "високий" оцінювання, на додаток до вимог для рівня надійності "істотний", повинне враховувати принаймні випробування ефективності, яке оцінює функціональні компоненти продукту ІКТ, послуги ІКТ або процесу ІКТ з точки зору опірності передовим кібератакам, які виконують суб’єкти зі значними вміннями та ресурсами.

(91) Використання європейської сертифікації кібербезпеки та декларацій ЄС про відповідність повинне залишатися добровільним, крім як у випадках, коли це передбачено актами права Союзу або актами права держав-членів, ухваленими на виконання актів права ЄС. За відсутності гармонізованого законодавства Союзу, держави-члени повинні мати змогу ухвалювати національні технічні регламенти з визначенням обов'язковості сертифікації згідно з європейською схемою сертифікації кібербезпеки відповідно до Директиви Європейського Парламенту і Ради (ЄС) 2015/1535 (- 20). Держави-члени також можуть використовувати європейську сертифікацію кібербезпеки в контексті публічних закупівель та Директиви Європейського Парламенту і Ради 2014/24/ЄС (- 21).

(92) У певних сферах може бути необхідним у майбутньому встановлювати специфічні вимоги до кібербезпеки та запроваджувати їх обов’язкову сертифікацію певних продуктів ІКТ, послуг ІКТ або процесів ІКТ, щоб підвищувати рівень кібербезпеки в Союзі. Комісія повинна здійснювати постійний моніторинг впливу ухвалених європейських схем сертифікації кібербезпеки у розрізі доступності безпечних продуктів ІКТ, послуг ІКТ та процесів ІКТ на внутрішньому ринку, та повинна здійснювати регулярне оцінювання рівня використання схем сертифікації виробниками або надавачами продуктів ІКТ, послуг ІКТ або процесів ІКТ. Повинна бути надана оцінка дієвості європейських схем сертифікації кібербезпеки та потреби в обов’язковості специфічних схем у світлі законодавства Союзу з кібербезпеки, зокрема Директиви (ЄС) 2016/1148 , беручи до уваги питання безпеки мережевих та інформаційних систем, що використовуються операторами основних послуг.

(93) Європейські сертифікати з кібербезпеки та декларації ЄС про відповідність повинні допомагати кінцевим користувачам робити поінформований вибір. Тому продукти ІКТ, послуги ІКТ та процеси ІКТ, які було сертифіковано чи на які було видано декларацію ЄС про відповідність, повинні супроводжуватися структурованою інформацією, адаптованою під очікуваний рівень технічних знань потенційного кінцевого користувача. Уся така інформація повинна бути доступна онлайн та у фізичній формі, якщо доцільно. Кінцевий користувач повинен мати доступ до інформації щодо реєстраційного номера схеми сертифікації, рівня надійності, опису ризиків кібербезпеки, пов'язаних з продуктом ІКТ, послугою ІКТ або процесом ІКТ, та органу чи організації, ким видано сертифікат, або мати змогу отримати копію європейського сертифіката з кібербезпеки. Крім того, кінцевого користувача повинно бути поінформовано про політику підтримки кібербезпеки, а точніше про те, як довго кінцевий користувач може розраховувати на отримання оновлень або латок кібербезпеки, від виробника або надавача продуктів ІКТ, послуг ІКТ або процесів ІКТ. За необхідності повинні бути надані вказівки про дії чи налаштування, з допомогою яких кінцевий користувач може встановити або підвищити рівень кібербезпеки продукту ІКТ або послуги ІКТ та вказано контактну інформацію місця, за яким можна звернутися або отримати підтримку в разі кібератак (на додаток до автоматичного надсилання звітів). Така інформація повинна підлягати регулярному оновленню та публікуватися на вебсайті разом з наданням інформації про європейські схеми сертифікації кібербезпеки.

(94) У світлі досягнення цілей цього Регламенту та уникнення фрагментації внутрішнього ринку, національні схеми або процедури сертифікації кібербезпеки для продуктів ІКТ, послуг ІКТ або процесів ІКТ, охоплених європейською схемою сертифікації кібербезпеки, повинні втратити дію з дати, встановленої Комісією за допомогою імплементаційних актів. Крім того, держави-члени не повинні вводити нових національних схем сертифікації кібербезпеки для продуктів ІКТ, послуг ІКТ та процесів ІКТ, які вже охоплені чинною європейською схемою сертифікації кібербезпеки. Однак, не потрібно обмежувати держави-члени в ухваленні або збереженні національних схем сертифікації кібербезпеки для потреб національної безпеки. Держави-члени повинні інформувати Комісію та ECCG про будь-які наміри створити нові національні схеми сертифікації кібербезпеки. Комісія та ECCG повинні оцінювати вплив нових національних схем сертифікації кібербезпеки на належне функціонування внутрішнього ринку та у світлі будь-яких стратегічних інтересів при запиті на ухвалення замість них європейської схеми сертифікації кібербезпеки.

(95) Європейські схеми сертифікації кібербезпеки покликані допомогти гармонізувати практики кібербезпеки у Союзі. Вони повинні сприяти підвищенню рівня кібербезпеки по всьому Союзу. При розробці європейських схем сертифікації кібербезпеки необхідно враховувати та передбачати розвиток інновацій у сфері кібербезпеки.

(96) схеми сертифікації кібербезпеки повинні враховувати поточні методи розробки програмного та апаратного забезпечення та, зокрема, вплив частого оновлення програмного забезпечення та оновлення мікропрограм на окремі європейські сертифікати з кібербезпеки. Європейські схеми сертифікації кібербезпеки повинні визначати умови, на яких у разі оновлення може вимагатися повторна сертифікація продукту ІКТ, послуги ІКТ чи процесу ІКТ або звуження сфери дії конкретного європейського сертифіката з кібербезпеки, беручи до уваги будь-який можливий негативний вплив оновлення на відповідність вимогам безпеки такого сертифіката.

(97) Після ухвалення європейської схеми сертифікації кібербезпеки виробники або надавачі продуктів ІКТ, послуг ІКТ або процесів ІКТ повинні мати змогу подавати заяви на сертифікацію своїх продуктів ІКТ, послуг ІКТ або процесів ІКТ до органу з оцінювання відповідності за їхнім вибором будь-де в Союзі. Органи з оцінювання відповідності повинні бути акредитовані національним органом з акредитації, якщо вони відповідають вимогам, визначеним у цьому Регламенті. Акредитацію необхідно надавати на максимальний строк у п’ять років, і повинна бути змога продовжити її на тих самих умовах, якщо орган з оцінювання відповідності продовжує відповідати вимогам. Національні органи з акредитації повинні обмежувати або призупиняти дію або відкликати акредитацію органу з оцінювання відповідності за умови недотримання умов акредитації або порушення органом з оцінювання відповідності положень цього Регламенту.

(98) Покликання у національному законодавстві на національні стандарти, які втратили чинність унаслідок набуття чинності європейською схемою сертифікації кібербезпеки, можуть бути джерелом плутанини. Тому держави-члени повинні відображати ухвалення європейської схеми сертифікації кібербезпеки у своєму національному законодавстві.

(99) Для досягнення еквівалентності стандартів по всьому Союзу, для сприяння взаємному визнанню та для просування загального прийняття європейських сертифікатів з кібербезпеки та декларацій ЄС про відповідність, необхідно запровадити систему партнерських перевірок між національними органами з сертифікації кібербезпеки. Партнерська перевірка повинна охоплювати процедури для нагляду за відповідністю продуктів ІКТ, послуг ІКТ та процесів ІКТ умовам видачі європейських сертифікатів з кібербезпеки, для моніторингу обов'язків виробників або надавачів продуктів ІКТ, послуг ІКТ чи процесів ІКТ які здійснюють самооцінювання відповідності, для моніторингу органів з оцінювання відповідності та відповідності експертних знань персоналу органів, що видають сертифікати рівня надійності "високий". У Комісії повинна бути змога шляхом ухвалення імплементаційних актів визначати принаймні п’ятирічний план партнерських перевірок та визначати критерії й методології для функціонування системи партнерських перевірок.

(100) Без обмеження системи партнерських перевірок у цілому, що повинна бути запроваджена серед усіх національних органів сертифікації кібербезпеки в європейських рамках сертифікації кібербезпеки, певні європейські схеми сертифікації кібербезпеки можуть включати механізм партнерського оцінювання для органів, що видають європейські сертифікати з кібербезпеки для продуктів ІКТ, послуг ІКТ та процесів ІКТ з рівнем надійності "високий" у рамках таких схем. ECCG має підтримувати впровадження таких механізмів партнерського оцінювання. Партнерські оцінювання повинні передбачати оцінювання ступеня гармонізації виконання своїх завдань відповідними органами, і вони можуть включати механізми оскарження. Результати партнерського оцінювання повинні оприлюднюватися. Відповідні органи можуть ухвалювати потрібні інструменти для адаптації своєї практики та експертних знань відповідним чином.

(101) Держави-члени повинні призначити один чи більше національних органів із сертифікації кібербезпеки для здійснення нагляду за дотриманням обов'язків, виниклих на підставі цього Регламенту. Національним органом із сертифікації кібербезпеки може бути як новостворений орган, так і вже наявний. Держава-член також повинна мати змогу призначати, після погодження з іншою державою-членом, один чи більше національних органів із сертифікації кібербезпеки на території такої іншої держави-члена.

(102) Національні органи з сертифікації кібербезпеки повинні, серед іншого, здійснювати моніторинг та забезпечувати дотримання обов'язків виробників чи надавачів продуктів ІКТ, послуг ІКТ або процесів ІКТ створених на їхній території, у розрізі декларації ЄС про відповідність, повинні надавати підтримку національним органам з акредитації у здійсненні моніторингу та нагляду за діяльністю органів з оцінювання відповідності шляхом надання їм експертних знань та відповідної інформації, повинні уповноважувати органи з оцінювання відповідності здійснювати свої завдання, якщо такі органи відповідають додатковим вимогам, визначеним у європейській схемі сертифікації кібербезпеки, та повинні здійснювати моніторинг відповідних змін у сфері сертифікації кібербезпеки. Національні органи з сертифікації кібербезпеки повинні також розглядати скарги, подані фізичними або юридичними особами, пов'язані з європейськими сертифікатами з кібербезпеки, виданими такими органами, або пов’язані з європейськими сертифікатами з кібербезпеки, виданими органами з оцінювання відповідності, якщо такі сертифікати підтверджують рівень надійності "високий", та повинні розслідувати предмет таких скарг у належній мірі й інформувати скаржника про хід і результат розслідування протягом розумного строку. Крім того, національні органи з сертифікації кібербезпеки повинні співпрацювати з іншими національними органами сертифікації кібербезпеки або іншими органами публічної влади, у тому числі шляхом поширення інформації щодо можливої невідповідності продуктів ІКТ, послуг ІКТ та процесів ІКТ вимогам цього Регламенту або вимогам конкретних європейських схем сертифікації кібербезпеки. Комісія повинна сприяти обміну інформацією шляхом запровадження загальної системи електронного обміну інформацією, наприклад, через Інформаційно-комунікаційну систему ринкового нагляду (ICSMS) та Систему швидкого сповіщення для небезпечних нехарчових продуктів (RAPEX), які вже використовуються органами ринкового нагляду відповідно до Регламенту (ЄС) № 765/2008.

(103) З метою забезпечення узгодженого використання європейських рамок сертифікації кібербезпеки, необхідно створити ECCG у складі з представників національних органів із сертифікації кібербезпеки. Основним завданням ECCG буде консультування та допомога Комісії у її роботи із забезпечення послідовного впровадження та використання європейських рамок сертифікації кібербезпеки, допомагати та тісно співпрацювати з ENISA у підготовці проєктів схем сертифікації кібербезпеки, у належним чином обґрунтованих випадках звертатися до ENISA із запитом про підготовку проєкту схеми, видавати висновки для ENISA щодо проєктів схем та видавати висновки для Комісії щодо підтвердження або перегляду наявних європейських схем сертифікації кібербезпеки. ECCG має сприяти обміну належними практиками та експертними знаннями між різними національними органами сертифікації кібербезпеки, відповідальними за авторизацію органів з оцінювання відповідності та видачу європейських сертифікатів з кібербезпеки.

(104) Для підвищення обізнаності та сприяння прийняттю майбутніх європейських схем сертифікації кібербезпеки, Комісія може видавати загальні або специфічні галузеві настанови з кібербезпеки, наприклад, щодо належних практик кібербезпеки або відповідальної поведінки у сфері кібербезпеки, з акцентом на позитивному впливі від використання сертифікованих продуктів ІКТ, послуг ІКТ та процесів ІКТ.

(105) Для подальшого сприяння торгівлі та визнання того, що ланцюги постачання ІКТ мають глобальну природу, на підставі статті 218 Договору про функціонування Європейського Союзу (ДФЄС) Союз може укладати угоди про взаємне визнання європейських сертифікатів з кібербезпеки. Беручи до уваги консультації з ENISA та Європейською групою з сертифікації кібербезпеки, Комісія може рекомендувати започаткування відповідних переговорів. Стосовно кожної європейської схеми сертифікації кібербезпеки повинно бути розроблено спеціальні умови стосовно угод про взаємне визнання з третіми країнами.

(106) Для забезпечення однакових умов імплементації цього Регламенту необхідно надати Комісії виконавчі повноваження. Такі повноваження мають здійснюватися відповідно до Регламенту Європейського Парламенту і Ради (ЄС) № 182/2011 (- 22).

(107) Для ухвалення імплементаційних актів щодо європейських схем сертифікації кібербезпеки для продуктів ІКТ, послуг ІКТ або процесів ІКТ, для ухвалення імплементаційних актів щодо механізмів стосовно запитів до ENISA, для ухвалення імплементаційних актів стосовно плану партнерських перевірок національних органів з сертифікації кібербезпеки та для ухвалення імплементаційних актів стосовно обставин, форматів та процедур для нотифікації Комісії національними органами з сертифікації кібербезпеки акредитованих органів з оцінювання відповідності повинна використовуватися експертна процедура.

(108) Діяльність ENISA повинна бути предметом регулярного та незалежного оцінювання. Таке оцінювання повинне стосуватися цілей, робочих практик та відповідності завдань ENISA, зокрема, завдань щодо операційної співпраці на рівні Союзу. Таке оцінювання повинне охоплювати також вплив, дієвість і ефективність європейських рамок сертифікації кібербезпеки. У разі перегляду, Комісія повинна оцінювати, наскільки роль ENISA як довідкового центру для консультацій та обміну експертними знаннями може бути посилена, а також Комісія повинна оцінювати потенціал розширення ролі ENISA стосовно оцінювання продуктів ІКТ, послуг ІКТ та процесів ІКТ третіх країн, які не відповідають правилам Союзу, при ввезенні таких продуктів, послуг та процесів до Союзу.

(109) Оскільки цілі цього Регламенту не можуть достатньою мірою бути досягнуті державами-членами, але їх можна, з огляду на його масштаб і наслідки, краще досягти на рівні Союзу, Союз може ухвалити інструменти згідно з принципом субсидіарності, як встановлено у статті 5 Договору про Європейський Союз (ДЄС). Згідно з принципом пропорційності, як визначено у зазначеній статті, цей Регламент не виходить за межі необхідного для досягнення таких цілей.

(110) Регламент (ЄС) № 526/2013 необхідно скасувати,

УХВАЛИЛИ ЦЕЙ РЕГЛАМЕНТ:

1. З метою забезпечення належного функціонування внутрішнього ринку з одночасним прагненням досягнути високого рівня кібербезпеки, кіберстійкості та довіри в межах Союзу, цей Регламент встановлює:

(a) цілі, завдання та організаційні питання, що стосуються ENISA (Агентства Європейського Союзу з питань мережевої та інформаційної безпеки); та

(b) рамки для створення європейських схем сертифікації кібербезпеки з метою забезпечення належного рівня кібербезпеки для продуктів ІКТ, послуг ІКТ та процесів ІКТ в Союзі, а також з метою уникнення фрагментації внутрішнього ринку стосовно схем сертифікації кібербезпеки в Союзі.

Рамки, зазначені в пункті (b) першого підпараграфа, застосовують без обмежень до спеціальних положень в інших правових актах Союзу, що стосуються добровільної або обов’язкової сертифікації.

2. Цей Регламент не обмежує компетенцій держав-членів щодо діяльності, пов’язаної з громадською безпекою, обороною, національної безпекою, та діяльності держави у сферах кримінального права.

Для цілей цього Регламенту застосовують такі терміни та означення:

(1) "кібербезпека" означає діяльність, необхідну для захисту мережевих та інформаційних систем, користувачів таких систем та інших осіб, які зазнають впливу кіберзагроз;

(2) "мережева та інформаційна система" означає мережеву та інформаційну систему, як означено в пункті (1) статті 4 Директиви (ЄС) 2016/1148;

(3) "національна стратегія безпеки мережевих та інформаційних систем" означає національну стратегію безпеки мережевих та інформаційних систем, як означено в пункті (3) статті 4 Директиви (ЄС) 2016/1148;

(4) "оператор основних послуг" означає оператора основних послуг, як означено в пункті (4) статті 4 Директиви (ЄС) 2016/1148;

(5) "надавач цифрових послуг" означає надавача цифрових послуг, як означено в пункті (6) статті 4 Директиви (ЄС) 2016/1148;

(6) "інцидент" означає інцидент, як означено в пункті (7) статті 4 Директиви (ЄС) 2016/1148;

(7) "врегулювання інцидентів" означає врегулювання інцидентів, як означено в пункті (8) статті 4 Директиви (ЄС) 2016/1148;

(8) "кіберзагроза" означає будь-яку потенційну обставину, подію або дію, яка може пошкодити, порушити або інакше негативно вплинути на мережеві та інформаційні системи, користувачів таких систем та інших осіб;

(9) "європейська схема сертифікації кібербезпеки" означає комплексний набір правил, технічні вимоги, стандарти та процедури, які встановлені на рівні Союзу та які застосовують до сертифікації або оцінювання відповідності конкретних продуктів ІКТ, послуг ІКТ або процесів ІКТ;

(10) "національна схема сертифікації кібербезпеки" означає комплексний набір правил, технічні вимоги, стандарти та процедури, які розроблені та ухвалені національним органом публічної влади та які застосовують до сертифікації або оцінювання відповідності продуктів ІКТ, послуг ІКТ або процесів ІКТ в рамках конкретної схеми;

(11) "європейський сертифікат з кібербезпеки" означає документ, виданий відповідним органом, який підтверджує, що було проведено оцінювання певного продукту ІКТ, послуги ІКТ або процесу ІКТ на відповідність конкретним вимогам, встановленим у європейській схемі сертифікації кібербезпеки;

(12) "продукт ІКТ" означає елемент або групу елементів мережі або інформаційної системи;

(13) "послуга ІКТ" означає послугу, що головним або переважним чином полягає в передачі, зберіганні, отриманні або опрацюванні інформації за допомогою мережевих та інформаційних систем;

(14) "процес ІКТ" означає комплекс заходів, спрямованих на проєктування, розробку, надання або технічне обслуговування продукту ІКТ або послуги ІКТ;

(15) "акредитація" означає акредитацію, як означено в пункті (10) статті 2 Регламенту (ЄС) № 765/2008;

(16) "національний орган з акредитації" означає національний орган з акредитації, як означено в пункті (11) статті 2 Регламенту (ЄС) № 765/2008;

(17) "оцінювання відповідності" означає оцінювання відповідності, як означено в пункті (12) статті 2 Регламенту (ЄС) № 765/2008;

(18) "орган з оцінювання відповідності" означає орган з оцінювання відповідності, як означено в пункті (13) статті 2 Регламенту (ЄС) № 765/2008;

(19) "стандарт" означає стандарт, як означено в пункті (1) статті 2 Регламенту (ЄС) № 1025/2012;

(20) "технічні специфікації" означають документ, що встановлює технічні вимоги, яким повинні відповідати продукт ІКТ, послуга ІКТ або процес ІКТ, або процедури оцінювання відповідності стосовно продукту ІКТ, послуги ІКТ або процесу ІКТ;

(21) "рівень надійності" означає основу впевненості в тому, що продукт ІКТ, послуга ІКТ або процес ІКТ відповідає вимогам безпеки конкретної європейської схеми сертифікації кібербезпеки, вказує, на якому рівні відбулося оцінювання продукту ІКТ, послуги ІКТ або процесу ІКТ, але як такий не визначає рівень безпеки відповідного продукту ІКТ, послуги ІКТ або процесу ІКТ;

(22) "самооцінювання відповідності" означає дію, виконувану виробником або надавачем продуктів ІКТ, послуг ІКТ або процесів ІКТ, яка надає оцінку стосовно того, чи такі продукти ІКТ, послуги ІКТ або процеси ІКТ відповідають вимогам конкретної європейської схеми сертифікації кібербезпеки.

1. ENISA виконує завдання, покладені на нього відповідно до цього Регламенту, з метою досягнення високого загального рівня кібербезпеки на території Союзу, у тому числі шляхом надання активної підтримки державам-членам, установам, органам, офісам та агентствам Союзу в покращенні рівня кібербезпеки. ENISA слугує довідковим пунктом, що надає консультації та експертні знання стосовно кібербезпеки установам, органам, офісам та агентствам Союзу, а також іншим відповідних стейкхолдерам у Союзі.

ENISA сприяє зниженню рівня фрагментації внутрішнього ринку, виконуючи завдання, покладені на нього відповідно до цього Регламенту.

2. ENISA виконує завдання, покладені на нього відповідно до правових актів Союзу, які визначають заходи для наближення законів, підзаконних нормативно-правових актів та адміністративних положень держави-члена, пов’язаних із кібербезпекою.

3. Виконуючи ці завдання, ENISA діє незалежно, уникаючи дублювання діяльності держав-членів та враховуючи наявні експертні знання держав-членів.

4. ENISA розробляє власні ресурси, зокрема технічні та людські здібності та вміння, необхідні для виконання завдань, покладених на нього відповідно до цього Регламенту.

1. ENISA є центром експертних знань з кібербезпеки завдяки своїй незалежності, науковій та технічній якості наданих консультацій, допомоги та інформації, прозорості своїх оперативних процедур, методів роботи та сумлінного виконання своїх завдань.

2. ENISA надає допомогу установам, органам, офісам та агентствам Союзу, а також державам-членам у розробленні та імплементації політики Союзу з питань кібербезпеки, у тому числі галузевої політики з кібербезпеки.

3. ENISA підтримує розбудову потенціалу та готовність на території Союзу шляхом надання допомоги установам, органам, офісам та агентствам Союзу, а також державам-членам та публічним і приватним стейкхолдерам для посилення захисту їхніх мережевих та інформаційних систем, розробки та посилення кіберстійкості та можливості реагування, а також для розвитку вмінь і навичок у сфері кібербезпеки.

4. ENISA сприяє співпраці, у тому числі обміну інформацією та координації на рівні Союзу, серед держав-членів, установ, органів, офісів та агентств Союзу та відповідних приватних і публічних стейкхолдерів у питаннях кібербезпеки.

5. ENISA сприяє розширенню можливостей у сфері кібербезпеки на рівні Союзу, щоб підтримати заходи держав-членів для запобігання кіберзагрозам та реагування на них, зокрема у випадку транскордонних інцидентів.

6. ENISA сприяє використанню європейської схеми сертифікації кібербезпеки з метою уникнення фрагментації внутрішнього ринку. ENISA сприяє впровадженню та технічному обслуговуванню європейських рамок сертифікації кібербезпеки відповідно до розділу III цього Регламенту з метою посилення прозорості кібербезпеки продуктів ІКТ, послуг ІКТ, процесів ІКТ, внаслідок чого відбуватиметься посилення рівня впевненості в цифровому внутрішньому ринку та його конкурентоспроможності.

7. ENISA сприяє досягненню високого рівня обізнаності в питаннях кібербезпеки, у тому числі кібергігієни та кіберграмотності, серед громадян, організацій та підприємств.

ENISA сприяє розробці та імплементації політики та законодавства Союзу шляхом:

(1) надання допомоги та консультацій стосовно розробки й перегляду політики та законодавства Союзу у сфері кібербезпеки та галузевої політики й законодавчих ініціатив, якщо це пов’язано з питанням кібербезпеки, зокрема шляхом надання незалежного висновку та аналізу, а також проведення підготовчої роботи;

(2) надання допомоги державам-членам у послідовній імплементації політики та законодавства Союзу з питань кібербезпеки, зокрема стосовно Директиви (ЄС) 2016/1148 , у тому числі шляхом надання висновків, настанов та найкращих практик з таких питань як управління ризиками, звітування про інциденти та обмін інформацією, а також шляхом сприяння обміну найкращими практиками в цьому питанні між компетентними органами;

(3) надання допомоги державам-членам, а також установам, органам, офісам та агентствам Союзу в розробленні та сприянні впровадженню політик у сфері кібербезпеки, що стосуються підтримання загальної доступності або цілісності публічного ядра відкритого інтернету;

(4) сприяння роботі групи співпраці відповідно до статті 11 Директиви (ЄС) 2016/1148, із наданням своїх експертних знань та допомоги;

(5) підтримки:

(a) у розробленні та імплементації політики Союзу у сфері електронної ідентифікації та довірчих послуг, зокрема шляхом надання консультацій та видання технічних настанов, а також сприяння обміну найкращими практиками між компетентними органами;

(b) у сприянні підвищенню рівня безпеки електронних комунікацій, у тому числі шляхом надання консультацій та експертних знань, а також сприяння обміну найкращими практиками між компетентними органами;

(c) держав-членів в імплементації конкретних аспектів політики та законодавства Союзу про захист даних і приватності, що стосуються кібербезпеки, у тому числі шляхом надання консультацій Європейській раді із захисту даних за її запитом;

(6) підтримання регулярного перегляду діяльності в рамках політики Союзу, шляхом підготовки щорічного звіту щодо стану імплементації відповідних правових рамок стосовно:

(a) інформації щодо оповіщення про інциденти в державах-членах, надані єдиними контактними пунктами групі співпраці відповідно до статті 10(3) Директиви (ЄС) 2016/1148;

(b) резюме оповіщень про порушення безпеки або втрату цілісності, отриманих від надавачів довірчих послуг та наданих ENISA наглядовими органами відповідно до статті 19(3) Регламенту (ЄС) № 910/2014 Європейського Парламенту і Ради (- 23);

(c) оповіщень про інциденти безпеки, переданих провайдерами громадських електронних комунікаційних мереж, або про доступні для громадськості електронні комунікаційні послуги, надані ENISA компетентними органами відповідно до статті 40 Директиви (ЄС) 2018/1972.

1. ENISA надає допомогу:

(a) державам-членам у їхніх зусиллях щодо покращення рівня запобігання кібератакам та інцидентам, їх виявлення, аналізу та спроможності реагувати на них, шляхом забезпечення їх досвідом та експертними знаннями;

(b) державам-членам та установам, органам, офісам та агентствам Союзу в створенні та імплементації політики розкриття вразливостей на добровільній основі;

(c) установам, органам, офісам та агентствам Союзу у їхніх зусиллях щодо покращення рівня запобігання кібератакам та інцидентам, їх виявлення та аналізу, а також щодо покращення їх спроможності реагувати на них, зокрема шляхом надання належної підтримки CERT-EU;

(d) державам-членам у розробленні національних CSIRT на запит відповідно до статті 9(5) Директиви (ЄС) 2016/1148;

(e) державам-членам у розробленні національних стратегій щодо безпеки мережевих та інформаційних систем на запит відповідно до статті 7(2) Директиви (ЄС) 2016/1148, сприяє поширенню таких стратегій та відзначає прогрес у їх імплементації на території Союзу для просування найкращих практик;

(f) установам Союзу в розробленні та перегляді стратегій Союзу з питань кібербезпеки, сприянні їх поширенню та відстеженні прогресу в їх імплементації;

(g) національним CSIRT та CSIRT Союзу в підвищенні рівня їх спроможностей, у тому числі шляхом сприяння діалогу та обміну інформацією, щоб гарантувати, що з урахуванням сучасного рівня науково-технічного розвитку кожна CSIRT має загальний набір спроможностей та діє відповідно до найкращих практик;

(h) державам-членам шляхом організації регулярних навчань з кібербезпеки на рівні Союзу, зазначених у статті 7(5), принаймні двічі на рік, та надання рекомендацій стосовно політики на основі процесу оцінювання навчань та вивченого під час них матеріалу;

(i) відповідним органам публічної влади, запропонувавши їм навчання з кібербезпеки, у відповідних випадках у співпраці зі стейкхолдерами;

(j) групі співпраці в процесі обміну найкращими практиками, зокрема стосовно ідентифікації державами-членами операторів основних послуг, відповідно до пункту (l) статті 11 (3) Директиви (ЄС) 2016/1148, у тому числі стосовно транскордонних залежностей, що стосуються ризиків та інцидентів.

2. ENISA сприяє обміну інформацією всередині галузей та між ними, зокрема в галузях, перерахованих у додатку II до Директиви (ЄС) 2016/1148 , із наданням найкращих практик та настанов щодо наявних інструментів, процедур, а також щодо того, як вирішувати регулятивні питання стосовно обміну інформацією.

1. ENISA сприяє оперативній співпраці серед держав-членів, установ, органів, офісів та агентств Союзу та між стейкхолдерами.

2. ENISA співпрацює на оперативному рівні та створює синергії з установами, органами, офісами та агентствами Союзу, у тому числі CERT-EU, зі службами, які займаються кіберзлочинами, та з наглядовими органами, які займаються захистом приватності та персональних даних, з метою вирішення питань спільного інтересу, у тому числі шляхом:

(a) обміну ноу-хау та найкращими практиками;

(b) надання консультацій та настанов щодо відповідних питань з кібербезпеки;

(c) вжиття практичних заходів для виконання конкретних завдань після консультацій з Комісією.

3. ENISA створює секретаріат мережі CSIRT відповідно до статті 12(2) Директиви (ЄС) 2016/1148 та в такій ролі активно сприяє обміну інформацією та співпраці між його членами.

4. ENISA надає допомогу державам-членам щодо оперативної співпраці в рамках мережі CSIRT шляхом:

(a) консультування щодо посилення спроможностей із запобігання інцидентам, їх виявлення та реагування на них, консультацій щодо окремих кіберзагроз за запитом однієї або більше держав-членів;

(b) надання допомоги на запит однієї або більше держав-членів в оцінюванні інцидентів, які мають значний вплив, із забезпеченням експертними знаннями та зі сприянням технічному врегулюванню таких інцидентів, зокрема зі сприянням добровільному обміну відповідною інформацією та технічними рішеннями між державами-членами;

(c) аналізування вразливості та інцидентів на основі доступної для громадськості інформації або інформації, наданої добровільно державою-членом з цією метою; та

(d) надання підтримки з питань технічних запитів ex-post на запит однієї або більше держав-членів стосовно інцидентів, які мають значний вплив у розумінні Директиви (ЄС) 2016/1148 .

При виконанні цих завдань ENISA та CERT-EU структуровано співпрацюють, щоб отримати користь від синергій та уникнути дублювання заходів.

5. ENISA регулярно організовує навчання з кібербезпеки на рівні Союзу та надає підтримку державам-членам, установам, органам, офісам та агентствам Союзу в організації навчань з кібербезпеки на їхні запити. Такі навчання з кібербезпеки на рівні Союзу можуть містити технічні, оперативні або стратегічні елементи. Двічі на рік ENISA організовує великомасштабні комплексні навчання.

У відповідних випадках ENISA також сприяє та допомагає в організації галузевих навчань з кібербезпеки разом із відповідними організаціями, які також беруть участь у навчаннях з кібербезпеки на рівні Союзу.

6. У тісній співпраці з державами-членами ENISA регулярно готує детальний технічний звіт ЄС про стан кібербезпеки стосовно інцидентів та кібератак на основі доступної для громадськості інформації, власного аналізу та звітів, наданих, серед іншого, командами CSIRT держав-членів або єдиними контактними пунктами, створеними відповідно до Директиви (ЄС) 2016/1148 , в обох випадках на добровільній основі, ЕС3 та CERT-EU.

7. ENISA сприяє розробленню спільного реагування на великомасштабні транскордонні інциденти або кризи, пов’язані з кібербезпекою, на рівні Союзу та на рівні держав-членів переважно шляхом:

(a) збирання та аналізування звітів від національних джерел, які доступні громадськості або поширення яких відбувається на добровільній основі, щоб посприяти досягненню загальної ситуаційної обізнаності;

(b) забезпечення ефективного потоку інформації та надання механізмів передачі вирішення проблем на вищий рівень між мережею CSIRT та технічними й політичними суб’єктами, відповідальними за вироблення й ухвалення рішень, на рівні Союзу;

(c) сприяння технічному врегулюванню таких інцидентів або криз на запит, зокрема сприяючи добровільному обміну технічними рішеннями між державами-членами;

(d) надання підтримки установам, органам, офісам та агентствам Союзу та державам-членам у комунікації з громадськістю стосовно таких інцидентів або криз на їхній запит;

(e) тестування планів співпраці в реагуванні на такі інциденти або кризи на рівні Союзу та шляхом надання допомоги державам-членам у тестуванні таких планів на національному рівні на їхній запит.

1. ENISA сприяє та надає допомогу в розробленні та імплементації політики Союзу з сертифікації кібербезпеки продуктів ІКТ, послуг ІКТ та процесів ІКТ, як визначено в розділі III цього Регламенту, шляхом:

(a) постійного моніторингу розвитку у відповідних сферах стандартизації та рекомендування відповідних технічних специфікацій для використання в розробці європейських схем сертифікації кібербезпеки відповідно до пункту (c) статті 54(1) у разі відсутності стандартів;

(b) підготовки проєктів європейських схем сертифікації кібербезпеки ("проєкти схем") для продуктів ІКТ, послуг ІКТ та процесів ІКТ відповідно до статті 49;

(c) оцінювання ухвалених європейських схем сертифікації кібербезпеки відповідно до статті 49(8);

(d) участі в партнерських перевірках відповідно до статті 59(4);

(e) надання допомоги Комісії в створенні секретаріату ECCG відповідно до статті 62(5).

2. ENISA створює секретаріат Групи стейкхолдерів із питань сертифікації кібербезпеки відповідно до статті 22(4).

3. ENISA складає та оприлюднює настанови та розробляє належні практики з питань вимог з кібербезпеки до продуктів ІКТ, послуг ІКТ та процесів ІКТ у співпраці з національними органами з сертифікації кібербезпеки та галуззю в офіційному, структурованому та прозорому порядку.

4. ENISA сприяє розбудові потенціалу відносно процесів оцінювання та сертифікації шляхом складання та оприлюднення настанов, а також шляхом надання підтримки державам-членам за їхнім запитом.

5. ENISA сприяє створенню та широкому використанню європейських та міжнародних стандартів управління ризиками та безпеки продуктів ІКТ, послуг ІКТ та процесів ІКТ.

6. У співпраці з державами-членами та галуззю ENISA складає рекомендації та настанови стосовно технічних сфер, пов’язаних із вимогами безпеки до операторів основних послуг та надавачів цифрових послуг, а також стосовно вже наявних стандартів, у тому числі національних стандартів держав-членів, відповідно до статті 19(2) Директиви (ЄС) 2016/1148.

7. ENISA аналізує та поширює висновки стосовно головних тенденцій на ринку кібербезпеки як щодо попиту, так і щодо пропозиції, для сприяння розвитку ринку кібербезпеки в Союзі.

ENISA:

(a) аналізує новітні технології та проводить тематичні оцінювання очікуваного соціального, правового, економічного та регуляторного впливу технологічних інновацій на кібербезпеку;

(b) виконує довгостроковий стратегічний аналіз кіберзагроз та інцидентів, щоб виявляти новітні тенденції та сприяти запобіганню інцидентів;

(c) у співпраці з експертами органів держав-членів та відповідними стейкхолдерами надає рекомендації, настанови та найкращі практики для безпеки мережевих та інформаційних систем, зокрема для безпеки інфраструктур, що підтримують сектори, перелічені в додатку II до Директиви (ЄС) 2016/1148, та тих, які використовують надавачі цифрових послуг, перелічені в додатку III до зазначеної Директиви ;

(d) за допомогою спеціального порталу збирає, організовує та оприлюднює інформацію щодо кібербезпеки, надану установами, органами, офісами та агентствами Союзу, та інформацію щодо кібербезпеки, надану на добровільній основі державами-членами та приватними й публічними стейкхолдерами;

(e) збирає та аналізує доступну для громадськості інформацію стосовно значних інцидентів та складає звіти з метою надання настанов громадянам, організаціям та підприємствам на території Союзу.

ENISA:

(a) підвищує рівень обізнаності громадськості про ризики, пов’язані з кібербезпекою, та дає настанови щодо належних практик для окремих користувачів, орієнтовані на громадян, організації та підприємства, у тому числі стосовно кібергігієни та кіберграмотності;

(b) у співпраці з державами-членами, установами, органами, офісами та агентствами Союзу й галузевими структурами регулярно організовує кампанії з підвищення обізнаності для покращення рівня кібербезпеки та всебічного висвітлення цього питання в Союзі, а також заохочує широке громадське обговорення;

(c) надає допомогу державам-членам у підвищенні рівня обізнаності щодо кібербезпеки та сприяє освіті в галузі кібербезпеки;

(d) підтримує тісну координацію та обмін найкращими практиками з питань обізнаності щодо кібербезпеки та освіти серед держав-членів.

Стосовно досліджень та інновацій ENISA:

(a) консультує установи, органи, офіси та агентства Союзу та держави-члени щодо потреб і пріоритетів досліджень у сфері, що дозаолить ефективно реагувати на поточні та нові ризики й кіберзагрози, у тому числі з урахуванням нових та новітніх інформаційно-комунікаційних технологій, та з метою ефективного застосування технологій запобігання ризикам;

(b) бере участь в імплементації програм фінансування досліджень та інновацій або як бенефіціар, якщо Комісія надала йому відповідні повноваження;

(c) сприяє проведенню стратегічних досліджень та реалізації інноваційних програм на рівні Союзу в сфері кібербезпеки.