(75) Завданням європейських схем сертифікації кібербезпеки повинно бути забезпечення того, що продукти ІКТ, послуги ІКТ та процеси ІКТ, які сертифіковано за такими схемами, відповідають визначеним вимогам, метою яких є захист доступності, автентичності, цілісності та конфіденційності даних, які зберігають, передають або опрацьовують, або пов'язаних функцій чи послуг, пропонованих такими продуктами, послугами або процесами або доступних із їхньою допомогою протягом їх життєвого циклу. У цьому Регламенті неможливо визначити детальні вимоги до кібербезпеки усіх продуктів ІКТ, послуг ІКТ та процесів ІКТ. Продукти ІКТ, послуги ІКТ та процеси ІКТ та потреби кібербезпеки, пов'язані з такими продуктами, послугами та процесами, настільки різноманітні, що дуже складно розробити загальні вимоги до кібербезпеки, які можливо застосувати за всіх обставин. Тому необхідно ухвалити широке та загальне визначення поняття "кібербезпека" для цілей сертифікації, яке згодом може бути доповнене набором специфічних цілей кібербезпеки, що їх потрібно буде брати до уваги при розробці європейських схем сертифікації кібербезпеки. Відповідні механізми, за допомогою яких буде досягнуто таких цілей у конкретних продуктах ІКТ, послугах ІКТ та процесах ІКТ, в подальшому будуть уточнюватися на рівні окремих схем сертифікації, ухвалених Комісією, наприклад, шляхом покликання на стандарти або технічні специфікації, якщо відповідні стандарти відсутні.
(76) Технічні специфікації, що будуть використовуватися у європейських схемах сертифікації кібербезпеки, повинні враховувати вимоги, визначені в додатку II до Регламенту Європейського Парламенту і Ради (ЄС) № 1025/2012 (- 19). Однак можуть бути необхідними певні відхилення від згаданих вимог у належним чином обґрунтованих випадках, коли такі технічні специфікації будуть використовуватися у європейській схемі сертифікації кібербезпеки стосовно рівня надійності "високий". Причини застосування таких відхилень повинні бути оприлюднені перед громадськістю.
(77) Оцінювання відповідності - це процедура для оцінювання міри відповідності спеціальним вимогам щодо продуктів ІКТ, послуг ІКТ або процесів ІКТ. Така процедура здійснюється незалежною третьою особою, яка не є ані виробником, ані надавачем продуктів ІКТ, послуг ІКТ або процесів ІКТ, які є предметом оцінювання. Після успішного проходження оцінювання продуктів ІКТ, послуг ІКТ або процесів ІКТ повинен видаватися європейський сертифікат з безпеки. Європейський сертифікат з кібербезпеки повинен вважатися підтвердженням того, що оцінювання було проведено належним чином. Залежно від рівня надійності, європейська схема сертифікації кібербезпеки повинна визначати, який орган повинен видати європейський сертифікат з кібербезпеки - приватний чи публічний. Оцінювання відповідності та сертифікація як такі не можуть гарантувати, що продукти ІКТ, послуги ІКТ та процеси ІКТ є кібербезпечними. Вони радше слугують як процедури та технічні методології для підтвердження того, що продукти ІКТ, послуги ІКТ та процеси ІКТ пройшли тестування та що вони відповідають певним вимогам до кібербезпеки, які викладено в інших документах, як, наприклад, у технічних стандартах.
(78) Вибір належної сертифікації та пов'язаних із нею вимог до безпеки з боку користувачів європейських сертифікатів з кібербезпеки повинен ґрунтуватися на аналізі ризиків, пов'язаних з використанням продуктів ІКТ, послуг ІКТ або процесів ІКТ. Відповідно, рівень надійності повинен відповідати рівню ризику, пов’язаному з використанням за призначенням продукту ІКТ, послуги ІКТ або процесу ІКТ.
(79) Європейська схема сертифікації кібербезпеки може передбачати проведення оцінювання відповідності під одноосібну відповідальність виробника або надавача продуктів ІКТ, послуг ІКТ або процесів ІКТ ("самооцінювання відповідності"). У таких випадках повинно бути достатньо, щоб виробник або надавач продуктів ІКТ, послуг ІКТ або процесів ІКТ самостійно проводив усі перевірки, спрямовані на забезпечення відповідності продуктів ІКТ, послуг ІКТ або процесів ІКТ вимогам європейської схеми сертифікації кібербезпеки. Самооцінювання відповідності повинно вважатися належним для продуктів ІКТ, послуг ІКТ або процесів ІКТ низької складності, що становлять низький ризик для громадськості, як-от із простим проєктом та технологією виробництва. Крім того, самооцінювання відповідності повинно дозволятися лише у разі, якщо продукти ІКТ, послуги ІКТ та процеси ІКТ відповідають рівню надійності "базовий".
(80) Європейські схеми сертифікації кібербезпеки можуть передбачати існування як самооцінювання відповідності, так і сертифікації продуктів ІКТ, послуг ІКТ або процесів ІКТ. У такому разі схема повинна передбачати чіткі та зрозумілі засоби для споживачів або інших користувачів, які б дозволяли відрізнити продукти ІКТ, послуги ІКТ та процеси ІКТ, за оцінювання яких відповідає виробник або надавач продуктів ІКТ, послуг ІКТ або процесів ІКТ, від продуктів ІКТ, послуг ІКТ або процесів ІКТ, які сертифіковані третьою особою.
(81) Виробник або надавач продуктів ІКТ, послуг ІКТ або процесів ІКТ, який здійснює самооцінювання відповідності, повинен бути здатним видавати та підписувати декларацію ЄС про відповідність як частину процедури оцінювання відповідності. Декларація ЄС про відповідність - це документ, у якому зазначається, що конкретний продукт ІКТ, послуга ІКТ або процес ІКТ відповідає вимогам європейської схеми сертифікації кібербезпеки. У разі оформлення та підписання декларації ЄС про відповідність виробник або надавач продуктів ІКТ, послуг ІКТ або процесів ІКТ повинен брати на себе відповідальність за відповідність продуктів ІКТ, послуг ІКТ або процесів ІКТ правовим вимогам європейської схеми сертифікації кібербезпеки. Копію декларації ЄС про відповідність вимогам необхідно надавати національним органам із сертифікації кібербезпеки та ENISA.
(82) Виробники або надавачі продуктів ІКТ, послуг ІКТ або процесів ІКТ повинні надавати доступ до декларації ЄС про відповідність, технічної документації та іншої відповідної інформації, що стосується відповідності продуктів ІКТ, послуг ІКТ або процесів ІКТ європейській схемі сертифікації кібербезпеки, компетентному національному органу з сертифікації кібербезпеки на період, визначений у відповідній європейській схемі сертифікації кібербезпеки. Технічна документація повинна визначати умови, що застосовуються згідно зі схемою, та повинна охоплювати проєктування, виробництво та експлуатацію продукту ІКТ, послуги ІКТ або процесу ІКТ мірою, якою це необхідно для самооцінювання відповідності. Технічна документація повинна бути складена в такий спосіб, щоб можливо було виконати оцінювання відповідності продукту ІКТ або послуги ІКТ вимогам, що застосовуються згідно з відповідною схемою.
(83) Управління європейськими рамками сертифікації кібербезпеки повинне передбачати залучення держав-членів та належне залучення заінтересованих сторін, а також визначати роль Комісії під час підготовки планів, пропозицій, запитів, проєктів та ухвалення чи перегляду європейських схем сертифікації кібербезпеки.
(84) За підтримки Європейської групи з сертифікації кібербезпеки (ECCG) та Групи стейкхолдерів з питань сертифікації кібербезпеки, а також після відкритих та широких консультацій Комісія повинна підготувати послідовну робочу програму Союзу щодо європейських схем сертифікації кібербезпеки, і опублікувати її у формі необов’язкового інструмента. Послідовна робоча програма Союзу повинна стати стратегічним документом, що дає змогу галузі, національним органам та органам зі стандартизації, зокрема, здійснювати підготовку майбутніх європейських схем сертифікації кібербезпеки заздалегідь. Послідовна робоча програма Союзу повинна включати багаторічний огляд запитів щодо проєктів схем, які комісія має намір подати до ENISA для підготовки на основі конкретних підстав. Комісія повинна враховувати послідовну робочу програму Союзу при підготовці свого Послідовного плану щодо стандартизації ІКТ та запитів на стандартизацію до європейських організацій стандартизації. У світлі швидкого запровадження та розгортання нових технологій, виникнення раніше невідомих ризиків кібербезпеки та законодавчого й ринкового розвитку Комісія або ECCG повинні мати повноваження звертатися до ENISA із запитами про підготовку проєктів схем, які не були включені до послідовної робочої програми Союзу. У таких випадках Комісія та ECCG повинні також оцінювати необхідність таких запитів, враховувати загальні цілі й мету цього Регламенту та потребу в забезпеченні безперервності планування та використання ресурсів ENISA.
Після отримання таких запитів ENISA повинне без невиправданої затримки готувати проєкти схем для конкретних продуктів ІКТ, послуг ІКТ та процесів ІКТ. Комісія повинна оцінювати позитивний та негативний вплив своїх запитів на відповідний сегмент ринку, особливо на МСП, у розрізі інновацій, перешкод для виходу на такий ринок та витрат для кінцевих користувачів. Комісію необхідно уповноважити на ухвалення європейських схем сертифікації кібербезпеки на основі проєктів схем, підготовлених ENISA, шляхом імплементаційних актів. Беручи до уваги загальну мету та безпекові цілі, передбачені в цьому Регламенті, ухвалена Комісією європейська схема сертифікації кібербезпеки повинна визначати мінімальний набір елементів, що стосуються предмету, сфери застосування та функціонування індивідуальної схеми. Серед іншого, такі елементи повинні включати сферу застосування та цілі сертифікації кібербезпеки, включно з категоріями охоплених продуктів ІКТ, послуг ІКТ та процесів ІКТ, детальну специфікацію вимог до кібербезпеки, наприклад, шляхом покликання на стандарти або технічні специфікації, специфічні критерії оцінювання та методи оцінювання, а також очікуваний рівень надійності ("базовий", "істотний" або "високий") та оцінювання рівнів, якщо доцільно. У ENISA повинна бути змога відхиляти запити від ECCG. Такі рішення ухвалює Правління; такі рішення повинні бути належним чином обґрунтовані.
(85) ENISA повинне вести вебсайт для надання інформації про європейські схеми сертифікації кібербезпеки та їх публікування, що серед іншого повинен містити запити на підготовку проєктів схем та відгуки, отримані в рамках консультацій, проведених ENISA на підготовчій фазі. Вебсайт повинен також містити інформацію про європейські сертифікати з кібербезпеки та декларації ЄС про відповідність, видані згідно з цим Регламентом, включно з інформацією стосовно відкликання й завершення дії європейських сертифікатів з кібербезпеки та декларацій ЄС про відповідність. На вебсайті повинні також вказуватися національні схеми сертифікації кібербезпеки, які замінено європейською схемою сертифікації кібербезпеки.
(86) Рівень надійності європейської схеми сертифікації кібербезпеки - це основа впевненості в тому, що продукт ІКТ, послуга ІКТ або процес ІКТ відповідає вимогам безпеки конкретної європейської схеми сертифікації кібербезпеки. Для забезпечення узгодженості європейських рамок сертифікації кібербезпеки, європейська схема сертифікації кібербезпеки повинна визначати рівні надійності європейських сертифікатів з кібербезпеки та декларацій ЄС про відповідність, виданих згідно за такою схемою. Кожен європейський сертифікат з кібербезпеки має стосуватися одного з рівнів надійності: "базового", "істотного" або "високого", а декларація ЄС про відповідність має стосуватися лише рівня надійності "базовий". Рівень надійності має бути відображенням суворості та глибини оцінювання продукту ІКТ, послуги ІКТ або процесу ІКТ, та повинен характеризуватися покликанням на технічні специфікації, стандарти та процедури стосовно нього, включно з процедурами технічного контролю, метою яких є пом’якшення або попередження інцидентів. У різних галузевих сферах, у яких застосовується сертифікація, кожен рівень надійності повинен бути послідовним.
(87) У європейській схемі сертифікації кібербезпеки може бути визначено декілька рівнів оцінювання, залежно від суворості та глибини використовуваних методів оцінювання. Рівні оцінювання повинні відповідати одному з рівнів надійності та повинні бути пов’язані з відповідною комбінацією компонентів надійності. Для всіх рівнів надійності продукти ІКТ, послуги ІКТ або процеси ІКТ повинні передбачати низку функцій безпеки, визначених конкретною схемою, що можуть включати: готову конфігурацію безпеки, підписаний код, безпечні оновлення, запобігання зловмисному використанню та захист вбудованого програмного забезпечення й динамічної пам’яті. Такі функції повинно бути розроблено, та їх повинні підтримувати з використанням орієнтованих на безпеку підходів до розробки та пов’язаних інструментів, щоб забезпечити надійне вбудування дієвих програмних та апаратних механізмів.
(88) Для рівня надійності "базовий" оцінювання повинне враховувати принаймні такі компоненти надійності: оцінювання повинне принаймні включати аналіз технічної документації продукту ІКТ, послуги ІКТ або процесу ІКТ органом з оцінювання відповідності. Якщо сертифікація охоплює процеси ІКТ, предметом технічного огляду також повинен бути процес, використаний для проєктування, розробки та обслуговування продукту ІКТ або послуги ІКТ. Якщо європейська схема сертифікації кібербезпеки передбачає самооцінювання відповідності, виробнику або надавачу продуктів ІКТ послуг ІКТ або процесів ІКТ повинно бути достатньо виконати самостійне оцінювання продукту ІКТ, послуги ІКТ або процесу ІКТ на відповідність схемі сертифікації.
(89) Для рівня надійності "істотний" оцінювання, на додаток до вимог для рівня надійності "базовий", повинне враховувати принаймні перевірку безпеки функціональних компонентів продукту ІКТ, послуги ІКТ або процесу ІКТ на відповідність технічній документації.
(90) Для рівня надійності "високий" оцінювання, на додаток до вимог для рівня надійності "істотний", повинне враховувати принаймні випробування ефективності, яке оцінює функціональні компоненти продукту ІКТ, послуги ІКТ або процесу ІКТ з точки зору опірності передовим кібератакам, які виконують суб’єкти зі значними вміннями та ресурсами.
(91) Використання європейської сертифікації кібербезпеки та декларацій ЄС про відповідність повинне залишатися добровільним, крім як у випадках, коли це передбачено актами права Союзу або актами права держав-членів, ухваленими на виконання актів права ЄС. За відсутності гармонізованого законодавства Союзу, держави-члени повинні мати змогу ухвалювати національні технічні регламенти з визначенням обов'язковості сертифікації згідно з європейською схемою сертифікації кібербезпеки відповідно до Директиви Європейського Парламенту і Ради (ЄС) 2015/1535 (- 20). Держави-члени також можуть використовувати європейську сертифікацію кібербезпеки в контексті публічних закупівель та Директиви Європейського Парламенту і Ради 2014/24/ЄС (- 21).
(92) У певних сферах може бути необхідним у майбутньому встановлювати специфічні вимоги до кібербезпеки та запроваджувати їх обов’язкову сертифікацію певних продуктів ІКТ, послуг ІКТ або процесів ІКТ, щоб підвищувати рівень кібербезпеки в Союзі. Комісія повинна здійснювати постійний моніторинг впливу ухвалених європейських схем сертифікації кібербезпеки у розрізі доступності безпечних продуктів ІКТ, послуг ІКТ та процесів ІКТ на внутрішньому ринку, та повинна здійснювати регулярне оцінювання рівня використання схем сертифікації виробниками або надавачами продуктів ІКТ, послуг ІКТ або процесів ІКТ. Повинна бути надана оцінка дієвості європейських схем сертифікації кібербезпеки та потреби в обов’язковості специфічних схем у світлі законодавства Союзу з кібербезпеки, зокрема Директиви (ЄС) 2016/1148 , беручи до уваги питання безпеки мережевих та інформаційних систем, що використовуються операторами основних послуг.
(93) Європейські сертифікати з кібербезпеки та декларації ЄС про відповідність повинні допомагати кінцевим користувачам робити поінформований вибір. Тому продукти ІКТ, послуги ІКТ та процеси ІКТ, які було сертифіковано чи на які було видано декларацію ЄС про відповідність, повинні супроводжуватися структурованою інформацією, адаптованою під очікуваний рівень технічних знань потенційного кінцевого користувача. Уся така інформація повинна бути доступна онлайн та у фізичній формі, якщо доцільно. Кінцевий користувач повинен мати доступ до інформації щодо реєстраційного номера схеми сертифікації, рівня надійності, опису ризиків кібербезпеки, пов'язаних з продуктом ІКТ, послугою ІКТ або процесом ІКТ, та органу чи організації, ким видано сертифікат, або мати змогу отримати копію європейського сертифіката з кібербезпеки. Крім того, кінцевого користувача повинно бути поінформовано про політику підтримки кібербезпеки, а точніше про те, як довго кінцевий користувач може розраховувати на отримання оновлень або латок кібербезпеки, від виробника або надавача продуктів ІКТ, послуг ІКТ або процесів ІКТ. За необхідності повинні бути надані вказівки про дії чи налаштування, з допомогою яких кінцевий користувач може встановити або підвищити рівень кібербезпеки продукту ІКТ або послуги ІКТ та вказано контактну інформацію місця, за яким можна звернутися або отримати підтримку в разі кібератак (на додаток до автоматичного надсилання звітів). Така інформація повинна підлягати регулярному оновленню та публікуватися на вебсайті разом з наданням інформації про європейські схеми сертифікації кібербезпеки.
(94) У світлі досягнення цілей цього Регламенту та уникнення фрагментації внутрішнього ринку, національні схеми або процедури сертифікації кібербезпеки для продуктів ІКТ, послуг ІКТ або процесів ІКТ, охоплених європейською схемою сертифікації кібербезпеки, повинні втратити дію з дати, встановленої Комісією за допомогою імплементаційних актів. Крім того, держави-члени не повинні вводити нових національних схем сертифікації кібербезпеки для продуктів ІКТ, послуг ІКТ та процесів ІКТ, які вже охоплені чинною європейською схемою сертифікації кібербезпеки. Однак, не потрібно обмежувати держави-члени в ухваленні або збереженні національних схем сертифікації кібербезпеки для потреб національної безпеки. Держави-члени повинні інформувати Комісію та ECCG про будь-які наміри створити нові національні схеми сертифікації кібербезпеки. Комісія та ECCG повинні оцінювати вплив нових національних схем сертифікації кібербезпеки на належне функціонування внутрішнього ринку та у світлі будь-яких стратегічних інтересів при запиті на ухвалення замість них європейської схеми сертифікації кібербезпеки.
(95) Європейські схеми сертифікації кібербезпеки покликані допомогти гармонізувати практики кібербезпеки у Союзі. Вони повинні сприяти підвищенню рівня кібербезпеки по всьому Союзу. При розробці європейських схем сертифікації кібербезпеки необхідно враховувати та передбачати розвиток інновацій у сфері кібербезпеки.
(96) схеми сертифікації кібербезпеки повинні враховувати поточні методи розробки програмного та апаратного забезпечення та, зокрема, вплив частого оновлення програмного забезпечення та оновлення мікропрограм на окремі європейські сертифікати з кібербезпеки. Європейські схеми сертифікації кібербезпеки повинні визначати умови, на яких у разі оновлення може вимагатися повторна сертифікація продукту ІКТ, послуги ІКТ чи процесу ІКТ або звуження сфери дії конкретного європейського сертифіката з кібербезпеки, беручи до уваги будь-який можливий негативний вплив оновлення на відповідність вимогам безпеки такого сертифіката.
(97) Після ухвалення європейської схеми сертифікації кібербезпеки виробники або надавачі продуктів ІКТ, послуг ІКТ або процесів ІКТ повинні мати змогу подавати заяви на сертифікацію своїх продуктів ІКТ, послуг ІКТ або процесів ІКТ до органу з оцінювання відповідності за їхнім вибором будь-де в Союзі. Органи з оцінювання відповідності повинні бути акредитовані національним органом з акредитації, якщо вони відповідають вимогам, визначеним у цьому Регламенті. Акредитацію необхідно надавати на максимальний строк у п’ять років, і повинна бути змога продовжити її на тих самих умовах, якщо орган з оцінювання відповідності продовжує відповідати вимогам. Національні органи з акредитації повинні обмежувати або призупиняти дію або відкликати акредитацію органу з оцінювання відповідності за умови недотримання умов акредитації або порушення органом з оцінювання відповідності положень цього Регламенту.
(98) Покликання у національному законодавстві на національні стандарти, які втратили чинність унаслідок набуття чинності європейською схемою сертифікації кібербезпеки, можуть бути джерелом плутанини. Тому держави-члени повинні відображати ухвалення європейської схеми сертифікації кібербезпеки у своєму національному законодавстві.
(99) Для досягнення еквівалентності стандартів по всьому Союзу, для сприяння взаємному визнанню та для просування загального прийняття європейських сертифікатів з кібербезпеки та декларацій ЄС про відповідність, необхідно запровадити систему партнерських перевірок між національними органами з сертифікації кібербезпеки. Партнерська перевірка повинна охоплювати процедури для нагляду за відповідністю продуктів ІКТ, послуг ІКТ та процесів ІКТ умовам видачі європейських сертифікатів з кібербезпеки, для моніторингу обов'язків виробників або надавачів продуктів ІКТ, послуг ІКТ чи процесів ІКТ які здійснюють самооцінювання відповідності, для моніторингу органів з оцінювання відповідності та відповідності експертних знань персоналу органів, що видають сертифікати рівня надійності "високий". У Комісії повинна бути змога шляхом ухвалення імплементаційних актів визначати принаймні п’ятирічний план партнерських перевірок та визначати критерії й методології для функціонування системи партнерських перевірок.
(100) Без обмеження системи партнерських перевірок у цілому, що повинна бути запроваджена серед усіх національних органів сертифікації кібербезпеки в європейських рамках сертифікації кібербезпеки, певні європейські схеми сертифікації кібербезпеки можуть включати механізм партнерського оцінювання для органів, що видають європейські сертифікати з кібербезпеки для продуктів ІКТ, послуг ІКТ та процесів ІКТ з рівнем надійності "високий" у рамках таких схем. ECCG має підтримувати впровадження таких механізмів партнерського оцінювання. Партнерські оцінювання повинні передбачати оцінювання ступеня гармонізації виконання своїх завдань відповідними органами, і вони можуть включати механізми оскарження. Результати партнерського оцінювання повинні оприлюднюватися. Відповідні органи можуть ухвалювати потрібні інструменти для адаптації своєї практики та експертних знань відповідним чином.
(101) Держави-члени повинні призначити один чи більше національних органів із сертифікації кібербезпеки для здійснення нагляду за дотриманням обов'язків, виниклих на підставі цього Регламенту. Національним органом із сертифікації кібербезпеки може бути як новостворений орган, так і вже наявний. Держава-член також повинна мати змогу призначати, після погодження з іншою державою-членом, один чи більше національних органів із сертифікації кібербезпеки на території такої іншої держави-члена.
(102) Національні органи з сертифікації кібербезпеки повинні, серед іншого, здійснювати моніторинг та забезпечувати дотримання обов'язків виробників чи надавачів продуктів ІКТ, послуг ІКТ або процесів ІКТ створених на їхній території, у розрізі декларації ЄС про відповідність, повинні надавати підтримку національним органам з акредитації у здійсненні моніторингу та нагляду за діяльністю органів з оцінювання відповідності шляхом надання їм експертних знань та відповідної інформації, повинні уповноважувати органи з оцінювання відповідності здійснювати свої завдання, якщо такі органи відповідають додатковим вимогам, визначеним у європейській схемі сертифікації кібербезпеки, та повинні здійснювати моніторинг відповідних змін у сфері сертифікації кібербезпеки. Національні органи з сертифікації кібербезпеки повинні також розглядати скарги, подані фізичними або юридичними особами, пов'язані з європейськими сертифікатами з кібербезпеки, виданими такими органами, або пов’язані з європейськими сертифікатами з кібербезпеки, виданими органами з оцінювання відповідності, якщо такі сертифікати підтверджують рівень надійності "високий", та повинні розслідувати предмет таких скарг у належній мірі й інформувати скаржника про хід і результат розслідування протягом розумного строку. Крім того, національні органи з сертифікації кібербезпеки повинні співпрацювати з іншими національними органами сертифікації кібербезпеки або іншими органами публічної влади, у тому числі шляхом поширення інформації щодо можливої невідповідності продуктів ІКТ, послуг ІКТ та процесів ІКТ вимогам цього Регламенту або вимогам конкретних європейських схем сертифікації кібербезпеки. Комісія повинна сприяти обміну інформацією шляхом запровадження загальної системи електронного обміну інформацією, наприклад, через Інформаційно-комунікаційну систему ринкового нагляду (ICSMS) та Систему швидкого сповіщення для небезпечних нехарчових продуктів (RAPEX), які вже використовуються органами ринкового нагляду відповідно до Регламенту (ЄС) № 765/2008.
(103) З метою забезпечення узгодженого використання європейських рамок сертифікації кібербезпеки, необхідно створити ECCG у складі з представників національних органів із сертифікації кібербезпеки. Основним завданням ECCG буде консультування та допомога Комісії у її роботи із забезпечення послідовного впровадження та використання європейських рамок сертифікації кібербезпеки, допомагати та тісно співпрацювати з ENISA у підготовці проєктів схем сертифікації кібербезпеки, у належним чином обґрунтованих випадках звертатися до ENISA із запитом про підготовку проєкту схеми, видавати висновки для ENISA щодо проєктів схем та видавати висновки для Комісії щодо підтвердження або перегляду наявних європейських схем сертифікації кібербезпеки. ECCG має сприяти обміну належними практиками та експертними знаннями між різними національними органами сертифікації кібербезпеки, відповідальними за авторизацію органів з оцінювання відповідності та видачу європейських сертифікатів з кібербезпеки.
(104) Для підвищення обізнаності та сприяння прийняттю майбутніх європейських схем сертифікації кібербезпеки, Комісія може видавати загальні або специфічні галузеві настанови з кібербезпеки, наприклад, щодо належних практик кібербезпеки або відповідальної поведінки у сфері кібербезпеки, з акцентом на позитивному впливі від використання сертифікованих продуктів ІКТ, послуг ІКТ та процесів ІКТ.
(105) Для подальшого сприяння торгівлі та визнання того, що ланцюги постачання ІКТ мають глобальну природу, на підставі статті 218 Договору про функціонування Європейського Союзу (ДФЄС) Союз може укладати угоди про взаємне визнання європейських сертифікатів з кібербезпеки. Беручи до уваги консультації з ENISA та Європейською групою з сертифікації кібербезпеки, Комісія може рекомендувати започаткування відповідних переговорів. Стосовно кожної європейської схеми сертифікації кібербезпеки повинно бути розроблено спеціальні умови стосовно угод про взаємне визнання з третіми країнами.
(106) Для забезпечення однакових умов імплементації цього Регламенту необхідно надати Комісії виконавчі повноваження. Такі повноваження мають здійснюватися відповідно до Регламенту Європейського Парламенту і Ради (ЄС) № 182/2011 (- 22).
(107) Для ухвалення імплементаційних актів щодо європейських схем сертифікації кібербезпеки для продуктів ІКТ, послуг ІКТ або процесів ІКТ, для ухвалення імплементаційних актів щодо механізмів стосовно запитів до ENISA, для ухвалення імплементаційних актів стосовно плану партнерських перевірок національних органів з сертифікації кібербезпеки та для ухвалення імплементаційних актів стосовно обставин, форматів та процедур для нотифікації Комісії національними органами з сертифікації кібербезпеки акредитованих органів з оцінювання відповідності повинна використовуватися експертна процедура.
(108) Діяльність ENISA повинна бути предметом регулярного та незалежного оцінювання. Таке оцінювання повинне стосуватися цілей, робочих практик та відповідності завдань ENISA, зокрема, завдань щодо операційної співпраці на рівні Союзу. Таке оцінювання повинне охоплювати також вплив, дієвість і ефективність європейських рамок сертифікації кібербезпеки. У разі перегляду, Комісія повинна оцінювати, наскільки роль ENISA як довідкового центру для консультацій та обміну експертними знаннями може бути посилена, а також Комісія повинна оцінювати потенціал розширення ролі ENISA стосовно оцінювання продуктів ІКТ, послуг ІКТ та процесів ІКТ третіх країн, які не відповідають правилам Союзу, при ввезенні таких продуктів, послуг та процесів до Союзу.
(109) Оскільки цілі цього Регламенту не можуть достатньою мірою бути досягнуті державами-членами, але їх можна, з огляду на його масштаб і наслідки, краще досягти на рівні Союзу, Союз може ухвалити інструменти згідно з принципом субсидіарності, як встановлено у статті 5 Договору про Європейський Союз (ДЄС). Згідно з принципом пропорційності, як визначено у зазначеній статті, цей Регламент не виходить за межі необхідного для досягнення таких цілей.
(110) Регламент (ЄС) № 526/2013 необхідно скасувати,
УХВАЛИЛИ ЦЕЙ РЕГЛАМЕНТ:
РОЗДІЛ I
ЗАГАЛЬНІ ПОЛОЖЕННЯ
Стаття 1. Предмет та сфера застосування
1. З метою забезпечення належного функціонування внутрішнього ринку з одночасним прагненням досягнути високого рівня кібербезпеки, кіберстійкості та довіри в межах Союзу, цей Регламент встановлює:
(a) цілі, завдання та організаційні питання, що стосуються ENISA (Агентства Європейського Союзу з питань мережевої та інформаційної безпеки); та
(b) рамки для створення європейських схем сертифікації кібербезпеки з метою забезпечення належного рівня кібербезпеки для продуктів ІКТ, послуг ІКТ та процесів ІКТ в Союзі, а також з метою уникнення фрагментації внутрішнього ринку стосовно схем сертифікації кібербезпеки в Союзі.
Рамки, зазначені в пункті (b) першого підпараграфа, застосовують без обмежень до спеціальних положень в інших правових актах Союзу, що стосуються добровільної або обов’язкової сертифікації.
2. Цей Регламент не обмежує компетенцій держав-членів щодо діяльності, пов’язаної з громадською безпекою, обороною, національної безпекою, та діяльності держави у сферах кримінального права.
Стаття 2. Терміни та означення
Для цілей цього Регламенту застосовують такі терміни та означення:
(1) "кібербезпека" означає діяльність, необхідну для захисту мережевих та інформаційних систем, користувачів таких систем та інших осіб, які зазнають впливу кіберзагроз;
(2) "мережева та інформаційна система" означає мережеву та інформаційну систему, як означено в пункті (1) статті 4 Директиви (ЄС) 2016/1148;
(3) "національна стратегія безпеки мережевих та інформаційних систем" означає національну стратегію безпеки мережевих та інформаційних систем, як означено в пункті (3) статті 4 Директиви (ЄС) 2016/1148;
(4) "оператор основних послуг" означає оператора основних послуг, як означено в пункті (4) статті 4 Директиви (ЄС) 2016/1148;
(5) "надавач цифрових послуг" означає надавача цифрових послуг, як означено в пункті (6) статті 4 Директиви (ЄС) 2016/1148;
(6) "інцидент" означає інцидент, як означено в пункті (7) статті 4 Директиви (ЄС) 2016/1148;
(7) "врегулювання інцидентів" означає врегулювання інцидентів, як означено в пункті (8) статті 4 Директиви (ЄС) 2016/1148;
(8) "кіберзагроза" означає будь-яку потенційну обставину, подію або дію, яка може пошкодити, порушити або інакше негативно вплинути на мережеві та інформаційні системи, користувачів таких систем та інших осіб;
(9) "європейська схема сертифікації кібербезпеки" означає комплексний набір правил, технічні вимоги, стандарти та процедури, які встановлені на рівні Союзу та які застосовують до сертифікації або оцінювання відповідності конкретних продуктів ІКТ, послуг ІКТ або процесів ІКТ;
(10) "національна схема сертифікації кібербезпеки" означає комплексний набір правил, технічні вимоги, стандарти та процедури, які розроблені та ухвалені національним органом публічної влади та які застосовують до сертифікації або оцінювання відповідності продуктів ІКТ, послуг ІКТ або процесів ІКТ в рамках конкретної схеми;
(11) "європейський сертифікат з кібербезпеки" означає документ, виданий відповідним органом, який підтверджує, що було проведено оцінювання певного продукту ІКТ, послуги ІКТ або процесу ІКТ на відповідність конкретним вимогам, встановленим у європейській схемі сертифікації кібербезпеки;
(12) "продукт ІКТ" означає елемент або групу елементів мережі або інформаційної системи;
(13) "послуга ІКТ" означає послугу, що головним або переважним чином полягає в передачі, зберіганні, отриманні або опрацюванні інформації за допомогою мережевих та інформаційних систем;
(14) "процес ІКТ" означає комплекс заходів, спрямованих на проєктування, розробку, надання або технічне обслуговування продукту ІКТ або послуги ІКТ;
(15) "акредитація" означає акредитацію, як означено в пункті (10) статті 2 Регламенту (ЄС) № 765/2008;
(16) "національний орган з акредитації" означає національний орган з акредитації, як означено в пункті (11) статті 2 Регламенту (ЄС) № 765/2008;
(17) "оцінювання відповідності" означає оцінювання відповідності, як означено в пункті (12) статті 2 Регламенту (ЄС) № 765/2008;
(18) "орган з оцінювання відповідності" означає орган з оцінювання відповідності, як означено в пункті (13) статті 2 Регламенту (ЄС) № 765/2008;
(19) "стандарт" означає стандарт, як означено в пункті (1) статті 2 Регламенту (ЄС) № 1025/2012;
(20) "технічні специфікації" означають документ, що встановлює технічні вимоги, яким повинні відповідати продукт ІКТ, послуга ІКТ або процес ІКТ, або процедури оцінювання відповідності стосовно продукту ІКТ, послуги ІКТ або процесу ІКТ;
(21) "рівень надійності" означає основу впевненості в тому, що продукт ІКТ, послуга ІКТ або процес ІКТ відповідає вимогам безпеки конкретної європейської схеми сертифікації кібербезпеки, вказує, на якому рівні відбулося оцінювання продукту ІКТ, послуги ІКТ або процесу ІКТ, але як такий не визначає рівень безпеки відповідного продукту ІКТ, послуги ІКТ або процесу ІКТ;
(22) "самооцінювання відповідності" означає дію, виконувану виробником або надавачем продуктів ІКТ, послуг ІКТ або процесів ІКТ, яка надає оцінку стосовно того, чи такі продукти ІКТ, послуги ІКТ або процеси ІКТ відповідають вимогам конкретної європейської схеми сертифікації кібербезпеки.
РОЗДІЛ II
(АГЕНТСТВО ЄВРОПЕЙСЬКОГО СОЮЗУ З ПИТАНЬ МЕРЕЖЕВОЇ ТА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ)
ГЛАВА I
Мандат та цілі
Стаття 3. Мандат
1. ENISA виконує завдання, покладені на нього відповідно до цього Регламенту, з метою досягнення високого загального рівня кібербезпеки на території Союзу, у тому числі шляхом надання активної підтримки державам-членам, установам, органам, офісам та агентствам Союзу в покращенні рівня кібербезпеки. ENISA слугує довідковим пунктом, що надає консультації та експертні знання стосовно кібербезпеки установам, органам, офісам та агентствам Союзу, а також іншим відповідних стейкхолдерам у Союзі.
ENISA сприяє зниженню рівня фрагментації внутрішнього ринку, виконуючи завдання, покладені на нього відповідно до цього Регламенту.
2. ENISA виконує завдання, покладені на нього відповідно до правових актів Союзу, які визначають заходи для наближення законів, підзаконних нормативно-правових актів та адміністративних положень держави-члена, пов’язаних із кібербезпекою.
3. Виконуючи ці завдання, ENISA діє незалежно, уникаючи дублювання діяльності держав-членів та враховуючи наявні експертні знання держав-членів.
4. ENISA розробляє власні ресурси, зокрема технічні та людські здібності та вміння, необхідні для виконання завдань, покладених на нього відповідно до цього Регламенту.
Стаття 4. Цілі
1. ENISA є центром експертних знань з кібербезпеки завдяки своїй незалежності, науковій та технічній якості наданих консультацій, допомоги та інформації, прозорості своїх оперативних процедур, методів роботи та сумлінного виконання своїх завдань.
2. ENISA надає допомогу установам, органам, офісам та агентствам Союзу, а також державам-членам у розробленні та імплементації політики Союзу з питань кібербезпеки, у тому числі галузевої політики з кібербезпеки.
3. ENISA підтримує розбудову потенціалу та готовність на території Союзу шляхом надання допомоги установам, органам, офісам та агентствам Союзу, а також державам-членам та публічним і приватним стейкхолдерам для посилення захисту їхніх мережевих та інформаційних систем, розробки та посилення кіберстійкості та можливості реагування, а також для розвитку вмінь і навичок у сфері кібербезпеки.
4. ENISA сприяє співпраці, у тому числі обміну інформацією та координації на рівні Союзу, серед держав-членів, установ, органів, офісів та агентств Союзу та відповідних приватних і публічних стейкхолдерів у питаннях кібербезпеки.
5. ENISA сприяє розширенню можливостей у сфері кібербезпеки на рівні Союзу, щоб підтримати заходи держав-членів для запобігання кіберзагрозам та реагування на них, зокрема у випадку транскордонних інцидентів.
6. ENISA сприяє використанню європейської схеми сертифікації кібербезпеки з метою уникнення фрагментації внутрішнього ринку. ENISA сприяє впровадженню та технічному обслуговуванню європейських рамок сертифікації кібербезпеки відповідно до розділу III цього Регламенту з метою посилення прозорості кібербезпеки продуктів ІКТ, послуг ІКТ, процесів ІКТ, внаслідок чого відбуватиметься посилення рівня впевненості в цифровому внутрішньому ринку та його конкурентоспроможності.
7. ENISA сприяє досягненню високого рівня обізнаності в питаннях кібербезпеки, у тому числі кібергігієни та кіберграмотності, серед громадян, організацій та підприємств.
ГЛАВА II
Завдання
Стаття 5. Розробка та імплементація політики та законодавства Союзу
ENISA сприяє розробці та імплементації політики та законодавства Союзу шляхом:
(1) надання допомоги та консультацій стосовно розробки й перегляду політики та законодавства Союзу у сфері кібербезпеки та галузевої політики й законодавчих ініціатив, якщо це пов’язано з питанням кібербезпеки, зокрема шляхом надання незалежного висновку та аналізу, а також проведення підготовчої роботи;
(2) надання допомоги державам-членам у послідовній імплементації політики та законодавства Союзу з питань кібербезпеки, зокрема стосовно Директиви (ЄС) 2016/1148 , у тому числі шляхом надання висновків, настанов та найкращих практик з таких питань як управління ризиками, звітування про інциденти та обмін інформацією, а також шляхом сприяння обміну найкращими практиками в цьому питанні між компетентними органами;
(3) надання допомоги державам-членам, а також установам, органам, офісам та агентствам Союзу в розробленні та сприянні впровадженню політик у сфері кібербезпеки, що стосуються підтримання загальної доступності або цілісності публічного ядра відкритого інтернету;
(4) сприяння роботі групи співпраці відповідно до статті 11 Директиви (ЄС) 2016/1148, із наданням своїх експертних знань та допомоги;
(5) підтримки:
(a) у розробленні та імплементації політики Союзу у сфері електронної ідентифікації та довірчих послуг, зокрема шляхом надання консультацій та видання технічних настанов, а також сприяння обміну найкращими практиками між компетентними органами;
(b) у сприянні підвищенню рівня безпеки електронних комунікацій, у тому числі шляхом надання консультацій та експертних знань, а також сприяння обміну найкращими практиками між компетентними органами;
(c) держав-членів в імплементації конкретних аспектів політики та законодавства Союзу про захист даних і приватності, що стосуються кібербезпеки, у тому числі шляхом надання консультацій Європейській раді із захисту даних за її запитом;
(6) підтримання регулярного перегляду діяльності в рамках політики Союзу, шляхом підготовки щорічного звіту щодо стану імплементації відповідних правових рамок стосовно:
(a) інформації щодо оповіщення про інциденти в державах-членах, надані єдиними контактними пунктами групі співпраці відповідно до статті 10(3) Директиви (ЄС) 2016/1148;
(b) резюме оповіщень про порушення безпеки або втрату цілісності, отриманих від надавачів довірчих послуг та наданих ENISA наглядовими органами відповідно до статті 19(3) Регламенту (ЄС) № 910/2014 Європейського Парламенту і Ради (- 23);
(c) оповіщень про інциденти безпеки, переданих провайдерами громадських електронних комунікаційних мереж, або про доступні для громадськості електронні комунікаційні послуги, надані ENISA компетентними органами відповідно до статті 40 Директиви (ЄС) 2018/1972.
Стаття 6. Розбудова потенціалу
1. ENISA надає допомогу:
(a) державам-членам у їхніх зусиллях щодо покращення рівня запобігання кібератакам та інцидентам, їх виявлення, аналізу та спроможності реагувати на них, шляхом забезпечення їх досвідом та експертними знаннями;
(b) державам-членам та установам, органам, офісам та агентствам Союзу в створенні та імплементації політики розкриття вразливостей на добровільній основі;
(c) установам, органам, офісам та агентствам Союзу у їхніх зусиллях щодо покращення рівня запобігання кібератакам та інцидентам, їх виявлення та аналізу, а також щодо покращення їх спроможності реагувати на них, зокрема шляхом надання належної підтримки CERT-EU;
(d) державам-членам у розробленні національних CSIRT на запит відповідно до статті 9(5) Директиви (ЄС) 2016/1148;
(e) державам-членам у розробленні національних стратегій щодо безпеки мережевих та інформаційних систем на запит відповідно до статті 7(2) Директиви (ЄС) 2016/1148, сприяє поширенню таких стратегій та відзначає прогрес у їх імплементації на території Союзу для просування найкращих практик;
(f) установам Союзу в розробленні та перегляді стратегій Союзу з питань кібербезпеки, сприянні їх поширенню та відстеженні прогресу в їх імплементації;
(g) національним CSIRT та CSIRT Союзу в підвищенні рівня їх спроможностей, у тому числі шляхом сприяння діалогу та обміну інформацією, щоб гарантувати, що з урахуванням сучасного рівня науково-технічного розвитку кожна CSIRT має загальний набір спроможностей та діє відповідно до найкращих практик;
(h) державам-членам шляхом організації регулярних навчань з кібербезпеки на рівні Союзу, зазначених у статті 7(5), принаймні двічі на рік, та надання рекомендацій стосовно політики на основі процесу оцінювання навчань та вивченого під час них матеріалу;
(i) відповідним органам публічної влади, запропонувавши їм навчання з кібербезпеки, у відповідних випадках у співпраці зі стейкхолдерами;
(j) групі співпраці в процесі обміну найкращими практиками, зокрема стосовно ідентифікації державами-членами операторів основних послуг, відповідно до пункту (l) статті 11 (3) Директиви (ЄС) 2016/1148, у тому числі стосовно транскордонних залежностей, що стосуються ризиків та інцидентів.
2. ENISA сприяє обміну інформацією всередині галузей та між ними, зокрема в галузях, перерахованих у додатку II до Директиви (ЄС) 2016/1148 , із наданням найкращих практик та настанов щодо наявних інструментів, процедур, а також щодо того, як вирішувати регулятивні питання стосовно обміну інформацією.
Стаття 7. Оперативна співпраця на рівні Союзу
1. ENISA сприяє оперативній співпраці серед держав-членів, установ, органів, офісів та агентств Союзу та між стейкхолдерами.
2. ENISA співпрацює на оперативному рівні та створює синергії з установами, органами, офісами та агентствами Союзу, у тому числі CERT-EU, зі службами, які займаються кіберзлочинами, та з наглядовими органами, які займаються захистом приватності та персональних даних, з метою вирішення питань спільного інтересу, у тому числі шляхом:
(a) обміну ноу-хау та найкращими практиками;
(b) надання консультацій та настанов щодо відповідних питань з кібербезпеки;
(c) вжиття практичних заходів для виконання конкретних завдань після консультацій з Комісією.
3. ENISA створює секретаріат мережі CSIRT відповідно до статті 12(2) Директиви (ЄС) 2016/1148 та в такій ролі активно сприяє обміну інформацією та співпраці між його членами.
4. ENISA надає допомогу державам-членам щодо оперативної співпраці в рамках мережі CSIRT шляхом:
(a) консультування щодо посилення спроможностей із запобігання інцидентам, їх виявлення та реагування на них, консультацій щодо окремих кіберзагроз за запитом однієї або більше держав-членів;
(b) надання допомоги на запит однієї або більше держав-членів в оцінюванні інцидентів, які мають значний вплив, із забезпеченням експертними знаннями та зі сприянням технічному врегулюванню таких інцидентів, зокрема зі сприянням добровільному обміну відповідною інформацією та технічними рішеннями між державами-членами;
(c) аналізування вразливості та інцидентів на основі доступної для громадськості інформації або інформації, наданої добровільно державою-членом з цією метою; та
(d) надання підтримки з питань технічних запитів ex-post на запит однієї або більше держав-членів стосовно інцидентів, які мають значний вплив у розумінні Директиви (ЄС) 2016/1148 .
При виконанні цих завдань ENISA та CERT-EU структуровано співпрацюють, щоб отримати користь від синергій та уникнути дублювання заходів.
5. ENISA регулярно організовує навчання з кібербезпеки на рівні Союзу та надає підтримку державам-членам, установам, органам, офісам та агентствам Союзу в організації навчань з кібербезпеки на їхні запити. Такі навчання з кібербезпеки на рівні Союзу можуть містити технічні, оперативні або стратегічні елементи. Двічі на рік ENISA організовує великомасштабні комплексні навчання.
У відповідних випадках ENISA також сприяє та допомагає в організації галузевих навчань з кібербезпеки разом із відповідними організаціями, які також беруть участь у навчаннях з кібербезпеки на рівні Союзу.
6. У тісній співпраці з державами-членами ENISA регулярно готує детальний технічний звіт ЄС про стан кібербезпеки стосовно інцидентів та кібератак на основі доступної для громадськості інформації, власного аналізу та звітів, наданих, серед іншого, командами CSIRT держав-членів або єдиними контактними пунктами, створеними відповідно до Директиви (ЄС) 2016/1148 , в обох випадках на добровільній основі, ЕС3 та CERT-EU.
7. ENISA сприяє розробленню спільного реагування на великомасштабні транскордонні інциденти або кризи, пов’язані з кібербезпекою, на рівні Союзу та на рівні держав-членів переважно шляхом:
(a) збирання та аналізування звітів від національних джерел, які доступні громадськості або поширення яких відбувається на добровільній основі, щоб посприяти досягненню загальної ситуаційної обізнаності;
(b) забезпечення ефективного потоку інформації та надання механізмів передачі вирішення проблем на вищий рівень між мережею CSIRT та технічними й політичними суб’єктами, відповідальними за вироблення й ухвалення рішень, на рівні Союзу;
(c) сприяння технічному врегулюванню таких інцидентів або криз на запит, зокрема сприяючи добровільному обміну технічними рішеннями між державами-членами;
(d) надання підтримки установам, органам, офісам та агентствам Союзу та державам-членам у комунікації з громадськістю стосовно таких інцидентів або криз на їхній запит;
(e) тестування планів співпраці в реагуванні на такі інциденти або кризи на рівні Союзу та шляхом надання допомоги державам-членам у тестуванні таких планів на національному рівні на їхній запит.
Стаття 8. Ринок, сертифікація кібербезпеки та стандартизація
1. ENISA сприяє та надає допомогу в розробленні та імплементації політики Союзу з сертифікації кібербезпеки продуктів ІКТ, послуг ІКТ та процесів ІКТ, як визначено в розділі III цього Регламенту, шляхом:
(a) постійного моніторингу розвитку у відповідних сферах стандартизації та рекомендування відповідних технічних специфікацій для використання в розробці європейських схем сертифікації кібербезпеки відповідно до пункту (c) статті 54(1) у разі відсутності стандартів;
(b) підготовки проєктів європейських схем сертифікації кібербезпеки ("проєкти схем") для продуктів ІКТ, послуг ІКТ та процесів ІКТ відповідно до статті 49;
(c) оцінювання ухвалених європейських схем сертифікації кібербезпеки відповідно до статті 49(8);
(d) участі в партнерських перевірках відповідно до статті 59(4);
(e) надання допомоги Комісії в створенні секретаріату ECCG відповідно до статті 62(5).
2. ENISA створює секретаріат Групи стейкхолдерів із питань сертифікації кібербезпеки відповідно до статті 22(4).
3. ENISA складає та оприлюднює настанови та розробляє належні практики з питань вимог з кібербезпеки до продуктів ІКТ, послуг ІКТ та процесів ІКТ у співпраці з національними органами з сертифікації кібербезпеки та галуззю в офіційному, структурованому та прозорому порядку.
4. ENISA сприяє розбудові потенціалу відносно процесів оцінювання та сертифікації шляхом складання та оприлюднення настанов, а також шляхом надання підтримки державам-членам за їхнім запитом.
5. ENISA сприяє створенню та широкому використанню європейських та міжнародних стандартів управління ризиками та безпеки продуктів ІКТ, послуг ІКТ та процесів ІКТ.
6. У співпраці з державами-членами та галуззю ENISA складає рекомендації та настанови стосовно технічних сфер, пов’язаних із вимогами безпеки до операторів основних послуг та надавачів цифрових послуг, а також стосовно вже наявних стандартів, у тому числі національних стандартів держав-членів, відповідно до статті 19(2) Директиви (ЄС) 2016/1148.
7. ENISA аналізує та поширює висновки стосовно головних тенденцій на ринку кібербезпеки як щодо попиту, так і щодо пропозиції, для сприяння розвитку ринку кібербезпеки в Союзі.
Стаття 9. Знання та інформація
ENISA:
(a) аналізує новітні технології та проводить тематичні оцінювання очікуваного соціального, правового, економічного та регуляторного впливу технологічних інновацій на кібербезпеку;
(b) виконує довгостроковий стратегічний аналіз кіберзагроз та інцидентів, щоб виявляти новітні тенденції та сприяти запобіганню інцидентів;
(c) у співпраці з експертами органів держав-членів та відповідними стейкхолдерами надає рекомендації, настанови та найкращі практики для безпеки мережевих та інформаційних систем, зокрема для безпеки інфраструктур, що підтримують сектори, перелічені в додатку II до Директиви (ЄС) 2016/1148, та тих, які використовують надавачі цифрових послуг, перелічені в додатку III до зазначеної Директиви ;
(d) за допомогою спеціального порталу збирає, організовує та оприлюднює інформацію щодо кібербезпеки, надану установами, органами, офісами та агентствами Союзу, та інформацію щодо кібербезпеки, надану на добровільній основі державами-членами та приватними й публічними стейкхолдерами;
(e) збирає та аналізує доступну для громадськості інформацію стосовно значних інцидентів та складає звіти з метою надання настанов громадянам, організаціям та підприємствам на території Союзу.
Стаття 10. Підвищення рівня обізнаності та освіта