Регламент Європейського Парламенту і Ради (ЄС) 2019/881 від 17 квітня 2019 року про Агентство Європейського Союзу з питань мережевої та інформаційної безпеки (ENISA) та про сертифікацію кібербезпеки інформаційно-комунікаційних технологій, а також про скасування Регламенту (ЄС) № 526/2013 (Акт про кібербезпеку)

ЄВРОПЕЙСЬКИЙ ПАРЛАМЕНТ І РАДА ЄВРОПЕЙСЬКОГО СОЮЗУ,

Беручи до уваги Договір про функціонування Європейського Союзу, зокрема його статтю 114,

Беручи до уваги пропозицію Європейської Комісії,

Після передачі проєкту законодавчого акта національним парламентам,

Беручи до уваги висновок Європейського економічно-соціального комітету (- 1),

Беручи до уваги висновок Комітету регіонів (- 2),

Діючи згідно зі звичайною законодавчою процедурою (- 3),

Оскільки:

(1) Мережеві та інформаційні системи й електронні комунікаційні мережі та послуги відіграють важливу роль у суспільстві та стали опорою економічного зростання. Інформаційно-комунікаційні технології (ІКТ) лежать в основі комплексних систем, які підтримують щоденну життєдіяльність суспільства, забезпечують функціонування економік у ключових сферах, серед яких охорона здоров'я, енергетика, фінанси та транспорт, і зокрема підтримують функціонування внутрішнього ринку.

(2) Використання мережевих та інформаційних систем громадянами, організаціями та підприємствами по всьому Союзу сягнуло наскрізного характеру. Діджитизація та конективність стали основними характеристиками дедалі більшої кількості продуктів і послуг, а з настанням ери інтернету речей протягом наступного десятиліття по всьому Союзу очікується подальша поява надзвичайно великої кількості цифрових пристроїв, здатних під'єднуватися до всесвітньої мережі Інтернет. Попри зростання кількості пристроїв, що під'єднуються до мережі Інтернет, недостатність вбудованих засобів забезпечення безпеки і стійкості призводить до послаблення кібербезпеки. У цьому контексті обмежене використання сертифікації призводить до того, що фізичні особи, організації та підприємства як користувачі не мають достатньої інформації про характеристики кібербезпеки продуктів ІКТ, послуг ІКТ та процесів ІКТ, що підриває їхню довіру до цифрових інструментів. Мережеві та інформаційні системи здатні забезпечувати підтримку всіх аспектів нашого життя та сприяти зростанню економіки Союзу. Вони є наріжним каменем на шляху до створення єдиного цифрового ринку.

(3) Зростання діджитизації та конективності підвищує ризики кібербезпеки, і таким чином робить суспільство в цілому більш вразливим до кіберзагроз та підвищує небезпеки, з якими можуть стикатися фізичні особи, у тому числі вразливі групи фізичних осіб, серед яких діти. Для пом’якшення згаданих ризиків потрібно вживати всіх необхідних заходів для підвищення кібербезпеки у Союзі, щоб забезпечити кращий захист від кіберзагроз мережевих та інформаційних систем, комунікаційних мереж, цифрових продуктів, послуг та пристроїв, якими користуються громадяни, організації та підприємства - від малих і середніх підприємств (МСП), як визначено в Рекомендації Комісії 2003/361/ЄС (- 4), до операторів критичної інфраструктури.

(4) Шляхом надання доступу до відповідної інформації громадськості Європейське агентство з питань мережевої та інформаційної безпеки (ENISA), створене Регламентом Європейського Парламенту і Ради (ЄС) № 526/2013 (- 5), сприятиме розвитку сфери кібербезпеки в Союзі, зокрема, МСП та стартапів. ENISA повинне прагнути до тіснішої співпраці з університетами та дослідними установами для сприяння зменшенню залежності від продуктів і послуг у сфері кібербезпеки, що походять з-поза меж Союзу, та для посилення ланцюгів постачання у межах Союзу.

(5) Кібератаки як явище стаються дедалі частіше, і зв'язана економіка й суспільство як найбільш вразливі до кіберзагроз та кібератак вимагають надійнішого захисту. І хоча кібератаки часто носять транскордонний характер, компетенції відповідних органів у сфері кібербезпеки та правозастосування та вживані ними заходи з реагування в рамках їхніх політик переважно обмежені національними рамками. Широкомасштабні інциденти можуть призводити до порушень у наданні основних послуг по всьому Союзу. Це виносить необхідність ефективного та скоординованого реагування й управління кризами на рівень Союзу на основі спеціальних політик та ширших інструментів європейської солідарності та взаємної допомоги. Крім того, для виробників політики, промисловості та користувачів важливими є регулярні оцінювання стану кібербезпеки та стійкості у Союзі на основі надійних даних Союзу, а також систематичні прогнози майбутнього розвитку, проблем та загроз як на рівні Союзу, так і в глобальному масштабі.

(6) У світлі зростання викликів кібербезпеки, що постають перед Союзом, існує потреба в комплексному наборі заходів, створених на основі минулих дій і заходів Союзу для сприяння досягненню цілей, що взаємно посилюють одна одну. Такі цілі включають подальше підвищення спроможності та готовності держав-членів і підприємств, а також покращення співпраці, обміну інформацією та координації між усіма державами-членами та установами, органами, офісами й агентствами Союзу. Крім того, зважаючи на позакордонний характер кіберзагроз, існує потреба в нарощуванні потенціалу на рівні Союзу для доповнення заходів держав-членів, зокрема, у випадках великомасштабних транскордонних інцидентів та криз, враховуючи при цьому важливість збереження та подальшого посилення національної спроможності реагувати на кіберзагрози будь-якого масштабу.

(7) Також існує потреба в додаткових зусиллях, спрямованих на підвищення обізнаності громадян, організацій та підприємств про питання, пов’язані з кібербезпекою. Крім того, оскільки інциденти підривають довіру до надавачів цифрових послуг та до єдиного цифрового ринку як такого, особливо серед споживачів, існує потреба в подальшому посиленні довіри шляхом розповсюдження у прозорий спосіб інформації про рівні безпеки продуктів ІКТ, послуг ІКТ та процесів ІКТ з акцентом на тому, що навіть сертифікація кібербезпеки високого рівня не може гарантувати, що продукт ІКТ, послуга ІКТ або процес ІКТ є повністю безпечними. Зростання довіри може бути досягнуто завдяки сертифікації Союзу, що визнаватиметься у всіх державах-членах та передбачатиме спільні вимоги до кібербезпеки і критерії оцінювання для всіх національних ринків і секторів.

(8) Кібербезпека є питанням не суто технологічним. Для неї має велике значення людська поведінка. Відповідно, необхідно всіляко просувати "кібергігієну", а саме: прості та планові заходи, які у разі їх впровадження та здійснення на регулярній основі громадянами, організаціями та підприємствами мінімізують вплив ризиків від кіберзагроз.

(9) Для цілей посилення структур кібербезпеки Союзу важливо підтримувати й розвивати потенціал держав-членів з комплексного реагування на кіберзагрози, включно з транскордонними інцидентами.

(10) Користувачі бізнесового та приватного секторів повинні володіти точною інформацією стосовно рівня надійності, стосовно якого було сертифіковано їхні продукти ІКТ, послуги ІКТ та процеси ІКТ. У той же час жоден продукт ІКТ чи послуга ІКТ не є цілком кібербезпечними, тому потрібно просувати та пріоритизувати базові правила кібергігієни. Зважаючи на дедалі більшу доступність пристроїв Інтернету речей, може бути виділено низку добровільних заходів, за допомогою яких приватний сектор може посилювати довіру до безпеки продуктів ІКТ, послуг ІКТ та процесів ІКТ

(11) Сучасні продукти ІКТ та системи часто містять інтегровані одну чи більше сторонніх технологій та компонентів або покладаються на них; серед них модулі програмного забезпечення, бібліотеки або інтерфейси прикладних застосунків. Їх використання, яке часто називають "залежністю", може становити додаткові ризики для кібербезпеки, оскільки потенційні вразливості сторонніх компонентів можуть мати негативний вплив на безпеку продуктів ІКТ, послуг ІКТ та процесів ІКТ. У багатьох випадках виявлення та документування таких залежностей дає змогу кінцевим користувачам товарів ІКТ, послуг ІКТ та процесів ІКТ вдосконалювати власні дії з управління ризиками, пов'язаними з кібербезпекою, шляхом покращення, наприклад, управління вразливостями та процедур відновлення кібербезпеки користувачів.

(12) Організації, виробників або надавачів. що здійснюють проєктування та розробку продуктів ІКТ, послуг ІКТ або процесів ІКТ, необхідно заохочувати до впровадження на якомога раніших стадіях проєктування та розробки заходів, спрямованих на якомога вищий рівень захисту безпеки таких продуктів, послуг та процесів, щоб імовірність виникнення кібератак та потенційного впливу від них була мінімальною (концепція вбудованої безпеки). Необхідно забезпечити безпеку продукту ІКТ, послуги ІКТ або процесу ІКТ протягом строку служби через процеси проєктування та розробки, які повинні постійно розвиватися для скорочення ризику завдання шкоди внаслідок зловмисного використання.

(13) Підприємства, організації та публічний сектор повинні налаштовувати конфігурацію продуктів ІКТ, послуг ІКТ або процесів ІКТ, які вони розробили, у спосіб, який дасть змогу забезпечити високий рівень безпеки шляхом надання першому користувачу типової конфігурації з найбільш безпечними налаштованнями з можливих (концепція типових параметрів безпеки), таким чином зменшивши для користувачів тягар, пов'язаний із належним налаштуванням конфігурації продукту ІКТ послуги ІКТ або процесу ІКТ. Типові параметри безпеки не повинні вимагати з боку користувача тривалого налаштування конфігурації або специфічних технічних знань чи неінтуїтивної поведінки, та після запровадження повинні працювати без ускладнень та надійно. Якщо на індивідуальній основі аналіз ризиків та практичності засвідчить, що таке типове налаштовання не є реалістичним, користувачу необхідно пропонувати можливість вибору найбільш безпечного налаштовання.

(14) Регламентом Європейського Парламенту і Ради (ЄС) № 460/2004 (- 6) було створено ENISA для цілей сприяння досягненню цілей із забезпечення високого та результативного рівня мережевої та інформаційної безпеки в межах Союзу, та з розвитку культури мережевої та інформаційної безпеки на користь громадян, споживачів, підприємств та публічних адміністрацій. Регламентом Європейського Парламенту і Ради (ЄС) № 1007/2008 (- 7) було розширено мандат ENISA до березня 2012 року. Регламентом Європейського Парламенту і Ради (ЄС) № 580/2011 (- 8) було додатково розширено мандат ENISA до 13 вересня 2013 року. Регламентом (ЄС) № 526/2013 було розширено мандат ENISA до 19 червня 2020 року.

(15) Союзом уже було вжито важливих кроків для забезпечення кібербезпеки та для підвищення довіри до цифрових технологій. У 2013 році було ухвалено Стратегію Європейського Союзу з кібербезпеки, яка мала на меті скерувати політику Союзу з реагування на загрози і ризики для кібербезпеки. З наміром забезпечити кращий захист для громадян в онлайновому середовищі у 2016 році було ухвалено перший правовий акт Союзу у сфері кібербезпеки у формі Директиви Європейського Парламенту і Ради (ЄС) 2016/1148 (- 9). Директивою (ЄС) 2016/1148 було запроваджено вимоги щодо національної спроможності у сфері кібербезпеки, встановлено перші механізми для посилення стратегічної та операційної співпраці між державами-членами, та визначено обов'язки стосовно заходів безпеки та повідомлень про інциденти по всіх секторах, які є життєво важливими для економіки й суспільства, серед яких енергетика, транспорт, постачання та розподіл питної води, інфраструктури банківського та фінансового ринків, сфера громадського здоров’я, цифрова інфраструктура та ключові надавачі цифрових послуг (пошукові системи, послуги хмарних обчислень та електронні торгові майданчики).

Ключову роль у забезпеченні виконання зазначеної Директиви було покладено на ENISA. Крім того, Порядок денний Європейського Союзу з безпеки визначає важливим пріоритетом ефективну боротьбу з кіберзлочинністю, що в цілому має сприяти досягненню вищого рівня кібербезпеки. Також досягненню вищого рівня кібербезпеки на єдиному цифровому ринку сприяють і інші правові акти, серед яких Регламент Європейського Парламенту і Ради (ЄС) 2016/679 (- 10) та директиви Європейського Парламенту і Ради 2002/58/ЄС (- 11) та (ЄС) 2018/1972 (- 12).

(16) З моменту ухвалення Стратегії Європейського Союзу з кібербезпеки у 2013 році та останнього перегляду мандату ENISA загальний політичний контекст суттєво змінився, оскільки глобальне середовище стало більш невизначеним та менш безпечним. На цьому тлі та в контексті позитивного розвитку ролі ENISA як довідкового пункту для консультацій та експертних знань, як фасилітатора співпраці та нарощування потенціалу, а також у рамках нової політики Союзу з кібербезпеки, необхідно переглянути мандат ENISA, визначити його роль у зміненій екосистемі кібербезпеки та забезпечити, щоб воно дієво сприяло реагуванню Союзу на проблеми з кібербезпекою, що виникли внаслідок радикальних трансформацій масштабу кіберзагроз, для яких поточний мандат не є достатнім, як було визнано під час оцінювання діяльності ENISA.

(17) ENISA, створене відповідно до цього Регламенту, повинне бути наступником ENISA, створеного відповідно до Регламенту (ЄС) № 526/2013. ENISA повинне виконувати завдання, покладені на нього цим Регламентом та іншими правовими актами Союзу у сфері кібербезпеки та, серед іншого, надавати консультацію й ділитися експертними знаннями, а також діяти як центр інформації та знань Союзу. Воно повинне сприяти обміну найкращими практиками між державами-членами та приватними заінтересованими сторонами, подавати пропозиції стосовно політики Комісії та державам-членам, діяти як довідковий центр для ініціатив секторальної політики Союзу стосовно кібербезпеки та сприяти операційній співпраці як між державами-членами, так і між державами-членами й установами, органами, офісами та агентствами Союзу.

(18) У рамках Рішення 2004/97/ЄС, Євратом, ухваленого за спільною згодою представників держав-членів на засіданні на рівні голів держав або урядів (- 13), представники держав-членів ухвалили рішення про те, що головний офіс ENISA повинен бути розташований у Греції в місті, визначеному урядом Греції. Держава-член ведення діяльності ENISA повинна забезпечити найкращі можливі умови для безперешкодного та ефективного функціонування ENISA. Для належного та ефективного виконання своїх завдань, для добору та утримання персоналу та для посилення ефективності роботи з побудови зв’язків украй важливо, щоб ENISA базувалося в належному місці розташування, яке поміж іншого має добре транспортне сполучення та засоби для розміщення членів подружжя та дітей, що супроводжують членів персоналу ENISA. Тому в угоді між ENISA та державою-членом ведення діяльності, після отримання згоди Правління ENISA, повинно бути визначено відповідні домовленості.

(19) Зважаючи на подальше зростання ризиків і проблем, пов'язаних із кібербезпекою, з якими стикається Союз, існує потреба у збільшенні фінансових та людських ресурсів, виділених ENISA, у відповідь на посилення його ролі та розширення його завдання, та з огляду на його критичне становище в екосистемі організацій, що захищають цифрову екосистему Союзу, та для надання ENISA змоги ефективно виконувати завдання, покладені на нього цим Регламентом.

(20) ENISA повинне нарощувати експертні знання та підтримувати їх рівень, а також функціонувати як довідковий центр, і тим самим утверджувати довіру і впевненість у єдиному ринку завдяки своїй незалежності, якості пропонованих консультацій, якості розповсюджуваної інформації, прозорості своїх процедур, прозорості своїх методів ведення діяльності та ретельності у виконанні своїх завдань. ENISA повинне активно підтримувати національні зусилля та проактивно долучатися до зусиль Союзу з одночасним виконанням своїх завдань у повній співпраці з установами, органами, офісами та агентствами Союзу та з державами-членами, з уникненням дублювання роботи та з просуванням синергії зусиль. На додаток, ENISA повинне будувати свою роботу на основі взаємодії і співпраці з приватним сектором та іншими відповідними заінтересованими сторонами. Для ENISA повинно бути визначено низку завдань, виконанням яких воно повинне досягати своїх цілей, проте з наданням достатньої гнучкості у веденні його діяльності.

(21) Щоб мати змогу надавати адекватну підтримку для операційної співпраці між державами-членами, ENISA повинне додатково посилювати свій технічний та людський потенціал, а також навички персоналу. ENISА повинне нарощувати свої ноу-хау та інші спроможності. ENISА та держави-члени на добровільній основі можуть розробляти програми відкомандирування національних експертів до ENISА, створення пулів експертів та здійснення обмінів персоналу.

(22) ENISA повинне допомагати Комісії шляхом надання консультацій, висновків та аналізів стосовно всіх питань Союзу, що стосуються розробки, оновлення та перегляду політики й законодавства у сфері кібербезпеки та з окремих її секторальних питань для посилення актуальності політик і законів Союзу в розрізі виміру кібербезпеки та для забезпечення послідовності у застосуванні таких політик і законів на національному рівні. ENISA повинне діяти як довідковий центр для консультацій та надання експертних знань для ініціатив щодо секторальної політики та законодавства, пов’язаних із питаннями кібербезпеки. ENISA повинне регулярно інформувати Європейський Парламент про свою діяльність.

(23) Публічне ядро відкритого Інтернету, зокрема його основні протоколи та інфраструктура, які є глобальним публічним благом, забезпечує основні функціональні можливості Інтернету в цілому та підтримує його нормальне функціонування. ENISA повинне підтримувати безпеку публічного ядра відкритого Інтернету та стабільність його функціонування, що включає, зокрема, ключові протоколи (серед яких DNS, BGP, та IPv6), функціонування системи доменних імен (серед іншого і функціонування всіх доменів вищого рівня) та функціонування кореневої зони.

(24) Засадничим завданням ENISA є просування послідовного застосування актуальної нормативно-правової бази, зокрема через дієву імплементацію Директиви (ЄС) 2016/1148 та інших відповідних правових інструментів, які стосуються аспектів кібербезпеки, що є важливими для підвищення кіберстійкості. У світлі швидкоплинної зміни ландшафту кіберзагроз чітко зрозуміло, що держави-члени потребують більш комплексної та крос-політичної підтримки у розбудові кіберстійкості.

(25) ENISA повинне допомагати державам-членам та установам, органам, офісам та агентствам Союзу в їхніх зусиллях із побудови та посилення спроможностей і готовності попереджати, виявляти й відбивати кіберзагрози та інциденти, пов’язані з безпекою мережевих та інформаційних систем. Зокрема, ENISA повинне підтримувати формування та посилення груп для реагування на інциденти у сфері комп’ютерної безпеки (CSIRT), передбачених у Директиві (ЄС) 2016/1148 , як на національному рівні, так і на рівні Союзу, щоб сприяти досягненню вищого загального рівня їхньої професійної компетенції в Союзі. Діяльність, яку ENISA провадить стосовно операційної спроможності держав-членів, повинна бути спрямована на активну підтримку заходів, яких держави-члени вживають на виконання ними своїх обов’язків за Директивою (ЄС) 2016/1148, а тому така діяльність не повинна стати заміною таких заходів.

(26) ENISA повинне також допомагати в розробці й оновленні стратегій з безпеки мережевих та інформаційних систем на рівні Союзу та, за запитом, на рівні держави-члена, зокрема, з питань кібербезпеки, та повинне сприяти розповсюдженню таких стратегій, а також відстежувати прогрес у їх виконанні. ENISA повинне також сприяти покриттю потреб у підготовці та в навчальних матеріалах, включно з потребами публічних органів, та у відповідних випадках також і стосовно навчання тренерів, на основі Рамки цифрових компетенцій для громадян, щоб допомагати державам-членам та установам, органам, офісам та агентствам Союзу в нарощуванні їхніх власних спроможностей з підготовки.

(27) ENISA повинне надавати підтримку державам-членам у підвищенні рівня обізнаності та освіти з питань кібербезпеки шляхом сприяння тіснішій координації та обміну найкращими практиками між державами-членами. Така підтримка може полягати в розвитку мережі національних освітніх контактних пунктів та розробці навчальної платформи з кібербезпеки. Мережа національних освітніх контактних пунктів може працювати в рамках Мережі національних зв’язкових офіцерів та може стати відправною точкою для майбутньої співпраці між державами-членами.

(28) ENISA повинне допомагати Групі співпраці, створеній згідно з Директивою (ЄС) 2016/1148 , на виконання її завдань, зокрема, шляхом надання експертних знань, консультацій та шляхом сприяння обміну найкращими практиками, між іншим, стосовно ідентифікації операторів основних послуг державами-членами, а також стосовно транскордонних залежностей у зв’язку з ризиками та інцидентами.

(29) Для стимулювання співпраці між публічним і приватним секторами та в межах приватного сектора, зокрема для підтримки захисту критичних інфраструктур, ENISA повинне підтримувати обмін інформацією між секторами, зокрема між секторами, наведеними у додатку II до Директиви (ЄС) 2016/1148 , шляхом надання найкращих практик та настанов щодо наявних інструментів та процедур, а також шляхом надання вказівок щодо того, як вирішувати регулятивні питання стосовно обміну інформацією, наприклад, через сприяння у створенні секторальних аналітично-інформаційних центрів.

(30) Через постійне зростання потенційного негативного впливу від вразливостей у продуктах ІКТ, послугах ІКТ та процесах ІКТ, пошук та реагування на такі вразливості відіграє важливу роль у загальному зменшенні ризиків кібербезпеки. Співпраця між організаціями, виробниками або надавачами вразливих продуктів ІКТ, послуг ІКТ та процесів ІКТ та членами співтовариства досліджень у сфері кібербезпеки та урядовими органами, які знаходять вразливості, показала позитивний приклад значного зростання як випадків виявлення вразливостей, так і належного реагування на вразливості у продуктах ІКТ, послугах ІКТ та процесах ІКТ. Скоординоване виявлення вразливостей повинно бути структурованим процесом співпраці, під час якого про вразливості повідомляють власнику інформаційної системи, що дає змогу організації проводити діагностику та усувати вразливості до розкриття докладної інформації про вразливості третім сторонам або громадськості. Такий процес також повинен передбачати координацію між особою, яка ідентифікувала вразливості, та організацією, якій вона про них повідомляє, стосовно публікації таких вразливостей. Скоординовані політики розкриття інформації про загрози можуть відігравати важливу роль у комплексі зусиль держав-членів з посилення кібербезпеки.

(31) ENISA повинне збирати та аналізувати інформацію з національних звітів, які надають CSIRT та міжінституційні групи з реагування на надзвичайні ситуації в комп'ютерній сфері для установ, органів та агентств Союзу, створені згідно з Угодою між Європейським Парламентом, Європейською Радою, Радою Європейського Союзу, Європейською Комісією, Судом Європейського Союзу, Європейським Центральним Банком, Європейською Рахунковою Палатою, Європейською службою зовнішніх справ, Європейським економічно-соціальним комітетом, Європейським комітетом регіонів та Європейським інвестиційним банком стосовно організації та функціонування групи з реагування на надзвичайні ситуації в комп'ютерній сфері для установ, органів та агентств Союзу (CERT-EU) (- 14), з метою сприяння запровадженню спільних процедур, мови та термінології для обміну інформацією. У цьому контексті ENISA повинне включати приватний сектор у розумінні Директиви (ЄС) 2016/1148 , якою закладено основи для добровільного обміну технічною інформацією на операційному рівні у мережі груп для реагування на інциденти в сфері комп'ютерної безпеки (CSIRT), створеної зазначеною Директивою.

(32) ENISA повинне сприяти реагуванню на рівні Союзу на випадки широкомасштабних транскордонних інцидентів та криз, пов'язаних із кібербезпекою. Зазначене завдання належить виконувати в рамках мандата ENISA згідно з цим Регламентом, і загальний підхід повинен узгоджуватися з державами-членами у контексті Рекомендації Комісії (ЄС) 2017/1584 (- 15) та висновків Ради від 26 червня 2018 року про скоординоване реагування з боку ЄС на широкомасштабні інциденти та кризи, пов'язані з кібербезпекою. Зазначене завдання може включати збір потрібної інформації та дії в ролі фасилітатора між мережею CSIRT та технічною спільнотою, а також між виробниками рішень, відповідальними за управління кризами. Крім того, ENISA повинне підтримувати операційну співпрацю між державами-членами на запит однієї чи більше держав-членів щодо технічного опрацювання інцидентів шляхом сприяння обміну технічними рішеннями між державами-членами та шляхом проведення публічних комунікаційних кампаній. ENISA повинне підтримувати операційну співпрацю шляхом відпрацювання механізмів для такої співпраці через регулярні навчально-тренувальні заходи у сфері кібербезпеки.

(33) При підтримці операційної співпраці ENISA повинне користуватися доступними технічними та операційними експертними знаннями CERT-EU шляхом застосування структурованої співпраці. Така структурована співпраця може ґрунтуватися на експертних знаннях ENISA. У відповідних випадках, між двома організаціями повинно бути укладено спеціальні угоди з визначенням практичних інструментів для такої співпраці та для уникнення дублювання роботи.

(34) При виконанні свого завдання щодо підтримки операційної співпраці у межах мережі CSIRT у ENISA повинна бути змога надавати підтримку державам-членам, за їхнім запитом, зокрема щодо надання консультацій стосовно вдосконалення їхньої спроможності запобігати інцидентам, виявляти їх та реагувати на них, шляхом сприяння у технічному опрацюванні інцидентів, що мають значний або суттєвий негативний вплив, або шляхом забезпечення аналізу кіберзагроз та інцидентів. ENISA повинне сприяти технічному опрацюванню інцидентів, що мають значний або суттєвий негативний вплив, зокрема шляхом підтримки добровільного обміну технічними рішеннями між державами-членами або шляхом підготовки зведеної технічної інформації, як-от щодо технічних рішень, обмін якими здійснили держави-члени на добровільних засадах. У Рекомендації (ЄС) 2017/1584 державам-членам рекомендовано співпрацювати добросовісно та без невиправданої затримки обмінюватися між собою та ENISA інформацією стосовно широкомасштабних інцидентів та криз, пов’язаних із кібербезпекою. Така інформація також допоможе ENISA при виконанні ним свого завдання з підтримки операційної співпраці.

(35) Як частину звичайної співпраці на технічному рівні на підтримку ситуаційної обізнаності в Союзі у тісній співпраці з державами-членами, ENISA повинне регулярно готувати детальний технічний звіт ЄС про стан кібербезпеки стосовно інцидентів та кібератак на основі доступної для громадськості інформації, власного аналізу та звітів, наданих йому командами CSIRT держав-членів або єдиними контактними пунктами з безпеки мережевих та інформаційних систем ("єдині контактні пункти"), створеними відповідно до Директиви (ЄС) 2016/1148 , в обох випадках на добровільній основі. Європейським центром кіберзлочинності (ЕС3) у Європолі, CERT-EU та, у відповідних випадках, Розвідувально-ситуаційним центром Європейського Союзу (EU INTCEN) при Європейській службі зовнішніх справ. Такий звіт повинен надаватися Раді, Комісії, Високому представнику Союзу з питань закордонних справ і політики безпеки та мережі CSIRT.

(36) Підтримку ENISA щодо технічних запитів ex-post, поданих заінтересованими державами-членами стосовно інцидентів, які мають значний вплив або суттєвий негативний вплив, повинно бути зосереджено на запобіганні майбутнім інцидентам. Заінтересовані держави-члени повинні надавати необхідну інформацію та допомогу, щоб ENISA мало змогу забезпечити ефективну підтримку щодо технічних запитів ex-post.

(37) Держави-члени можуть запрошувати підприємства, яких торкнувся інцидент, до співпраці шляхом надання необхідної інформації та допомоги ENISA без обмеження їхнього права захищати комерційно чутливу інформацію, а також надання інформації, що є важливою для громадської безпеки.

(38) Щоб краще розуміти проблеми у сфері кібербезпеки, та з наміром надання державам-членам та установам, органам, офісам та агентствам Союзу стратегічних консультацій з урахуванням майбутніх перспектив, ENISA потрібно здійснювати аналіз наявних та новітніх ризиків кібербезпеки. З цією метою ENISA повинне у співпраці з державами-членами та, у відповідних випадках, із органами статистики та іншими органами збирати відповідні доступні публічно та надані добровільно дані й інформацію та здійснювати аналіз новітніх технологій та проводити тематичні оцінювання очікуваного соціального, правового, економічного та регуляторного впливу технологічних інновацій на мережеву та інформаційну безпеку та, зокрема, на кібербезпеку. Крім того, ENISA повинне підтримувати держави-члени та установи, органи, офіси та агентства Союзу у виявленні новітніх ризиків кібербезпеки та попередженні інцидентів шляхом проведення аналізу кіберзагроз, вразливостей та інцидентів.

(39) Для підвищення стійкості Союзу, ENISA необхідно накопичити експертні знання у сфері кібербезпеки інфраструктур, зокрема, для підтримки секторів, перелічених у додатку II до Директиви (ЄС) 2016/1148 , та секторів, що використовуються надавачами цифрових послуг, переліченими в додатку III до зазначеної Директиви, шляхом надання консультацій, підготовки настанов та обміну найкращими практиками. З метою забезпечення легшого доступу до краще структурованої інформації про ризики кібербезпеки та можливі засоби їх подолання ENISA необхідно розробити та підтримувати актуальність "інформаційного хабу" Союзу, єдиного порталу, що надаватиме громадськості інформацію про питання кібербезпеки, яка надходитиме від Союзу та національних установ, органів, офісів та агентств. Сприяння доступності краще структурованої інформації про ризики кібербезпеки та можливі засоби їх подолання може також допомогти державам-членам у посиленні їхньої спроможності та узгодженні їхніх практик, і в такий спосіб сприятиме підвищенню їхньої загальної стійкості до кібератак.

(40) ENISA необхідно сприяти підвищенню обізнаності громадськості про ризики кібербезпеки, у тому числі через кампанії з підвищення обізнаності по всьому ЄС шляхом просування освіти, та забезпечити надання настанов щодо належних практик для окремих користувачів, орієнтованих на громадян, організації та підприємства. ENISA потрібно також сприяти просуванню найкращих практик та рішень, у тому числі щодо кібергігієни та кіберграмотності на рівні громадян, організацій та підприємств, шляхом збору та аналізу публічно доступної інформації про значні інциденти, та шляхом складання й публікації звітів і настанов для громадян, організацій та підприємств, щоб підвищити їхній і загальний рівень готовності та стійкості. ENISA потрібно також намагатися надавати споживачам актуальну інформацію про застосовні схеми сертифікації, наприклад, шляхом підготовки настанов та рекомендацій. Крім того, ENISA потрібно організовувати згідно з Планом заходів із цифрової просвіти, схваленим Повідомленням Комісії від 17 січня 2018 року, у співпраці з державами-членами та установами, органами, офісами та агентствами Союзу регулярні кампанії з популяризації та просвіти, спрямовані на кінцевих користувачів, з метою просування більш безпечної онлайнової поведінки фізичних осіб та їхньої цифрової грамотності, для підвищення обізнаності про потенційні кіберзагрози, у тому числі про онлайнову кримінальну діяльність, як от фішингові атаки, мережі ботів, фінансове та банківське шахрайство, інциденти шахрайства з даними, а також рекламувати важливість базової багатофакторної автентифікації, встановлення оновлень та латок, шифрування, анонімізації та порад із захисту даних.

(41) ENISA необхідно відігравати центральну роль в активізації зусиль з підвищення обізнаності кінцевих користувачів щодо питань безпеки пристроїв та безпечного використання послуг; також ENISA повинне просувати ширше застосування концепцій вбудованої безпеки та вбудованої конфіденційності на рівні Союзу. У переслідуванні цієї цілі ENISA необхідно використовувати доступні найкращі практики та досвід, особливо найкращі практики та досвід академічних установ та дослідників сфери безпеки IT.

(42) Для підтримки підприємств, що здійснюють діяльність у секторі кібербезпеки, а також користувачів кібербезпекових рішень, ENISA необхідно розробити та підтримувати актуальність "ринкової обсерваторії" шляхом регулярного аналізу та розповсюдження інформації про основні тенденції на ринку кібербезпеки, як з боку попиту, так і з боку пропозиції.

(43) ENISA необхідно допомагати в зусиллях Союзу щодо співпраці з міжнародними організаціями, а також у рамках відповідної міжнародної співпраці у сфері кібербезпеки. Зокрема, ENISA необхідно сприяти, у відповідних випадках, співпраці з такими організаціями, як ОЕСР, ОБСЄ та НАТО. Така співпраця може включати спільні навчально-тренувальні заходи з кібербезпеки та спільну координацію реагування на інциденти. Такі заходи повинні здійснюватися в повній відповідності з принципами інклюзивності, взаємності та автономності Союзу у виробленні й ухваленні рішень, без обмеження специфічного характеру безпекової та оборонної політики будь-якої держави-члена.

(44) Для забезпечення повного досягнення своїх цілей ENISA необхідно встановити та підтримувати зв’язок із відповідними наглядовими органами Союзу та з іншими компетентними органами в Союзі, установами, органами, офісами та агентствами Союзу, серед яких CERT-EU, ЕС3, Європейське оборонне агентство (EDA), Європейське агентство з питань глобальних навігаційних супутникових систем (Європейське агентство GNSS), Орган європейських регуляторів електронних комунікацій (BEREC), Європейське агентство з оперативного управління великомасштабними ІТ-системами у просторі свободи, безпеки та правосуддя (eu-LISA), Європейський Центральний Банк (ЄЦБ), Європейський орган банківського нагляду, Агентство з питань співпраці регуляторних органів у сфері енергетики (ACER), Агентство з безпеки польотів Європейського Союзу (EASA), а також із будь-якими іншими агентствами Союзу, пов’язаними з кібербезпекою. ENISA необхідно також встановити та підтримувати зв’язок з органами, які займаються захистом даних, для обміну ноу-хау та найкращими практиками, а також необхідно надавати консультації з питань кібербезпеки, що можуть мати вплив на їхню роботу. Представники органів правозастосування та захисту даних Союзу та держав-членів повинні мати змогу бути представленими в Консультативній групі ENISA. Співпрацюючи з правозастосовчими органами стосовно питань безпеки мережевих та інформаційних систем, що можуть впливати на їхню роботу, ENISA потрібно враховувати наявні канали інформації та створені мережі.

(45) Можуть встановлюватися партнерства з академічними установами, що мають дослідний потенціал у відповідних сферах, та повинні бути створені відповідні канали для отримання думок від організацій споживачів та інших організацій, які потрібно брати до уваги.

(46) ENISA, виконуючи роль секретаріату мережі CSIRT, повинне підтримувати CSIRT держав-членів та CERT-EU у здійсненні операційної співпраці стосовно відповідних завдань мережі CSIRT, як зазначено в Директиві (ЄС) 2016/1148 . Крім того, ENISA повинне просувати та підтримувати співпрацю між відповідними CSIRT у разі інцидентів, атак або порушень у мережах чи інфраструктурі, управління та захист яких здійснюється CSIRT, та залучати або бути здатним залучати принаймні два CSIRT із належним урахування стандартних операційних процедур мережі CSIRT.

(47) Для підвищення готовності Союзу реагувати на інциденти, ENISA потрібно регулярно організовувати кібербезпекові навчально-тренувальні заходи на рівні Союзу та, за запитом держав членів, надавати державам-членам та установам, органам, офісам та агентствам Союзу допомогу в організації таких навчально-тренувальних заходів. Широкомасштабні комплексні навчально-тренувальні заходи, що включають технічні, операційні або стратегічні елементи, необхідно організовувати кожні два роки. Крім того, ENISA потрібно мати змогу регулярно організовувати менш комплексні навчально-тренувальні заходи з тією самою ціллю для підвищення готовності Союзу реагувати на інциденти.

(48) ENISA необхідно продовжувати нарощувати та підтримувати рівень власних експертних знань щодо сертифікації кібербезпеки з метою підтримки політики Союзу в зазначеній сфері. ENISA повинне ґрунтувати свою діяльність на наявних найкращих практиках та повинне просувати розвиток сертифікації кібербезпеки у межах Союзу, у тому числі шляхом сприяння запровадженню та використанню рамок сертифікації кібербезпеки на рівні Союзу (європейських рамок сертифікації кібербезпеки) з метою підвищення прозорості кібербезпеки продуктів ІКТ, послуг ІКТ, процесів ІКТ, внаслідок чого відбуватиметься посилення рівня впевненості в цифровому внутрішньому ринку та його конкурентоспроможності.

(49) Необхідно, щоб дієві політики у сфері кібербезпеки ґрунтувалися на добре розроблених методах оцінювання ризиків як у публічному, так і в приватному секторах. Методи оцінювання ризиків використовуються на різних рівнях, і щодо їх ефективного застосування не існує загальної практики. Підтримка та розробка найкращих практик для оцінювання ризиків та рішень щодо взаємодійного управління ризиками в організаціях публічного та приватного секторів підвищить рівень кібербезпеки у Союзі. З цією метою ENISA необхідно підтримувати співпрацю між заінтересованими сторонами на рівні Союзу та сприяти їх зусиллям щодо запровадження та розвитку європейських та міжнародних стандартів управління ризиками та вимірюваної безпеки електронних продуктів, систем, мереж та послуг, які в сукупності з програмним забезпечення становлять собою мережеві та інформаційні системи.

(50) ENISA необхідно заохочувати держави-члени, виробників або надавачів продуктів ІКТ, послуг ІКТ або процесів ІКТ з метою підвищення їхніх загальних стандартів безпеки у такий спосіб, щоб усі користувачі інтернету могли вжити необхідних заходів для забезпечення їхньої особистої кібербезпеки, та необхідно передбачити для них відповідні стимули це робити. Зокрема, виробники та надавачі продуктів ІКТ, послуг ІКТ або процесів ІКТ повинні передбачити будь-які необхідні оновлення та повинні відкликати, вилучати або утилізовувати продукти ІКТ, послуги ІКТ або процеси ІКТ, які не відповідають стандартам кібербезпеки, тоді як імпортери та розповсюджувачі повинні забезпечити, щоб продукти ІКТ, послуги ІКТ та процеси ІКТ які вони вводять в обіг на ринку Союзу, відповідали застосовним вимогам та не становили ризику для споживачів Союзу.

(51) У співпраці з компетентними органами ENISA повинне бути здатним розповсюджувати інформацію стосовно рівня кібербезпеки продуктів ІКТ, послуг ІКТ та процесів ІКТ, що пропонуються на внутрішньому ринку, та повинне видавати попередження виробникам або надавачам продуктів ІКТ, послуг ІКТ або процесів ІКТ та вимагати від них їх підвищувати безпеку їхніх продуктів ІКТ, послуг ІКТ та процесів ІКТ, включно з кібербезпекою.

(52) ENISA необхідно брати до уваги поточні дослідження, розробки й технологічні оцінки, зокрема стосовно тих видів діяльності, що здійснюються в рамках різних дослідних ініціатив Союзу, з метою консультування установ, органів, офісів та агентств Союзу та держав-членів, у відповідних випадках на їхній запит, стосовно потреб і пріоритетів для досліджень у сфері кібербезпеки. З питань ідентифікації потреб і пріоритетів для досліджень, ENISA потрібно також консультуватися з відповідними групами користувачів. Більш конкретно, може бути встановлена співпраця з Європейською дослідницькою радою, Європейським інститутом інновацій та технологій та Інститутом досліджень з питань безпеки Європейського Союзу.

(53) Під час підготовки європейських схем сертифікації кібербезпеки ENISA необхідно регулярно консультувати організації стандартизації, зокрема європейські організації стандартизації.

(54) Кіберзагрози є проблемним питанням глобального виміру. Існує потреба у тіснішій співпраці для вдосконалення стандартів кібербезпеки, у тому числі потреба у визначенні спільних норм поведінки, ухваленні кодексів поведінки, використанні міжнародних стандартів, а також в обміні інформацією, сприянні активнішій міжнародній співпраці у відповідь на проблеми з безпеки мережевих та інформаційних систем та сприянні спільному глобальному підходу до таких питань. З цією метою ENISA необхідно підтримувати дедалі активніше залучення Союзу та співпрацю з третіми країнами та міжнародними організаціями шляхом надання необхідних експертних знань і аналізу відповідним установам, органам, офісам та агентствам Союзу, у відповідних випадках.

(55) ENISA повинне бути здатним реагувати на спеціальні запити щодо надання консультацій та підтримки державам-членам та установам, органам, офісам та агентствам Союзу з питань, що належать до сфери повноважень ENISA.

(56) Чутливим і рекомендованим питанням є впровадження певних принципів врядування ENISA, спрямованих на виконання Спільної заяви та Спільного підходу, погодженого в липні 2012 року Міжінституційною робочою групою з питань децентралізованих агентств ЄС, метою яких є активізація діяльності децентралізованих агентств та вдосконалення їхньої продуктивності. Рекомендації, наведені у Спільній заяві та у Спільному підході, повинні бути відображені, якщо доцільно, у робочих програмах ENISA, оцінках ENISA та звітності й адміністративній співпраці ENISA.

(57) Правління у складі представників держав-членів та Комісії повинне визначати загальні напрямки роботи ENISA та виконувати свої завдання відповідно до положень цього Регламенту. На Правління необхідно покласти повноваження, необхідні для визначення і схвалення бюджету, перевірки виконання бюджету, ухвалення належних фінансових правил, визначення прозорих робочих процедур для вироблення та ухвалення рішень ENISA, ухвалювати єдиний програмний документ ENISA, ухвалювати власний внутрішній регламент, призначати виконавчого директора та ухвалювати рішення про продовження або припинення строку перебування на посаді виконавчого директора.

(58) Для забезпечення належного і дієвого функціонування ENISA, Комісія та держави члени повинні призначати у Правління лише осіб із професійними експертними знаннями та досвідом. Комісія та держави-члени повинні докладати зусиль для забезпечення того, щоб їхні відповідні представники у Правлінні змінювалися якомога рідше, для забезпечення безперервності його роботи.

(59) Безперебійне функціонування ENISA вимагає призначення його виконавчого директора, виходячи з його заслуг та документально підтверджених адміністративних та управлінських навичок, а також компетенції та досвіду, пов'язаних із кібербезпекою. Виконавчий директор повинен виконувати свої обов'язки повністю незалежно. Виконавчий директор повинен готувати проєкт річної робочої програми ENISA після проведення консультацій із Комісією, та повинен вживати усіх заходів, необхідних для забезпечення належного виконання згаданої робочої програми. Виконавчий директор повинен готувати щорічний звіт для подання Правлінню, і такий звіт повинен стосуватися виконання річної робочої програми ENISA, містити проєкт кошторису доходів і видатків ENISA, а також містити інформацію про виконання бюджету. Крім того, у виконавчого директора повинна бути можливість створювати спеціалізовані експертні робочі групи для розв'язання специфічних питань, зокрема наукового, правового або соціоекономічного характеру. Серед іншого необхідно, щоб він міг створити спеціалізовану експертну робочу групу для підготовки проєкту європейської схеми сертифікації кібербезпеки ("проєкт схеми"). Виконавчий директор повинен забезпечувати, щоб членів спеціалізованих експертних робочих груп добирали відповідно до найвищих стандартів щодо рівня експертних знань, із забезпеченням гендерного балансу та належного представництва публічних адміністрацій держав-членів, установ, органів, офісів та агентств Союзу та приватного сектора, включно з промисловістю, користувачами та академічними експертами з питань безпеки мереж та інформації, щодо спеціалізованих питань до розгляду.

(60) Виконавча рада повинна сприяти ефективному функціонуванню Правління. У рамках роботи з підготовки рішень Правління Виконавча рада повинна детально досліджувати відповідну інформацію, вивчати доступні варіанти та надавати поради і пропозиції з підготовки рішень Правління.

(61) ENISA повинне використовувати Консультативну групу ENISA як дорадчий орган, щоб забезпечити підтримку постійного діалогу з приватним сектором, організаціями споживачів та іншими відповідними заінтересованими сторонами. Консультативну групу ENISA створює Правління за пропозицією виконавчого директора, і вона повинна зосередити свою увагу на питаннях, піднятих заінтересованими сторонами, та повинна доносити їх до уваги ENISA. Консультативна група ENISA повинна надавати консультації, зокрема, у рамках підготовки проєкту робочої програми ENISA. Склад Консультативної групи ENISA та покладені на неї завдання повинні бути достатніми для забезпечення представництва заінтересованих сторін у роботі ENISA.

(62) Для допомоги ENISA та Комісії у сприянні проведенню консультацій з відповідними заінтересованими сторонами повинна бути створена Група стейкхолдерів з питань сертифікації кібербезпеки. Група стейкхолдерів з питань сертифікації кібербезпеки повинна складатися з членів, що збалансовано представляють галузь з боку і попиту, і пропозиції продуктів ІКТ та послуг ІКТ, та повинна включати, зокрема, МСП, надавачів цифрових послуг, європейські та міжнародні органи стандартизації, національні органи з акредитації, наглядові органи з питань захисту даних та органи з оцінювання відповідності відповідно до Регламенту Європейського Парламенту і Ради (ЄС) № 765/2008 (- 16), а також представників академічної спільноти та організацій споживачів.

(63) В ENISA повинно бути запроваджено правила щодо управління конфліктами інтересів та запобігання таким конфліктам інтересів. ENISA також необхідно застосовувати відповідні положення Союзу стосовно публічного доступу до документів, як визначено у Регламенті Європейського Парламенту і Ради (ЄС) № 1049/2001 (- 17). Опрацювання персональних даних в ENISA необхідно здійснювати відповідно до положень Регламенту Європейського Парламенту і Ради (ЄС) 2018/1725 (- 18). ENISA необхідно забезпечити дотримання положень, що застосовуються до установ, органів, офісів та агентств Союзу, а також положень національного законодавства стосовно опрацювання інформації, зокрема чутливої незасекреченої інформації та секретної інформації Європейського Союзу (EUCI).

(64) Щоб гарантувати повну автономію та незалежність ENISA, та щоб дати змогу ENISA виконувати додаткові завдання, включно з непередбаченими невідкладними завданнями, ENISA необхідно надати достатній та автономний бюджет, надходження до якого повинні формуватися з внесків Союзу та внесків третіх країн, які беруть участь у роботі ENISA. Для забезпечення достатньої спроможності виконувати всі покладені на нього завдання та для досягнення поставлених перед ним цілей, ENISA повинне мати належний бюджет. Більшість персоналу ENISA повинна бути прямо задіяна в операційній реалізації мандату ENISA. Державі-члену ведення діяльності та будь-якій іншій державі-члену повинно бути дозволено здійснювати добровільні внески до бюджету ENISA. Необхідно застосовувати бюджетну процедуру Союзу, якщо йдеться про дотації, які надаються за рахунок загального бюджету Союзу. Крім того, для забезпечення прозорості та підзвітності звітність ENISA повинна проходити аудит з боку Рахункової палати.

(65) Сертифікація кібербезпеки відіграє важливу роль у підвищенні довіри до продуктів ІКТ, послуг ІКТ та процесів ІКТ, а також їхньої безпеки. Єдиний цифровий ринок та, зокрема, економіка даних та інтернет речей можуть процвітати лише за умови, що існуватиме довіра з боку загальної громадськості до таких продуктів, послуг та процесів, і що вони здатні забезпечити певний рівень кібербезпеки. Автомобілі, електронні медичні вироби, системи контролю промислової автоматизації та розумні електросистеми з постійним під'єднанням до мережі інтернет та з функціями автоматизованого функціонування - лише деякі з прикладів секторів, у яких сертифікація вже набула широкого використання або набуде в найближчій перспективі. Сектори, що регулюються положеннями Директиви (ЄС) 2016/1148 , також належать до секторів, у яких сертифікація кібербезпеки є критичною.

(66) У Повідомленні "Посилення кіберстійкості систем Європи та сприяння побудові конкурентної та інноваційної галузі кібербезпеки" від 2016 року Комісія відзначила потребу у високоякісних, доступних та взаємодійних продуктах і рішеннях у сфері кібербезпеки. У наданні продуктів ІКТ, послуг ІКТ та процесів ІКТ у межах єдиного ринку спостерігається значна географічна фрагментованість. Причина цього полягає в тому, що галузь кібербезпеки переважно розвивалася на основі попиту з боку національних урядів. На додаток, відсутність взаємодійних рішень (технічних стандартів), практик та загальноєвропейських механізмів сертифікації формує прогалини на єдиному ринку у сфері кібербезпеки. Це ускладнює конкурентоспроможність європейських підприємств на національному, загальноєвропейському та світовому рівнях. Це також скорочує вибір доступних для фізичних осіб та підприємств технологій кібербезпеки. Аналогічним чином, у Повідомленні 2017 року про середньостроковий огляд впровадження Стратегії розбудови Єдиного цифрового ринку "Конективний Єдиний цифровий ринок для всіх" Комісія відзначала потребу в безпечних конективних продуктах і системах, та зазначала, що створення європейських рамок безпеки ІКТ дасть змогу визначити правила організації процесу сертифікації безпеки ІКТ в Союзі, що своєю чергою посилить довіру до інтернету та подолає поточну фрагментарність внутрішнього ринку.

(67) На поточний момент, сертифікація кібербезпеки продуктів ІКТ, послуг ІКТ та процесів ІКТ носить обмежений характер. Вона існує переважно на рівні держав-членів або у рамках схем, створених самою галуззю. За такого контексту, як правило, сертифікат, виданий національним органом сертифікації кібербезпеки, не визнається в іншій державі-члені. Як наслідок, компанії мусять сертифікувати свої продукти ІКТ, послуги ІКТ та процеси ІКТ в кількох державах-членах, у яких вони здійснюють діяльність, наприклад, у рамках національних закупівельних процедур, що призводить до підвищення їхніх витрат. Крім того, з появою нових схем дедалі більше спостерігається відсутність узгодженого та комплексного підходу до горизонтальних аспектів кібербезпеки, наприклад, у сфері інтернету речей. Наявні схеми мають значні недоліки та відмінності в частині охопленні продуктів, рівнів надійності, сутнісних критеріїв та фактичного використання, що унеможливлює застосування механізмів взаємного визнання в рамках Союзу.

(68) Було докладено зусиль для забезпечення взаємного визнання сертифікатів у межах Союзу. Однак ці зусилля виявилися успішними тільки частково. Найважливішим прикладом у цьому зв’язку є Угода про взаємне визнання (MRA) Групи вищих посадових осіб з безпеки інформаційних систем (SOG-IS). Незважаючи на те, що цей документ є найважливішим зразком співпраці та взаємного визнання у сфері сертифікації безпеки, SOG-IS охоплює тільки деякі держави-члени. З цієї причини MRA SOG-IS має обмежену дієвість з точки зору внутрішнього ринку.

(69) Таким чином, необхідно утвердити спільний підхід та запровадити європейську схему сертифікації кібербезпеки, що закладе основні горизонтальні вимоги для майбутніх європейських схем сертифікації кібербезпеки та забезпечить визнання і використання в усіх державах-членах європейських сертифікатів з кібербезпеки та декларацій ЄС про відповідність для продуктів ІКТ, послуг ІКТ або процесів ІКТ. На цьому шляху важливо спиратися на наявні національні та міжнародні схеми, а також на системи взаємного визнання, серед яких SOG-IS; крім того, необхідно забезпечити плавний перехід від наявних схем у рамках таких систем до схем відповідно до нових європейських рамок сертифікації кібербезпеки. Європейські рамки сертифікації кібербезпеки повинні слугувати подвійній меті. По-перше, вони повинні сприяти підвищенню довіри до продуктів ІКТ, послуг ІКТ та процесів ІКТ, які були сертифіковані за європейськими схемами сертифікації кібербезпеки. По-друге, вони повинні сприяти зникненню численних суперечливих або дубльованих національних схем сертифікації кібербезпеки, що дасть змогу скоротити витрати підприємств, які ведуть діяльність на єдиному цифровому ринку. Європейські схеми сертифікації кібербезпеки повинні носити недискримінаційний характер та ґрунтуватися на європейських або міжнародних стандартах, крім випадків, коли такі стандарти довели свою неефективність або невідповідність у досягненні законних цілей Союзу стосовно питань сертифікації кібербезпеки.

(70) Європейські рамки сертифікації кібербезпеки повинні бути створені як єдиний інструмент для всіх держав-членів, щоб запобігти появі "торгівлі сертифікацією" внаслідок різних рівнів суворості у рівних державах-членах.

(71) Європейські схеми сертифікації кібербезпеки повинні ґрунтуватися на тому, що вже існує на міжнародному та національному рівні, та за необхідності й на технічних специфікаціях від форумів та консорціумів, шляхом вивчення поточних сильних сторін та оцінки й усунення слабин.

(72) Галузі потрібні гнучкі рішення щодо кібербезпеки, щоб випереджати кіберзагрози, тому будь-яка схема сертифікації повинна бути розроблена в такий спосіб, що дає змогу уникнути ризику її швидкого застарівання.

(73) Комісію необхідно наділити повноваженнями ухвалювати європейські схеми сертифікації кібербезпеки для конкретних груп продуктів ІКТ, послуг ІКТ та процесів ІКТ. Національні органи сертифікації кібербезпеки повинні забезпечувати впровадження таких схем та нагляд за ними, і видані згідно з такими схемами сертифікати повинні бути дійсними й визнаватися по всьому Союзу. Схеми сертифікації, які використовуються галуззю або іншими приватними організаціями, не повинні підпадати під сферу дії цього Регламенту. Однак, якщо органи використовують такі схеми, вони повинні мати змогу пропонувати, щоб Комісія брала такі схеми до уваги за основу для схвалення як європейську схему сертифікації кібербезпеки.

(74) Положення цього Регламенту не повинні обмежувати право Союзу стосовно специфічних правил для сертифікації продуктів ІКТ, послуг ІКТ та процесів ІКТ. Зокрема, Регламентом (ЄС) 2016/679 встановлено положення про запровадження механізмів сертифікації захисту даних та штампів і знаків захисту даних з метою підтвердження відповідності операцій опрацювання, які здійснюють контролери і оператори, положенням згаданого Регламенту. Такий механізм сертифікації та штампів і знаків захисту даних повинен давати змогу суб’єктам даних швидко оцінювати рівень захисту даних відповідних продуктів ІКТ, послуг ІКТ та процесів ІКТ. Цей Регламент не обмежує сертифікації операцій з опрацювання даних згідно з Регламентом (ЄС) 2016/679, у тому числі якщо такі операції вбудовані у продукти ІКТ, послуги ІКТ та процеси ІКТ.