(EU) 2019/881Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) (Text s významem pro EHP)

Publikováno:	Úř. věst. L 151, 7.6.2019, s. 15-69	Druh předpisu:	Nařízení
Přijato:	17. dubna 2019	Autor předpisu:	Evropský parlament; Rada Evropské unie
Platnost od:	27. června 2019	Nabývá účinnosti:	27. června 2019
Platnost předpisu:	Ano	Pozbývá platnosti:

Konsolidované znění předpisu s účinností od 4. února 2025

Text aktualizovaného znění s celou hlavičkou je dostupný pouze pro registrované uživatele.

Tento dokument slouží výhradně k informačním účelům a nemá žádný právní účinek. Orgány a instituce Evropské unie nenesou za jeho obsah žádnou odpovědnost. Závazná znění příslušných právních předpisů, včetně jejich právních východisek a odůvodnění, jsou zveřejněna v Úředním věstníku Evropské unie a jsou k dispozici v databázi EUR-Lex. Tato úřední znění jsou přímo dostupná přes odkazy uvedené v tomto dokumentu

►B

▼C1

NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2024/90015

ze dne 17. dubna 2019

o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“)

(Text s významem pro EHP)

▼B

(Úř. věst. L 151 7.6.2019, s. 15)

Ve znění:

		Úřední věstník
		Č.	Strana	Datum
►M1	NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2025/37 ze dne 19. prosince 2024,	L 37	1	15.1.2025

Opraveno:

►C1	Oprava, Úř. věst. L 90015, 12.1.2024, s. 1 ((EU) 2019/881)

▼B

▼C1

NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2024/90015

ze dne 17. dubna 2019

(Text s významem pro EHP)

HLAVA I

OBECNÁ USTANOVENÍ

Článek 1

Předmět a oblast působnosti

Za účelem zajištění řádného fungování vnitřního trhu a současně s cílem dosáhnout v rámci Unie vysoké úrovně kybernetické bezpečnosti, kybernetické odolnosti a důvěry toto nařízení stanoví:

cíle, úkoly a organizační aspekty agentury ENISA – (Agentury Evropské unie pro kybernetickou bezpečnost); a

▼M1

rámec pro zavedení evropských schémat certifikace kybernetické bezpečnosti, jehož účelem je zajistit odpovídající úroveň kybernetické bezpečnosti produktů, služeb a procesů IKT a řízených bezpečnostních služeb v Unii a zabránit roztříštění vnitřního trhu, pokud jde o schémata certifikace kybernetické bezpečnosti v Unii.

▼C1

Rámec uvedený v prvním pododstavci písm. b) se použije, aniž jsou dotčena zvláštní ustanovení v jiných právních aktech Unie týkající se dobrovolné nebo povinné certifikace.

Tímto nařízením nejsou dotčeny pravomoci členských států ohledně činností týkajících se veřejné bezpečnosti, obrany, národní bezpečnosti ani činnosti státu v oblastech trestního práva.

Článek 2

Definice

Pro účely tohoto nařízení se rozumí:

„kybernetickou bezpečností“ činnosti nezbytné k ochraně sítí a informačních systémů, jejich uživatelů a dalších osob dotčených kybernetickými hrozbami;

„sítí a informačním systémem“ síť a informační systém ve smyslu čl. 4 bodu 1 směrnice (EU) 2016/1148;

„národní strategií pro bezpečnost sítí a informačních systémů“ národní strategie pro bezpečnost sítí a informačních systémů ve smyslu v čl. 4 bodu 3 směrnice (EU) 2016/1148;

„provozovatelem základních služeb“ provozovatel základních služeb ve smyslu čl. 4 bodu 4 směrnice (EU) 2016/1148;

„poskytovatelem digitálních služeb“ poskytovatel digitálních služeb ve smyslu čl. 4 bodu 6 směrnice (EU) 2016/1148;

„incidentem“ incident ve smyslu čl. 4 bodu 7 směrnice (EU) 2016/1148;

„řešením incidentu“ řešení incidentu ve smyslu čl. 4 bodu 8 směrnice (EU) 2016/1148;

„kybernetickou hrozbou“ jakákoliv potenciální okolnost, událost nebo čin, které mohou poškodit, narušit nebo jinak nepříznivě ovlivnit sítě a informační systémy, jejich uživatele a další osoby;

▼M1

„evropským schématem certifikace kybernetické bezpečnosti“ komplexní soubor pravidel, technických požadavků, norem a postupů, které jsou stanoveny na úrovni Unie a které se uplatňují na certifikaci nebo posuzování shody určitých produktů, služeb a procesů IKT nebo řízených bezpečnostních služeb;

10)

„vnitrostátním schématem certifikace kybernetické bezpečnosti“ komplexní soubor pravidel, technických požadavků, norem a postupů, které vyvinuly a přijaly vnitrostátní veřejné orgány, a které se uplatňují na certifikaci nebo na posuzování shody produktů, služeb a procesů IKT nebo řízených bezpečnostních služeb spadajících do oblasti působnosti konkrétního schématu;

11)

„evropským certifikátem kybernetické bezpečnosti“ dokument vydaný příslušným orgánem a osvědčující, že byl hodnocen soulad daného produktu, služby nebo procesu IKT nebo řízené bezpečnostní služby s konkrétními bezpečnostními požadavky stanovenými v evropském schématu certifikace kybernetické bezpečnosti;

▼C1

12)

„produktem IKT“ prvek nebo skupina prvků sítě nebo informačního systému;

13)

„službou IKT“ služba spočívající plně nebo převážně v přenosu, ukládání, získávání či zpracovávání informací prostřednictvím sítí a informačních systémů;

14)

„procesem IKT“ soubor činností prováděných za účelem navrhování, vývoje, poskytování nebo údržby produktů nebo služeb IKT;

▼M1

14a)

„řízenou bezpečnostní službou“ služba poskytovaná třetí straně spočívající v provádění činností souvisejících s řízením kybernetických bezpečnostních rizik nebo v poskytování pomoci při takových činnostech, jako je řešení incidentů, penetrační testování, bezpečnostní audity a konzultační činnost, včetně odborného poradenství, které souvisí s technickou podporou;

▼C1

15)

„akreditací“ akreditace ve smyslu čl. 2 bodu 10 nařízení (ES) č. 765/2008;

16)

„vnitrostátním akreditačním orgánem“ vnitrostátní akreditační orgán ve smyslu čl. 2 bodu 11 nařízení (ES) č. 765/2008;

17)

„posuzováním shody“ posuzování shody ve smyslu čl. 2 bodu 12 nařízení (ES) č. 765/2008;

18)

„subjektem posuzování shody“ subjekt posuzování shody ve smyslu čl. 2 bodu 13 nařízení (ES) č. 765/2008;

19)

„normou“ norma ve smyslu čl. 2 bodu 1 nařízení (EU) č. 1025/2012;

▼M1

20)

„technickou specifikací“ dokument, který předepisuje technické požadavky, které má produkt, služba nebo proces IKT nebo řízená bezpečnostní služba splňovat, nebo postup posuzování shody produktu, služby nebo procesu IKT nebo řízené bezpečnostní služby;

21)

„úrovní záruky“ podklad pro důvěru, že produkt, služba nebo proces IKT nebo řízená bezpečnostní služba splňuje bezpečnostní požadavky konkrétního evropského schématu certifikace kybernetické bezpečnosti, přičemž uvádí, na jakou úroveň bylo hodnocení produktu, služby nebo procesu IKT nebo řízená bezpečnostní služba provedeno, avšak jako taková neměří bezpečnost dotčeného produktu, služby nebo procesu IKT nebo řízené bezpečnostní služby;

22)

„vlastním posuzováním shody“ úkon prováděný výrobcem nebo poskytovatelem produktů, služeb, procesů IKT nebo řízených bezpečnostních služeb, jímž se vyhodnocuje, zda tyto produkty, služby nebo procesy IKT nebo řízené bezpečnostní služby splňují požadavky konkrétního evropského schématu certifikace kybernetické bezpečnosti.

▼C1

HLAVA II

ENISA (AGENTURA EVROPSKÉ UNIE PRO KYBERNETICKOU BEZPEČNOST)

KAPITOLA I

Mandát a cíle

Článek 3

Mandát

Agentura ENISA plní úkoly, které jsou jí uloženy tímto nařízením za účelem dosažení vysoké společné úrovně kybernetické bezpečnosti v celé Unii, a to i aktivní podporou členských států, orgánů, institucí a jiných subjektů Unie, pokud jde o zlepšování kybernetické bezpečnosti. Agentura ENISA funguje jako referenční bod pro poradenství a odborné znalosti v oblasti kybernetické bezpečnosti pro orgány, instituce a jiné subjekty Unie, jakož i jiné zúčastněné strany Unie.

Agentura ENISA přispívá plněním úkolů, které jsou jí uloženy tímto nařízením, ke snížení roztříštěnosti vnitřního trhu.

Agentura ENISA plní úkoly, které jsou jí uloženy právními akty Unie, jež stanoví opatření pro sbližování právních a správních předpisů členských států týkajících se kybernetické bezpečnosti.

Agentura ENISA při plnění svých úkolů postupuje nezávisle, současně však předchází zdvojování činností členských států a zohledňuje již nabyté odborné znalosti členských států.

Agentura ENISA rozvíjí vlastní zdroje, včetně technických a lidských schopností a dovedností, které jsou nezbytné k plnění úkolů, které jsou jí uloženy tímto nařízením.

Článek 4

Cíle

Agentura ENISA je odborným střediskem pro kybernetickou bezpečnost vzhledem ke své nezávislosti, vědecké a technické kvalitě poradenství a pomoci, které poskytuje, a informací, které šíří, transparentnosti svých operativních postupů a metod práce a náležité péči při plnění svých úkolů.

Agentura ENISA je nápomocna orgánům, institucím a jiným subjektům Unie, jakož i členským státům při vypracovávání a provádění politik Unie týkajících se kybernetické bezpečnosti, včetně odvětvových politik týkajících se kybernetické bezpečnosti.

Agentura ENISA podporuje budování a připravenost kapacit v celé Unii tím, že pomáhá orgánům, institucím a jiným subjektům Unie, jakož i členským státům a zúčastněným stranám z veřejného a soukromého sektoru zvyšovat ochranu jejich sítí a informačních systémů, rozvíjet a zlepšovat schopnosti kybernetické odolnosti a reakce a rozvíjet schopnosti a odbornost v oblasti kybernetické bezpečnosti.

Agentura ENISA podporuje spolupráci, včetně sdílení informací a koordinace na úrovni Unie mezi členskými státy, orgány, institucemi a jinými subjekty Unie a příslušnými zúčastněnými stranami ze soukromého i veřejného sektoru v záležitostech týkajících se kybernetické bezpečnosti.

Agentura ENISA přispívá ke zvyšování schopností v oblasti kybernetické bezpečnosti na úrovni Unie s cílem podporovat opatření členských států v oblasti předcházení kybernetickým hrozbám a reakce na ně, zejména v případě přeshraničních incidentů.

▼M1

Agentura ENISA prosazuje využívání evropské certifikace kybernetické bezpečnosti, aby se zabránilo roztříštění vnitřního trhu. S cílem zvýšit transparentnost kybernetické bezpečnosti produktů, služeb a procesů IKT a řízených bezpečnostních služeb, a posílit tak důvěru v digitální vnitřní trh a jeho konkurenceschopnost, přispívá agentura ENISA k zavedení a správě evropského rámce pro certifikaci kybernetické bezpečnosti v souladu s hlavou III tohoto nařízení.

▼C1

Agentura ENISA prosazuje vysokou úroveň informovanosti o kybernetické bezpečnosti, včetně kybernetické hygieny a počítačové gramotnosti mezi občany, organizacemi a podniky.

KAPITOLA II

Úkoly

Článek 5

Tvorba a provádění politiky a práva Unie

Agentura ENISA přispívá k tvorbě a provádění politiky a práva Unie tím, že:

je nápomocna a poskytuje poradenství ohledně tvorby a přezkumu politiky a práva Unie v oblasti kybernetické bezpečnosti, jakož i ohledně odvětvových politik a iniciativ v oblasti práva, pokud se tyto politiky a iniciativy týkají záležitostí souvisejících s kybernetickou bezpečností, a to zejména poskytováním svých nezávislých stanovisek a analýz a zajišťováním přípravných činností;

je nápomocna členským státům při jednotném uplatňování politiky a práva Unie v oblasti kybernetické bezpečnosti, zejména pokud jde o směrnici (EU) 2016/1148, mimo jiné vydáváním stanovisek a pokynů a poskytováním poradenství a osvědčených postupů týkajících se témat jako řízení rizik, hlášení incidentů a sdílení informací, jakož i usnadňováním výměny souvisejících osvědčených postupů mezi příslušnými orgány;

je nápomocna členským státům a orgánům, institucím a jiným subjektům Unie při tvorbě a prosazování politik kybernetické bezpečnosti v souvislosti se zachováním obecné dostupnosti nebo integrity veřejného jádra otevřeného internetu;

přispívá k činnosti skupiny pro spolupráci podle článku 11 směrnice (EU) 2016/1148 poskytováním svých odborných poznatků a pomoci;

podporuje:

tvorbu a provádění politiky Unie v oblasti elektronické identity a služeb vytvářejících důvěru, zejména poskytováním poradenství a vydáváním technických pokynů, jakož i usnadňováním výměny osvědčených postupů mezi příslušnými orgány;

prosazování vyšší úrovně bezpečnosti elektronických komunikací, mimo jiné poskytováním poradenství a odborných znalostí, jakož i usnadňováním výměny osvědčených postupů mezi příslušnými orgány;

členské státy při provádění konkrétních aspektů kybernetické bezpečnosti v rámci politiky a práva Unie ve vztahu k ochraně údajů a soukromí a to též poskytováním poradenství Evropskému sboru pro ochranu osobních údajů na jeho žádost;

podporuje pravidelný přezkum činností v oblasti politiky Unie tím, že vypracovává výroční zprávu o stavu provádění příslušného právního rámce, pokud jde o:

informace o hlášení členských států o incidentech, poskytnuté jednotnými kontaktními místy skupině pro spolupráci podle čl. 10 odst. 3 směrnice (EU) 2016/1148;

shrnutí oznámení o narušení bezpečnosti nebo ztrátě integrity obdržených od poskytovatelů služeb vytvářejících důvěru, které agentuře ENISA poskytly orgány dohledu podle čl. 19 odst. 3 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ( 1 );

oznámení o bezpečnostních incidentech předaných poskytovateli veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací, které agentuře ENISA poskytly příslušné orgány podle článku 40 směrnice (EU) 2018/1972.

Článek 6

Budování kapacit

Agentura ENISA je nápomocna:

členským státům v jejich úsilí zdokonalovat prevenci, odhalování a analýzu kybernetických hrozeb a incidentů a schopnost na ně reagovat, a to tím, že jim poskytuje poznatky a odborné znalosti;

členským státům a orgánům, institucím a jiným subjektům Unie při dobrovolném vytváření a provádění politik zveřejňování zranitelností;

orgánům, institucím a jiným subjektům Unie v jejich úsilí zdokonalovat prevenci, odhalování a analýzu kybernetických hrozeb a incidentů a schopnost na tyto hrozby a incidenty reagovat, zejména tím, že poskytuje odpovídající podporu týmu CERT-EU;

členským státům na jejich žádost při budování vnitrostátních týmů CSIRT podle čl. 9 odst. 5 směrnice (EU) 2016/1148;

členským státům na jejich žádost při vypracovávání národních strategií pro bezpečnost sítí a informačních systémů podle čl. 7 odst. 2 směrnice (EU) 2016/1148 a za účelem prosazování osvědčených postupů podporuje šíření těchto strategií a bere na vědomí pokrok při jejich provádění v Unii;

orgánům Unie při tvorbě a přezkumu strategií Unie týkajících se kybernetické bezpečnosti tím, že podporuje jejich šíření a sleduje pokrok při jejich provádění;

vnitrostátním a unijním týmům CSIRT při zvyšování úrovně jejich schopností, mimo jiné podporou dialogu a výměnou informací za účelem zajištění toho, aby s ohledem na aktuální stav každý tým CSIRT vykazoval společný soubor minimálních schopností a pracoval v souladu s osvědčenými postupy;

členským státům tím, že pravidelně a alespoň jednou za dva roky organizuje cvičení v oblasti kybernetické bezpečnosti na úrovni EU podle čl. 7 odst. 5 a na základě hodnocení těchto cvičení a poznatků z těchto cvičení předkládá politická doporučení;

příslušným veřejným orgánům tím, že jim nabízí školení v oblasti kybernetické bezpečnosti, a to případně ve spolupráci se zúčastněnými stranami;

skupině pro spolupráci tím, že podle čl. 11 odst. 3 písm. l) směrnice (EU) 2016/1148 zajišťuje výměnu osvědčených postupů pro určování provozovatelů základních služeb členskými státy, a to rovněž ve vztahu k přeshraničním vazbám, souvisejících s riziky a incidenty.

Agentura ENISA podporuje sdílení informací v rámci jednotlivých odvětví a napříč odvětvími, zejména pak v odvětvích uvedených v příloze II směrnice (EU) 2016/1148, poskytováním osvědčených postupů a vydáváním pokynů k dostupným nástrojům a postupům, jakož i k řešení regulačních otázek týkajících se sdílení informací.

Článek 7

Operativní spolupráce na úrovni Unie

Agentura ENISA podporuje operativní spolupráci mezi členskými státy, orgány, institucemi a jinými subjekty Unie, jakož i mezi zúčastněnými stranami.

Agentura ENISA na operativní úrovni spolupracuje a vytváří synergie s orgány, institucemi a jinými subjekty Unie, včetně týmu CERT-EU, s útvary zabývajícími se kyberkriminalitou a s orgány dozoru zabývajícími se ochranou soukromí a osobních údajů, s cílem řešit otázky společného zájmu, včetně:

výměny know-how a osvědčených postupů;

poskytování poradenství a vydávání pokynů týkajících se příslušných otázek souvisejících s kybernetickou bezpečnostní;

zavádění praktických ujednání pro výkon konkrétních úkolů, po konzultaci s Komisí.

Agentura ENISA zajišťuje služby sekretariátu sítě CSIRT podle čl. 12 odst. 2 směrnice (EU) 2016/1148 a v této funkci aktivně podporuje sdílení informací a spolupráci mezi jejími členy.

Agentura ENISA podporuje členské státy v operativní spolupráci v rámci sítě CSIRT tím, že:

poskytuje poradenství, jak zlepšit jejich schopnosti předcházet a odhalovat incidenty a reagovat na ně a na žádost jednoho nebo více členských států poskytuje poradenství v souvislosti s konkrétní kybernetickou hrozbou;

pomáhá na žádost jednoho nebo více členských států při posuzování incidentů, které mají závažný nebo významný dopad, a to poskytováním odborných znalostí a usnadňováním technického zpracování těchto incidentů, zejména prostřednictvím podpory dobrovolného sdílení příslušných informací a technických řešení mezi členskými státy;

analyzuje zranitelnosti a incidenty na základě veřejně dostupných informací nebo informací poskytnutých dobrovolně za tímto účelem členskými státy; a

na žádost jednoho nebo více členských států poskytuje podporu ve vztahu k následným technickým šetřením incidentů, které mají závažný či významný dopad ve smyslu směrnice (EU) 2016/1148.

Při provádění těchto úkolů se agentura ENISA a tým CERT-EU zapojí do strukturované spolupráce, aby využily synergií a zamezily zdvojování činností.

Agentura ENISA pravidelně organizuje cvičení v oblasti kybernetické bezpečnosti na úrovni Unie a při organizování těchto cvičení podporuje členské státy a orgány, instituce a jiné subjekty EU, pokud o to požádají. Tato cvičení v oblasti kybernetické bezpečnosti na úrovni Unie mohou zahrnovat technické, operativní či strategické prvky. Každé dva roky agentura ENISA uspořádá rozsáhlé komplexní cvičení.

Agentura ENISA případně rovněž přispívá spolu s příslušnými organizacemi, které se rovněž účastní cvičení v oblasti kybernetické bezpečnosti na úrovni Unie, k odvětvovým cvičením v oblasti kybernetické bezpečnosti a pomáhá je organizovat.

Agentura ENISA v úzké spolupráci s členskými státy vypracovává pravidelnou podrobnou technickou situační zprávu EU v oblasti kybernetické bezpečnosti týkající se incidentů a kybernetických hrozeb na základě veřejně dostupných informací, vlastní analýzy a zpráv, které s ní dobrovolně sdílejí mimo jiné týmy CSIRT členských států nebo jednotná kontaktní místa určená podle směrnice (EU) 2016/1148 nebo které jí poskytly Evropské centrum pro boj proti kyberkriminalitě (EC3) při Europolu a tým CERT-EU.

Agentura ENISA přispívá k vytváření koordinované reakce na úrovni Unie a členských států na rozsáhlé přeshraniční incidenty nebo krize související s kybernetickou bezpečností, a to především tím, že:

shromažďuje a analyzuje zprávy z vnitrostátních zdrojů, jež jsou veřejně přístupné nebo dobrovolně sdílené, aby přispěla k vytvoření společného povědomí o situaci;

zajišťuje efektivní tok informací a poskytování eskalačních mechanismů mezi sítí CSIRT a subjekty přijímajícími technická a politická rozhodnutí na úrovni Unie;

na žádost usnadňuje technické zpracování incidentů nebo krizí, zejména podporou dobrovolného sdílení technických řešení mezi členskými státy;

podporuje orgány, instituce a jiné subjekty Unie a na žádost i členské státy v komunikaci s veřejností ohledně těchto incidentů nebo krizí;

testuje plány spolupráce pro reakci na tyto incidenty nebo krize na úrovni Unie a na žádost podporuje členské státy v testování těchto plánů na vnitrostátní úrovni.

Článek 8

Trh, certifikace kybernetické bezpečnosti a normalizace

▼M1

Agentura ENISA podporuje a prosazuje tvorbu a provádění politiky Unie v oblasti certifikace kybernetické bezpečnosti produktů, služeb a procesů IKT a řízených bezpečnostních služeb, jak je stanoveno v hlavě III tohoto nařízení, tím, že:

▼C1

průběžně monitoruje vývoj v příslušných oblastech normalizace a doporučuje vhodné technické specifikace k použití při vypracovávání evropských schémat certifikace kybernetické bezpečnosti podle čl. 54 odst. 1 písm. c) v případech, kdy normy nejsou k dispozici;

▼M1

vypracovává návrhy evropských schémat certifikace kybernetické bezpečnosti (dále jen „návrhy schémat“) pro produkty, služby a procesy IKT a řízené bezpečnostní služby v souladu s článkem 49;

▼C1

vyhodnocuje přijatá evropská schémata certifikace kybernetické bezpečnosti v souladu s čl. 49 odst. 8.

se účastní vzájemných hodnocení podle čl. 59 odst. 4;

je nápomocna Komisi při zajišťování služeb sekretariátu pro Evropskou skupinu pro certifikaci kybernetické bezpečnosti podle čl. 62 odst. 5.

Agentura ENISA zajišťuje služby sekretariátu pro Skupinu zúčastněných stran pro certifikaci kybernetické bezpečnosti podle čl. 22 odst. 4.

▼M1

Agentura ENISA ve spolupráci s vnitrostátními orgány certifikace kybernetické bezpečnosti a průmyslovým odvětvím oficiálním, strukturovaným a transparentním způsobem sestavuje a zveřejňuje pokyny a vypracovává osvědčené postupy týkající se požadavků na kybernetickou bezpečnost produktů, služeb a procesů IKT a řízených bezpečnostních služeb.

▼C1

Agentura ENISA přispívá k budování kapacit souvisejících s hodnotícími a certifikačními procesy tím, že sestavuje a vydává pokyny a poskytuje členským státům na jejich žádost podporu.

▼M1

Agentura ENISA usnadňuje stanovení a zavádění evropských a mezinárodních norem pro řízení rizik a pro bezpečnost produktů, služeb a procesů IKT a řízených bezpečnostních služeb.

▼C1

Agentura ENISA ve spolupráci s členskými státy a průmyslovým odvětvím vydává podle čl. 19 odst. 2 směrnice (EU) 2016/1148 doporučení a pokyny týkající se technických oblastí souvisejících s bezpečnostními požadavky pro provozovatele základních služeb a poskytovatele digitálních služeb, jakož i již existujících norem, včetně vnitrostátních norem členských států.

Agentura ENISA s cílem podpořit trh kybernetické bezpečnosti v Unii provádí pravidelné analýzy hlavních trendů na trhu kybernetické bezpečnosti, a to jak na straně poptávky, tak na straně nabídky, a šíří výsledky těchto analýz.

Článek 9

Poznatky a informace

Agentura ENISA:

provádí analýzy nově vznikajících technologií a poskytuje tematicky zaměřená posouzení očekávaných společenských, právních, hospodářských a regulačních dopadů technologických inovací na kybernetickou bezpečnost;

provádí dlouhodobé strategické analýzy kybernetických hrozeb a incidentů za účelem odhalení nových trendů a pomoci při předcházení incidentům;

ve spolupráci s odborníky z orgánů členských států a zúčastněných stran poskytuje poradenství, pokyny a osvědčené postupy týkající se bezpečnosti sítí a informačních systémů, zejména infrastruktur podporujících odvětví uvedená v příloze II směrnice (EU) 2016/1148, a takových, které používají poskytovatelé digitálních služeb uvedených v příloze III zmíněné směrnice;

prostřednictvím specializovaného portálu shromažďuje, uspořádává a zpřístupňuje veřejnosti informace o kybernetické bezpečnosti poskytnuté orgány, institucemi a jinými subjekty Unie a dobrovolně poskytnuté členskými státy a zúčastněnými stranami z veřejného i soukromého sektoru;

shromažďuje a analyzuje veřejně dostupné informace o významných incidentech a sestavuje zprávy s cílem poskytnout pokyny občanům, organizacím a podnikům v celé Unii.

Článek 10

Zvyšování informovanosti a vzdělávání

Agentura ENISA:

zvyšuje informovanost veřejnosti ohledně kybernetických bezpečnostních rizik a poskytuje pokyny týkající se osvědčených postupů pro jednotlivé uživatele zaměřené na občany, organizace a podniky, včetně kybernetické hygieny a počítačové gramotnosti;

ve spolupráci s členskými státy, orgány, institucemi a jinými subjekty Unie a průmyslovým odvětvím organizuje pravidelné informační kampaně za účelem zvýšení kybernetické bezpečnosti a jejího zviditelnění v Unii a podněcuje veřejnou rozpravu;

pomáhá členským státům v jejich úsilí o zvyšování informovanosti o kybernetické bezpečnosti a prosazování vzdělávání v oblasti kybernetické bezpečnosti;

podporuje užší koordinaci a výměnu osvědčených postupů mezi členskými státy v souvislosti s informovaností a vzděláváním v oblasti kybernetické bezpečnosti.

Článek 11

Výzkum a inovace

Ve vztahu k výzkumu a inovacím agentura ENISA:

poskytuje orgánům, institucím a jiným subjektům Unie a členským státům poradenství ohledně potřeb a priorit výzkumu v oblasti kybernetické bezpečnosti s cílem umožnit účinnou reakci na současná a nově vznikající rizika a kybernetické hrozby, a to i pokud jde o nové a nově vznikající informační a komunikační technologie, a efektivně využívat technologie pro prevenci rizik;

pokud jí Komise svěřila příslušné pravomoci, účastní se prováděcí fáze programů financování výzkumu a inovací, nebo je jejich příjemcem.

přispívá ke strategickému programu pro výzkum a inovace na úrovni Unie v oblasti kybernetické bezpečnosti.

Článek 12

Mezinárodní spolupráce

Agentura ENISA přispívá k úsilí Unie zaměřenému na spolupráci se třetími zeměmi a mezinárodními organizacemi, jakož i v příslušných rámcích mezinárodní spolupráce, v zájmu prosazení mezinárodní spolupráce v otázkách týkajících se kybernetické bezpečnosti tím, že:

se případně angažuje jako pozorovatel při organizování mezinárodních cvičení, provádí analýzu jejich výsledků a předkládá o nich zprávu správní radě;

na žádost Komise usnadňuje výměnu osvědčených postupů;

na žádost Komise jí poskytuje odborné znalosti;

poskytuje Komisi poradenství a podporu v otázkách týkajících se dohod se třetími zeměmi o vzájemném uznávání certifikátů kybernetické bezpečnosti, a to ve spolupráci s Evropskou skupinou pro certifikaci kybernetické bezpečnosti zřízenou podle článku 62.

KAPITOLA III

Organizace agentury ENISA

Článek 13

Struktura agentury ENISA

Správní a řídicí strukturu agentury ENISA tvoří:

správní rada;

výkonná rada;

výkonný ředitel;

poradní skupina agentury ENISA;

síť národních styčných úředníků.

Oddíl 1

Správní rada

Článek 14

Složení správní rady

Správní rada se skládá z jednoho člena jmenovaného každým členským státem a dvou členů jmenovaných Komisí. Všichni členové mají hlasovací právo.

Každý člen správní rady má náhradníka. Náhradník zastupuje daného člena v jeho nepřítomnosti.

Členové správní rady a jejich náhradníci jsou jmenováni na základě svých znalostí problematiky kybernetické bezpečnosti a s ohledem na své dovednosti v oblasti řízení, správy a rozpočtu. Komise a členské státy usilují o to, aby se omezila fluktuace jejich zástupců ve správní radě, a zajistila se tak kontinuita práce správní rady. Komise a členské státy usilují o dosažení genderové vyváženosti ve správní radě.

Funkční období členů správní rady a jejich náhradníků je čtyři roky. Toto období lze prodloužit.

Článek 15

Funkce správní rady

Správní rada:

stanoví obecné směry činnosti agentury ENISA a zajišťuje, aby agentura ENISA působila v souladu s pravidly a zásadami stanovenými v tomto nařízení; rovněž zajišťuje, aby práce agentury ENISA byla v souladu s činnostmi členských států a na úrovni Unie;

přijímá návrh jednotného programového dokumentu agentury ENISA podle článku 24 před jeho předložením Komisi k vyjádření stanoviska;

s ohledem na stanovisko Komise přijímá jednotný programový dokument agentury ENISA;

dohlíží na provádění víceletých a ročních programů obsažených v jednotném programovém dokumentu;

přijímá roční rozpočet agentury ENISA a vykonává další funkce ve vztahu k rozpočtu agentury ENISA podle kapitoly IV;

posuzuje a přijímá souhrnnou výroční zprávu o činnosti agentury ENISA obsahující účetní výkaz a popis toho, jak agentura ENISA naplnila své ukazatele výkonnosti, do 1. července následujícího roku zprávu a její posouzení zasílá Evropskému parlamentu, Radě, Komisi a Účetnímu dvoru, a výroční zprávu zveřejňuje;

přijímá finanční pravidla použitelná na agenturu ENISA v souladu s článkem 32;

přijímá strategii proti podvodům, která je úměrná rizikům podvodu s ohledem na analýzy nákladů a přínosů opatření, jež mají být provedena;

přijímá pravidla pro předcházení střetům zájmů u svých členů a řešení těchto střetů;

zajišťuje náležitá opatření v návaznosti na zjištění a doporučení vyplývající z vyšetřování Evropského úřadu pro boj proti podvodům (OLAF) a z různých interních či externích auditních zpráv a hodnocení;

přijímá svůj jednací řád včetně pravidel pro prozatímní rozhodnutí o přenesení pravomocí k provádění zvláštních úkolů podle čl. 19 odst. 7;

v souladu s odstavcem 2 tohoto článku vykonává ve vztahu k zaměstnancům agentury ENISA pravomoci, které služební řád úředníků a pracovní řád ostatních zaměstnanců Evropské unie, jak jsou stanoveny v nařízení Rady (EHS, Euratom, ESUO) č. 259/68 ( 2 ), svěřují orgánu oprávněnému ke jmenování a orgánu oprávněnému uzavírat pracovní smlouvy (dále jen „pravomoci orgánu oprávněného ke jmenování“);

přijímá prováděcí pravidla ke služebnímu řádu úředníků a pracovnímu řádu ostatních zaměstnanců v souladu s postupem podle článku 110 služebního řádu úředníků;

jmenuje výkonného ředitele a případně prodlužuje jeho funkční období nebo jej odvolává z funkce v souladu s článkem 36;

jmenuje účetního, který může být účetním Komise a který je při plnění svých povinností naprosto nezávislý;

přijímá veškerá rozhodnutí o zřízení vnitřních struktur agentury ENISA a o jejich nezbytných změnách s ohledem na potřeby činností agentury ENISA a na řádné rozpočtové řízení;

povoluje zavádění pracovní ujednání, pokud jde o článek 7;

povoluje zavádění nebo uzavírání pracovních ujednání v souladu s článkem 42.

Správní rada přijme v souladu s článkem 110 služebního řádu úředníků rozhodnutí na základě čl. 2 odst. 1 služebního řádu úředníků a článku 6 pracovního řádu ostatních zaměstnanců, kterým přenese příslušné pravomoci orgánu oprávněného ke jmenování na výkonného ředitele a kterým stanoví podmínky, za nichž může být toto přenesení pravomocí pozastaveno. Výkonný ředitel může přenést tyto pravomoci na další osoby.

Vyžadují-li to výjimečné okolnosti, může správní rada přijmout rozhodnutí o dočasném pozastavení přenesení pravomocí orgánu oprávněného ke jmenování na výkonného ředitele a jakýchkoli takových pravomocí jím přenesených na další osoby a vykonávat je sama nebo je přenést na jednoho ze svých členů nebo na zaměstnance, který zároveň není výkonným ředitelem.

Článek 16

Předseda správní rady

Správní rada si dvoutřetinovou většinou hlasů svých členů zvolí z řad svých členů předsedu a místopředsedu. Jejich funkční období je čtyři roky a lze je jednou prodloužit. Pokud však v průběhu jejich funkčního období jejich členství ve správní radě skončí, zanikne týmž dnem automaticky i jejich funkce předsedy či místopředsedy. Nemůže-li předseda vykonávat své povinnosti, zaujme jeho místo z moci úřední místopředseda.

Článek 17

Zasedání správní rady

Zasedání správní rady svolává její předseda.

Řádná zasedání správní rady se konají alespoň dvakrát za rok. Z podnětu předsedy, z podnětu Komise nebo na žádost nejméně jedné třetiny členů správní rady se konají rovněž její mimořádná zasedání.

Zasedání správní rady se účastní výkonný ředitel, avšak nemá hlasovací právo.

Zasedání správní rady se na pozvání předsedy mohou účastnit členové poradní skupiny agentury ENISA, avšak nemají hlasovací právo.

Členům správní rady a jejich náhradníkům mohou být s výhradou pravidel stanovených jednacím řádem na zasedáních správní rady nápomocni poradci nebo odborníci.

Služby sekretariátu pro správní radu zajišťuje agentura ENISA.

Článek 18

Pravidla hlasování ve správní radě

Správní rada přijímá rozhodnutí většinou hlasů svých členů.

Pro přijetí jednotného programového dokumentu a ročního rozpočtu a pro jmenování, prodloužení funkčního období nebo odvolání výkonného ředitele je nutná dvoutřetinová většina hlasů členů správní rady.

Každý člen má jeden hlas. V nepřítomnosti člena je k výkonu jeho hlasovacího práva oprávněn jeho náhradník.

Předseda správní rady se hlasování účastní.

Výkonný ředitel se hlasování neúčastní.

Jednací řád správní rady stanoví podrobnější pravidla hlasování, zejména podmínky, za nichž může člen zastupovat jiného člena.

Oddíl 2

Výkonná rada

Článek 19

Výkonná rada

Správní radě je nápomocna výkonná rada.

Výkonná rada:

připravuje rozhodnutí přijímaná správní radou;

společně se správní radou zajišťuje vhodná následná opatření na základě zjištění a doporučení vyplývající z vyšetřování OLAF a z různých interních či externích auditních zpráv a hodnocení;

aniž jsou dotčeny povinnosti výkonného ředitele stanovené v článku 20, je nápomocna výkonnému řediteli a radí mu, pokud jde o provádění rozhodnutí správní rady v administrativních a rozpočtových záležitostech podle článku 20.

Výkonná rada se skládá z pěti členů. Členové výkonné rady jsou jmenování z řad členů správní rady. Jedním z členů je předseda správní rady, který smí předsedat i výkonné radě, a dalším je jeden ze zástupců Komise. Při jmenováních členů výkonné rady se usiluje zajištění genderové vyváženosti. Výkonný ředitel se účastní zasedání výkonné rady, avšak nemá hlasovací právo.

Funkční období členů výkonné rady je čtyři roky. Toto období lze prodloužit.

Zasedání výkonné rady se koná alespoň jednou za tři měsíce. Předseda výkonné rady svolává další zasedání na žádost členů této rady.

Správní rada stanoví jednací řád výkonné rady.

Je-li to z naléhavých důvodů nezbytné, může výkonná rada přijímat některá prozatímní rozhodnutí jménem správní rady, zejména ve věcech správního řízení, včetně pozastavení přenesení pravomocí orgánu oprávněného ke jmenování, a v rozpočtových záležitostech. Taková prozatímní rozhodnutí se bez zbytečného prodlení oznámí správní radě. Správní rada prozatímní rozhodnutí schválí, nebo zamítne do tří měsíců od přijetí daného rozhodnutí. Výkonná rada nepřijme jménem správní rady žádná rozhodnutí, která vyžadují schválení dvoutřetinovou většinou hlasů členů správní rady.

Oddíl 3

Výkonný ředitel

Článek 20

Povinnosti výkonného ředitele

Agenturu ENISA řídí výkonný ředitel, který je při výkonu svých povinností nezávislý. Výkonný ředitel se zodpovídá správní radě.

Výkonný ředitel předkládá Evropskému parlamentu na jeho výzvu zprávu o plnění svých povinností. Rada může výkonného ředitele vyzvat, aby o plnění svých povinností předložil zprávu.

Výkonný ředitel je odpovědný za:

běžnou správu agentury ENISA;

provádění rozhodnutí přijatých správní radou;

vypracování návrhu jednotného programového dokumentu a jeho předložení správní radě ke schválení před jeho předložením Komisi;

provádění jednotného programového dokumentu a podávání zpráv o jeho provádění správní radě;

vypracování souhrnné výroční zprávy o činnosti agentury ENISA, včetně provádění jejího ročního pracovního programu, a předložení této zprávy správní radě k posouzení a přijetí;

vypracování akčního plánu v návaznosti na závěry zpětných hodnocení a zprávy o pokroku, kterou předkládá každé dva roky Komisi;

vypracování akčního plánu v návaznosti na závěry zpráv o interním nebo externím auditu, jakož i na vyšetřování OLAF, a předložení zprávy o pokroku Komisi dvakrát ročně a pravidelně správní radě;

vypracování návrhu finančních pravidel použitelných na agenturu ENISA podle článku 32;

vypracování návrhu odhadu příjmů a výdajů agentury ENISA a za plnění jejího rozpočtu;

ochranu finančních zájmů Unie uplatňováním preventivních opatření proti podvodům, korupci a jakýmkoli jiným protiprávním jednáním, účinnými kontrolami a zpětným získáním nesprávně vyplacených částek v případech, kdy jsou zjištěny nesrovnalosti, a případně účinnými, přiměřenými a odrazujícími správními a finančními sankcemi;

vypracování strategie agentury ENISA pro boj proti podvodům a její předložení správní radě ke schválení;

rozvíjení a udržování styků s podnikatelským sektorem a organizacemi spotřebitelů pro zajištění pravidelného dialogu s příslušnými zúčastněnými stranami;

pravidelnou výměnu názorů a informací s orgány, institucemi a jinými subjekty Unie o jejich činnosti týkající se kybernetické bezpečnosti, aby byla zajištěna soudržnost při vývoji a provádění politiky Unie;

provádění jiných úkolů, které jsou výkonnému řediteli uloženy tímto nařízením.

Výkonný ředitel může v případě potřeby a v souladu s cíli a úkoly agentury ENISA zřizovat ad hoc pracovní skupiny složené z odborníků, mimo jiné z odborníků příslušných orgánů členských států. Výkonný ředitel o tom v předstihu informuje správní radu. Postupy týkající se zejména složení pracovních skupin, jmenování odborníků pracovních skupin výkonným ředitelem a činnosti pracovních skupin jsou stanoveny ve vnitřních organizačních předpisech agentury ENISA.

Je-li to nezbytné, může výkonný ředitel za účelem účinného a efektivního plnění úkolů agentury ENISA a na základě náležité analýzy nákladů a přínosů rozhodnout o zřízení jednoho nebo více místních úřadů v jednom nebo více členských státech. Před rozhodnutím o zřízení místního úřadu si výkonný ředitel vyžádá stanovisko dotčených členských států, včetně členského státu, v němž se nachází sídlo agentury ENISA, a získá předchozí souhlas Komise a správní rady. Nedojde-li během konzultačního procesu mezi výkonným ředitelem a dotčenými členskými státy ke shodě, předá se věc k projednání Radě. Celkový počet zaměstnanců ve všech místních úřadech musí být omezen na minimum a nepřekročí 40 % celkového počtu zaměstnanců agentury ENISA umístěných v členském státě, v němž se nachází její sídlo. Počet zaměstnanců v každém místním úřadu nepřekročí 10 % celkového počtu zaměstnanců agentury ENISA umístěných v členském státě, v němž se nachází její sídlo.

Rozhodnutí o zřízení místního úřadu určí rozsah činností, jež mají být v daném místním úřadu prováděny, způsobem, který zabrání zbytečným nákladům a zdvojování správních funkcí agentury ENISA.

Oddíl 4

Poradní skupina agentury enisa, skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti a síť národních styčných úředníků

Článek 21

Poradní skupina agentury ENISA

Správní rada na návrh výkonného ředitele zřídí transparentním způsobem poradní skupinu agentury ENISA složenou z uznávaných odborníků zastupujících příslušné zúčastněné strany, jako jsou odvětví informačních a komunikačních technologií, poskytovatelé veřejně dostupných sítí nebo služeb elektronických komunikací, malé a střední podniky, provozovatelé základních služeb, organizace spotřebitelů, akademičtí odborníci v oblasti kybernetické bezpečnosti a zástupci příslušných orgánů oznámených v souladu se směrnicí (EU) 2018/1972, evropských normalizačních organizací, jakož i donucovacích orgánů a orgánů dozoru pro ochranu údajů. Správní rada usiluje o zajištění patřičné genderové a zeměpisné vyváženosti a o zajištění vyváženého zastoupení různých skupin zúčastněných stran.

Postupy týkající se poradní skupiny agentury ENISA, zejména jejího složení, návrhu výkonného ředitele podle odstavce 1, počtu a jmenování jejích členů a činnosti poradní skupiny agentury ENISA jsou stanoveny ve vnitřních organizačních předpisech agentury ENISA a jsou zveřejňovány.

Poradní skupině agentury ENISA předsedá výkonný ředitel nebo osoba, kterou výkonný ředitel pro danou záležitost určí.

Funkční období členů poradní skupiny agentury ENISA je dva a půl roku. Členy poradní skupiny agentury ENISA nesmějí být členové správní rady. Odborníci z řad Komise a členských států jsou oprávněni účastnit se zasedání a podílet se na činnosti poradní skupiny agentury ENISA. K účasti na zasedáních a na činnosti poradní skupiny agentury ENISA mohou být přizváni zástupci dalších subjektů, kteří nejsou členy poradní skupiny agentury ENISA a jejichž účast považuje výkonný ředitel za důležitou.

Poradní skupina agentury ENISA poskytuje agentuře ENISA poradenství ohledně plnění jejích úkolů, s výjimkou případů, kdy se použijí ustanovení hlavy III tohoto nařízení. Poskytuje poradenství zejména výkonnému řediteli při vypracovávání návrhu ročního pracovního programu agentury ENISA a při zajišťování komunikace s příslušnými zúčastněnými stranami v otázkách souvisejících s ročním pracovním programem.

Poradní skupina agentury ENISA o své činnosti pravidelně informuje správní radu.

Článek 22

Skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti

Zřizuje se Skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti.

Členové Skupiny zúčastněných stran pro certifikaci kybernetické bezpečnosti jsou vybráni z řad uznávaných odborníků zastupujících příslušné zúčastněné strany. Tyto členy vybírá Komise na návrh agentury ENISA prostřednictvím transparentní a otevřené výzvy, přičemž zajišťuje vyvážené zastoupení různých skupin zúčastněných stran a patřičnou genderovou a zeměpisnou vyváženost.

Skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti:

poskytuje poradenství Komisi ohledně strategických otázek souvisejících s evropským rámcem pro certifikaci kybernetické bezpečnosti;

na požádání poskytuje poradenství agentuře ENISA ohledně obecných i strategických záležitostí souvisejících s úkoly agentury ENISA v oblasti trhu, certifikace kybernetické bezpečnosti a normalizace;

je nápomocna Komisi při přípravě průběžného pracovního programu Unie podle článku 47;

vydává stanovisko k průběžnému pracovnímu programu Unie v souladu s čl. 47 odst. 4; a

v naléhavých případech poskytuje poradenství Komisi a Evropské skupině pro certifikaci kybernetické bezpečnosti ohledně potřeby dodatečných schémat certifikace mimo rámec průběžného pracovního programu Unie, jak je uvedeno v článcích 47 a 48.

Skupině zúčastněných stran pro certifikaci kybernetické bezpečnosti předsedají společně zástupci Komise a agentury ENISA a její sekretariát zajišťuje agentura ENISA.

Článek 23

Síť národních styčných úředníků

Správní rada zřídí na návrh výkonného ředitele síť národních styčných úředníků složenou ze zástupců všech členských států (národních styčných úředníků). Každý členský stát jmenuje do sítě národních styčných úředníků jednoho zástupce. Zasedání sítě národních styčných úředníků se mohou konat v různých odborných formátech.

Síť národních styčných úředníků zejména usnadňuje výměnu informací mezi agenturou ENISA a členskými státy a podporuje agenturu ENISA v šíření činností, zjištění a doporučení příslušným zúčastněným stranám v celé Unii.

Národní styční úředníci působí jako kontaktní místa na vnitrostátní úrovni s cílem usnadnit spolupráci mezi agenturou ENISA a národními odborníky v rámci provádění ročního pracovního programu agentury ENISA.

Národní styční úředníci úzce spolupracují se zástupcem svého členského státu ve správní radě, avšak samotná síť národních styčných úředníků nesmí zdvojovat práci správní rady ani jiného fóra Unie.

Funkce a postupy sítě národních styčných úředníků se stanoví ve vnitřních organizačních předpisech agentury ENISA a zveřejní se.

Oddíl 5

Činnost

Článek 24

Jednotný programový dokument

Agentura ENISA vykonává svou činnost v souladu s jednotným programovým dokumentem obsahujícím její roční a víceletý program, které obsahují všechny plánované aktivity.

Výkonný ředitel každý rok vypracuje návrh jednotného programového dokumentu, který obsahuje roční a víceletý program spolu s odpovídajícím plánem finančních a lidských zdrojů v souladu s článkem 32 nařízení Komise v přenesené pravomoci (EU) č. 1271/2013 ( 3 ), přičemž zohlední pokyny stanovené Komisí.

Jednotný programový dokument uvedený v odstavci 1 přijme správní rada do 30. listopadu každého roku a předá jej Evropskému parlamentu, Radě a Komisi do 31. ledna následujícího roku; to se týká i všech pozdějších aktualizovaných verzí tohoto dokumentu.

Jednotný programový dokument nabývá konečné podoby po přijetí souhrnného rozpočtu Unie s konečnou platností a podle potřeby se upraví.

Roční pracovní program obsahuje podrobné cíle a očekávané výsledky včetně ukazatelů výkonnosti. Obsahuje rovněž popis opatření, která mají být financována, a stanovení finančních a lidských zdrojů, které jsou na jednotlivá opatření přiděleny, v souladu se zásadami sestavování rozpočtu a řízení podle činností. Roční pracovní program musí být v souladu s víceletým pracovním programem uvedeným v odstavci 7. Je v něm jasně uvedeno, jaké úkoly byly ve srovnání s předchozím rozpočtovým rokem přidány, změněny nebo zrušeny.

Je-li agentuře ENISA uložen nový úkol, správní rada přijatý roční pracovní program změní. Každá podstatná změna ročního pracovního programu se přijme stejným postupem jako původní roční pracovní program. Správní rada může přenést pravomoc k provádění nepodstatných změn ročního pracovního programu na výkonného ředitele.

Víceletý pracovní program stanoví celkový strategický plán včetně cílů, očekávaných výsledků a ukazatelů výkonnosti. Stanoví rovněž plán zdrojů včetně víceletého rozpočtu a zaměstnanců.

Plán zdrojů je každoročně aktualizován. Strategický plán je aktualizován podle potřeby, a zejména je-li nutno zohlednit výsledek hodnocení uvedeného v článku 67.

Článek 25

Prohlášení o zájmech

Členové správní rady, výkonný ředitel a úředníci dočasně přidělení členskými státy učiní prohlášení o závazcích a prohlášení, z něhož vyplývá, že neexistují, nebo naopak existují přímé či nepřímé zájmy, které by bylo možné považovat za zájmy ovlivňující jejich nezávislost. Tato prohlášení musí být správná a úplná, musí být podávána každoročně písemnou formou a v případě potřeby aktualizována.

Členové správní rady, výkonný ředitel a externí odborníci, kteří se účastní činnosti ad hoc pracovních skupin, učiní nejpozději na začátku každého zasedání pravdivé a úplné prohlášení o zájmech, které by bylo možné považovat za zájmy ovlivňující jejich nezávislost vzhledem k bodům na pořadu jednání, a neúčastní se jednání a hlasování o těchto bodech.

Agentura ENISA ve svých vnitřních organizačních předpisech stanoví praktická opatření upravující pravidla týkající se prohlášení o zájmech podle odstavců 1 a 2.

Článek 26

Transparentnost

Agentura ENISA vykonává své činnosti s vysokou mírou transparentnosti a v souladu s článkem 28.

Agentura ENISA zajistí, aby veřejnost a všechny zainteresované strany měly k dispozici náležité, objektivní, spolehlivé a snadno dostupné informace, zejména pokud jde o výsledky její činnosti. Zveřejní rovněž prohlášení o zájmech učiněná v souladu s článkem 25.

Správní rada může na návrh výkonného ředitele zainteresovaným stranám umožnit, aby se účastnily projednání některých činností agentury ENISA jako pozorovatelé.

Agentura ENISA ve svých vnitřních organizačních předpisech stanoví praktická opatření pro provádění pravidel transparentnosti podle odstavců 1 a 2.

Článek 27

Důvěrnost

Aniž je dotčen článek 28, agentura ENISA nesděluje třetím osobám informace, které zpracovává nebo které obdržela a pro které bylo odůvodněně vyžádáno zcela či částečně důvěrné zacházení.

Členové správní rady, výkonný ředitel, členové poradní skupiny agentury ENISA, externí odborníci účastnící se ad hoc pracovních skupin a zaměstnanci agentury ENISA, včetně úředníků dočasně přidělených členskými státy, jsou povinni i po skončení svých funkcí dodržovat požadavky na důvěrnost podle článku 339 Smlouvy o fungování EU.

Agentura ENISA ve svých vnitřních organizačních předpisech stanoví praktická opatření pro provádění pravidel důvěrnosti podle odstavců 1 a 2.

Pokud je to třeba pro vykonávání úkolů agentury ENISA, správní rada rozhodne, že agentuře ENISA umožní zpracovávat utajované informace. Agentura ENISA v tomto případě po dohodě s útvary Komise přijme bezpečnostní pravidla, v nichž se uplatňují bezpečnostní zásady stanovené v rozhodnutích Komise (EU, Euratom) 2015/443 ( 4 ) a 2015/444 ( 5 ). Tato bezpečnostní pravidla musí zahrnovat ustanovení o výměně, zpracování a ukládání utajovaných informací.

Článek 28

Přístup k dokumentům

Na dokumenty, které má agentura ENISA v držení, se vztahuje nařízení (ES) č. 1049/2001.

Správní rada přijme do 28. prosince 2019 prováděcí pravidla k nařízení (ES) č. 1049/2001.

Proti rozhodnutím přijatým agenturou ENISA podle článku 8 nařízení (ES) č. 1049/2001 lze podat stížnost evropskému veřejnému ochránci práv podle článku 228 Smlouvy o fungování EU nebo žalobu k Soudnímu dvoru Evropské unie podle článku 263 Smlouvy o fungování EU.

KAPITOLA IV

Sestavování a skladba rozpočtu agentury ENISA

Článek 29

Sestavování rozpočtu agentury ENISA

Výkonný ředitel každý rok sestaví návrh odhadu příjmů a výdajů agentury ENISA pro následující rozpočtový rok a spolu s návrhem plánu pracovních míst jej předá správní radě. Příjmy a výdaje musí být vyrovnané.

Správní rada každý rok sestaví na základě návrhu odhadu odhad příjmů a výdajů agentury ENISA pro následující rozpočtový rok.

Správní rada zašle každý rok do 31. ledna odhad, který je součástí návrhu jednotného programového dokumentu, Komisi a třetím zemím, s nimiž Unie uzavřela dohody podle čl. 42 odst. 2.

Komise na základě odhadu zanese do návrhu souhrnného rozpočtu Unie odhady, které považuje za nezbytné pro plán pracovních míst, a výši příspěvku, který má být poskytnut ze souhrnného rozpočtu Unie a předloží je Evropskému parlamentu a Radě v souladu s článkem 314 Smlouvy o fungování EU.

Evropský parlament a Rada schválí prostředky, které Unie poskytne jako příspěvek agentuře ENISA.

Evropský parlament a Rada přijmou plán pracovních míst agentury ENISA.

Správní rada přijme rozpočet agentury ENISA spolu s jednotným programovým dokumentem. Rozpočet agentury ENISA nabývá konečné podoby po přijetí souhrnného rozpočtu Unie s konečnou platností. Správní rada rozpočet a jednotný programový dokument agentury ENISA podle potřeby upraví v souladu se souhrnným rozpočtem Unie.

Článek 30

Skladba rozpočtu agentury ENISA

Aniž jsou dotčeny jiné zdroje, příjmy agentury ENISA zahrnují:

příspěvek ze souhrnného rozpočtu Unie;

příjmy účelově vázané na konkrétní položky výdajů v souladu s finančními pravidly uvedenými v článku 32;

finanční prostředky Unie ve formě dohod o přiznání příspěvku nebo grantů ad hoc v souladu s jejími finančními pravidly uvedenými v článku 32 a ustanoveními příslušných nástrojů na podporu politik Unie;

příspěvky třetích zemí, které se podílejí na činnosti agentury ENISA na základě článku 42;

dobrovolné finanční či věcné příspěvky členských států.

Členské státy, které poskytují dobrovolné příspěvky podle prvního pododstavce písm. e), nesmí na základě tohoto příspěvku požadovat žádné zvláštní právo nebo službu.

Výdaje agentury ENISA zahrnují výdaje na zaměstnance, administrativu, technickou podporu, infrastrukturu a provoz a výdaje vyplývající ze smluv s třetími stranami.

Článek 31

Plnění rozpočtu agentury ENISA

Za plnění rozpočtu agentury ENISA je odpovědný výkonný ředitel.

Interní auditor Komise vykonává ve vztahu k agentuře ENISA stejné pravomoci jako ve vztahu k útvarům Komise.

Účetní agentury ENISA zašle do 1. března následujícího rozpočtového roku (rok N+1) předběžnou účetní závěrku za rozpočtový rok (rok N) účetnímu Komise a Účetnímu dvoru.

Po obdržení připomínek Účetního dvora k předběžné účetní závěrce agentury ENISA podle článku 246 nařízení Evropského parlamentu a Rady (EU, Euratom) 2018/1046 ( 6 ) vypracuje účetní agentury ENISA na vlastní odpovědnost konečnou účetní závěrku agentury ENISA a předloží ji správní radě k vyjádření.

Správní rada zaujme stanovisko ke konečné účetní závěrce agentury ENISA.

Výkonný ředitel předá do 31. března roku N+1 zprávu o rozpočtovém a finančním řízení Evropskému parlamentu, Radě, Komisi a Účetnímu dvoru.

Účetní agentury ENISA předá konečnou účetní závěrku spolu se stanoviskem správní rady do 1. července roku N+1 Evropskému parlamentu, Radě, účetnímu Komise a Účetnímu dvoru.

Účetní agentury ENISA ke stejnému datu, k němuž předal konečnou účetní závěrku, rovněž zašle Účetnímu dvoru prohlášení vedení k této konečné účetní závěrce a jedno vyhotovení zašle účetnímu Komise.

Výkonný ředitel agentury ENISA zveřejní do 15. listopadu roku N+1 konečnou účetní závěrku v Úředním věstníku Evropské unie.

10.

Výkonný ředitel odpoví Účetnímu dvoru na jeho připomínky do 30. září roku N + 1 a jedno vyhotovení této odpovědi rovněž zašle správní radě a Komisi.

11.

Výkonný ředitel předloží Evropskému parlamentu na jeho žádost veškeré informace nezbytné pro hladký průběh udílení absolutoria za příslušný rozpočtový rok v souladu s čl. 261 odst. 3 nařízení (EU, Euratom) 2018/1046.

12.

Absolutorium za plnění rozpočtu na rok N udělí Evropský parlament výkonnému řediteli na základě doporučení Rady do 15. května roku N + 2.

Článek 32

Finanční pravidla

Finanční pravidla platná pro agenturu ENISA přijme správní rada po konzultaci s Komisí. Tato pravidla se nesmějí odchýlit od nařízení v přenesené pravomoci (EU) č. 1271/2013, ledaže je toto odchýlení zvlášť vyžadováno pro provoz agentury ENISA a Komise udělila předem souhlas.

Článek 33

Boj proti podvodům

V zájmu usnadnění boje proti podvodům, korupci a jinému protiprávnímu jednání podle nařízení Evropského parlamentu a Rady (EU, Euratom) č. 883/2013 ( 7 ) přistoupí agentura ENISA do 28. prosince 2019 k interinstitucionální dohodě ze dne 25. května 1999 mezi Evropským parlamentem, Radou Evropské unie a Komisí Evropských společenství o vnitřním vyšetřování prováděném Evropským úřadem pro boj proti podvodům (OLAF) ( 8 ). Agentura ENISA přijme vhodná ustanovení vztahující se na všechny zaměstnance agentury podle vzoru stanoveného v příloze uvedené dohody.

Účetní dvůr má pravomoc provádět na základě dokumentů a kontrol a inspekcí na místě audit u všech příjemců grantů, zhotovitelů, dodavatelů nebo poskytovatelů a subdodavatelů, kteří od agentury ENISA obdrželi finanční prostředky Unie.

OLAF může provádět vyšetřování, včetně kontrol a inspekcí na místě, v souladu s ustanoveními a postupy uvedenými v nařízení (EU, Euratom) č. 883/2013 a v nařízení Rady (Euratom, ES) č. 2185/96 ( 9 ) s cílem zjistit, zda v souvislosti s grantem nebo smlouvou financovanou ze strany agentury ENISA nedošlo k podvodu, korupci nebo jinému protiprávnímu jednání poškozujícímu finanční zájmy Unie.

Aniž jsou dotčeny odstavce 1, 2 a 3, musí dohody o spolupráci se třetími zeměmi nebo mezinárodními organizacemi, smlouvy, grantové dohody a rozhodnutí o udělení grantu přijatá agenturou ENISA obsahovat ustanovení, která výslovně zmocňují Účetní dvůr a OLAF k provádění těchto auditů a vyšetřování v souladu s jejich příslušnými pravomocemi.

KAPITOLA V

Zaměstnanci

Článek 34

Obecná ustanovení

Na zaměstnance agentury ENISA se vztahuje služební řád úředníků a pracovní řád ostatních zaměstnanců a pravidla přijatá na základě dohody mezi orgány Unie k provedení služebního a pracovního řádu.

Článek 35

Výsady a imunita

Na agenturu ENISA a její zaměstnance se vztahuje Protokol č. 7 o výsadách a imunitách Evropské unie, připojený ke Smlouvě o EU a ke Smlouvě o fungování EU.

Článek 36

Výkonný ředitel

Výkonný ředitel je zaměstnán jako dočasný zaměstnanec agentury ENISA podle čl. 2 písm. a) pracovního řádu ostatních zaměstnanců.

Výkonného ředitele jmenuje po otevřeném a transparentním výběrovém řízení správní rada ze seznamu kandidátů navržených Komisí.

Pro účely uzavření pracovní smlouvy s výkonným ředitelem je agentura ENISA zastoupena předsedou správní rady.

Před jmenováním je kandidát zvolený správní radou vyzván, aby vystoupil před příslušným výborem Evropského parlamentu a zodpověděl otázky jeho členů.

Funkční období výkonného ředitele je pět let. Před koncem tohoto období Komise provede posouzení výsledků výkonného ředitele a budoucích úkolů a výzev agentury ENISA.

Správní rada přijímá rozhodnutí o jmenování, prodloužení funkčního období nebo odvolání výkonného ředitele v souladu s čl. 18 odst. 2.

Správní rada může na návrh Komise, v němž je zohledněno posouzení podle odstavce 5, funkční období výkonného ředitele jednou prodloužit o další období pěti let.

Správní rada informuje o svém záměru prodloužit funkční období výkonného ředitele Evropský parlament. Do tří měsíců před tímto prodloužením výkonný ředitel, je-li k tomu vyzván, vystoupí před příslušným výborem Evropského parlamentu a zodpoví otázky jeho členů.

Výkonný ředitel, jehož funkční období bylo prodlouženo, se nesmí účastnit dalšího výběrového řízení na tutéž pozici.

10.

Výkonný ředitel může být odvolán z funkce pouze rozhodnutím správní rady jednající na návrh Komise.

Článek 37

Vyslaní národní odborníci a další pracovníci

Agentura ENISA může využívat vyslané národní odborníky nebo jiné pracovníky, kteří nejsou v agentuře ENISA zaměstnáni. Na tyto pracovníky se nevztahuje služební řád úředníků ani pracovní řád ostatních zaměstnanců.

Správní rada přijme rozhodnutí, kterým stanoví pravidla pro vysílání národních odborníků do agentury ENISA.

KAPITOLA VI

Obecná ustanovení týkající se agentury ENISA

Článek 38

Právní status agentury ENISA

Agentura ENISA je subjektem Unie a má právní subjektivitu.

Agentura ENISA má v každém členském státě nejširší způsobilost k právním úkonům, kterou vnitrostátní právo daného členského státu přiznává právnickým osobám. Zejména může nabývat a zcizovat movitý a nemovitý majetek a vystupovat před soudem.

Agenturu ENISA zastupuje výkonný ředitel.

Článek 39

Odpovědnost agentury ENISA

Smluvní odpovědnost agentury ENISA se řídí právem rozhodným pro danou smlouvu.

Soudní dvůr Evropské unie má pravomoc rozhodovat na základě jakékoli rozhodčí doložky obsažené ve smlouvě uzavřené agenturou ENISA.

V případě mimosmluvní odpovědnosti nahradí agentura ENISA v souladu s obecnými zásadami, které jsou společné právním řádům členských států, škodu, kterou způsobí ona nebo její zaměstnanci při výkonu svých povinností.

Soudní dvůr Evropské unie má pravomoc rozhodovat veškeré spory o náhradu škody podle odstavce 3.

Osobní odpovědnost zaměstnanců vůči agentuře ENISA se řídí odpovídajícími předpisy vztahujícími se na zaměstnance agentury ENISA.

Článek 40

Jazykový režim

Na agenturu ENISA se vztahuje nařízení Rady č. 1 ( 10 ). Členské státy a ostatní jimi určené subjekty se mohou na agenturu ENISA obracet a přijímat odpovědi v libovolném úředním jazyce orgánů Unie.

Překladatelské služby potřebné pro činnost agentury ENISA zajišťuje Překladatelské středisko pro instituce Evropské unie.

Článek 41

Ochrana osobních údajů

Zpracování osobních údajů agenturou ENISA se řídí nařízením (EU) 2018/1725.

Správní rada přijme prováděcí pravidla uvedená v čl. 45 odst. 3 nařízení (EU) 2018/1725. Správní rada může přijmout další opatření nezbytná pro uplatňování nařízení (EU) 2018/1725 ze strany agentury ENISA.

Článek 42

Spolupráce s třetími zeměmi a mezinárodními organizacemi

V rozsahu nezbytném pro dosažení cílů stanovených v tomto nařízení může agentura ENISA spolupracovat s příslušnými orgány třetích zemí nebo s mezinárodními organizacemi. Za tímto účelem může agentura ENISA s výhradou předchozího schválení Komisí zavést s orgány třetích zemí a s mezinárodními organizacemi pracovní ujednání. Z těchto pracovních ujednání nevyplývají pro Unii ani její členské státy žádné právní závazky.

Agentura ENISA je otevřena účasti třetích zemí, které za tímto účelem uzavřely dohody s Unií. Na základě příslušných ustanovení těchto dohod budou vytvořena pracovní ujednání, která určí zejména povahu, rozsah a způsob účasti těchto třetích zemí na činnosti agentury ENISA a budou obsahovat ustanovení týkající se účasti na iniciativách agentury ENISA, finančních příspěvků a zaměstnanců. Pokud jde o záležitosti týkající se zaměstnanců, musí být tato pracovní ujednání v každém případě v souladu se služebním řádem úředníků a pracovním řádem ostatních zaměstnanců.

Správní rada přijme strategii pro vztahy se třetími zeměmi a mezinárodními organizacemi v otázkách, které spadají do oblasti působnosti agentury ENISA. Komise zajistí, aby agentura ENISA působila v mezích svého mandátu a stávajícího institucionálního rámce tím, že s výkonným ředitelem uzavře příslušná pracovní ujednání.

Článek 43

Bezpečnostní pravidla týkající se ochrany citlivých neutajovaných informací a utajovaných informací

Po konzultaci s Komisí agentura ENISA přijme svá bezpečnostní pravidla uplatňující bezpečnostní zásady obsažené v bezpečnostních pravidlech Komise pro ochranu citlivých neutajovaných informací a utajovaných informací Evropské unie, jak jsou obsažena v rozhodnutích (EU, Euratom) 2015/443 a 2015/444. Bezpečnostní pravidla agentury ENISA zahrnují ustanovení o výměně, zpracování a uchovávání těchto informací.

Článek 44

Dohoda o sídle a provozní podmínky

Nezbytná ujednání související s umístěním agentury ENISA v hostitelském členském státě a s prostory, které má tento členský stát dát k dispozici, a zvláštní pravidla, která se v hostitelském členském státě vztahují na výkonného ředitele, členy správní rady, zaměstnance agentury ENISA a jejich rodinné příslušníky, se stanoví v dohodě o sídle mezi agenturou ENISA a hostitelským členským státem uzavřené poté, co k tomu správní rada udělí souhlas.

Hostitelský členský stát agentury ENISA poskytuje pro zajištění řádného fungování agentury ENISA nejlepší možné podmínky, přičemž bere v úvahu přístupnost lokality, existenci vhodných vzdělávacích zařízení pro děti zaměstnanců, patřičný přístup na pracovní trh, sociální zabezpečení a zdravotní péči pro děti i pro manžely a manželky zaměstnanců.

Článek 45

Správní kontrola

Na činnost agentury ENISA dohlíží evropský veřejný ochránce práv v souladu s článkem 228 Smlouvy o fungování EU.

HLAVA III

RÁMEC PRO CERTIFIKACI KYBERNETICKÉ BEZPEČNOSTI

▼M1

Článek 46

Evropský rámec pro certifikaci kybernetické bezpečnosti

Zřizuje se evropský rámec pro certifikaci kybernetické bezpečnosti s cílem zlepšit podmínky fungování vnitřního trhu tím, že dojde ke zvýšení úrovně kybernetické bezpečnosti v Unii a umožní harmonizovaný přístup k evropským schématům certifikace kybernetické bezpečnosti na úrovni Unie, a to s výhledem na vytvoření jednotného digitálního trhu s produkty, službami, procesy IKT a řízenými bezpečnostními službami.

Evropský rámec pro certifikaci kybernetické bezpečnosti poskytne mechanismus pro vytváření evropských schémat certifikace kybernetické bezpečnosti a pro osvědčování toho, že produkty, služby a procesy IKT hodnocené v souladu s takovými schématy splňují stanovené bezpečnostní požadavky, pokud jde o ochranu dostupnosti, autenticity, integrity nebo důvěrnosti uchovávaných, předávaných či zpracovávaných údajů nebo funkcí či služeb nabízených nebo přístupných prostřednictvím těchto produktů, služeb a procesů během celého jejich životního cyklu. Kromě toho osvědčí, že řízené bezpečnostní služby, které byly hodnoceny v souladu s těmito schématy, splňují stanovené bezpečnostní požadavky, pokud jde o ochranu dostupnosti, autenticity, integrity a důvěrnosti údajů, které jsou v souvislosti s poskytováním těchto služeb předmětem přístupu, zpracování, ukládání či předávání, a že tyto služby jsou trvale poskytovány s nezbytnými kompetencemi, odborností a zkušenostmi, a to zaměstnanci s dostatečnou a odpovídající úrovní příslušných technických znalostí a profesní integrity.

▼C1

Článek 47

Průběžný pracovní program Unie pro evropskou certifikaci kybernetické bezpečnosti

Komise zveřejní průběžný pracovní program Unie pro evropskou certifikaci kybernetické bezpečnosti (dále jen „průběžný pracovní program Unie“), který určí strategické priority pro budoucí evropská schémata certifikace kybernetické bezpečnosti.

▼M1

Průběžný pracovní program Unie obsahuje zejména seznam produktů, služeb a procesů IKT či jejich kategorií a řízených bezpečnostních služeb, pro něž by mohlo být zařazení do oblasti působnosti evropského schématu kybernetické bezpečnosti prospěšné.

Zařazení každého konkrétního produktu, služby či procesu IKT či jejich kategorií nebo řízených bezpečnostních služeb do průběžného pracovního programu Unie musí být podloženo jedním či více z následujících důvodů:

dostupnost a rozvoj vnitrostátních schémat certifikace kybernetické bezpečnosti vztahujících se na konkrétní kategorii produktů, služeb nebo procesů IKT nebo řízených bezpečnostních služeb, zejména pokud jde o riziko roztříštěnosti;

▼C1

relevantní politika nebo právo Unie či členského státu;

tržní poptávka;

▼M1

(ca)

technologický vývoj a dostupnost a rozvoj mezinárodních schémat certifikace kybernetické bezpečnosti a mezinárodních norem a standardů používaných v tomto odvětví;

▼C1

vývoj v oblasti kybernetických hrozeb;

žádost o vypracování konkrétního návrhu schématu ze strany Evropské skupiny pro certifikaci kybernetické bezpečnosti.

Komise bere řádný zřetel ke stanoviskům vydaným k průběžnému pracovnímu programu Unie Evropskou skupinou pro certifikaci kybernetické bezpečnosti a Skupinou zúčastněných stran pro certifikaci kybernetické bezpečnosti.

První průběžný pracovní program Unie se zveřejní do 28. června 2020. Průběžný pracovní program Unie je aktualizován alespoň každé tři roky a v případě potřeby častěji.

Článek 48

Žádost o evropské schéma certifikace kybernetické bezpečnosti

Komise může agenturu ENISA požádat o vypracování návrhu schématu nebo o přezkum stávajícího evropského schématu certifikace kybernetické bezpečnosti na základě průběžného pracovního programu Unie.

V řádně odůvodněných případech může Komise nebo Evropská skupina pro certifikaci kybernetické bezpečnosti požádat agenturu ENISA o vypracování návrhu schématu nebo o přezkum stávajícího schématu certifikace kybernetické bezpečnosti, jenž není zahrnut do průběžného pracovního programu Unie. Průběžný pracovní program Unie se patřičně aktualizuje.

Článek 49

Vypracování, přijetí a přezkum evropského schématu certifikace kybernetické bezpečnosti

▼M1

Agentura ENISA na základě žádosti Komise podle článku 48 vypracuje návrh schématu, který splňuje příslušné požadavky stanovené v článcích 51, 51a, 52 a 54.

Agentura ENISA může na základě žádosti Evropské skupiny pro certifikaci kybernetické bezpečnosti podle čl. 48 odst. 2 vypracovat návrh schématu, který splňuje příslušné požadavky stanovené v článcích 51, 51a, 52 a 54. Pokud agentura ENISA takovou žádost odmítne, poskytne k tomu odůvodnění. Každé rozhodnutí o odmítnutí žádosti přijímá správní rada.

Při vypracovávání návrhu schématu agentura ENISA konzultuje včas všechny příslušné zúčastněné strany prostřednictvím formálních, otevřených, transparentních a inkluzivních konzultačních postupů. Při předávání návrhu schématu Komisi podle odstavce 6 poskytne agentura ENISA informace o způsobu, jakým zajistila soulad s tímto odstavcem.

Pro každý návrh schématu agentura ENISA zřídí ad hoc pracovní skupinu v souladu s čl. 20 odst. 4, která agentuře ENISA poskytuje konkrétní poradenství a odborné poznatky. Podle potřeby, a aniž jsou dotčeny postupy a prostor pro uvážení stanovené v čl. 20 odst. 4 jsou součástí ad hoc pracovních skupin odborníci z orgánů veřejné správy členských států, orgánů, institucí a jiných subjektů Unie a soukromého sektoru.

▼C1

Agentura ENISA úzce spolupracuje s Evropskou skupinou pro certifikaci kybernetické bezpečnosti. Skupina poskytuje agentuře ENISA v souvislosti s vypracováním návrhu schématu pomoc a odborné poradenství a k návrhu schématu přijímá stanovisko.

Agentura ENISA stanovisko Evropské skupiny pro certifikaci kybernetické bezpečnosti v co největší míře zohlední před předložením návrhu schématu vypracovaného v souladu s odstavci 3, 4 a 5 Komisi. Stanovisko Evropské skupiny pro certifikaci kybernetické bezpečnosti není pro agenturu ENISA závazné a neexistence takového stanoviska agentuře ENISA nebrání, aby návrh schématu předložila Komisi.

▼M1

Na základě návrhu schématu vypracovaného agenturou ENISA může Komise přijmout prováděcí akty, kterými stanoví, že evropské schéma certifikace kybernetické bezpečnosti pro produkty, služby a procesy IKT a řízené bezpečnostní služby, splňuje relevantní požadavky stanovené v článcích 51, 51a, 52 a 54. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 66 odst. 2.

▼C1

Alespoň jednou za pět let agentura ENISA vyhodnotí každé přijaté evropské schéma certifikace kybernetické bezpečnosti, přičemž zohlední zpětnou vazbu poskytnutou zúčastněnými stranami. V případně potřeby mohou Komise nebo Evropská skupina pro certifikaci kybernetické bezpečnosti požádat agenturu ENISA, aby zahájila postup vypracování revidovaného návrhu schématu v souladu s článkem 48 a tímto článkem.

▼M1

Článek 49a

Informace a konzultace týkající se evropských schémat certifikace kybernetické bezpečnosti

Komise zveřejní informace o své žádosti agentuře ENISA, aby vypracovala návrh schématu nebo přezkoumala stávající evropské schéma certifikace kybernetické bezpečnosti uvedený v článku 48.

V průběhu vypracovávání návrhu schématu agenturou ENISA podle článku 49 mohou Evropský parlament, Rada nebo oba požádat Komisi coby předsedu Evropské skupiny pro certifikaci kybernetické bezpečnosti (ECCG) a agenturu ENISA, aby čtvrtletně předkládaly příslušné informace o návrhu schématu. Na žádost Evropského parlamentu nebo Rady může agentura ENISA po dohodě s Komisí, a aniž je dotčen článek 27, zpřístupnit Evropskému parlamentu a Radě příslušné části návrhu schématu způsobem, který odpovídá požadované úrovni důvěrnosti, a případně omezeným způsobem.

S cílem posílit dialog mezi orgány Unie a přispět k formálnímu, otevřenému, transparentnímu a inkluzivnímu konzultačnímu procesu mohou Evropský parlament, Rada, nebo oba vyzvat Komisi a agenturu ENISA, aby projednaly záležitosti týkající se fungování evropských schémat certifikace kybernetické bezpečnosti pro produkty, služby a procesy IKT nebo řízené bezpečnostní služby.

Komise při hodnocení tohoto nařízení podle článku 67 případně zohlední skutečnosti vyplývající z názorů vyjádřených Evropským parlamentem a Radou k záležitostem uvedeným v odstavci 3 tohoto článku.

▼C1

Článek 50

Internetové stránky o evropských schématech certifikace kybernetické bezpečnosti

Agentura ENISA provozuje internetové stránky, jejichž účelem je poskytovat informace a zvyšovat veřejné povědomí o evropských schématech certifikace kybernetické bezpečnosti, evropských certifikátech kybernetické bezpečnosti a EU prohlášeních o shodě, včetně informací týkajících se evropských schémat certifikace kybernetické bezpečnosti, které již nejsou platné, evropských certifikátů kybernetické bezpečnosti a EU prohlášení o shodě, jež byly zrušeny nebo jejichž platnost skončila, a úložišť internetových odkazů na informace o kybernetické bezpečnosti poskytnuté v souladu s článkem 55.

V příslušných případech internetové stránky uvedené v odstavci 1 rovněž uvádějí ta vnitrostátní schémata certifikace kybernetické bezpečnosti, která byla nahrazena evropským schématem certifikace kybernetické bezpečnosti.

Článek 51

▼M1

Bezpečnostní cíle evropských schémat certifikace kybernetické bezpečnosti pro produkty, služby a procesy IKT

Evropské schéma certifikace kybernetické bezpečnosti pro produkty, služby nebo procesy IKT musí být navrženo tak, aby v příslušných případech bylo dosaženo alespoň těchto bezpečnostních cílů:

▼C1

chránit ukládané, předávané nebo jinak zpracovávané údaje proti náhodnému nebo neoprávněnému ukládání, zpracování, přístupu nebo sdělování, a to během celého životního cyklu produktu, služby nebo procesu IKT;

chránit ukládané, předávané nebo jinak zpracovávané údaje proti náhodnému nebo neoprávněnému zničení, ztrátě nebo změně nebo proti nedostupnosti, a to během celého životního cyklu produktu, služby nebo procesu IKT;

zajistit, aby oprávněné osoby, programy nebo stroje měly přístup pouze k údajům, službám nebo funkcím, jichž se týkají jejich přístupová práva;

identifikovat a zdokumentovat známé případy závislosti a známé zranitelnosti;

zaznamenat, které údaje, služby nebo funkce byly předmětem přístupu, použití nebo jiného zpracování, kdy k tomu došlo a kdo tak učinil;

zajistit, aby bylo možné kontrolovat, které údaje, služby nebo funkce byly předmětem přístupu, použití nebo jiného zpracování, kdy k tomu došlo a kdo tak učinil;

ověřit, že produkty, služby a procesy IKT neobsahují žádné známé zranitelnosti;

včas obnovit dostupnost údajů, služeb a funkcí a přístup k nim v případě fyzických nebo technických incidentů;

zajistit, aby produkty, služby a procesy IKT byly zabezpečeny na úrovni standardního nastavení a výchozího návrhu;

zajistit, aby byly produkty, služby a procesy IKT poskytovány s aktualizovaným softwarem a hardwarem, které neobsahují veřejně známé zranitelnosti, a aby obsahovaly mechanismy pro bezpečné aktualizace.

▼M1

Článek 51a

Bezpečnostní cíle evropských schémat certifikace kybernetické bezpečnosti pro řízené bezpečnostní služby

Evropské schéma certifikace kybernetické bezpečnosti pro řízené bezpečnostní služby musí být navrženo tak, aby v příslušných případech bylo dosaženo alespoň těchto bezpečnostních cílů:

zajistit, aby řízené bezpečnostní služby byly poskytovány s nezbytnými kompetencemi, odborností a zkušenostmi, což zahrnuje, že zaměstnanci odpovědní za poskytování těchto služeb mají dostatečnou a odpovídající úroveň technických znalostí a kompetencí v dané oblasti, dostatečné a odpovídající zkušenosti a nejvyšší úroveň profesní integrity;

zajistit, aby měl poskytovatel zavedeny vhodné vnitřní procesy k zajištění toho, aby řízené bezpečnostní služby byly vždy poskytovány na dostatečné a odpovídající úrovni kvality;

zajistit, aby se data, jež jsou v souvislosti s poskytováním řízených bezpečnostních služeb předmětem přístupu, ukládání či předávání nebo jiného zpracování, chránila proti neúmyslnému nebo neoprávněnému přístupu, ukládání, sdělení, zničení, jinému zpracování, ztrátě, změně či nedostupnosti;

zajistit, aby byla včas obnovena dostupnost dat, služeb a funkcí a přístup k nim v případě fyzických nebo technických incidentů;

zajistit, aby oprávněné osoby, programy nebo stroje měly přístup pouze k údajům, službám nebo funkcím, jichž se týkají jejich přístupová práva;

zajistit, aby byly pořizovány a uchovávány záznamy o datech, službách nebo funkcích, jež byly zpřístupněny, použity nebo jinak zpracovány, kdy k tomu došlo a kdo tak učinil, a umožněno posouzení těchto záznamů;

zajistit, aby produkty, služby a procesy IKT zaváděné v rámci poskytování řízených bezpečnostních služeb byly bezpečné na úrovni výchozího návrhu a výchozího nastavení („secure by design“ a „secure by default“) a aby v příslušných případech zahrnovaly nejnovější bezpečnostní aktualizace a neobsahovaly veřejně známé zranitelnosti.

▼C1

Článek 52

Úrovně záruky evropských schémat certifikace kybernetické bezpečnosti

▼M1

Evropské schéma certifikace kybernetické bezpečnosti může u produktů, služeb a procesů IKT a řízených bezpečnostních služeb určit jednu nebo více těchto úrovní záruky: „základní“, „významná“ nebo „vysoká“. Úroveň záruky je přiměřená úrovni rizika z hlediska pravděpodobnosti a dopadu incidentu, jež je spojeno se zamýšleným použitím produktu, služby nebo procesu IKT nebo řízené bezpečnostní služby.

▼C1

Evropské certifikáty kybernetické bezpečnosti a EU prohlášení o shodě odkazují na úroveň záruky uvedenou v evropském schématu certifikace kybernetické bezpečnosti, v jehož rámci byly dotyčné evropské certifikáty kybernetické bezpečnosti nebo EU prohlášení o shodě vydány.

▼M1

Evropské schéma certifikace kybernetické bezpečnosti stanoví bezpečnostní požadavky, které odpovídají každé úrovni záruky, včetně odpovídajících bezpečnostních funkcí a odpovídající míry náročnosti a podrobnosti hodnocení, kterým má produkt, služba nebo proces IKT nebo řízená bezpečnostní služba projít.

▼C1

Certifikát nebo EU prohlášení o shodě odkazují na technické specifikace, normy a procesy s nimi související, včetně technických kontrol, jejichž účelem je snížit riziko kybernetických bezpečnostních incidentů nebo jim předcházet.

▼M1

Evropský certifikát kybernetické bezpečnosti nebo EU prohlášení o shodě, které odkazují na úroveň záruky „základní“, poskytují záruku, že produkty, služby a procesy IKT nebo řízené bezpečnostní služby, pro něž jsou tento certifikát nebo toto EU prohlášení o shodě vydány, splňují odpovídající bezpečnostní požadavky včetně bezpečnostních funkcí a že byly vyhodnoceny na úrovni, jejímž cílem je minimalizovat známá základní rizika incidentů a kybernetických útoků. Prováděné hodnotící činnosti zahrnují alespoň přezkum technické dokumentace. Pokud takový přezkum není vhodný, provedou se náhradní hodnotící činnosti s rovnocenným účinkem.

Evropský certifikát kybernetické bezpečnosti, který odkazuje na úroveň záruky „významná“, poskytuje záruku, že produkty, služby a procesy IKT nebo řízené bezpečnostní služby, pro něž je tento certifikát vydán, splňují odpovídající bezpečnostní požadavky včetně bezpečnostních funkcionalit a že byly vyhodnoceny na úrovni, jejímž cílem je minimalizovat známá kybernetická rizika a rizika incidentů a kybernetických útoků prováděných subjekty s omezenými dovednostmi a zdroji. Prováděné hodnotící činnosti zahrnují alespoň: přezkum s cílem prokázat neexistenci veřejně známých zranitelností a zkouška k prokázání toho, že produkty, služby a procesy IKT nebo řízené bezpečnostní služby náležitě uplatňují nezbytné bezpečnostní funkcionality. Pokud některá z těchto hodnotících činností není vhodná, provedou se náhradní hodnotící činnosti s rovnocenným účinkem.

Evropský certifikát kybernetické bezpečnosti, který odkazuje na úroveň záruky „vysoká“, poskytuje záruku, že produkty, služby nebo procesy IKT a řízené bezpečnostní služby, pro něž je tento certifikát vydán, splňují odpovídající bezpečnostní požadavky včetně bezpečnostních funkcionalit a že byly vyhodnoceny na úrovni, jejímž cílem je minimalizovat rizika sofistikovaných kybernetických útoků prováděných subjekty s významnými dovednostmi a zdroji. Prováděné hodnotící činnosti zahrnují alespoň: přezkum s cílem prokázat neexistenci veřejně známých zranitelností; zkouška k prokázání toho, že produkty, služby, procesy IKT nebo řízené bezpečnostní služby IKT náležitě uplatňují nezbytné nejnovější bezpečnostní funkcionality; a posouzení jejich odolnosti vůči zručným útočníkům prostřednictvím penetrační testování. Pokud některá z těchto hodnotících činností není vhodná, provedou se náhradní hodnotící činnosti s rovnocenným účinkem.

▼C1

Evropské schéma certifikace kybernetické bezpečnosti může specifikovat několik úrovní hodnocení v závislosti na náročnosti a podrobnosti použité hodnotící metodiky. Každá z úrovní hodnocení odpovídá jedné z úrovní záruky a je definována odpovídající kombinací prvků záruky.

Článek 53

Vlastní posuzování shody

▼M1

Evropské schéma certifikace kybernetické bezpečnosti může umožnit vlastní posuzování shody pod výhradní odpovědností výrobce nebo poskytovatele produktů, služeb či procesů IKT nebo řízených bezpečnostních služeb. Vlastní posuzování shody je přípustné pouze u produktů, služeb a procesů IKT nebo řízených bezpečnostních služeb, které vykazují nízké riziko odpovídající úrovni záruky „základní“.

Výrobce nebo poskytovatel produktů, služeb či procesů IKT nebo řízených bezpečnostních služeb může vydat EU prohlášení o shodě uvádějící, že bylo prokázáno plnění požadavků stanovených v příslušném schématu. Vydáním tohoto prohlášení výrobce produktů IKT nebo poskytovatel služeb či procesů IKT nebo řízených bezpečnostních služeb přebírá odpovědnost za soulad produktu, služby nebo procesu IKT nebo řízené bezpečnostní služby s požadavky stanovenými v daném schématu.

Výrobce nebo poskytovatel produktů, služeb či procesů IKT nebo řízených bezpečnostních služeb zpřístupní EU prohlášení o shodě, technickou dokumentaci a veškeré ostatní příslušné informace související se shodou produktů, služeb a procesů IKT nebo řízených bezpečnostních služeb se schématem k dispozici vnitrostátního orgánu certifikace kybernetické bezpečnosti určenému podle v článku 58 po dobu stanovenou v odpovídajícím evropském schématu certifikace kybernetické bezpečnosti. Jedno vyhotovení EU prohlášení o shodě se předkládá vnitrostátnímu orgánu certifikace kybernetické bezpečnosti a jedno vyhotovení agentuře ENISA.

▼C1

Vydání EU prohlášení o shodě je nepovinné, nestanoví-li unijní nebo vnitrostátní právo jinak.

EU prohlášení o shodě je uznáváno ve všech členských státech.

Článek 54

Prvky evropských schémat certifikace kybernetické bezpečnosti

Evropské schéma certifikace kybernetické bezpečnosti zahrnuje alespoň tyto prvky:

▼M1

předmět a oblast působnosti schématu certifikace včetně druhu nebo kategorií zahrnutých produktů, služeb a procesů IKT a řízených bezpečnostních služeb, na něž se vztahuje;

▼C1

jasný popis účelu schématu spolu s jasným vysvětlením, jak zvolené normy, metody hodnocení a úrovně záruky odpovídají potřebám zamýšlených uživatelů schématu;

odkazy na mezinárodní, evropské nebo vnitrostátní normy používané při hodnocení, nebo pokud takové normy nejsou k dispozici nebo nejsou vhodné, odkazy na technické specifikace, které splňují požadavky stanovené v příloze II nařízení (EU) č. 1025/2012, nebo pokud takové specifikace nejsou k dispozici, odkazy na technické specifikace nebo požadavky kybernetické bezpečnosti definované v evropském schématu certifikace kybernetické bezpečnosti;

v příslušných případech jednu nebo více úrovní záruky;

informace o tom, zda je v rámci schématu přípustné vlastní posuzování shody;

v příslušných případech konkrétní nebo dodatečné požadavky na subjekty posuzování shody, s cílem zajistit jejich technickou způsobilost k hodnocení požadavků na kybernetickou bezpečnost;

▼M1

konkrétní kritéria a metody hodnocení používané k prokázání toho, že bylo dosaženo příslušných bezpečnostních cílů uvedených v článcích 51 a 51a, včetně typů těchto hodnocení;

▼C1

v příslušných případech informace nezbytné pro certifikaci, které žadatel předkládá nebo jinak zpřístupňuje subjektům posuzování shody;

stanoví-li schéma známky nebo označení, podmínky používání těchto známek nebo označení;

▼M1

pravidla pro monitorování souladu produktů, služeb a procesů IKT nebo řízených bezpečnostních služeb s požadavky evropských certifikátů kybernetické bezpečnosti nebo EU prohlášení o shodě, včetně mechanismů prokázání pokračujícího plnění specifikovaných požadavků kybernetické bezpečnosti;

▼C1

v příslušných případech podmínky pro vydání, zachování, pokračování platnosti a obnovení evropských certifikátů kybernetické bezpečnosti, jakož i podmínky pro rozšíření nebo omezení rozsahu certifikace;

▼M1

pravidla upravující důsledky pro produkty, služby a procesy IKT nebo řízené bezpečnostní služby, jež jsou certifikovány nebo pro něž bylo vydáno EU prohlášení o shodě, avšak nesplňují požadavky schématu;

▼C1

pravidla upravující způsob oznamování a řešení dříve nezjištěných zranitelností v kybernetické bezpečnosti produktů, služeb a procesů IKT;

v příslušných případech pravidla upravující uchovávání záznamů subjekty posuzování shody;

▼M1

identifikaci vnitrostátních nebo mezinárodních schémat certifikace kybernetické bezpečnosti zahrnující stejné druhy nebo kategorie produktů, služeb a procesů IKT nebo řízených bezpečnostních služeb, bezpečnostní požadavky a hodnotící kritéria a metody a úrovně záruky;

▼C1

obsah a formát vydávaných evropských certifikátů kybernetické bezpečnosti a EU prohlášení o shodě;

▼M1

dobu dostupnosti EU prohlášení o shodě, technické dokumentace a veškerých dalších relevantních informací, které má výrobce nebo poskytovatel produktů, služeb či procesů IKT nebo řízených bezpečnostních služeb mít k dispozici;

▼C1

maximální dobu platnosti evropských certifikátů kybernetické bezpečnosti vydaných v rámci schématu;

politiku zveřejňování evropských certifikátů kybernetické bezpečnosti vydaných, pozměněných nebo zrušených v rámci schématu;

podmínky pro vzájemné uznávání systémů certifikace s třetími zeměmi;

v příslušných případech pravidla týkající se mechanismu vzájemného posouzení zřízeného v rámci schématu pro orgány nebo subjekty vydávající evropské certifikáty kybernetické bezpečnosti pro úroveň záruky „vysoká“ podle čl. 56 odst. 6. Tímto mechanismem není dotčeno vzájemné hodnocení podle článku 59;

formát a postupy, jež výrobci a poskytovatelé produktů, služeb či procesů IKT musejí dodržovat při poskytování a aktualizaci doplňujících informací o kybernetické bezpečnosti podle článku 55.

Specifikované požadavky evropského schématu certifikace kybernetické bezpečnosti musí být v souladu s příslušnými právními požadavky, zejména s požadavky plynoucími z harmonizovaných právních předpisů Unie.

Pokud tak konkrétní právní akt Unie stanoví, lze certifikát nebo EU prohlášení o shodě vydané v rámci evropského schématu certifikace kybernetické bezpečnosti použít k prokázání předpokladu shody s požadavky daného právního aktu.

Pokud harmonizované právní předpisy Unie neexistují, může skutečnost, že evropské schéma certifikace kybernetické bezpečnosti lze použít k vyslovení předpokladu shody s právními požadavky, stanovit právo členského státu.

Článek 55

Doplňující informace o kybernetické bezpečnosti týkající se certifikovaných produktů, služeb a procesů IKT

Výrobce nebo poskytovatel certifikovaných produktů, služeb či procesů IKT nebo produktů, služeb či procesů IKT, pro něž bylo vydáno EU prohlášení o shodě, zpřístupní veřejnosti tyto doplňující informace o kybernetické bezpečnosti:

pokyny a doporučení, jež koncovým uživatelům usnadní bezpečné nastavení, instalaci, uvedení do provozu, provoz samotný a údržbu produktů či služeb IKT;

období, během něhož bude koncovým uživatelům k dispozici bezpečnostní podpora, zejména pokud jde o dostupnost aktualizací souvisejících s kybernetickou bezpečností;

kontaktní údaje výrobce či poskytovatele a akceptované metody pro příjem informací o zranitelnostech ze strany koncových uživatelů nebo výzkumných pracovníků v oblasti bezpečnosti;

odkaz na internetová úložiště zveřejněných zranitelností souvisejících s produktem, službou či procesem IKT a na jakákoli relevantní upozornění v oblasti kybernetické bezpečnosti.

Informace uvedené v odstavci 1 se poskytují v elektronické podobě, přičemž zůstávají k dispozici a jsou podle potřeby aktualizovány přinejmenším do pozbytí platnosti odpovídajícího evropského certifikátu kybernetické bezpečnosti nebo EU prohlášení o shodě.

Článek 56

Certifikace kybernetické bezpečnosti

▼M1

U produktů, služeb a procesů IKT a řízených bezpečnostních služeb, které byly certifikovány v rámci evropského schématu certifikace kybernetické bezpečnosti přijatého podle článku 49, se předpokládá, že splňují požadavky daného schématu.

▼C1

Certifikace kybernetické bezpečnosti je dobrovolná, nestanoví-li unijní nebo vnitrostátní právo jinak.

►M1 Komise pravidelně hodnotí účinnost a využití přijatých evropských schémat certifikace kybernetické bezpečnosti, přičemž rovněž posuzuje, zda by se určité evropské schémat certifikace kybernetické bezpečnosti mělo na základě příslušných právních předpisů Unie stát povinným za účelem zajištění patřičné úrovně kybernetické bezpečnosti produktů, služeb a procesů IKT a od 4. února 2025 řízených bezpečnostních služeb v Unii a za účelem zlepšení fungování vnitřního trhu. První takové hodnocení proběhne do 31. prosince 2023 a následná hodnocení se poté uskuteční alespoň každé dva roky. Na základě výsledku těchto hodnocení Komise z produktů, služeb a procesů IKT a řízených bezpečnostních služeb, na něž se již vztahuje stávající schéma certifikace, určí ty, na něž by se mělo vztahovat povinné schéma certifikace. ◄

Komise se prioritně zaměří na odvětví uvedená v příloze II směrnice (EU) 2016/1148, jež podrobí hodnocení do dvou let od přijetí prvního evropského schématu certifikace kybernetické bezpečnosti.

V rámci přípravy hodnocení Komise:

▼M1

zohlední dopad opatření na výrobce nebo poskytovatele daných produktů, služeb či procesů IKT nebo řízených bezpečnostních služeb a na uživatele z hlediska nákladů na tato opatření a společenských nebo hospodářských přínosů plynoucích z očekávaného zvýšení úrovně bezpečnosti pro dotčené produkty, služby a procesy IKT nebo řízené bezpečnostní služby;

▼C1

bere zřetel na existenci příslušných právních předpisů členských států a třetích zemí a na jejich provádění;

uplatňuje otevřený, transparentní a inkluzivní proces konzultací se všemi relevantními zúčastněnými stranami a s členskými státy;

▼M1

zohlední prováděcí lhůty, přechodná opatření nebo přechodná období, zejména se zřetelem na možný dopad daného opatření na výrobce nebo poskytovatele produktů, služeb či procesů IKT nebo řízených bezpečnostních služeb, včetně specifických zájmů a potřeb malých a středních podniků, včetně mikropodniků;

▼C1

navrhne nejrychlejší a nejúčinnější způsob provedení přechodu od dobrovolných schémat certifikace ke schématům povinným.

Subjekty posuzování shody uvedené v článku 60 vydávají evropské certifikáty kybernetické bezpečnosti podle tohoto článku, které odkazují na úrovně záruky „základní“ nebo „významná“, na základě kritérií obsažených v evropském schématu certifikace kybernetické bezpečnosti přijatém Komisí podle článku 49.

Odchylně od odstavce 4 může evropské schéma certifikace kybernetické bezpečnosti v řádně odůvodněných případech stanovit, že evropské certifikáty kybernetické bezpečnosti vyplývající z daného schématu mohou vydávat pouze veřejné subjekty. Tímto subjektem je:

vnitrostátní orgán certifikace kybernetické bezpečnosti uvedený v čl. 58 odst. 1; nebo

veřejný subjekt, který je akreditován jako subjekt posuzování shody podle čl. 60 odst. 1;

Pokud evropské schéma certifikace kybernetické bezpečnosti přijaté podle článku 49 požaduje úroveň záruky „vysoká“, může evropský certifikát kybernetické bezpečnosti v rámci tohoto schématu vydat pouze vnitrostátní orgán certifikace kybernetické bezpečnosti, nebo v následujících případech subjekt posuzování shody:

po předchozím schválení vnitrostátním orgánem certifikace kybernetické bezpečnosti pro každý jednotlivý evropský certifikát kybernetické bezpečnosti vydaný orgánem posuzování shody; nebo

na základě obecného pověření subjektu posuzování shody úkolem vydávat evropské certifikáty kybernetické bezpečnosti u ze strany vnitrostátního orgánu certifikace kybernetické bezpečnosti.

▼M1

Fyzická nebo právnická osoba, která předkládá produkty, služby nebo procesy IKT nebo řízené bezpečnostní služby k certifikaci, zpřístupní vnitrostátnímu orgánu certifikace kybernetické bezpečnosti určenému podle článku 58, pokud je tento orgán subjektem vydávajícím evropský certifikát kybernetické bezpečnosti, nebo subjektu posuzování shody uvedenému v článku 60 veškeré informace nezbytné pro provedení certifikace.

Držitel evropského certifikátu kybernetické bezpečnosti informuje orgán či subjekt uvedený v odstavci 7 o veškerých později zjištěných zranitelnostech nebo nesrovnalostech týkajících se bezpečnosti certifikovaného produktu, služby nebo procesu IKT nebo řízené bezpečnostní služby, které by mohly mít dopad na jejich soulad s požadavky na certifikaci. Tento orgán či subjekt neprodleně tyto informace postoupí příslušnému vnitrostátnímu orgánu certifikace kybernetické bezpečnosti.

▼C1

Evropský certifikát kybernetické bezpečnosti se vydává na dobu určenou evropským schématem certifikace kybernetické bezpečnosti a může být obnoven, budou-li nadále plněny příslušné požadavky.

10.

Evropský certifikát kybernetické bezpečnosti vydaný podle tohoto článku je uznáván ve všech členských státech.

Článek 57

Vnitrostátní schémata certifikace kybernetické bezpečnosti a certifikáty

▼M1

Aniž je dotčen odstavec 3 tohoto článku, vnitrostátní schémata certifikace kybernetické bezpečnosti a související postupy pro produkty, služby a procesy IKT a řízené bezpečnostní služby zahrnuté do evropského schématu certifikace kybernetické bezpečnosti pozbývají účinnosti ode dne stanoveného v prováděcím aktu přijatém podle čl. 49 odst. 7. Vnitrostátní schémata certifikace kybernetické bezpečnosti a související postupy pro produkty, služby a procesy IKT a řízené bezpečnostní služby, na něž se evropské schéma certifikace kybernetické bezpečnosti nevztahuje, zůstávají v platnosti.

Členské státy nezavedou nová vnitrostátní schémata certifikace kybernetické bezpečnosti pro produkty, služby a procesy IKT a řízené bezpečnostní služby, které jsou již zahrnuty do platného evropského schématu certifikace kybernetické bezpečnosti.

▼C1

Stávající certifikáty vydané v rámci vnitrostátních schémat certifikace kybernetické bezpečnosti, na něž se vztahuje evropské schéma certifikace kybernetické bezpečnosti, zůstávají platné až do data skončení své platnosti.

Aby se zabránilo roztříštěnosti vnitřního trhu, vyrozumí členské státy Komisi a Evropskou skupinu pro certifikaci kybernetické bezpečnosti o každém záměru vypracovat nová vnitrostátní schémata certifikace kybernetické bezpečnosti.

Článek 58

Vnitrostátní orgány certifikace kybernetické bezpečnosti

Každý členský stát určí jeden nebo více vnitrostátních orgánů certifikace kybernetické bezpečnosti na svém území, nebo se souhlasem jiného členského státu určí jeden nebo více vnitrostátních orgánů certifikace kybernetické bezpečnosti zřízených v tomto jiném členském státě, které budou v určujícím členském státě odpovídat za dozor.

Každý členský stát informuje Komisi o určených vnitrostátních orgánech certifikace kybernetické bezpečnosti. Členský stát, jenž určí více než jeden orgán, informuje Komisi rovněž o úkolech, které byly každému z nich přiděleny.

Aniž je dotčen čl. 56 odst. 5 písm. a) a odst. 6, je každý vnitrostátní orgán certifikace kybernetické bezpečnosti ve své organizaci, finančních rozhodnutích, právní struktuře a rozhodovacím procesu nezávislý na subjektech, nad nimiž vykonává dohled.

Členské státy zajistí, aby činnosti vnitrostátního orgánu certifikace kybernetické bezpečnosti související s vydáváním evropských certifikátů kybernetické bezpečnosti podle čl. 56 odst. 5 písm. a) a odst. 6 byly striktně odděleny od činnosti dohledu podle tohoto článku a aby obě činnosti byly vykonávány na sobě nezávisle.

Členské státy zajistí, aby vnitrostátní orgány certifikace kybernetické bezpečnosti měly odpovídající zdroje pro výkon svých pravomocí a pro efektivní a účinné provádění svých úkolů.

Za účelem efektivního provádění tohoto nařízení je vhodné, aby se vnitrostátní orgány certifikace kybernetické bezpečnosti aktivním, efektivním, účinným a bezpečným způsobem podílely na činnosti Evropské skupiny pro certifikaci kybernetické bezpečnosti.

Vnitrostátní orgány certifikace kybernetické bezpečnosti:

▼M1

dohlížejí na pravidla zahrnutá v evropských schématech certifikace kybernetické bezpečnosti podle čl. 54 odst. 1 písm. j) pro monitorování souladu produktů, procesů, služeb a procesů IKT a řízených bezpečnostních služeb s požadavky evropských certifikátů kybernetické bezpečnosti, jež byly vydány na území jejich států, a dodržování těchto pravidel vymáhají, přičemž spolupracují s dalšími příslušnými orgány dohledu nad trhem;

sledují dodržování povinností výrobců a poskytovatelů produktů, služeb a procesů IKT nebo řízených bezpečnostních služeb, kteří jsou usazeni na území jejich států a kteří provádějí vlastní posuzování shody, zejména pak povinností těchto výrobců a poskytovatelů stanovených v čl. 53 odst. 2 a 3 a v odpovídajícím evropském schématu certifikace kybernetické bezpečnosti, a dodržování těchto povinností vymáhají;

▼C1

aniž je dotčen čl. 60 odst. 3, pro účely tohoto nařízení aktivně napomáhají vnitrostátním subjektům akreditace při monitorování činnosti subjektů posuzování shody a při dozoru nad touto činností a poskytují uvedeným subjektům akreditace podporu;

sledují činnost veřejných subjektů uvedených v čl. 56 odst. 5 a dohlížejí na tyto aktivity;

v příslušných případech autorizují subjekty posuzování shody podle čl. 60 odst. 3 a omezují, pozastavují nebo odebírají stávající autorizaci, pokud subjekty posuzování shody porušují požadavky tohoto nařízení;

řeší stížnosti podané fyzickými nebo právnickými osobami v souvislosti s evropskými certifikáty kybernetické bezpečnosti vydanými vnitrostátními orgány certifikace kybernetické bezpečnosti či subjekty posuzování shody v souladu s čl. 56 odst. 6 nebo v souvislosti s EU prohlášeními o shodě vydanými podle článku 53, v přiměřeném rozsahu šetří předmět těchto stížností a v přiměřené lhůtě informují stěžovatele o průběhu a výsledku šetření;

každoročně předkládají agentuře ENISA a Evropské skupině pro certifikaci kybernetické bezpečnosti souhrnnou zprávu o činnostech uskutečněných podle písmen b), c) a d) tohoto odstavce nebo podle odstavce 8;

▼M1

spolupracují s dalšími vnitrostátními orgány certifikace kybernetické bezpečnosti nebo jinými veřejnými orgány, mimo jiné prostřednictvím sdílení informací o možných případech nesouladu produktů, služeb a procesů IKT nebo řízených bezpečnostních služeb s požadavky tohoto nařízení nebo s požadavky konkrétních evropských schémat certifikace kybernetické bezpečnosti; a

▼C1

sledují příslušný vývoj v oblasti certifikace kybernetické bezpečnosti.

Každý vnitrostátní orgán certifikace kybernetické bezpečnosti má alespoň tyto pravomoci:

požadovat po subjektech posuzování shody, držitelích evropských certifikátů kybernetické bezpečnosti a vydavatelích EU prohlášení o shodě, aby poskytovali veškeré informace, které orgán potřebuje pro plnění svých úkolů;

za účelem ověření souladu s touto hlavou provádět šetření v podobě auditů u subjektů posuzování shody, držitelů evropských certifikátů kybernetické bezpečnosti a vydavatelů EU prohlášení o shodě;

v souladu s vnitrostátním právem přijímat vhodná opatření k zajištění toho, aby subjekty posuzování shody, držitelé evropských certifikátů kybernetické bezpečnosti a vydavatelé EU prohlášení o shodě dodržovali toto nařízení nebo některé evropské schéma certifikace kybernetické bezpečnosti;

získat přístup do prostor subjektů posuzování shody nebo držitelů evropských certifikátů kybernetické bezpečnosti za účelem provádění šetření v souladu s procesním právem Unie nebo členských států;

odebrat v souladu s vnitrostátním právem evropské certifikáty kybernetické bezpečnosti vydané vnitrostátními orgány certifikace kybernetické bezpečnosti nebo subjekty posuzování shody v souladu s čl. 56 odst. 6, pokud tyto certifikáty nejsou v souladu s tímto nařízením nebo s některým evropským schématem certifikace kybernetické bezpečnosti;

v souladu s vnitrostátním právem ukládat sankce podle článku 65 a požadovat okamžité zastavení porušování povinností stanovených v tomto nařízení.

▼M1

Vnitrostátní orgány certifikace kybernetické bezpečnosti spolupracují mezi sebou a s Komisí, a zejména si vyměňují informace, zkušenosti a osvědčené postupy týkající se certifikace kybernetické bezpečnosti a technických otázek v oblasti kybernetické bezpečnosti, produktů, služeb a procesů IKT a řízených bezpečnostních služeb.

▼C1

Článek 59

Vzájemné hodnocení

V zájmu dosažení rovnocenných norem v celé Unii, pokud jde o evropské certifikáty kybernetické bezpečnosti a EU prohlášení o shodě, podléhají vnitrostátní orgány certifikace kybernetické bezpečnosti vzájemnému hodnocení.

Vzájemné hodnocení se provádí na základě řádných a transparentních hodnotících kritérií a postupů, zejména pokud jde o požadavky na strukturu, lidské zdroje a o procedurální otázky, otázky důvěrnosti a stížnosti.

Vzájemné hodnocení posuzuje:

zda jsou v příslušných případech činnosti vnitrostátních orgánů certifikace kybernetické bezpečnosti související s vydáváním evropských certifikátů kybernetické bezpečnosti podle čl. 56 odst. 5 písm. a) a odst. 6 striktně odděleny od jejich činnosti dozoru podle článku 58 a zda jsou obě činnosti vykonávány na sobě nezávisle;

▼M1

postupy dohledu nad pravidly pro monitorování souladu produktů, služeb a procesů IKT a řízených bezpečnostních služeb s evropskými certifikáty kybernetické bezpečnosti a vymáhání těchto pravidel, v souladu čl. 58 odst. 7 písm. a);

postupy pro sledování povinností výrobců nebo poskytovatelů produktů, služeb a procesů IKT nebo řízených bezpečnostních služeb a vymáhání těchto povinností, v souladu s čl. 58 odst. 7 písm. b);

▼C1

postupy pro sledování a autorizaci činností subjektů posuzování shody a pro dohled nad nimi;

zda mají v příslušných případech zaměstnanci orgánů nebo subjektů, které vydávají osvědčení pro úroveň záruky „vysoká“ podle čl. 56 čl. 6, vhodnou odbornost.

Vzájemné hodnocení provádějí přinejmenším dva vnitrostátní orgány certifikace kybernetické bezpečnosti jiných členských států a Komise, a to přinejmenším jednou za pět let. Vzájemného hodnocení se může zúčastnit agentura ENISA.

Komise může přijímat prováděcí akty, jimiž stanoví plán vzájemného hodnocení na dobu nejméně pěti let, který stanoví kritéria týkající se složení týmu provádějícího vzájemné hodnocení, metodiku používanou pro vzájemné hodnocení, harmonogram, periodicitu a další úkoly související se vzájemným hodnocením. Při přijímání těchto prováděcích aktů Komise řádně zohlední názor Evropské skupiny pro certifikaci kybernetické bezpečnosti. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 66 odst. 2.

Výsledky vzájemných hodnocení přezkoumá Evropská skupina pro certifikaci kybernetické bezpečnosti a vypracuje shrnutí, jež mohou být zpřístupněna veřejnosti, přičemž v případě potřeby vydá pokyny či doporučení týkající se kroků či opatření, které by měly dotčené subjekty uskutečnit.

Článek 60

Subjekty posuzování shody

Subjekty posuzování shody jsou akreditovány vnitrostátními akreditačními orgány stanovenými podle nařízení (ES) č. 765/2008. Akreditace se vydá, pouze pokud subjekt posuzování shody splňuje požadavky stanovené v příloze tohoto nařízení.

Je-li evropský certifikát kybernetické bezpečnosti vydán vnitrostátním orgánem certifikace kybernetické bezpečnosti podle čl. 56 odst. 5 písm. a) a odst. 6, certifikační subjekt daného vnitrostátního orgánu certifikace kybernetické bezpečnosti musí být akreditován jako subjekt posuzování shody podle odstavce 1 tohoto článku.

Stanoví-li evropská schémata certifikace kybernetické bezpečnosti konkrétní nebo dodatečné požadavky podle čl. 54 odst. 1 písm. f), jsou k vykonávání úkolů v rámci těchto schémat vnitrostátním orgánem certifikace kybernetické bezpečnosti autorizovány pouze ty subjekty posuzování shody, které uvedené požadavky splňují.

Akreditace uvedená v odstavci 1se vydává subjektům posuzování shody na období nejvýše pěti let a lze ji za stejných podmínek obnovit, pokud daný subjekt posuzování shody stále splňuje požadavky stanovené v tomto článku. Vnitrostátní akreditační orgány přijmou v přiměřené lhůtě veškerá odpovídající opatření s cílem omezit, pozastavit nebo zrušit akreditaci subjektu posuzování shody vydanou podle odstavce 1, pokud podmínky pro udělení akreditace nebyly nebo již nejsou splněny nebo subjekt posuzování shody porušuje toto nařízení.

Článek 61

Oznámení

Ke každému evropskému schématu certifikace kybernetické bezpečnosti vnitrostátní orgány certifikace kybernetické bezpečnosti oznámí Komisi subjekty posuzování shody akreditované a případně autorizované podle čl. 60 odst. 3 k vydávání evropských certifikátů kybernetické bezpečnosti s určenými úrovněmi záruky podle článku 52. Vnitrostátní orgány certifikace kybernetické bezpečnosti oznámí Komisi bez zbytečného prodlení jakékoliv jejich následné změny.

Do jednoho roku po vstupu evropského schématu certifikace kybernetické bezpečnosti v platnost Komise zveřejní seznam subjektů posuzování shody oznámených pro dané schéma v Úředním věstníku Evropské unie.

Obdrží-li Komise oznámení po uplynutí lhůty uvedené v odstavci 2, zveřejní změny v seznamu oznámených subjektů posuzování shody do dvou měsíců ode dne přijetí tohoto oznámení v Úředním věstníku Evropské unie.

Vnitrostátní orgán certifikace kybernetické bezpečnosti může Komisi předložit žádost o odstranění subjektu posuzování shody oznámeného tímto orgánem ze seznamu uvedeného v odstavci 2. Komise zveřejní odpovídající změny seznamu do jednoho měsíce ode dne přijetí žádosti vnitrostátního orgánu certifikace kybernetické bezpečnosti v Úředním věstníku Evropské unie.

Komise může přijmout prováděcí akty, jimiž stanoví okolnosti, formáty a postupy pro oznámení podle odstavce 1 tohoto článku. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 66 odst. 2.

Článek 62

Evropská skupina pro certifikaci kybernetické bezpečnosti

Zřizuje se Evropská skupina pro certifikaci kybernetické bezpečnosti.

Evropská skupina pro certifikaci kybernetické bezpečnosti se skládá ze zástupců vnitrostátních orgánů certifikace kybernetické bezpečnosti nebo zástupců jiných příslušných vnitrostátních orgánů. Žádný člen Evropské skupiny pro certifikaci kybernetické bezpečnosti nesmí zastupovat více než dva členské státy.

Zúčastněné strany a relevantní třetí strany mohou být pozvány k účasti na zasedáních Evropské skupiny pro certifikaci kybernetické bezpečnosti a na její činnosti.

Evropská skupina pro certifikaci kybernetické bezpečnosti má tyto úkoly:

poskytovat poradenství a pomoc Komisi v její činnosti spojené se zajištěním soudržného provádění a uplatňování této hlavy, zejména pokud jde o průběžný pracovní program Unie, záležitosti politiky v oblasti certifikace kybernetické bezpečnosti, koordinaci politických přístupů a vypracování evropských schémat certifikace kybernetické bezpečnosti;

poskytovat poradenství a pomoc agentuře ENISA a spolupracovat s ní v souvislosti s vypracováním návrhu schématu podle článku 49;

přijmout stanovisko k návrhu schématu vypracovaného agenturou ENISA podle článku 49;

požadovat po agentuře ENISA, aby vypracovala návrh schématu v souladu s čl. 48 odst. 2;

přijímat stanoviska určená Komisi v souvislosti se zachováním a přezkumem stávajících evropských schémat certifikace kybernetické bezpečnosti;

zkoumat relevantní vývoj v oblasti certifikace kybernetické bezpečnosti a sdílet informace a osvědčené postupy týkající se schémat certifikace kybernetické bezpečnosti;

usnadňovat prostřednictvím budování kapacit a výměny informací spolupráci mezi vnitrostátními orgány certifikace kybernetické bezpečnosti podle této hlavy, zejména stanovením metod pro účinnou výměnu informací o veškerých otázkách týkajících se certifikace kybernetické bezpečnosti;

podporovat provádění mechanismu vzájemného hodnocení v souladu s pravidly stanovenými v evropském schématu certifikace kybernetické bezpečnosti podle čl. 54 odst. 1 písm. u)

usnadňovat sbližování evropských schémat kybernetické bezpečnosti s mezinárodně uznávanými normami, a to i přezkumem stávajících evropských schémat certifikace kybernetické bezpečnosti a případně podáváním doporučení agentuře ENISA, aby navázala dialog s příslušnými mezinárodními normalizačními organizacemi s cílem společně řešit nedostatky nebo mezery v dostupných mezinárodně uznávaných normách.

Evropské skupině pro certifikaci kybernetické bezpečnosti předsedá Komise, s pomocí agentury ENISA, a Komise jí podle čl. 8 odst. 1) písm. e) zajišťuje služby sekretariátu.

Článek 63

Právo podat stížnost

Fyzické a právnické osoby mají právo podat stížnost u vydavatele evropského certifikátu kybernetické bezpečnosti, nebo týká-li se stížnost evropského certifikátu kybernetické bezpečnosti vydaného subjektem posuzování shody jednajícím podle čl. 56 odst. 6, u příslušného vnitrostátního orgánu certifikace kybernetické bezpečnosti.

Orgán nebo subjekt, u něhož byla stížnost podána, informuje stěžovatele o pokroku v řešení stížnosti a o přijatém rozhodnutí, jakož i o jeho právu využít soudního prostředku nápravy podle článku 64.

Článek 64

Právo na účinný soudní prostředek nápravy

Bez ohledu na jakékoli správní nebo jiné mimosoudní opravné prostředky mají fyzické i právnické osoby právo na účinný soudní prostředek nápravy, pokud jde o:

rozhodnutí orgánu nebo subjektu uvedeného v čl. 63 odst. 1, a to i pokud jde o případné chybné vydání či nečinnost ve vztahu k vydání nebo uznání evropského certifikátu kybernetické bezpečnosti, jehož jsou tyto fyzické či právnické osoby držiteli;

nečinnost v řešení stížnosti podané u orgánu nebo subjektu uvedeného v čl. 63 odst. 1.

Řízení podle tohoto článku se zahajuje u soudu členského státu, v němž se nachází orgán nebo subjekt, vůči kterému soudní prostředek nápravy směřuje.

Článek 65

Sankce

Členské státy stanoví sankce za porušení této hlavy a evropských schémat certifikace kybernetické bezpečnosti a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi a neprodleně jí oznámí i všechny jejich následné změny.

HLAVA IV

ZÁVĚREČNÁ USTANOVENÍ

Článek 66

Postup projednávání ve výboru

Komisi je nápomocen výbor. Tento výbor je výborem ve smyslu nařízení (EU) č. 182/2011.

Odkazuje-li se na tento odstavec, použije se čl. 5 odst. 4 písm. b) nařízení (EU) č. 182/2011.

Článek 67

Hodnocení a přezkum

Do 28. června 2024 a poté každých pět let Komise vyhodnotí dopad, efektivitu a účinnost agentury ENISA a jejích pracovních postupů, jakož i případnou potřebu změnit mandát agentury ENISA a finanční důsledky této změny. Hodnocení zohledňuje zpětnou vazbu, kterou agentura ENISA v reakci na svou činnost zaznamenala. Pokud se Komise domnívá, že pokračující fungování agentury ENISA již není s ohledem na cíle, mandát a úkoly, které jí byly uděleny, odůvodněné, může navrhnout, aby byla ustanovení tohoto nařízení týkající se agentury ENISA změněna.

▼M1

Hodnocení rovněž posoudí dopad, efektivnost a účinnost ustanovení hlavy III tohoto nařízení, včetně postupů vedoucích k přijetí evropských schémat certifikace kybernetické bezpečnosti a jejich podkladových materiálů, s ohledem na cíle zajištění odpovídající úrovně kybernetické bezpečnosti produktů, služeb a procesů IKT a řízených bezpečnostních služeb v Unii a zlepšení fungování vnitřního trhu.

Hodnocení posoudí, zda jsou základní požadavky na kybernetickou bezpečnost pro přístup na vnitřní trh nezbytné k tomu, aby se zabránilo produktům, službám a procesům IKT a řízeným bezpečnostním službám, které nesplňují základní požadavky na kybernetickou bezpečnost, vstupovat na trh Unie.

▼C1

Do 28. června 2024 a poté každých pět let předá Komise zprávu o hodnocení společně se svými závěry Evropskému parlamentu, Radě a správní radě. Zjištění této zprávy se zveřejní.

Článek 68

Zrušení a nástupnictví

Nařízení (EU) č. 526/2013 se zrušuje s účinkem od 27. června 2019.

Odkazy na nařízení (EU) č. 526/2013 a na agenturu ENISA zřízenou uvedeným nařízením se považují za odkazy na toto rozhodnutí a agenturu ENISA zřízenou tímto nařízením.

Agentura ENISA zřízená tímto nařízením je nástupkyní agentury ENISA zřízené nařízením (EU) č. 526/2013, pokud jde o veškeré vlastnictví, dohody, právní závazky, pracovní smlouvy, finanční závazky a odpovědnost. Všechna rozhodnutí správní a výkonné rady přijatá v souladu s nařízením (EU) č. 526/2013 zůstávají v platnosti, jsou-li v souladu s tímto nařízením.

Agentura ENISA se zřizuje na dobu neurčitou od 27. června 2019.

Výkonný ředitel jmenovaný podle čl. 24 odst. 4 nařízení (EU) č. 526/2013 zůstává ve funkci a vykonává povinnosti výkonného ředitele, jak jsou uvedeny v článku 20 tohoto nařízení, po zbývající část svého funkčního období. Ostatní podmínky jeho smlouvy se nemění.

Členové správní rady a jejich náhradníci jmenovaní podle článku 6 nařízení (EU) č. 526/2013 zůstávají ve funkci a vykonávají pravomoci správní rady, jak jsou uvedeny v článku 15 tohoto nařízení, po zbývající část svého funkčního období.

Článek 69

Vstup v platnost

Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

Články 58, 60, 61, 63, 64 a 65 se použijí od 28. června 2021.

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

PŘÍLOHA

POŽADAVKY, KTERÉ MUSÍ SPLŇOVAT SUBJEKTY POSUZOVÁNÍ SHODY

Subjekty posuzování shody, které chtějí získat akreditaci, musí splňovat tyto požadavky:

Subjekt posuzování shody je zřízen podle vnitrostátních právních předpisů a má právní subjektivitu.

▼M1

Subjekt posuzování shody musí být třetí stranou nezávislou na organizaci nebo produktech, službách či procesech IKT nebo na řízených bezpečnostních službách, které posuzuje.

Za subjekt posuzování shody lze považovat subjekt patřící k hospodářskému sdružení nebo profesnímu svazu zastupujícímu podniky, jež se podílejí na navrhování, výrobě, dodávání, montáži, používání nebo údržbě produktů, služeb nebo procesů IKT nebo řízených bezpečnostních služeb, které tento subjekt posuzuje, pokud je prokázána jeho nezávislost a neexistence jakéhokoli střetu zájmů.

Subjekty posuzování shody, jejich nejvyšší vedení a osoby odpovědné za plnění úkolů posuzování shody nesmí být osobami, které navrhují, vyrábějí, dodávají, instalují, nakupují, vlastní, používají nebo udržují posuzovaný produkt, službu či proces IKT nebo řízenou bezpečnostní službu, ani zplnomocněnými zástupci jakékoli z těchto stran. Tento zákaz nevylučuje používání posuzovaných produktů IKT, které jsou nezbytné pro činnost subjektu posuzování shody, ani používání takových produktů IKT k osobním účelům.

Subjekty posuzování shody, jejich nejvyšší vedení a osoby odpovědné za plnění úkolů posuzování shody se nesmí přímo podílet na navrhování, výrobě nebo konstrukci, dodávání, uvádění na trh, instalaci, používání ani údržbě posuzovaných produktů, služeb či procesů IKT nebo řízených bezpečnostních služeb, ani nesmí zastupovat strany, které se těmito činnostmi zabývají. Subjekty posuzování shody, jejich nejvyšší vedení a osoby odpovědné za plnění úkolů posuzování shody nesmí vykonávat žádnou činnost, která by mohla ohrozit jejich nezávislý úsudek nebo důvěryhodnost ve vztahu k jejich činnostem posuzování shody. Tento zákaz platí zejména pro poradenské služby.

▼C1

Je-li subjekt posuzování shody vlastněn nebo provozován veřejným subjektem nebo institucí, musí být zajištěna a zdokumentována nezávislost a neexistence jakéhokoli střetu zájmů mezi vnitrostátním orgánem certifikace kybernetické bezpečnosti a subjektem posuzování shody.

Subjekty posuzování shody musí zajistit, aby činnosti jejich dceřiných společností nebo subdodavatelů neohrožovaly důvěrnost, objektivitu nebo nestrannost jejich činností posuzování shody.

Subjekty posuzování shody a jejich zaměstnanci vykonávají činnosti posuzování shody na nejvyšší úrovni profesionální důvěryhodnosti a požadované odborné způsobilosti v konkrétní oblasti a nesmějí být vystaveni žádným tlakům a podnětům, například finančním, které by mohly ovlivnit jejich úsudek nebo výsledky jejich činností posuzování shody, zejména ze strany osob nebo skupin osob, které mají na výsledcích těchto činností zájem.

Subjekt posuzování shody musí být schopen provádět všechny úkoly v rámci posuzování shody, které tomuto subjektu ukládá toto nařízení, ať již tyto úkoly provádí subjekt posuzování shody sám, nebo jsou prováděny jeho jménem a na jeho odpovědnost. Veškeré subdodávky nebo konzultace s externími pracovníky musí být řádně zdokumentovány, nesmějí zahrnovat žádné zprostředkovatele a podléhají písemné dohodě týkající se mimo jiné důvěrnosti a střetu zájmů. Dotyčný subjekt posuzování shody nese plnou odpovědnost za vykonávané úkoly.

10.

▼M1

Subjekt posuzování shody musí mít k dispozici vždy, pro každý postup posuzování shody a pro každý druh, kategorii nebo podkategorii produktů, služeb a procesů IKT nebo řízených bezpečnostních služeb, nezbytné:

▼C1

zaměstnance s odbornými znalostmi a dostatečnými zkušenostmi potřebnými k plnění úkolů posuzování shody;

popisy postupů, podle nichž je posuzování shody prováděno, aby byla zajištěna transparentnost těchto postupů a možnost jejich zopakování. Musí mít zavedenu náležitou politiku a postupy pro rozlišení mezi úkoly, jež vykonává jako subjekt oznámený podle článku 61, a dalšími činnostmi;

▼M1

postupy pro výkon činností, jež řádně zohledňují velikost a strukturu podniku, odvětví, v němž působí, míru složitosti technologie daného produktu, služby či procesu IKT nebo řízené bezpečnostní služby a hromadnou či sériovou povahu výrobního procesu.

▼C1

11.

Subjekt posuzování shody musí mít prostředky nezbytné k řádnému plnění technických a administrativních úkolů spojených s činnostmi posuzování shody a musí mít přístup k veškerému potřebnému vybavení a zařízení.

12.

Osoby odpovědné za plnění úkolů posuzování shody musí:

mít přiměřené technické a odborné vzdělání v oblasti všech činností spojených s posuzováním shody;

mít uspokojivou znalost požadavků souvisejících s posuzováním shody, které provádějí, a odpovídající pravomoc toto posuzování provádět;

mít odpovídající znalosti a pochopení příslušných požadavků a zkušebních norem;

být schopni vypracovávat certifikáty, záznamy a zprávy prokazující provedení posuzování shody.

13.

Musí být zaručena nestrannost subjektů posuzování shody, jejich nejvyššího vedení, osob odpovědných za plnění úkolů posuzování shody a jakýchkoli subdodavatelů.

14.

Odměňování nejvyššího vedení a osob odpovědných za plnění úkolů posuzování shody nesmí záviset na počtu provedených posuzování shody ani na výsledcích těchto posuzování.

15.

Subjekty posuzování shody uzavřou pojištění odpovědnosti za škodu, ledaže tuto odpovědnost převzal členský stát v souladu se svým vnitrostátním právem, nebo je za posuzování shody přímo odpovědný sám členský stát.

16.

Subjekt posuzování shody a jeho zaměstnanci, výbory, dceřiné společnosti, subdodavatelé a jakýkoli přidružený subjekt nebo zaměstnanci externích orgánů subjektu posuzování shody jsou povinni zachovávat mlčenlivost a profesní tajemství, pokud jde o veškeré informace, které obdrželi při plnění svých úkolů posuzování shody podle tohoto nařízení nebo podle jakéhokoli ustanovení vnitrostátních právních předpisů, kterým se toto nařízení provádí, s výjimkou případů, kdy zveřejnění vyžadují právní předpisy Unie nebo členských států, které se na tyto osoby vztahují, a s výjimkou styku s příslušnými orgány členských států, v nichž vykonávají svou činnost. Práva duševního vlastnictví jsou chráněna. Pokud jde o požadavky tohoto bodu, subjekt posuzování shody musí mít zavedené zdokumentované postupy.

17.

S výjimkou bodu 16 požadavky této přílohy nebrání výměně technických informací a regulačních pokynů mezi subjektem posuzování shody a osobou, která podává žádost o certifikaci nebo toto podání zvažuje.

18.

Pokud jde o poplatky, subjekty posuzování shody působí v souladu se souborem důsledných, spravedlivých a přiměřených podmínek s přihlédnutím k zájmům malých a středních podniků.

▼M1

19.

Subjekty posuzování shody plní požadavky příslušné harmonizované normy ve smyslu čl. 2 bodu 9 nařízení (ES) č. 765/2008 pro akreditaci subjektů posuzování shody provádějících certifikaci produktů, služeb a procesů IKT nebo řízených bezpečnostních služeb.

20.

Subjekty posuzování shody zajistí, aby zkušební laboratoře používané pro účely posuzování shody plnily požadavky příslušné harmonizované normy ve smyslu čl. 2 bodu 9 nařízení (ES) č. 765/2008 pro akreditaci laboratoří provádějících zkoušení.

( 1 ) Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (Úř. věst. L 257, 28.8.2014, s. 73).

( 2 ) Úř. věst. L 56, 4.3.1968, s. 1.

( 3 ) Nařízení Komise v přenesené pravomoci (EU) č. 1271/2013 ze dne 30. září 2013 o rámcovém finančním nařízení pro subjekty uvedené v článku 208 nařízení Evropského parlamentu a Rady (EU, Euratom) č. 966/2012 (Úř. věst. L 328, 7.12.2013, s. 42).

( 4 ) Rozhodnutí Komise (EU, Euratom) 2015/443 ze dne 13. března 2015 o bezpečnosti v Komisi (Úř. věst. L 72, 17.3.2015, s. 41).

( 5 ) Rozhodnutí Komise (EU, Euratom) 2015/444 ze dne 13. března 2015 o bezpečnostních pravidlech na ochranu utajovaných informací EU (Úř. věst. L 72, 17.3.2015, s. 53).

( 6 ) Nařízení Evropského parlamentu a Rady (EU, Euratom) 2018/1046 ze dne 18. července 2018, kterým se stanoví finanční pravidla pro souhrnný rozpočet Unie, mění nařízení (EU) č. 1296/2013, (EU) č. 1301/2013, (EU) č. 1303/2013, (EU) č. 1304/2013, (EU) č. 1309/2013, (EU) č. 1316/2013, (EU) č. 223/2014 a (EU) č. 283/2014 a rozhodnutí č. 541/2014/EU a zrušuje nařízení (EU, Euratom) č. 966/2012 (Úř. věst. L 193, 30.7.2018, s. 1).

( 7 ) Nařízení Evropského parlamentu a Rady (EU, Euratom) č. 883/2013 ze dne 11. září 2013 o vyšetřování prováděném Evropským úřadem pro boj proti podvodům (OLAF) a o zrušení nařízení Evropského parlamentu a Rady (ES) č. 1073/1999 a nařízení Rady (Euratom) č. 1074/1999 (Úř. věst. L 248, 18.9.2013, s. 1).

( 8 ) Úř. věst. L 136, 31.5.1999, s. 15.

( 9 ) Nařízení Rady (Euratom, ES) č. 2185/96 ze dne 11. listopadu 1996 o kontrolách a inspekcích na místě prováděných Komisí za účelem ochrany finančních zájmů Evropských společenství proti podvodům a jiným nesrovnalostem (Úř. věst. L 292, 15.11.1996, s. 2).

( 10 ) Nařízení č. 1 o užívání jazyků v Evropském hospodářském společenství (Úř. věst. 17, 6.10.1958, s. 385).

Zavřít

Vyhledání konkrétního předpisu

Fulltextové vyhledávání